Các thiết bị chống ghi phần cứng và phần mềm được liệt kê trong phụ lục 1. 2.1.2 Bảo vệ và giám định hiện trường
Điều đầu tiên của đội điều tra nên đảm bảo sự an toàn của tất cả mọi người tại hiện trường vụ án. Tất cả các hành động và hoạt động thực hiện tại hiện trường phải phù hợp với luật pháp. Thực hiện theo chính sách của luật pháp về việc bảo vệ hiện trường.
Thực hiện một danh sách kiểm tra: xác nhận kiểu sự cố, chắc chắn hiện trường an toàn, cô lập những người khác được phép có mặt tại hiện trường, xác định vị trí của nạn nhân, xác định dữ liệu liên quan đến kẻ phạm tội, yêu cầu sự giúp đỡ thêm ở hiện trường nếu cần. Thiết lập một vành đai an ninh để xác định kẻ phạm tội trong khi vụ hiện trường vụ án, bảo vệ và bảo quản bằng chứng khỏi những rủi ro bị mất mát. Bảo vệ các dữ liệu dễ bị biến động.
Điều tra viên nên chuẩn bị lệnh thu giữ. Lệnh thu giữ cho đội phản ứng đầu tiên được phép thực hiện tìm kiếm và thu giữ bằng chứng số, vấn đề này được đề cập trong lệnh thu giữ.
Lệnh thu giữ bằng chứng số về cơ bản tập trung vào những điều sau:
Lệnh thu giữ thiết bị lưu trữ số, Lệnh thu giữ thiết bị lưu trữ số cho phép đội phản ứng đầu tiên tìm kiếm và thu giữ các thành phần máy tính của nạn nhân( như phần cứng, phần mèm, thiết bị lưu trữ, và tài liệu)
Lệnh thu giữ đảm bảo đội phản ứng đầu tiên có được thông tin trong máy tính nạn máy tính nạn nhân.
Kế hoạch chuẩn bị tìm kiếm và thu giữ chứa các thông tin chi tiết sau:
26
quyền áp dụng và luật pháp liên quan, vị trí của thiết bị thu giữ( kiến kiến trúc và kích thước, vị trí của các máy tính ở đâu( tát cả 1 vị trí, trải đều khắp phòng..), những người liên quan đến sự cố,
Chi tiết những gì cần thu giữ( vị trí, ID, mô hình..): kiểu thiết bị và số lượng phải thu giữ.
Sẽ thu giữ máy tính đang chạy hay khi đã tắt thế nào.
Bằng chứng có kết nối với mạng hay không, nếu có thì kiểu mạng, nơi bằng chứng có thể lưu trữ trong mạng, nơi hệ thống backup sẽ lưu trữ, nếu tắt hệ thống server đang chạy thì ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp như thế nào.
Thực hiện tìm kiếm ban đầu trong hiện trường. Cô lập hệ thống máy tính và các thiết bị có thể chứa bằng chứng. Tìm kiếm và thu giữ bằng chứng tập tin logs bởi trong đó có chứa những mô tả về máy tính, thiết bị trong khi tìm kiếm bằng chứng. Ghi lại những lưu ý trong khi phác thảo hiện trường. Cuối cùng là chụp ảnh và phác thảo hiện trường, chi tiết về tất cả bằng chứng máy tính.
Điều quan trọng là phải xem xét các vấn đề an toàn trong công việc thực hiện ở tất cả các gia đoạn của quá trình điều tra bởi các điều tra viên. Tất cả đội ngũ điều tra viên nên đeo găng tay cao su bảo vệ khi hoạt động tìm kiếm và thu giữ diễn ra.Vấn đề này vừa bảo vệ được nhân viên và bảo quản được dấu vân tay trên bằng chứng để có thể khôi phục lại.
Tiến hành chất vấn sơ bộ ngay tại hiện trường, xác định và ghi lại tất cả những người có mặt tại hiện trường vị và bản ghi thời gian có mặt tại hiện trường. Trong luật pháp của liên bang, đội phản ứng đầu tiên thu thập được nhiều thông tin cá nhân càng tốt:
Người sở hữu thiết bị số được tìm thấy tại hiện trường
Tên người dùng và tên nhà cung cấp dịch vụ internet
Mật khẩu yêu cầu để truy cập vào hệ thống, phần mềm
Mục đích khi sử dụng hệ thống
Thông tin tài khoản webmail hoặc trang mạng xã hội
Tài liệu giải thích phần cứng, phần mềm được cài đặt trên hệ thống 2.1.3 Lập tài liệu hiện trường
Lập tài liệu hiện trường được tạo mục đích để không thay đổi vị trí trong hiện trường. Điều quan trọng là ghi lai chính xác vị trí trong viện trường, ghi lại trạng thái
27
của hệ thống máy tính, thiết bị lưu trữ, thiết bị mạng không giây, điện thoại.Các tài liệu ban đầu trong hiện trường nên được chụp lại tất cả hoạt động, chụp và ghi chú những nội dung hiển thị trên màn hình máy tính.
Tài liệu về hiện trường bao gồm toàn bộ vị trí, vị trí của máy tính và vị trí các thiết bị điện tử khác, vị trí các kết nối vật lý đi và đến các thiết bị khác. Ghi lại bất kỳ mạng không dây và các điểm có khả năng kết nối giữa máy tính và các thiết bị khác nhau. Mô phỏng lại hiện trường nên chuẩn bị đầy đủ các khung cảnh, bao gồm vị trí của các thiết bị trong khu vực. Phải mô phỏng chính xác hiện trường mô phỏng từ cảnh tổng thể đến những chi tiết nhỏ nhất của bằng chứng.
2.1.4 Thu thập bằng chứng
Thu thập là hành động tìm kiếm và thu nhận các thiết bị điện tử có thể chứa bằng chứng từ hiện trường vụ án.
2.1.4.1 Thu thập dữ liệu
1. Xác định kế hoạch hoặc thu thập dữ liệu
Xây dựng kế hoạch là một bước quan trọng đầu tiên vì có nhiều nguồn dữ liệu tiềm năng. Các nhà phân tích nên tạo ra một kế hoạch ưu tiên các nguồn, thiết lập thứ tự cho các dữ liệu được thu thập. Yếu tố quan trọng nhất đối với việc ưu tiên bao gồm:
Giá trị có khả năng: Dựa vào sự hiểu biết của người phân tích tình hình và kinh nghiệm trước đó trong các tình huống, nhà phân tích sẽ có thể ước tính những khả năng của mỗi nguồn dữ liệu tiềm năng
Biến động: Dữ liệu biến động( volatile) đề cập đến dữ liệu trên hệ thống khi vẫn khởi động nguồn có thể bị mất khi tắt nguồn. Trong trường hợp, thu thập dữ liệu biến động nên được ưu tiên hơn so với những dữ liệu không biến động. Tuy nhiên, dữ liệu sẽ không biến động cũng có khả năng dễ biến động ví dụ như các file logs được ghi đè bởi sự kiện mới xảy ra.
Yêu cầu sự nỗ lực: Những nỗ lực cần thiết để có được các nguồn dữ liệu khác nhau. Các nỗ lực này không chỉ thời gian mà những nhà phân tich và những người khác trong tổ chức( bao gồm tư pháp) mà còn chi phí thiết bị và dịch vụ( ví dụ như chuyên gian bên ngoài). Ví dụ thu thập dữ liệu từ một bộ thiết bị định tuyến sẽ ít yêu cầu hơn so với nỗ lực thu thập từ một ISP
28
Bằng cách xem xét ba yếu tố này đối với nguồn dữ liệu tiềm năng, các nhà điều tra có thể đưa ra quyết định về ưu tiên trong việc thu thập dữ liệu, cũng như xác định những nguồn dữ liệu. Các tổ chức nên cẩn thận trong việc xem xét việc ưu tiên cũng như tính phức tạp của nguồn dữ liệu và nên xây dựng kết hoặc bằng văn bản, hướng dẫn và thủ tục giúp nhà phân tích thực hiện ưu tiên có hiệu quả.
2. Thu thập dữ liệu
Thu thập là hành động tìm kiếm và thu nhận các thiết bị điện tử có thể chứa các bằng chứng từ hiện trường vụ án.
Nếu dữ liệu không sẵn sàng được thu thập bởi các công cụ an toàn, các công cụ phân tích hoặc các phương tiện khác, quá trình tổng hợp để thu thập dữ liệu lên quan đến việc sử dụng các công cụ pháp lý để thu thập dữ liệu dễ biến động, sao chép các dữ liệu từ các nguồn không biến động và đảm bảo nguồn gốc dữ liệu không bị sửa đổi. Thu thập dữ liệu có thể thực hiện tại đó hoặc thông qua mạng. Thông thường thu thập dữ liệu tại chỗ hơn so với qua mạng bởi được kiểm soát tốt hơn cho hệ thống và dữ liệu, thu thập tại chỗ không phải lúc nào cũng khả thi( ví dụ, hệ thống trong căn phòng bị khóa, hệ thống ở một vị trí khác). Khi thu thập dữ liệu qua mạng, quyết định nên được thực hiện liên quan đến dữ liệu. Ví dụ, nó có thể là cần thiết có được dữ liệu từ nhiều hệ thống thông qua các kết nối mạng khác nhau.
Thu tập tĩnh: thu thập dữ liệu không thay đổi khi hệ thông tắt. Đây là kiểu dữ
liệu được gọi là non-valatile( không biến động) và nó thường được khôi phục từ ổ cứng, các dạng log như firewall logs, antivirus logs, web access log, ids log,.. hay các dữ liệu có thể tồn tại trong slack space( file không sử dụng đến dung lượng), file swap, và không gian ổ chưa được cấp. Ngoài ra các nguồn dữ liệu không biến động còn bao gồm: CD-ROMs, USB, smartphones và PDA. . Thông thường, một việc thu thập tĩnh được thực hiện trên một máy tính bị bắt giữ trong cuộc đột kích của cảnh sát. Nếu máy tính có một ổ đĩa được mã hóa, hay bị đặt mật khẩu thì phương pháp thu thập động sẽ được áp dụng. Thu thập tĩnh là phương pháp thông dụng và được yêu thích trong việc thu thập bằng chứng số. Tuy nhiên, phương pháp này bị hạn chế trong mộ số tình huống, chẳng hạn như ổ đĩa gốc bị mã hóa và chỉ có thể đọc khi được cung cấp nguồn điện hay các máy tính khả nghi cần truy cập qua mạng
29
Thu thập động: thu thập dữ liệu khi máy tính đang chạy( máy tính đang ở trạng thái dữ liệu bị mất khi hệ thống tắt. Đây là kiểu dữ liệu gọi là volatile( biến động) và cư trú trong registry, cache và RAM, các kết nối mở. RAM và các dữ liệu biến động được gọi là dynamic( động), việc thu thập thông tin nên theo thời gian thực.
Các dạng dữ liệu khác nhau này đòi hỏi phải sử dụng các công cụ và thủ tục khác nhau để truy xuất và thu thập. Và các dạng dữ liệu này có thể được thu thập ở mức local hay từ xa thông qua môi trường mạng.
Nếu thu giữ thiết bị vật lý ngay tại hiện trường, nó cần được đóng gói và có xác nhận của cơ quan điều tra viên, người đã thực hiện quá trình điều tra và thu giữ. Sau đó thiết bị đã sẵn sàng để vận chuyển. Nếu chỉ thực hiện việc tạo ảnh tập tin của dữ liệu thu giữ, thì ổ cứng lưu trữ file ảnh cần phải được đóng gói như đóng gói giống như đóng gói thiết bị vật lý trong trường hợp trên.
Ngoài ra cần phải lấy hash của file ảnh đó và ghi giá trị hash này vào bản đánh dấu( marking note) sau đó lấy xác nhận của điều tra viên. Nói cách khác, khi thu giữ một ổ cứng, thì cần phải niêm phong ở chỗ chống tĩnh tiện và một giấy đánh dấu ghi toàn bộ thông tin về thiết bị thu giữ ở mặt sau.
30