Tìm hiểu về Pháp chứng máy tính và Bằng chứng số

Pháp chứng máy tính đóng vai trò then chốt trong việc theo dõi, điều tra, và truy tố tội phạm mạng. Bài viết này mình sẽ giới thiệu về pháp chứng máy tính và các mục tiêu của nó. Đồng thời, giải thích lý do và thời điểm mà các doanh nghiệp có thể cần tiến hành điều tra pháp chứng máy tính.

Bài viết này nằm trong chuyên mục Pháp chứng số, thuộc series CHFI Tiếng Việt, xin mời các bạn đọc thêm.

Computer Forensics – Pháp chứng máy tính

Pháp chứng máy tính là một phần của pháp chứng số, chuyên xử lý các tội phạm được thực hiện trên các thiết bị tính toán như mạng, máy tính, và phương tiện lưu trữ kỹ thuật số. Nó đề cập đến một tập hợp các quy trình và kỹ thuật có phương pháp nhằm xác định, thu thập, bảo quản, trích xuất, diễn giải, ghi lại và trình bày bằng chứng từ thiết bị tính toán sao cho bằng chứng thu được có thể chấp nhận được trong một quy trình pháp lý và/hoặc hành chính tại tòa án.

Tóm lại, pháp chứng máy tính liên quan đến quá trình tìm kiếm bằng chứng hợp lệ liên quan đến tội phạm kỹ thuật số nhằm tìm ra thủ phạm và khởi động hành động pháp lý chống lại họ.

Sự cần thiết của pháp chứng máy tính

Sự gia tăng theo cấp số nhân của các tội phạm mạng đã nhấn mạnh sự cần thiết của pháp chứng máy tính. Việc sử dụng dịch vụ điều tra số hoặc thuê một chuyên gia pháp chứng máy tính để giải quyết các vụ việc liên quan đến máy tính và các công nghệ liên quan đã trở thành một nhu cầu cấp bách cho các tổ chức. Những tổn thất tài chính đáng kinh ngạc do tội phạm mạng gây ra cũng đã góp phần làm tăng sự quan tâm đối với pháp chứng máy tính. Pháp chứng máy tính đóng vai trò quan trọng trong việc theo dõi tội phạm mạng. Vai trò chính của pháp chứng máy tính như sau:

• Đảm bảo tính toàn vẹn tổng thể và sự tồn tại liên tục của hệ thống máy tính và hạ tầng mạng của tổ chức
• Giúp tổ chức thu thập thông tin quan trọng nếu hệ thống máy tính hoặc mạng bị xâm nhập. Bằng chứng pháp chứng cũng giúp truy tố thủ phạm của tội phạm nếu bị bắt.
• Trích xuất, xử lý và diễn giải bằng chứng thực tế để chứng minh hành vi của kẻ tấn công và sự có tội hoặc vô tội của họ trước tòa
• Theo dõi hiệu quả những kẻ phạm tội/khủng bố từ các nơi khác nhau trên thế giới. Địa chỉ IP rất quan trọng trong việc xác định vị trí địa lý của hacker.
• Theo dõi các vụ việc phức tạp như spam email và các hoạt động độc hại khác, …

Tội phạm mạng và quy trình điều tra tội phạm mạng

Tội phạm mạng đề cập đến bất kỳ hành vi bất hợp pháp nào liên quan đến các hệ thống máy tính, ứng dụng, hoặc mạng. Hầu hết các tội phạm mạng đều có tính chất cố ý. Loại tội phạm mạng được xác định dựa trên bản chất của tội phạm và mục tiêu của nó.

Các loại tội phạm mạng

Loại tội phạm mạng được xác định phụ thuộc vào các công cụ sử dụng trong tội phạm và mục tiêu của nó.

Công cụ của tội phạm đề cập đến các công cụ hack khác nhau được sử dụng để thực hiện tội phạm, bao gồm máy tính, máy trạm, phần mềm, phần cứng liên quan. Khi có thể, các người điều tra pháp chứng thường thu giữ các công cụ có sẵn để sử dụng chúng làm bằng chứng.

Mục tiêu của tội phạm đề cập đến nạn nhân, có thể là một tổ chức doanh nghiệp, trang web, cơ quan tư vấn, hoặc cơ quan chính phủ. Mục tiêu cũng có thể là một môi trường ảo, có thể đóng vai trò làm bằng chứng kỹ thuật số do một sự cố xảy ra trên đó. Một hệ thống trở thành mục tiêu vì các lý do như trộm cắp, sửa đổi hoặc phá hủy dữ liệu; truy cập trái phép; tấn công từ chối dịch vụ (DoS); hoặc tấn công Man-in-the-Middle. Dựa trên cách thức tấn công, tội phạm mạng có thể được phân loại thành tấn công nội bộ (internal/insider attacks) và tấn công từ bên ngoài (external attacks).

Internal/Insider attacks

Tấn công nội bộ bắt nguồn từ những người bên trong tổ chức như nhân viên bất mãn, nhân viên đã bị sa thải, đối tác kinh doanh, nhà thầu, và/hoặc nhân viên chưa được đào tạo bài bản. Những người này có quyền truy cập hợp lệ vào các hệ thống máy tính và dữ liệu của tổ chức và sử dụng quyền truy cập đó một cách tiêu cực để gây hại cho tổ chức. Vì chúng xảy ra trong mạng nội bộ của tổ chức và sử dụng quyền truy cập được ủy quyền, các cuộc tấn công nội bộ có thể rất khó phát hiện. Ví dụ về các cuộc tấn công nội bộ bao gồm gián điệp, trộm cắp tài sản trí tuệ, thao túng hồ sơ, tấn công mã độc, …

External attacks

Tấn công từ bên ngoài là các cuộc tấn công bắt nguồn từ các nguồn bên ngoài. Các cuộc tấn công này xảy ra khi các chính sách và quy trình an ninh thông tin không đủ hiệu quả, được thực hiện bởi hacker, những người nhắm vào thông tin bảo mật của doanh nghiệp bằng cách khai thác các lỗ hổng bảo mật hoặc sử dụng các kỹ thuật lừa đảo xã hội khác.

Điều tra tội phạm mạng

Điều tra tội phạm mạng là quá trình nghiên cứu một tội phạm kỹ thuật số, tác động của nó, và các chi tiết khác để xác định nguồn gốc và thủ phạm của cuộc tấn công, đồng thời chứng minh tội lỗi của họ. Quá trình này bao gồm việc thu thập manh mối và bằng chứng pháp chứng một cách tỉ mỉ, phân tích bằng chứng, tái hiện lại sự cố, và trình bày bằng chứng theo cách có thể chấp nhận được tại tòa án.

Vì tội phạm là kỹ thuật số, chắc chắn sẽ có ít nhất một thiết bị điện tử liên quan đến tội phạm được tìm thấy trong quá trình điều tra; thiết bị có thể là máy tính, điện thoại di động, máy in, máy fax, … Các điều tra viên cần phân tích các thiết bị này với sự thận trọng và cẩn thận tối đa, vì chúng có thể mang tính chất quan trọng và tiết lộ các bằng chứng có giá trị để giải quyết vụ án. Do đó, điều tra viên phải thực hiện phân tích pháp chứng đối với thông tin chứa trong thiết bị và trình bày nó theo cách phù hợp trước tòa án.

Tùy thuộc vào loại vụ án, các phương pháp tiếp cận liên quan đến việc thu thập dữ liệu, phân tích và trình bày sẽ khác nhau. Các phương pháp tiếp cận để quản lý điều tra tội phạm mạng bao gồm:

• Dân sự (Civil)
• Hình sự (Criminal)
• Hành chính (Administrative)

Bằng chứng số (Digital Evidence)

Bằng chứng số (hay bằng chứng kỹ thuật số) đề cập đến thông tin có giá trị được lưu trữ trên hoặc truyền qua thiết bị điện tử. Bằng chứng số cần phải được thu thập và kiểm tra theo cách hợp lệ trong quá trình điều tra.

Bằng chứng số là gì ?

Các thiết bị kỹ thuật số được sử dụng trong các cuộc tấn công mạng có thể lưu trữ một số dữ liệu về phiên làm việc (người dùng đăng nhập, thời gian, loại kết nối, địa chỉ IP, …) những thông tin này có thể cung cấp bằng chứng để truy tố kẻ tấn công. Bằng chứng kỹ thuật số bao gồm tất cả thông tin như vậy, được lưu trữ hoặc truyền tải dưới dạng kỹ thuật số và có giá trị pháp lý, giúp các điều tra viên tìm ra thủ phạm.

Bằng chứng kỹ thuật số có thể được tìm thấy trên các thiết bị máy tính, server, router, … Người điều tra cần cẩn thận tối đa khi thu thập và trích xuất bằng chứng kỹ thuật số vì bằng chứng này rất dễ bị tổn thương. Theo Locard’s Exchange Principle, “bất kỳ ai hoặc bất cứ điều gì vào hiện trường tội phạm đều mang theo một cái gì đó từ hiện trường và để lại một cái gì đó của chính mình khi rời đi.”

Phân loại bằng chứng số

Tội phạm mạng phụ thuộc trực tiếp vào công nghệ và thiết bị kỹ thuật số để tương tác với hệ thống hoặc mạng mục tiêu. Do đó, hầu hết các bằng chứng đều hiện diện trên các thiết bị mà kẻ tấn công sử dụng để kết nối với mạng hoặc trên các thiết bị máy tính của nạn nhân. Dựa trên kiểu lưu trữ và thời gian tồn tại, bằng chứng kỹ thuật số được phân loại thành hai loại: dữ liệu dễ mất (volatile data) và dữ liệu không dễ mất (non-volatile data).

• Dữ liệu dễ mất (Volatile data): Đây là thông tin tạm thời trên thiết bị kỹ thuật số yêu cầu cung cấp nguồn điện liên tục và bị xóa nếu nguồn điện bị ngắt. Ví dụ như bộ nhớ (RAM) lưu trữ dữ liệu dễ mất nhất và sẽ bị xóa khi thiết bị được tắt. Dữ liệu dễ mất quan trọng bao gồm thời gian hệ thống, người dùng đăng nhập, file đang mở, thông tin network, thông tin tiến trình, bộ nhớ tiến trình, nội dung clipboard, lịch sử dòng lệnh, …
• Dữ liệu không dễ mất (Non-volatile data): Đây là dữ liệu vĩnh viễn được lưu trữ trên các thiết bị lưu trữ phụ như ổ cứng và thẻ nhớ. Dữ liệu không dễ mất không phụ thuộc vào nguồn điện và vẫn nguyên vẹn ngay cả khi thiết bị bị tắt. Ví dụ như file, không gian slack, swap, file index.dat, cụm chưa phân bổ, phân vùng không sử dụng, phân vùng ẩn, registry, event log, …

Quy tắc của bằng chứng số

Trước khi bắt đầu điều tra, điều tra viên phải hiểu các quy tắc chứng cứ. Trước phiên tòa pháp lý, chứng cứ trình bày trước tòa phải tuân theo 5 quy tắc cơ bản sau:

1. Có thể hiểu được (Understandable): Chứng cứ phải được trình bày một cách rõ ràng và dễ hiểu cho hội đồng xét xử. Họ phải giải thích các sự kiện một cách rõ ràng và lấy ý kiến của chuyên gia để xác nhận quá trình điều tra.
2. Có thể chấp nhận (Admissible): Điều tra viên cần trình bày chứng cứ theo cách chấp nhận được, có nghĩa là chứng cứ phải có liên quan đến vụ án, hỗ trợ cho bên trình bày và được truyền đạt một cách rõ ràng và không thiên lệch.
3. Xác thực (Authentic): Vì chứng cứ số có thể dễ dàng bị làm giả, việc làm rõ quyền sở hữu của nó là rất quan trọng. Do đó, các điều tra viên phải cung cấp các tài liệu hỗ trợ về tính xác thực của chứng cứ, bao gồm nguồn gốc của chứng cứ và sự liên quan của nó đến vụ án. Nếu cần, phải cung cấp thông tin như tác giả của chứng cứ hoặc đường truyền của nó.
4. Đáng tin cậy (Reliable): Các điều tra viên cần trích xuất và xử lý chứng cứ trong khi duy trì hồ sơ các nhiệm vụ đã thực hiện trong quá trình điều tra để chứng minh rằng chứng cứ là đáng tin cậy. Các cuộc điều tra phải được thực hiện chỉ trên các bản sao của chứng cứ vì việc làm việc trên chứng cứ gốc có thể làm thay đổi nó và làm cho nó trở nên không thể chấp nhận được tại tòa án.
5. Hoàn chỉnh (Completed): Chứng cứ phải hoàn chỉnh, có nghĩa là nó phải chứng minh hoặc bác bỏ sự thật đã thỏa thuận trong vụ án. Nếu chứng cứ không thực hiện được điều đó, tòa án có thể bác bỏ vụ án do thiếu chứng cứ quan trọng.

Quy tắc chứng cứ tốt nhất (Best Evidence Rule) quy định rằng tòa án chỉ cho phép chứng cứ gốc của một tài liệu, bức ảnh hoặc bản ghi trong phiên tòa, không chấp nhận bản sao. Tuy nhiên, bản sao có thể được chấp nhận làm chứng cứ, miễn là tòa án nhận thấy lý do của bên trình bày bản sao là chính đáng. Ví dụ, nếu chứng cứ bị phá hủy, mất mát hoặc không thể tiếp cận được vì lý do nào đó (như chứng cứ gốc bị phá hủy hoặc đang nằm trong tay của bên thứ ba), tòa án sẽ chấp nhận bản sao của chứng cứ nếu có một nhân chứng có thể xác nhận và chứng minh rằng bản sao được nộp thực sự là bản sao của chứng cứ gốc.

Quy tắc chứng cứ tốt nhất cũng quy định rằng hình thức chứng cứ tốt nhất hoặc cao nhất có sẵn cho bất kỳ bên nào phải được trình bày tại tòa án. Nếu một hình thức chứng cứ gốc hoặc chứng thực trực tiếp có sẵn, tòa án sẽ không chấp nhận các bản sao của chứng cứ đó như là chứng cứ.