Forensic hoạt động như thế nào

Quản Trị Mạng - Khi tập đoàn năng lượng Enron tuyên bố phá sản vào tháng 12 năm 2001, hàng trăm nhân viên mất việc, trong khi một số quan chức dường như có lợi từ sự sụp đổ này của công ty. Quốc hội Mỹ quyết định điều tra sau khi có lời đồn về việc công ty này đã làm ăn gian lận. Hầu hết cuộc điều tra của Quốc hội Mỹ tập trung vào những file máy tính để tìm kiếm bằng chứng. Một lực lượng chuyên nghiệp bắt đầu tìm kiếm thông qua hàng trăm máy tính của nhân viên Enron với computer forensic – tìm bằng chứng phạm tội công nghệ cao.

Mục đích sử dụng của kỹ thuật computer forensics là tìm kiếm, duy trì và phân tích thông tin trên hệ thống máy tính để tìm kiếm bằng chứng phạm tội cho một vụ án. Rất nhiều phương pháp điều tra có sử dụng trong việc điều tra tội phạm đều có sự kết hợp với kỹ thuật số, tuy nhiên cũng có một số trường hợp đặc biệt sử dụng điều tra máy tính.

Ví dụ, chỉ cần mở một file trong máy và thay đổi nó, máy tính sẽ ghi lại thời gian và ngày nó truy cập file. Nếu nhân viên có máy tính rồi bắt đầu mở các file, không ai có thể chắc chắn họ không thay đổi điều gì. Từ đó, luật sự có thể lập luận về giá trị pháp lý của những bằng chứng này nếu vụ việc được đưa ra tòa.

Một số người cho rằng việc sử dụng thông tin kỹ thuật số là bằng chứng là một ý tưởng tồi. nếu có thể thay đổi dữ liệu máy tính dễ dàng, làm sao có thể sử dụng nó là bằng chứng đáng tin cậy? Rất nhiều quốc gia cho phép sử dụng bằng chứng máy tính trong các phiên tòa, nhưng điều này cũng có thể bị thay đổi nếu bằng chứng kỹ thuật số được chứng minh là những bằng chứng không đáng tin cậy.

Máy tính ngày càng trở nên mạnh mẽ, vì vậy, lĩnh vực computer forensics cũng phải có sự phát triển tương xứng. Trong những ngày đầu mới có máy tính, rất dễ để những nhân viên điều tra có thể tìm ra một file nào đó bởi dung lượng lưu trữ rất thấp. Ngày nay, với dung lượng lưu trữ của ổ đĩa lên tới gigabyte, thậm chí là terabyte dữ liệu, công việc lại càng khó khăn hơn. Điều tra viên sẽ phải tìm ra những phương pháp khác nhau để có thể tìm kiếm bằng chứng mà không phải dùng tới quá nhiều nguồn cho quá trình điều tra, nâng tính hiệu quả cho quá trình.

Vậy, những điều căn bản của computer forensic – tìm bằng chứng tội phạm công nghệ cao là gì? Những điều tra viên tìm kiếm điều gì? Họ tìm kiếm ở đâu?

Những điều cơ bản của Computer Forensic

Lĩnh vực computer forensic vẫn còn khá mới mẻ. Những ngày đầu của máy tính, tòa án coi bằng chứng từ máy tính không khác gì so với những loại bằng chứng khác. Khi máy tính ngày càng trở nên phát triển hơn và phức tạp hơn, suy nghĩ này đã thay đổi – tòa án biết được bằng chứng tội phạm rất dễ dàng có thể bị thay đổi, bị xóa hoặc bị phá hỏng.

Điều tra viên nhận ra rằng cần thiết phải phát triển một công cụ nào đó có thể giúp việc điều tra bằng chứng trong máy tính mà không làm ảnh hưởng tới thông tin. Họ đã bắt tay làm việc với những nhà khoa học máy tính, lập tình viên để bàn luận về các phương pháp và công cụ phù hợp mà họ cần mỗi khi phải truy hồi thông tin từ một máy tính. Từ đó, họ đã phát triển phương pháp để hình thành nên lĩnh vực computer forensic.

Thông thường, nhân viên điều tra phải có lệnh của tòa mới được tìm kiếm thông tin trên một máy tính tình nghi. Lệnh này sẽ bao gồm nơi điều tra viên được phép tìm kiếm và loại bằng chứng mà họ có thể tìm. Nói theo cách khác, điều tra viên chỉ được làm theo lệnh và tìm kiếm những gì mà họ cho rằng đáng nghi ngờ. Thêm vào đó, các điều trong lệnh không được quá chung chung. Hầu hết các tòa án đều yêu cầu rất cụ thể các điều khi đưa ra một lệnh cho các điều tra viên.

Vì lý do này, điều tra viên sẽ phải tìm kiếm càng nhiều nguồn tình nghi trước khi yêu cầu lệnh của tòa án càng tốt. Ví dụ: một điều tra viên có lệnh điều tra một máy tính xách tay thuộc diện tình nghi. Người này đến nhà của người bị nghi ngờ để khám theo lệnh. Khi đến nơi, điều tra viên thấy một chiếc máy tính để bàn. Nhân viên điều tra này không thể tìm kiếm bằng chứng trên chiếc máy tính này bởi nó không được bao gồm trong các điều khoản của lệnh khám.

Plain View

Điều luật plain view – những điều nhìn thấy trước mắt – cho phép điều tra viên quyền thu thập bất kì bằng chứng nào có trong quá trình tìm kiếm. Nếu điều tra viên trong ví dụ vừa rồi phát hiện ra bằng chứng trên màn hình máy tính của người đang bị nghi vấn, nhân viên này có thể sử dụng máy tính này để tìm kiếm bằng chứng mặc dù nó không được bao gồm trong lệnh khám. Nếu máy tính để bàn này không được bật thì nhân viên điều tra không có quyền kiểm tra nó.

Mỗi cuộc điều tra trên máy có sự khác biệt riêng. Một số cuộc điều tra có thể mất một tuần để có kết quả, nhưng số khác có thể diễn ra hàng tháng để hoàn thành. Dưới đây là một số điều có thể ảnh hưởng tới thời gian của một vụ điều tra:

• Trình độ chuyên môn của điều tra viên

• Số lượng máy tính cần kiểm tra

• Toàn bộ dung lượng mà nhân viên điều tra cần kiểm tra (ổ cứng, đĩa CD, đĩa DVD và các thiết bị lưu trữ cắm ngoài)

• Liệu người bị tình nghi có xóa hay giấu thông tin

• Xử lý các file được mã hóa hoặc các file được bảo vệ bằng mật khẩu.


Các giai đoạn của việc điều tra Computer Forensic

Judd Robbins, một chuyên gia máy tính và cũng là người đi đầu trong computer forensic đã liệt kê một số bước mà những điều tra viên cần làm mỗi khi muốn truy hồi bằng chứng từ máy tính:

1. Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn. Điều này có nghĩa điều tra viên cần phải nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra. Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát được kết nối này.

2. Tìm kiếm tất cả các file có trong hệ thống máy tính, bao gồm các file đã được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè. Nhân viên điều tra nên sao chép lại tất cả các file của hệ thống, bao gồm các fiel có trong ổ đĩa của máy tính hay file từ các ổ cứng cắm ngoài. Bởi khi truy cập các file có thể thay đổi nó nên nhân viên điều tra chỉ nên làm việc với các bản copy của các file khi tìm kiếm bằng chứng. Bản nguyên gốc cần được bảo quản và không được động đến.

3. Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa.

4. Tìm kiếm thông tin của tất cả các file ẩn

5. Giải mã và truy cập các file được bảo vệ

6. Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận.

7. Ghi lại tất cả các bước của quá trình. Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thông tin của hệ thống máy tính mà không làm thya đổi hoặc làm hỏng chúng. Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu không có tài liệu xác thực, bằng chứng thậm chí còn không được chấp nhận. Robbins cho rằng những tài liệu xác thực này không chỉ bao gồm các file và dữ liệu được khôi phục từ hệ thống mà còn bao gồm cả bản vẽ của hệ thống và nơi các file được mã hóa hoặc được ẩn.

8. Hãy chuẩn bị là nhân chứng trước tòa trong computer forensics. Thậm chí, khi quá trình điều tra hoàn tất, công việc điều tra của họ vẫn chưa xong. Họ có thể vẫn phải chứng thực trước tòa.

Không xóa file như bạn nghĩ

Mỗi khi xóa một file nào đó, máy tính của bạn sẽ chuyển file này sang một danh bạ mới. Khi làm trống thùng rác, máy tính sẽ thông báo rằng dung lượng được sử dụng cho file đó đã được trống. File vẫn được giữ ở đó trừ phi máy tính ghi một dữ liệu mới lên phần đó của ổ đĩa. Với các phần mềm thích hợp, bạn có thể truy hồi các file đã bị xóa nếu chúng vẫn chưa bị ghi đè.

Tất cả các bước này rất quan trọng, nhưng bước đầu tiên mới là quan trọng nhất. Nếu nhân viên điều tra không thể kiểm soát toàn bộ hệ thống máy tính, bằng chứng họ tìm được sẽ không được công nhận. Đây cũng là việc rất khó. Trong thời gian đầu của máy tính, hệ thống chỉ bao gồm một chiếc máy với một vài chiếc đĩa mềm. Ngày nay, nó bao gồm rất nhiều máy tính, ổ đĩa, ổ cứng cắm ngoài, ….

Một số kẻ xấu đã tìm cách gây khó khăn cho nhân viên điều tra để tìm thấy thông tin trong hệ thống của chúng. Chúng sử dụng các chương trình và ứng dụng có tên anti-forensic. Điều tra viên sẽ phải dè chừng những chương trình này và tìm cách loại bỏ chúng nếu họ muốn truy cập thông tin trong hệ thống.

Vậy, anti-forensic là gì? Mục đích của chúng là như thế nào?

Anti-Forensic

Anti-forensic có thể là ác mộng đối với những người điều tra máy tính. Lập trình viên thiết kế công cụ anti-forensic để khiến công việc truy hồi thông tin trong quá trình điều tra trở nên khó khăn hơn hoặc thậm chí là không thể thực hiện được. Về bản chất, anti-forensic dùng để chỉ bất kì một phương pháp, dụng cụ hay phần mềm nào đó được thiết kế để gây khó khăn cho việc điều tra máy tính.

Có rất nhiều cách khác nhau để mọi người có thể giấu thông tin. Một số chương trình có thể đánh lừa máy tính bằng cách thay đổi thông tin trong header của file. Một header thường được ẩn với mọi người nhưng nó thực sự quan trọng khi nó thông báo cho máy tính loại file mà nó đang được gắn với. Nếu bạn vừa thay đổi tên của một file mp3 thành file “.gif”, máy tính vẫn biết đó là file mp3 bởi thông tin trong header. Một số chương trình cho phép bạn thay đổi thông tin trong header để máy tính nhận dạng đó là một file khác. Điều tra viên đang tìm kiếm một định dạng file cụ thể có thể bỏ qua thông tin quan trọng bởi nó trông không liên quan tới thông tin cần tìm kiếm.

Các chương trình khác có thể chia các file ra thành các mục nhỏ khác nhau và giấu mỗi mục ở một file khác nhau. Những file không sử dụng đến dung lượng được gọi là slack space. Với chương trình phù hợp, bạn có thể giấu những file này bằng cách sử dụng slack space. Điều này gây khó khăn rất lớn cho việc truy hồi và tập hợp những thông tin bị ẩn.

Ngoài ra, cũng có thể giấu một file bên trong file khác. Executable files – là những file máy tính nhận dạng là một chương trình cũng có thể gây khoskhawn. Những chương trình được gọi là packer có thể lồng các executable file vào các file các loại file khác, trong khi các công cụ binder có thể gắn kết rất nhiều executable file lại với nhau.

Mã hóa cũng là một cách giấu dữ liệu khác. Khi bạn mã hóa dữ liệu, bạn có thể sử dụng các thuật toán phức tạp để khiến dữ liệu khó có thể đọc được. ví dụ, thuật toán có thể thay đổi một file text thành tập hợp những con số và ký tự vô nghĩa. Ai đó muốn đọc dữ liệu cần phải mở được mật mã, giúp chuyển những con số và ký tự thành văn bản. Nếu không có mật khẩu, điều tra viên sẽ phải sử dụng đến các chương trình điện toán để có thể bẻ khóa mật khẩu. Các thuật toán càng phức tạp, càng mất thời gian giải mã nó mà không có mật khẩu.

Một công cụ khác anti-forensic khác có thể thay đổi metadata – lý lịch dữ liệu – được đính kèm với file. Metadata bao gồm thông tin giống như khi một file được tạo ra hoặc lần file được thay đổi cuối cùng. Thông thường, bạn không thể thay đổi những thông tin này, nhưng vẫn có các chương trình giúp người dùng có thể thay đổi metadata được gắn với file. Hãy thử tưởng tượng khi kiểm tra một lỹ lịch dữ liệu và phát hiện ra nó nói rằng file này không tồn tại trong 3 năm tới và lần truy cập cuối cùng đã một thế kỷ trước. Nếu metadata đã bị hủy hoại, nó khiến việc chứng minh bằng chứng trở nên khó khăn hơn.

Một số ứng dụng sẽ xóa dữ liệu nếu ai đó không được quyền mà vẫn cố tình truy cập hệ thống. Một số lập trình viên đã thử nghiệm xem các chương trình computer forensic hoạt động như thế nào và cố gắng tạo các ứng dụng vừa có thể chặn lại vừa có thể tấn công các chương trình. Nếu các chuyên gia computer forensic đối mặt với những kẻ như vậy, họ sẽ phải cẩn thận và rất khéo mới có thể truy hồi dữ liệu.

Một số người sử dụng anti-forensic để chứng tỏ dữ liệu máy tính có thể dễ dàng bị tấn công và không đáng tin đến mức nào. Nếu bạn không chắc chắn thời gian 1 file được tạo ra, lần cuối cùng truy cập nó hoặc thậm chí nó đã từng tồn tại, làm sao bạn có thể chứng minh được những bằng chứng này là hợp pháp trước tòa? Trong khi đây vẫn là một câu hỏi có căn cứ, rất nhiều quốc gia vẫn chấp nhận bằng chứng trên máy tính ở các vụ xét xử, mặc dù tiêu chuẩn của bằng chứng ở mỗi quốc gia khác nhau.

Vậy, tiêu chuẩn của bằng chứng là gì?


Tiêu chuẩn của bằng chứng từ máy tính

 

"Suy nghĩ toàn cầu, hành động khu vực"

Một thử thách những nhân viên điều tra trên máy tính phải đối mặt là trong khi tội phạm máy tính hoạt động không biên giới, luật cũng vậy. Một điều được cho là không hợp pháp ở nước này nhưng lại là hợp pháp ở nước khác. Hơn nữa, không có chuẩn quốc tế chung về việc thu thập thông tin trên máy tính. Một số quốc gia cố gắng thay đổi điều này. Nhóm G8, bao gồm Mỹ, Canada, Pháp, Đức, Anh, Nhật Bản, Ý và Nga, đã đồng nhất 6 điều chung về việc tìm bằng chứng phạm tội công nghệ cao. Những điều chung này tập trung vào việc lưu giữ nguyên gốc bằng chứng.

Ở Mỹ, các điều luật bao quát việc kiểm soát và sử dụng bằng chứng trên máy tính. Bộ tư pháp Hoa Kỳ có cuốn sổ tay mang tên "Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations"(tìm kiếm, kiểm soát máy tính và thu thập bằng chứng điện tử trong điều ta tội phạm). Cuốn sổ này giải thích khi điều tra viên được phép sử dụng máy tính trong khi tìm kiếm, những loại thông tin nào có thể chấp nhận được, luật hearsay - lời chứng nghe được từ người khác nói lại - được áp dụng khi tiến hành tìm kiếm bằng chứng.

Nếu nhân viên điều tra cho rằng hệ thống máy tính chỉ hoạt động như thiết bị lưu trữ, họ không được phép thu giữ ổ cứng. Điều này sẽ làm giới hạn bằng chứng cho vụ việc. Theo cách khác, nếu nhân viên điều tra cho rằng ổ cứng là bằng chứng, họ có thể thu giữ ổ cứng và mang về trụ sở. Ví dụ, nếu máy tính là bằng chứng của việc ăn trộm tài sản, điều tra viên có thể thu giữ ổ cứng.

Để có thể sử dụng bằng chứng từ một máy tính trước tòa, bên nguyên phải xác thực được bằng chứng này. Nghĩa là, bên nguyên phải chứng thực được thông tin được đưa ra trước tòa là bằng chứng từ máy tính của bị đơn và những thông tin này vẫn được giữ nguyên bản.

 

Mặc dù, mọi người thường thừa nhận rằng làm giả mạo dữ liệu máy tính là điều có thể và rất đơn giản. Tuy nhiên, các tòa án ở Mỹ không hoàn toàn loại bỏ chứng cứ từ máy tính. Thay vào đó, họ yêu cầu chứng minh những bằng chứng này là giả trước khi loại bỏ nó.

Một điều khác mà phiên tòa đang xem xét cùng với bằng chứng từ máy tính là hearsay. Đây là một thuật ngữ nói về những lời phát biểu được nói ra bên ngoài phiên tòa. Trong hầu hết các trường hợp, tòa án không cho phép hearsay như một bằng chứng. Tòa án đã xem xét thông tin trên một máy tính không phải là hearsay trong các trường hợp và vì thế nên nó được chấp nhận. Nếu máy tính ghi lại những lời phát biểu như một email, tòa án cần phải xem xét rằng những phát biểu này có được coi là đáng tin cậy hay không, trước khi coi đó là bằng chứng xác thực. Phiên tòa sẽ xác định những điều này theo từng trường hợp.

Computer forensicsử dụng một số công cụ và ứng dụng thú vị trong quá trình điều tra. Hãy cùng tìm hiểu về những công cụ này ở mục tiếp theo.

Các công cụ của computer forensic

Lập trình viên đã tạo ra rất nhiều ứng dụng computer forensic. Đối với các trụ sở cảnh sát, lựa chọn sử dụng những công cụ này dựa vào ngân sách cũng như nguồn nhân lực.

Dưới đây là một số chương trình và thiết bị computer forensic hữu ích trong quá trình điều tra:

• Disk imaging software ghi lại cấu trúc và nội dung của một ổ cứng. Với phần mềm này, rất dễ để có thể sao chép thông tin của một ổ đĩa và nó còn cung cấp cách thức các file được tổ chức và mối liên hệ giữa các file với nhau.

• Software hoặc hardware write tools sao chép và thiết lập lại một ổ cứng từng bit một. Cả 2 loại công cụ này đều có thể tránh được việc thay đổi thông tin. Một số công cụ yêu cầu điều tra viên loại bỏ ổ cứng từ máy tính của người bị tình nghi trước, sau đó mới được sao chép.

• Hashing tools dùng để so sánh bản nguyên gốc trong ổ cứng với bản sao chép. Công cụ sẽ phân tích dữ liệu và gán cho nó một con số riêng biệt. Nếu con số này trên bản nguyên gốc và trên bản sao chép trùng nhau, đây chính là bản sao y nguyên bản gốc.

• Điều tra viên sử dụng các chương trình khôi phục dữ liệu để tìm kiếm và khôi phục dữ liệu đã bị xóa. Những chương trình này định vị dữ liệu mà máy tính đã đánh dấu để xóa nhưng vẫn chưa bị ghi đè lên. Đôi khi, điều này còn ảnh hưởng tới những file chưa được hoàn thiện, gây khó khăn cho việc phân tích.

• Có một số chương trình được thiết kế để bảo vệ thông tin được lưu trữ trong RAM. Không giống như thông tin trên ổ đĩa, dữ liệu được lưu trong RAM sẽ bị mất sau khi tắt máy. Nếu không có phần mềm thích hợp, thông tin này sẽ dễ dàng bị mất.

• Phần mềm phân tích lọc tất cả thông tin trên một ổ đĩa để tìm kiếm một thông tin cụ thể nào đó. Bởi những máy tính hiện đại có thể lưu trữ hàng gigabyte dữ liệu, rất khó và tốn thời gian để tìm kiếm file trên máy tính bằng tay. Ví dụ, một số chương trình phân tích tìm kiếm và đánh giá Internet cookies, giúp nhân viên điều tra tìm ra những hoạt động đáng nghi trên Internet. Một số chương trình khác cho phép điều tra viên tìm kiếm một thông tin cụ thể, thuộc dạng nghi vấn trong hệ thống máy tính.

• Chương trình giải mã và phần mềm bẻ khóa mật khẩu rất tiện ích khi điều tra viên phải đối mặt với dữ liệu được bảo vệ.

 

Điện thoại di động

Điện thoại di động cũng có thể lưu trữ dữ liệu quan trọng. Về bản chất, có thể coi một chiếc di động là một chiếc máy tính nhỏ. Một số ít người bán computer forensic có cung cấp thiết bị có thể sao chép tất cả dữ liệu trong bộ nhớ điện thoại di động và in ra thành bản báo cáo. Những thiết bị này có thể truy hồi mọi thứ từ tin nhắn cho tới nhạc chuông.

Những công cụ này chỉ thực sự hữu ích khi nhân viên điều tra thực hiện đúng các thủ tục. Nếu không, một luật sư bào chữa giỏi có thể lập luận rằng mọi bằng chứng được thu thập trong khi điều tra máy tính là không đáng tin cậy. Tất nhiên, vẫn có một số ít chuyên gia anti-forensic tranh luận rằng không có bằng chứng trên máy tính nào là hoàn toàn đáng tin cậy.

Liệu tòa án có tiếp tục chấp nhận bằng chứng từ máy tính là đáng tin cậy để sử dụng trong các phiên tòa nữa hay không? Chuyên gia anti-forensic vẫn lập luận rằng chỉ có vấn đề về thời gian trước khi ai đó có thể chứng minh trước tòa rằng những dữ liệu này là chính đáng và có thể bảo vệ được. Nếu điều này xảy ra, tòa án sẽ rất khó khăn trong việc xác minh bằng chứng từ máy tính của một vụ án hoặc một cuộc điều tra.

Thứ Ba, 10/08/2010 10:06
51 👨 4.210