1. Trang chủ
  2. » Giáo Dục - Đào Tạo

PhapChungKTS season 2015 2016

8 43 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Nội dung

Câu hỏi thi cuối khóa Mơn Pháp chứng kỹ thuật số Thế chứng số, giải thích lý cần bảo vệ tính pháp lý chứng số - Bằng chứng số (Digital Evidence) thơng tin có giá trị pháp lý lưu trữ, truyền dẫn dạng thức số có giá trị pháp lý trước tòa  Ví dụ chứng số:việc mở file máy thay đổi nó, máy tính ghi lại thời gian ngày truy cập file  Mỗi xóa file, máy tính chuyển file sang danh bạ khác Filevẫnđược giữ tới máy tính ghi liệu đè lên, khơi phục lại làm chứng - Chúng ta cần bảo vệ tính pháp lý chứng số nguồn thông tin quan trọng, giá trị cho nhiều vụ án Tuy nhiên, khơng kiểm sốt, bào vệ chứng số khơng cơng nhận:  Tòa án thường coi chứng từ máy tính khơng khác so với loại chứng khác  Tuy nhiên, số người không đánh giá cao việc sử dụng thông tin kỹ thuật số chứng vì: họ cho liệu máy tính dễ dàng thay đổi nên khó sử dụng chứng đáng tin cậy  Hiện máy tính phát triển phức tạp hơn, tòa án biết chứng tội phạm dễ dàng bị thay đổi, bị xóa bị phá hỏng Vì vậy, nhân viên điều tra khơng thể kiểm sốt tồn hệ thống máy tính, chứng họ tìm khơng cơng nhận Giải thích cần thiết điều tra chứng máy tính nhiệm vụ điều tra viên điều tra pháp chứng máy tính a Sự cần thiết điều tra chứng máy tính: - Loại tội phạm “truyền thống” sử dụng máy tính cơng cụ để gây án, để lưu giữ thông tin tội phạm: + Tội lừa đảo chiếm đoạt tài sản, trộm cắp tài sản, tội tham ô, tội rửa tiền + Buôn bán ma túy, mại dâm, tội xâm phạm quyền sở hữu trí tuệ, + Rửa tiền: chuyển tiền từ tài khoản trộm cắp sang tài khoản e-money e-gold, e-passport , chuyển tiền qua Western Union tài khoản đối tượng ngân hàng Việt Nam - Tội phạm xâm nhập qua máy tính: + Tấn công sở liệu, tạo ra, lan truyền, phát tán chương trình virus, + Đột nhập trái phép sở liệu máy tính, ăn cắp liệu, thông tin, sử dụng trái phép liệu, + Dùng thủ đoạn Phishing, trojan horse, spyware, keylogger, adware để lấy cắp địa email, thơng tin thẻ tín dụng thông tin cá nhân tên, địa chỉ, số điện thoại, số thẻ an ninh xã hội, thông tin giấy phép lái xe… b Nhiệm vụ người điều tra viên điều tra pháp chứng máy tính - Quản lý khai thác liệu hệ thống máy tính, hiểu biết khai thác phương pháp lưu trữ thơng tin máy tính thiết bị số - Phân tích liệu tìm hệ thống máy tính để tìm thơng tin chi tiết liên quan nguồn gốc, nội dung… - Đánh giá thơng tin tìm tập hợp thành chứng số - Đưa chứng số trước tòa bảo vệ chứng số Giải thích tác vụ Pháp chứng máy tính lý điều tra viên cần phải tạo đĩa chép (Clone) điều tra Các tác vụ Pháp chứng máy tính:  Kiểm sốt phần cứng hệ thống Kiểm sốt hệ thống máy tính để chắn thiết bị liệu an toàn, đồng thời điều tra viên cần lập tài liệu cấu hình phần cứng hệ thống Chuyển hệ thống máy tính đến vị trí mà điều tra viên nắm quyền bảo mật để khơng có cá nhân truy cập máy tính thiết bị lưu trữ kiểm tra  Kiểm tra xử lý liệu có hệ thống Tạo backup ổ đĩa hệ thống bao gồm tập tin có ổ đĩa máy tính hay ổ cứng cắm theo dạng bit, điều tra viên thực việc điều tra liệu backup  Xác định thơng tin cần tìm kiếm Kiểm tra liệu tất thiết bị lưu trữ bao gồm tất tập tin có hệ thống máy tính ẩn bị xóa chưa bị ghi đè, Kiểm tra tập tin mã hóa, bảo vệ mật khẩu, Lập tài liệu ngày hệ thống, ngày truy cập tập tin Lập danh sách key word cần tìm kiếm liên quan dấu vết tội phạm  Đánh giá nơi dấu liệu Phân tích khu vực đặc biệt ổ đĩa máy tính, bao gồm phần thường khó tiếp cận Đánh giá tập tin swap Windows chứa thơng tin nhớ sử dụng Thường cluster cuối chứa tập tin không sử dụng hết Phần dư gọi File slack space – nơi chứa mã độc thơng tin nhậy cảm: Đánh giá không gian đĩa chưa cấp phát tập tin bị xóa  Thực tìm kiếm thơng tin liệu backup Khơi phục lại nhiều thơng tin bị xóa tốt cách sử dụng ứng dụng tìm kiếm truy hồi liệu bị xóa Tìm tập tin, không gian slack tập tin không gian chưa cấp phát theo key word Lập tài liệu tên, ngày liên quan đến tập tin Xác định tập tin, chương trình thiết bị lưu trữ bất thường  Ghi nhận thơng tin, liệu tìm Đánh giá hoạt động chương trình sao, tìm kiếm điều bất thường Ghi lại tất bước trình tìm kiếm, liệu tìm thấy đâu Lập tài liệu liệu phát Tại điều tra viên cần phải tạo đĩa chép (Clone) điều tra: Điều tra viên cần tạo đĩa chép(Clone) để đảm bảo việc điều tra khơng ảnh hướng đến tồn vẹn liệu đĩa gốc, đồng thời, phân chia cho nhiều điều tra viên khác thực việc điều tra này, đảm bảo hiệu suất thời gian điều tra Cho biết cơng cụ Autopsy có tính điều tra Filesystem  Băm lọc (Hash Filtering): đánh dấu tập tin có vấn đề bỏ qua tập tin tốt  Phân tích pháp chứng với File system: cho phép khôi phục tập tin từ hầu hết định dạng phổ biến  Tìm kiếm theo từ khóa – cho phép nhập từ khóa tìm kiếm để tìm tập tin có liên quan đến từ khóa  Khai thác thông tin sử dụng Web: cho phép trích xuất lịch sử truy cập Web, đánh dấu, tìm cookie từ trình duyệt Firefox, Chrome IE  Đa phương tiện – trích xuất dạng EXIF (Exchangeable image file format) từ ảnh video Cho biết kỹ thuật dấu liệu kỹ thuật ẩn dấu file liệu - Kỹ thuật giấu liệu (Steganography) có nguồn gốc từ Hy Lạp kỹ thuật chuyển tải thơng điệp cách bí mật, ngoại trừ người gửi người nhận tồn thông điệp, dạng bảo mật cách che giấu Trong kỹ thuật giấu liệu, thông điệp thường xuất nhiều dạng khác như: hình ảnh, báo, danh sách mua hàng, bì thư, thơng điệp ẩn viết mực vơ hình thư bình thường…Kỹ thuật giấu liệu có hai q trình ngược mã hóa (Encode) giải mã (Decode) khơng cần thơng qua chìa khóa cả, người nắm thuật tốn lấy thơng tin - Kỹ thuật ẩn dấu file liệu dùng để che khuất liệu tin nhắn bí mật ẩn bên tập tin máy tính hình ảnh, tập tin âm thanh, video file thực thi Không ai, ngoại trừ người gửi người nhận nghi ngờ tồn thơng tin ẩn - Kỹ thuật ẩn dấu file liệu làm thay đổi tập tin đồ họa âm mà không làm khả tổng thể cho người xem VD như: o Với âm thanh, người ta sử dụng bit âm mà tai người không nghe o Với tập tin đồ họa,người ta loại bỏ bit dư thừa màu sắc từ hình ảnh để tạo hình ảnh giống khó phân biệt với gốc Cho biết giải thích chi tiết yêu cầu điều tra Registry Hệ điều hành Windows - Registry giúp điều tra viên tìm thơng tin có ích cho trình điều tra như: Hoạt động duyệt web, Các file mở, Các chương trình thực thi, Các mật khẩu, Thiết lập cá nhân Tuỳ chọn cho trình duyệt, Tên người dùng, Thiết bị Cấu hình hệ thống - Các phiên hệ điều hành (Windows 9x, Windows XP, Windows 7/8…) có cấu trúc Registry khác nhau, điều tra cần có hiểu rõ cấu trúc để việc điều tra xác hiệu - Khi điều tra, điều tra viên cần ý điều tra nội dung sau: • Các Registry Keys lưu thời gian biến đổi cuối (modified time-stamp) từ xác định thơng tin sử dụng cuối đối tượng danh sách ứng dụng tên tập tin mở gần Windows • Các time-stamp phải sửa dạng Binary • Khi điều tra việc sử dụng Mạng, điều tra viên thu thập từ Registry thơng tin:Local groups, Local users, Map network drive MRU, Network Printers • Thu thập thông tin liên quan đến địa Website • Thu thập thơng tin liên quan đến người dùng – đặc biệt user dùng để chat Yahoo Messenger, ICQ, … Khi điều tra Yahoo messenger, cần ý thông tin: Thông tin phòng chat, Danh tính người dùng thay thế, Người dùng đăng nhập cuối cùng, Mật (có mã hóa), Các liên lạc gần đây, Tên đăng ký hình • Thu thập thơng tin liên quan đến USB Devices, Winzip, Thông tin thời gian hệ thống (Timezone) Cho biết công cụ Fiddler có tính điều tra điều tra nội dung Website: - - - - Bắt tất gói tin HTTP(s): Cho phép điều tra viên biết truy cập website làm gì, server mà website liên kết đến phát việc website có cài đặt malware hay khơng? Lọc gói tin bắt được: Cho phép người điều tra ý đến server khả nghi từ q trình điều tra hiệu Vd: Trong trình điều tra phát địa IP lạ dùng chức lọc để lọc địa IP Phân tích nội dung session: Fiddler cung cấp chức giúp cho người điều tra phân tích chi tiết nội dung như: caching, cookie header Phân tích gói tin từ client trình duyệt nào: Một bạn khởi động Fiddler, tự đăng kí với hệ thống proxy Microsoft Windows Internet Service Do có giao tiếp với trình duyệt như: Internet Explorer, Chrome, Firefox, Safari, Opera… Ngồi Fiddler hỗ trợ hệ điều hành như: Windows, Mac, Linux, IOS, Android, Windows Phone… Cài đặt breakpoints: Là chức Fiddler cung cấp để debug q trình truy cập vào website giúp cho điều tra viên hiểu rõ trình hoạt động website Giải thích chế hoạt động phần mềm Sniffer chứng cớ số Sniffer thu thập Sniffer chương trình cho phép nghe lưu lượng thông tin hệ thống mạng Tương tự thiết bị cho phép nghe đường dây điện thoại Việc bắt gói tin Sniffer thụ động thường không tạo lưu lượng mạng Các phương thức "Catch-it-as-you-can": Tất gói chuyển qua điểm traffic bắt lại ghi vào thiết bị lưu trữ để sau tiến hành phân tích Cách tiếp cận yêu cầu lượng lớn thiết bị lưu trữ, thường sử dụng hệ thống RAID Các phương thức "Stop, look and listen": Mỗi gói tin phân tích sơ nhớ, vài thơng tin lưu trữ cho q trình phân tích sau Cách tiếp cận yêu cầu thiết bị lưu trữ lại cần processor có tốc độ nhanh để xử lý hết traffics vào Chứng cớ số Sniffer thu thập: Bằng thông tin lưu lượng hệ thống cho phép Điều tra viên phân tích vấn đề mắc phải hoạt động hệ thống mạng Sniffer tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động (Intrusion Detecte Service) qua Điều tra viên triển khai việc thu thập chứng số Sniffer ghi lại thơng tin gói liệu, phiên truyền Tương tự hộp đen máy bay, giúp Điều tra viên xem lại thơng tin gói liệu, phiên truyền sau cố… Giải thích lý nhu cầu điều tra số mạng khơng dây  Lí  Tìm kiếm máy tính xách tay bị đánh cắp cách theo dõi mạng khơng dây  Xác định điểm truy cập giả mạo  Điều tra hoạt động nguy hiểm trái phép xảy nghi pham sử dụng mạng không dây  Điều tra công mạng không dây như: cơng từ chối dịch vụ (DoS), cơng mã hóa, chứng thực  Nhu cầu  Ngày nay, thiết bị mạng mạng khơng dây có bùng nổ thập niên vừa qua Điển hình thiết bị di động, iPad, Laptop, thiết bị GPS…  Điều tra việc sử dụng thiết bị không dây trọng việc dễ dàng sử dụng chúng nghi phạm  Các thiết bị mạng không dây phổ biến bao gồm:  Thiết bị WiFi, Wi-Max  Điện thoại không dây, di động  Tai nghe Bluetooh  Các thiết bị hồng ngoại (TV remotes …) 10 Giải thích việc phân loại cơng cụ điều tra thiết bị di động - Trong trình thu thập chứng thiết bị di động có hai hành động mà thực : đọc liệu từ thẻ SIM đồng hóa liệu từ thiết bị với máy tính Thiết bị di động có chứa đầy đủ thành phần máy tính cá nhân gồm: vi xử lý, nhớ đọc (ROM), nhớ truy cập ngẫu nhiên (RAM), xử lý tín hiệu kỹ thuật số, hình Các thiết bị di động tiên tiến thường sử dụng hệ điều hành độc quyền công ty Palm, Windows Phone, RIM, Symbian, Linux Việc nắm rõ đặc điểm, cấu trúc thiết bị di động giúp xác định xác phương thức tiến hành điều tra số - Phân loại hệ thống sử dụng cung cấp framework cho người điều tra pháp chứng để so sánh với công cụ khác Đối tượng hệ thống phân loại công cụ mở khả người kiểm tra dễ dàng thấy khả cùa công cụ Biểu tượng kim tự tháp đọc từ lên trên, Level 1, đến đỉnh, Level 5, phương pháp liên quan đến việc thu hồi trở nên kĩ thuật hơn, tốn thời gian tốn  Level 1: Manual Extraction, bao gồm việc ghi nhận thông tin mang lại hình thiết bị di động sử dụng giao diện người dùng  Level 2: Logical Extraction, sử dụng phổ biến ngày nòng cốt, yêu cầu mức độ hiểu biết  Level 3-5: Đòi hỏi giải nén ghi nhận copy hình ảnh lưu trữ vật lý (memory chip), logical sử dụng level bao gồm việc thu đối tượng lưu trữ logical (file, directories) nằm nơi lưu trữ logical  Level 3: Physical Extraction, kéo theo hiểu việc lấy lại nhớ điện thoại chỗ yêu cầu đào tạo nâng cao  Level 4: Chip Off, yêu cầu tách rời nhớ vật lý từ thiết bị di động triết xuất liệu, yêu cầu đào tạo mở rộng kỹ thuật điện tử hệ thống tập tin pháp chứng Level 5: Micro Read, bao gồm việc sử dụng kính hiển vi High-Powered để hiển thị trạng thái vật lý Đây mức độ truy cập cao nhất, tinh vi, tốn tiêu tốn thời gian cách làm 11 Giải thích yêu cầu cần bảo quản liệu điều tra Cơ sở liệu Khi điều tra Cơ sở liệu, để bảo quản liệu, điều tra viên cần ý điểm sau: - Điều tra viên thu thập chứng cần thiết nơi có vi phạm làm việc đảm bảo Cơ sở liệu không thay đổi - Bảo vệ Audit Trail (nhật ký kiểm toán) Cơ sở liệu, để kiểm tốn thơng tin thêm vào, thay đổi, xóa - Điều tra viên truy cập liệu thích hợp hạn chế hành động nhằm tránh làm lộn xộn thơng tin có ý nghĩa thay đổi chứng; - Điều tra viên cần lập kế hoạch mục tiêu tất hoạt động sở liệu trước bắt đầu - Nghiên cứu sơ đồ quan hệ thực thể Cơ sở liệu(ERD) 12 Cho biết lý tội phạm quan tâm đến thông tin cá nhân mạng xã hội giải thích chi tiết chứng cớ số mạng xã hội - - Mặc dù mạng xã hội sử dụng chủ yếu để giao tiếp giao tiếp với bạn bè tính chất đa dạng vơ danh trang web mạng xã hội làm cho người dùng dễ bị tội phạm lợi dụng cơng Có thể tạo nhiều mối quan hệ từ người không quen biết mối quan hệ giới ảo để lại nhiều hệ lụy đáng tiếc Các hoạt động lạm dụng khác thực trang web bao gồm tải lên tài liệu bất hợp pháp tải lên tài liệu không phù hợp, tải lên tài liệu phỉ báng… Các mạng xã hội khuyến khích việc cơng bố liệu cá nhân, chẳng hạn tuổi, giới tính, thói quen, nơi ở, lịch trình Sự giàu có thơng tin cá nhân tải lên trang web làm cho cho bọn tội phạm mạng để thao tác thông tin để lợi họ sử dụng để thực hành vi phạm tội Những kẻ lừa đảo, kẻ ấu dâm, bọn tội phạm mạng khác đăng ký dịch vụ với thông tin giả, dấu ý định độc hại họ đằng sau hồ sơ xuất bình thường Chứng cớ số Mạng xã hội: Số lượng lớn hành vi phạm tội thực thông qua mạng xã hội làm tăng tầm quan trọng pháp chứng lĩnh vực Chứng số lấy từ hoạt động mạng xã hội máy tính nghi can hỗ trợ việc điều tra vụ án hình mà qua buộc tội chứng minh vơ tội kẻ tình nghi Trong điều tra thực tế, quan thực thi pháp luật truy cập liệu từ nhà cung cấp mạng xã hội Tuỳ theo tính chất điều tra, vấn đề pháp lý xác định mức độ mà nhà cung cấp mạng xã hội hợp tác với điều tra

Ngày đăng: 25/10/2019, 11:18

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w