Xóa tập tin
Bằng chứng có thể được tìm thấy trong tập tin bị xóa bởi người dùng máy tính, mặc dù các tập tin có thể bị xóa bằng cách thông thường sẽ thương được khôi phục lại bởi các điều tra viên. Đầu tiên, điều tra viên phải kiểm tập tin bị xóa trong Recycle. Thường thì người phạm tội sẽ để trống trong thu mục Recycle Bin. Khi xóa một tập tin hay thư mục trong Recycle Bin thì thực chất việc này chỉ đánh dấu đã xóa trong Directory Entry và những thông tin liên quan trong ( File Allocation Table- phân vùng định dạng FAT) hoặc đánh dấu xóa trong Master File Table( phân vùng định dạng NTFS). Khi này các vùng chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu trên đây vẫn tồn tại. Vì vậy vẫn có thể khôi phục lại được những dữ liệu trong phân vùng này. Công cụ khôi phục sẽ được trình bày trong phần 3.
Khi một ổ đĩa được làm sạch với một kiểu bit, thì dữ liệu vẫn có thể được khôi phục lại bằng cách sử dụng các công cụ chuyên dụng. Theo Tiêu chuẩn của bộ quốc phòng hoa kỳ( DoD) thì dữ liệu và ổ cứng cần phải được ghi đè ít nhất 7 lần với bit 0 1 ngẫu nhiên để đảm bảo rằng dữ liệu ban đầu hoàn toàn bị xóa. Cũng có nhiều chương trình phần mềm có sẵn trên mạng đáp ứng được nhu cầu xóa đi vĩnh viễn dữ liệu từ các thiết bị liên quan, nó sẽ được ghi đè nhiều lần đảm bảo rằng dữ liệu trên thiết bị được xóa sạch hoàn toàn.
18
Mã hóa tập tin
Để bảo vệ tập tin, cá nhân có thể sử dụng mã hóa đảm bảo cho bên thứ 3 không thể truy cập vào được, hoặc sử dụng mật khẩu. Mã hóa cơ bản là làm cho dữ liệu không thể đọc được, chuyển đổi từ bản rõ thành bản mã sử dụng khóa công khai để giả mã.
Các cá nhân sử dụng mã hóa để bảo vệ quyền riêng tư và bảo mật dữ liệu trên máy tính. Việc mã hóa cũng mang lại cho bọn tội phạm một vũ khí rất mạnh mẽ để che dấu đi hoạt động bất hợp pháp của chúng.
Ở Anh, có một điều luật của cơ quan thực thi pháp luật bắt buộc nghi can phải cung cấp thông tin về khóa để giải mã ( Phần III Quy chế về hành động điều tra RIPA- 2000). Mục 49, cung cấp cho các cơ quan điều lực để giám sát địa chỉ email cá nhân bằng cách cho phép cơ quan thực thi pháp luật yêu cầu giao khóa mã hóa và giải mã đấy là những hành động vì lợi ích của quốc gia, với mục đích ngăn chặn và phát hiện ra tội phạm và vì lợi ích của Anh. Tính đến ngày 1/10/2007 nội dung phần III của RIPA đã được hoạt động, bây giờ các cá nhân sử dụng kỹ thuật mã hóa không còn có thể từ chối cho việc cung cấp khóa giải mã cho cơ quan thực thi pháp luật. Điều 53 của RIPA, trong đó vấn đề với việc không tuân thủ việc bàn giao đúng về khóa giải mã có thể được bị buộc tội. Ngược lại, Hoa Kỳ không có điều luật của cơ quan thực thi pháp luật, quyền buộc nghi can cung cấp thông tin để giải mã. Chỉ khi bị cáo đã cung cấp thông tin về nội dung các tập tin được mã hóa hoặc ổ cứng trong quá trình thẩm vấn.
Steganography
Steganography đây là kỹ thuật che dấu sự tồn tại của thông tin. Khác với mật mã, mục tiêu của steganography là che dấu đi thông báo cần giữ bí mật trong các dữ liệu vô hại khác để đối phương không thể che dấu được sự hiện diện của thông báo. Ví dụ, người dùng thu thập và phân phối các nội dung khiêu dâm trẻ em có thể che dấu hình ảnh và video để tránh bi cơ quan thực thi pháp luật phát hiện.
Để xác định được có chứa dấu mã hay không, thì điều tra viên sẽ sử dụng các công cụ thích hợp để phát hiện dữ liệu ẩn tồn tại trong tập tin.
Các công cụ hiện có sẵn và nổi bật cho việc điều tra stegagraphy là Steganos, s- tools, steghide, jphide,…
19
Các tập tin được tạo ra tự động bởi máy tính có thể thể rất có giá trị. Các tập tin có thể hỗ trợ điều tra viên trong việc điều tra như: logs, lịch sử trình duyệt, cookies, tập tin temp.
Tập tin logs: tự động ghi lại các sự kiện trong máy tính có thể được sử dụng để theo dõi, hiểu, chuẩn đoán các hoạt động và vấn đề trong hệ thống
Setup logs: tập tin này cung cấp dữ liệu về các ứng dụng được cài đặt trên máy tính
System logs: tập tin cung cấp thông tin về các thành phần hệ thống
Aplication and services logs: ghi lại các các sự kiện mới
Lịch sử trình duyệt: thu thập dữ liệu từ các trang web người dùng sử dụng.
Cookies là bản ghi được tạo ra và lưu lại trên trình duyệt khi người dùng truy cập vào một trang web.
File Temporary là các tập tin được lưu tạm trong quá trình cài đặt chương trình ứng dụng
File slack space và Unallocated space
Không gian lưu trữ của các ổ đĩa logic được chia thành các phần nhỏ bằng nhau, có kích thước xác định, được gọi là block đĩa, hay còn gọi là các đơn vị cấp phát (allocation). Với hầu hết các hệ điều hành hiện nay, một đơn vị cấp phát tương ứng với một cluster đĩa. Cluster được hình thành từ 4, 6 hoặc 8 sector liên tiếp nhau, kích thước của một sector thường là 512 byte (tức là, mỗi sector chứa được 512 byte thông tin).
Dữ liệu của các tập tin cần lưu trữ, đầu tiên, được chia thành các block có kích thước bằng nhau và bằng kích thước của cluster. Các block tập tin, sau đó, sẽ được lưu tại các cluster khác nhau trên đĩa. Như vậy, trên đĩa vừa có các cluster đang chứa block của tập tin (không gian đã cấp phát: Allocated space/Used space), vừa có cluster còn để trống (không gian chưa cấp phát: Unallcated space/Free space).
Trong trường hợp kích thước của tập tin không là bội số của kích thước cluster thì cluster cuối cùng, trong dãy các cluster chứa tập tin này, sẽ không được sử dụng hết. Phần dư ra này được gọi là File slack space.
Ví dụ: Kích thước của một cluster đĩa là 2048 byte, kích thước của tập tin A là 20512 Byte. Trong trường hợp này, hệ điều hành phải dành ra (cấp phát) ít nhất là 11 cluster để chứa hết nội dung tập tin A. Tuy nhiên, cluster thứ 11 chỉ sử dụng 32 byte, còn dư 2048 – 32 = 2016 byte. Tức là File slack space của tập tin A là 2016 byte.Thông thương ta thươg ít quan tấm đến vùng thuộc slack và unallocated, vì thế
20
đây có thể là nơi lý tưởng để chứa chương trình mã độc và các đoạn mã không mong muốn ẩn dấu.
1.6.2 Các kiểu bằng chứng khác
Hệ thống điện toán đám mây cung cấp một mô hình mới để xử lý phân tán dữ
liệu số. Việc lưu trữ trên đám mây các tài liệu, hình ảnh… cũng sẻ là một nguồn tiềm năng chứa nhiều chứng cứ trong quá trình điều tra số
Đối với thiết bịlưu trữ:
Ổ cứng là thiết bị lưu trữ điện tử, lưu trữ dữ liệu trên bề mặt các tấm đĩa tròn phủ vật liệe từ tính. Ổ đĩa cứng là loại bộ nhớ “không thay đổi”, dữ liệu không bị mất đi khi ngừng cung cấp điện.Có thể lưu các định dạng khác nhau như văn bản, hình ảnh,… bằng chứng thu thập bằng cách kiểm tra văn bản, video, cơ sở dữ liệu và các tập tin chương trình máy tính
Thẻ nhớ: đây là thiết bị lưu trữ di động, được sử dụng trong nhiều thiết bị như máy ảnh, điện thoại, PDA…Dữ liệu trong thẻ nhớ không bị mất khi ngắt nguồn. Thu thập bằng chứng bằng cách kiểm tra logs, tập tin văn bản, tập tin hình ảnh,…
USB: đây là thiết bị lưu trữ di động vói USB kết nối, đây là thiết bị nhỏ và nhẹ. Có thể thu thập bằng chứng trong đây bằng cách kiểm tra văn bản, hình ảnh
Ngoài ra còn các thiết bị lưu trữ truyền thống như đĩa mềm, CD/DVD,… bất kỳ dữ liệu nào được ghi trong đó đều là bằng chứng
Thiết bị ngoại vi:
Máy in được kết nối với máy tính thông qua cáp hoặc truy cập thông qua một cổng hồng ngoại. Một vài máy in có chứa bộ nhớ đệm cho phép nhận và lưu giữ nhiều loại tài liệu. Chứng cứ được tìm thông qua logs, thông tin thời gian, xác định thông tin mạng, hộp mực sử dụng.
Máy scan là một thiết bị quang kết nối với máy tính, có thể chuyển đổi hình ảnh, văn bản chữ viết thành ảnh kỹ thuật số. Chứng cứ được tìm thấy bằng cách nhìn vào các dấu vết trên mặt kính của máy scan
Thiết bị RFID( nhận dạng bằng sóng vô tuyến) đây là thiết bị có thể thay thế cho các mã vạch trong các siêu thị được sử dụng trong nhiều lĩnh vực quản hàng hóa, làm thẻ hộ chiếu… Những chứng cứ sẽ được hiển thị trên máy tính khi thiết bị này kết nối với máy tính.
21
Thiết bị thông minh: loại điện thoại, điện thoại thông minh, thiết bị GPS, máy tính
bảng. Đối với thiết bị điện thoại bằng chứng được tìm thấy thông qua danh bạ, số điện thoại, xác định thông tin người gọi, hay các bằng chứng khi truy cập web, email thông qua logs. Đối với thiết bị GPS bằng chứng được tìm thấy thông qua các điểm truy cập, nhật kí truy cập…
Thiết bị mạng: loại firewall, router, hub, switch, các thiết bị khác
Router, hub,switch kết nối máy tính hoặc mạng khác nhau. Đối với router bằng chứng được tìm thấy khi cấu hình file. Đối với hub và swith bằng chứng được tìm thấy trong các thiết bị khác
Server là một máy tính trung tâm trong đó cung cấp các dịch vụ cho phép máy tính hay bất kì thiết bị nào khác truy cập. Bằng chứng tìm thấy trong logs, ram, regsitry…
Firewall kết nối với các thiết bị khác trong mạng, để điều tra bằng chứng có thể được tìm trong file log của firewall.
Một số thiết bị khác như cạc mạng bằng chứng được tìm thấy trên địa chỉ mạng, hay dây cáp mạng bao gồm màu sắc, độ dầy, hình dạng kết nối tùy được vào hệ thống, chứng cứ được tìm thấy trên các thiết bị.
Các nguồn bằng chứng không phải điện tử rất có giá trị như bằng chứng vật lý thu thập được trong quá trình thu thập bằng chứng, chứa dấu vân tay, máu,… những bằng chứng quan trọng có xác định danh tính của một người nào đó rất hữu ích cho việc điều tra.[4]
22
CHƯƠNG 2. QUY TRÌNH ĐIỀU TRA SỐ
Trong công việc điều tra, điều tra viên cần phải tuân thủ và thực hiện công việc theo quy trình, tránh làm ảnh hưởng tới các bằng chứng thu thập được. Khi một vụ án hay sự cố xảy ra, không phải bất kỳ ai cũng có thể tới hiện trường, tiếp cận hiện trường, tiếp cận bằng chứng và thu thập bằng chứng trong vụ án. Đối với bằng chứng thu thập được cần được đưa vào một môi trường an toàn, và chỉ có các điều tra viên và người được cấp phép điều tra mới có quyền được tiếp cận bằng chứng đó. Một cuộc điều tra thông thường gồm một số giai đoạn chính như [9] [10]
- Tiếp nhận cuộc điều tra
- Xác định phạm vi điều tra
- Thu thập và bảo vệ bằng chứng
- Phân tích tìm nguyên nhân
- Lập báo cáo kết quả cuộc điều tra
- Trình bày trước tòa
- Lưu trữ hồ sơ vụ án.
2.1 Quy trình chung điều tra số
Hình 2.1 dưới đây thể hiện quy trình điều tra số tổng thể gồm các bước như sau:
Chuẩn bị
Bảo vệ và giám định hiện trường
Lập tài liệu hiện trường
Thu thập
Kiểm tra
Phân tích
23