CHƯƠNG 2: KĨ THUẬT ĐIỀU TRA SỐ
2.4 Thu thập bằng chứng
2.4.1 Thu thập dữ liệu
Xây dựng kế hoạch là 1 bước quan trọng đầu tiên vì có nhiều nguồn dữ liệu tiềm năng. Các nhà phân tích nên tạo ra 1 ƣu tiên các nguồn, thiết lập thứ tự cho các dữ liệu đƣợc thu thập. Yếu tố quan trọng nhất đối với việc ƣu tiên bao gồm:
- Giá trị có khả năng: Dựa vào sự hiểu biết của người phân tích tình hình và tư liệu trước đó trong các tình huống, nhà phân tích sẽ có thể ước tính những khả năng của mỗi nguồn dữ liệu tiềm năng.
- Biến động: Dữ liệu biến động (volatile) đề cập đến dữ liệu trên hệ thống khi vẫn khởi động nguồn có thể bị mất khi tắt nguồn. Trong trường hợp, thu thập dữ liệu biến động nên đƣợc ƣu tiên hơn so với những dữ liệu không biến động. Tuy nhiên, dữ liệu sẽ không biến động cũng có khả năng dễ biến động ví dụ nhƣ các file logs đƣợc ghi đè bởi sự kiện mới xảy ra.
Bằng cách xem xét 3 yếu tố này với nguồn dữ liệu tiềm năng, các nhà điều tra có thể đƣa ra quyết định về ƣu tiên trong việc thu thập dữ liệu, cũng nhƣ xác định những nguồn dữ liệu. Các tổ chức nên cẩn thận trong việc xem xét việc ƣu tiên cũng nhƣ tính phức tạp của nguồn dữ liệu và nên xây dựng kết hợp bằng văn bản, hướng dẫn và thủ tục giúp nhà phân tích thực hiện ưu tiên có hiệu quả.
Thu thập dữ liệu
Thu thập là hành động tìm kiếm và thu nhận các thiết bị điện tử có thể chứa các bằng chứng từ hiện trường vụ án.
Nếu dữ liệu không sẵn sàng đƣợc thu thập bởi các công cụ an toàn, các công cụ phân tích hoặc các phương tiện khác, quá trình tổng hợp để thu thập dữ liệu liên quan đến việc sử dụng các công cụ pháp lý để thu thập dữ liệu dễ biến động, sao chép các dữ liệu từ các nguồn không biến động và đảm bảo nguồn gốc dữ liệu không bị sửa đổi. Thu thập dữ liệu có thể thực hiện tại đó hoặc thông qua mạng. Thông thường thu thập dữ liệu tại chỗ hơn so với qua mạng bởi đƣợc kiểm soát tốt hơn cho hệ thống và dữ liệu, thu thập tại chỗ không phải lúc nào cũng khả thi (ví dụ, hệ thống trong căn phòng bị khóa,hệ thông ở 1 vị trí khác). Khi thu thập dữ liệu qua mạng, quyết định nên đƣợc thực hiện liên quan đễn dữ liệu. Ví dụ: nó có thể là cần thiết có đƣợc dữ liệu từ nhiều hệ thống thông qua các kết nối mạng khác nhau.
Thu thập tĩnh: Thu thập dữ liệu không thay đổi khi hệ thống tắt. Đây là kiểu dữ liệu được gọi là non-valatile (không biến động) và nó thường được khôi phục từ ổ cứng, các dạng log nhƣ firewall logs, antivirus logs, web access log, ids log,… hay các dữ liệu có thể thể tồn tại trong slack space (file không sử dụng đến dung lƣợng), file swap, và không gian ổ chƣa đƣợc cấp.
Ngoài ra các nguồn dữ liệu không biến động còn bao gồm: CD-ROMs, USB, smartphone và PDA. Thông thường 1 việc thu thập tĩnh được thực hiện trên 1 máy tính bị bắt giữ trong cuộc đột kích của cảnh sát. Nếu máy tính có 1 ổ đĩa
được mã hóa, hay bị đặt mật khẩu thì phương pháp thu thập động sẽ được áp dụng. Thu thập tĩnh là phương pháp thông dụng và được yêu thích trong việc thu thập bằng chứng số. Tuy nhiên, phương pháp này bị hạn chế ở 1 số tình huống chẳng hạn nhƣ ổ đĩa gốc bị mã hóa và chỉ có thể đọc khi đƣợc cung cấp nguồn điện hay các máy tính khả thi cần truy cập qua mạng.
Thu thập động:
Thu thập dữ liệu khi máy tính đang chạy, máy tính đang ở trạng thái dữ liệu bị mất khi hệ thống tắt. Đây là kiểu dữ liệu gọi là volatile (biến động) và cƣ trú trong registry, cache và RAM, các kết nối mở. RAM và các dữ liệu biến động đƣợc gọi là dynamic (động) , việc thu thập thông tin nên theo thời gian thực.
Các dạng dữ liệu khác nhau này đòi hỏi phải sử dụng các công cụ và thủ tục khác nhau để truy xuất và thu thập. Và các dạng dữ liệu này có thể đƣợc thu thập ở mức cục bộ hay từ xa thông qua môi trường mạng.
Nếu thu giữ thiết bị vật lí ngay tại hiện trường, nó được đóng gói và có xác nhận của cơ quan điều tra viên, người đã thực hiện quá trình điều tra và thu giữ. Sau đó thiết bị đã sẵn sàng để vận chuyển. Nếu chỉ thực hiện việc tạo ảnh tập tin của dữ liệu thu giữ, thì ổ cứng lưu trữ file ảnh cần phải được đóng gói như đóng gói thiết bị vật lí trong trường hợp trên.
Ngoài ra cần phải lấy hash của file ảnh đó và ghi giá trị hash này vào bản đánh dấu sau đó lấy xác nhận của điều tra viên. Nói các khác khi thu giữ 1 ổ cứng thì cẩn phải niêm phong ở chỗ chống tĩnh điện và 1 giấy đánh giấu ghi toàn bộ thông tin về thiết bị thu giữ ở mặt sau.
Đối với đa số loại thiết bị thu giữ, trong trường hợp này là ổ cứng, đầu tiên đặt nó trong túi chống tĩnh điện, sau đó gập lại với túi chống shock. Sử dụng những thiết bị chuyên dụng để vận chuyện ổ cứng. Trong trường hợp đóng gói với thiết bị di động cần phải sử dụng hộp có chức năng chắn sóng điện tử.