Tìm hiểu về Digital Forensic

Tìm hiểu về Digital Forensic

Pháp y là việc ứng dụng khoa học để điều tra tội phạm và xác định sự thật. Do việc các thiết bị kỹ thuật số ngày càng trở nên phổ biến, ví dụ như máy tính và smartphone, một nhánh pháp y mới đã ra đời để điều tra các tội phạm liên quan: pháp y máy tính mà sau này đã phát triển chuyên sâu hơn thành pháp y kỹ thuật số.

What Is Digital Forensics? - InterWorks

Pháp y là lực lượng đi thu thập, phân tích chứng cứ từ hiện trường để hỗ trợ cho công tác điều tra như chúng ta vẫn thường hay thấy trong các bộ phim hoặc thời sự trên tivi. Tình huống trong thực tế có thể xảy ra như dưới đây. Các công an viên đến hiện trường vụ án; tuy nhiên, một phần của hiện trường vụ án này bao gồm các thiết bị kỹ thuật số. Các thiết bị kỹ thuật số bao gồm máy tính để bàn, máy tính xách tay, máy ảnh kỹ thuật số, máy nghe nhạc và điện thoại thông minh. Phương tiện kỹ thuật số (Digital media) bao gồm CD, DVD, ổ đĩa nhớ flash USB và bộ nhớ ngoài. Một số câu hỏi cần đặt ra đó là:

  • Cảnh sát nên thu thập bằng chứng kỹ thuật số, ví dụ điện thoại thông minh và laptop như thế nào? Nếu máy tính và điện thoại thông minh đang chạy cần thực hiện ra sao ?
  • Làm thế nào để chuyển đổi, copy các bằng chứng kỹ thuật số?
  • Làm thế nào để phân tích các bằng chứng số thu thập được? Làm thế nào để phân tích bộ nhớ thiết bị cá nhân từ hàng chục gigabyte đến vài terabyte?

Dễ dàng nhận thấy máy tính bảng, điện thoại thông minh, máy ảnh kỹ thuật số và USB ngoài máy tính để bàn. Bất kỳ thiết bị nào trong số này đều có thể chứa một lượng lớn thông tin có thể giúp điều tra. Xử lý chúng làm bằng chứng sẽ yêu cầu pháp y kỹ thuật số.

Pháp y kỹ thuật số là ứng dụng của khoa học máy tính để điều tra bằng chứng kỹ thuật số cho mục đích pháp lý. Pháp y kỹ thuật số được sử dụng trong hai loại điều tra:

Điều tra public: đề cập đến các cuộc điều tra do chính phủ và các cơ quan thực thi pháp luật thực hiện. Có thể nó sẽ là một phần của cuộc điều tra tội phạm hoặc dân sự.
Điều tra private: đề cập đến các cuộc điều tra do các cơ quan doanh nghiệp thực hiện bằng cách chỉ định một chuyên viên, có thể là nội bộ hoặc thuê ngoài. Đội ngũ này sẽ được kích hoạt khi có các vi phạm chính sách của công ty.
Cho dù điều tra public hay private, một phần bằng chứng đều có liên quan đến các thiết bị kỹ thuật số và phương tiện kỹ thuật số. Đây là lúc pháp y kỹ thuật số vào cuộc và cố gắng giả lập những gì đã xảy ra. Nếu không có các điều tra viên pháp y kỹ thuật số được đào tạo quy củ, sẽ không thể xử lý bất kỳ bằng chứng kỹ thuật số nào một cách chính xác.

Sau khi nhận được sự ủy quyền hợp pháp, kế hoạch điều tra sẽ diễn ra như sau:

  • Thu thập bằng chứng: Thu thập các thiết bị kỹ thuật số như máy tính xách tay, thiết bị lưu trữ và máy ảnh kỹ thuật số. (Lưu ý rằng máy tính xách tay và máy tính yêu cầu xử lý đặc biệt nếu chúng đang được bật)
  • Thiết lập chuỗi hành trình: Điền vào biểu mẫu người liên quan một cách thích hợp. Mục đích là để đảm bảo rằng chỉ những điều tra viên được ủy quyền mới được tiếp cận bằng chứng và không ai có thể giả mạo được.
  • Đặt bằng chứng vào hộp đựng an toàn: Bạn muốn đảm bảo rằng bằng chứng không bị hư hỏng. Trong trường hợp các thiết bị thông minh, cần đảm bảo rằng chúng không thể truy cập mạng để chúng không bị xóa từ xa.
  • Vận chuyển bằng chứng đến phòng thí nghiệm pháp y kỹ thuật số của bạn.

Tại phòng thí nghiệm, quy trình diễn ra như sau:

  • Lấy bằng chứng kỹ thuật số từ nơi lưu trữ (secure container)
  • Tạo bản sao pháp y của bằng chứng: sử dụng phần mềm xịn sò để tránh sửa đổi dữ liệu gốc.
  • Trả bằng chứng kỹ thuật số về nơi lưu trữ: Nhân viên pháp y số sẽ làm việc trên bản sao. Nếu hỏng bản sao, sẽ luôn có bản sao khác sẵn sàng.
  • Bắt đầu xử lý bản sao trên máy trạm pháp y.

Một số lưu ý khác bao gồm:

Thẩm quyền khám xét: Các nhà điều tra không thể bắt đầu nếu không có cơ quan pháp luật hay người có thẩm quyền cho phép.
Sổ nhật ký: Cần thiết để theo dõi xem ai đang giữ bằng chứng bất cứ lúc nào.
Xác thực tính toàn vẹn: Sử dụng hàm băm, để xác nhận rằng tệp không bị sửa đổi.
Sử dụng các công cụ đã được cho phép: Các công cụ được sử dụng trong pháp y kỹ thuật số phải được xác nhận để đảm bảo rằng chúng hoạt động chính xác. Ví dụ: nếu tạo hình ảnh của đĩa, cần đảm bảo rằng hình ảnh pháp y giống hệt với dữ liệu trên đĩa.
Báo cáo: Cuộc điều tra pháp y kỹ thuật số được kết thúc bằng một báo cáo cho thấy bằng chứng liên quan đến vụ án đã được phát hiện.

Một vài ví dụ về công cụ forensic:

Pdfinfo – thu thập thông tin metadata của document

pdfinfo 】コマンド――PDFファイルの情報を表示する:Linux基本コマンドTips(282) - @IT

Exiftool – Kiểm tra thông tin metadata của ảnh

ExifTool - Wikipedia

SADmin Blog

Take care of your body, that is the first place you check-in and the last place before you start new journey.

Give a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.