1.4.2 Quy định về bằng chứng gốc
Quy định về bằng chứng gốc: quy định này được tạo để ngăn chặn bất kỳ sự thay đổi nào của bằng chứng số. Điều này chỉ ra rằng, tòa án chỉ cho phép các bằng chứng gốc của một tài liệu, hình ảnh, hoặc bản ghi trong phiên xét xử chứ không phải bản sao, bản sao sẽ được cho phép như bằng chứng theo những điều kiện sau đây( điều 1004):
Bằng chứng gốc bị phá hủy do cháy/lũ
15
Bằng chứng gốc thuộc sở hữu của bên thứ 3 ( đây là những người vượt quá thẩm quyền giấy triệu tập của tòa án.[7]
1.5 Xác nhận tính hợp lệ của công cụ điều tra số
Cũng như các nhánh của điều tra số, kỹ thuật điều số và công cụ phải đáp ứng các tiêu chuẩn cơ bản để cho phép bằng chứng có giá trị pháp lý trong tố tụng. Tại Mỹ, các yêu cầu đối với việc chấp nhận bằng chứng khoa khọc và ý kiến của chuyên gia được được nêu ra trong tiền lệ được thiết lập bởi tòa án tối cao quyết định( Daubert vs Merrell Dow Parmaceuticals, Inc, 509 US 579 1993). Tòa án tối cao ở Mỹ thấy bằng chứng và ý kiến từ các hoạt động khoa học hay kỹ thuật phải xuất phát từ việc chứng minh các công cụ điều tra có giá trị để được chấp nhận tại tòa án. Trong nội dung điều tra số, có nghĩa là các công cụ và kỹ thuật được sử dụng trong việc thu thập và phân tích bằng chứng số phải được xác nhận và chứng minh theo tiêu chuẩn khoa học.
Kiểm tra và xác nhận tính hợp lệ của phần mềm điều tra máy tính. Khi đã chọn được một công cụ để sử dụng cho công tác điều tra, tiếp theo chúng ta cần phải chắc chắn rằng các bằng chứng được phục hồi và phân tích có thể được thừa nhận tại tòa. Để làm điều này, cần phải kiểm tra và xác nhận phần mềm mà bạn sử dụng.
Viện tiêu chuẩn quốc gia NIST đã xuất bản các tài liệu cung cấp công cụ và tạo ra thủ tục kiểm tra và xác nhận phần mềm, phần cứng điều tra máy tính. Phần mềm cần được xác nhận để bằng chứng có thể được chấp nhận trong tố tụng tại tòa án. NIST đã tài trợ dự án CFTT( Computer Forensics Tool Testing) để quản lý các nghiên cứu về công cụ điều tra trên máy tính. NIST tạo ra chuẩn để thử nghiệm các công cụ điều tra máy tính, được trình bày trong “ General Test Methodology for Computer Forensic Tools” (1.9-2001), Tài liệu này đề cập đến sự thiếu các hướng dẫn thực hành cho các công cụ điều tra và tầm quan trọng của việc đáp ứng các yêu cầu pháp luật của những công cụ này. Các tiêu chuẩn được xây dựng dựa trên phương pháp nghiệm ISO 17025. Phòng thí nghiệm dùng cho việc kiểm tra cần phải đáp ứng đượcError!
Reference source not found.:
Phân loại các công cụ điều tra máy tính, nhóm các phần mềm điều tra máy tính theo chức năng ví dụ như ứng dụng được thiết kế để lấy và theo dõi email
Phân loại yêu cầu điều tra máy tính
Xác định vụ án để điều tra
Thiết lập 1 phương pháp thử nghiệm
16
phải phù hợp với tiêu chuẩn ISO 17025, yêu cầu báo cáo phải chính xác, rõ ràng, không mơ hồ, khách quan. Ngoài ra có 1 tiêu chuẩn khác là ISO 5725 bảo đảm độ chính xác cho tất cả cuộc thí nghiệm.
1.6 Kiểu bằng chứng số
1.6.1 Bằng chứng số máy tính
Bằng chứng số trên máy tính được chia làm 2 loại:
Tập tin được tạo bởi người dùng
Tập tin được máy tính sinh ra tự động
Tập tin được tạo bởi người dùng
Tập tin được tạo ra bởi ngoài dùng bao gồm văn bản( .docx), bảng tính( excel), hình ảnh, audio, video. Nhưng tập tin này chứa siêu dữ liệu, siêu dữ liệu này cung cấp các thông tin sau: tên người tạo tài liệu, chủ sở hữu máy tính, ngày và giờ các tiafu liệu này được tạo ra, thời gian tài liệu được lưu lại, bất kỳ sửa đổi nào được thực hiện trên tài liệu, ngày tháng và thời gian tài liệu được chỉnh sửa lần cuối và truy cập.
Tập tin được bảo vệ bởi người dùng
Có nhiều các khác nhau để người dùng bảo vệ các tập tin. Người dùng có thể thêm mật khẩu hoặc mã hóa các dữ liệu đó để đảm bảo không ai có thể xem những gì có trong tập tin hay thư mục đó.
Hay người dùng có thể làm ẩn nội dụng của tập tin đó đi. Vì vậy mà cũng có rất nhiều cách để tội phạm có thể giấu bằng chứng đi về hành động của họ.
Thay đổi phần thành phần mở rông
Để bảo vệ dữ liệu họ đổi tên tập tin bằng cách thay đổi thành phần mở rộng( đuôi). Sử dụng kỹ thuật này thành phần mở rộng của tập tin có thể được thay đổi bởi tội phạm để ẩn đi các tập tin có chứa bằng chứng buộc tội. Ví dụ, kẻ buôn ma túy có một danh sách liệt kê khách hàng, các loại thuốc, số điện thoại, thanh toán, tiền nợ…chúng có thể thay từ “ .xls” thành “.jpeg”. Chúng có thể thay đổi từ tập tin .xls thành một tập tin hình ảnh, có thể đánh lừa được hướng điều tra khi họ muôn tìm danh sách và các tài liệu. Tuy nhiên các nhà điều tra cũng có sẵn các bộ công pháp y để khám phá ra các tập tin bị thay đổi ví dụ như công cụ PII Finding có thể xác định các tập tin bị xóa, bị sửa đổi…
17