Điều tra số: Hành trình truy tìm dấu vết
Điều tra số là gì ?
Điều tra số (còn gọi là Khoa học điều tra số) là một nhánh của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong các thiết bị kỹ thuật số. Thuật ngữ điều tra số ban đầu được sử dụng tương đương với thuật ngữ điều tra máy tính. Sau đó, khái niệm này được mở rộng để bao quát toàn bộ việc điều tra các thiết bị có khả năng lưu trữ dữ liệu số.
Điều tra số có thể được hiểu là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện, nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống.
Điều tra số thường hay liên quan đến tội phạm máy tính. Cũng như điều tra hình sự, trước khi thực hiện điều tra số, cần có những cơ sở pháp lý để phân định rõ những quyền hạn, trách nhiệm của cơ quan điều tra.
Lịch sử điều tra số
Tội phạm máy tính đầu tiên xuất hiện từ những năm 1960 và lịch sử của nó gắn liền với lịch sử điều tra số.
Năm 1978, tội phạm máy tính lần đầu tiên được đề cập trong Luật Tội phạm máy tính Floria, với quy định về việc chống sửa đổi trái phép hay xóa dữ liệu trên một hệ thống máy tính.
Giai đoạn năm 1980 đến 1990: Trước sự gia tăng tội phạm máy tính những năm này, các cơ quan thực thi pháp luật đã tiến hành thành lập các nhóm chuyên ngành cấp quốc gia để xử lý các khía cạnh kỹ thuật của việc điều tra. Các kỹ thuật điều tra số cũng đã phát triển và thuật ngữ “Computer Forensics” xuất hiện và được sử dụng trong các tài liệu học thuật.
Năm 1983, Canada là quốc gia đầu tiên thực thi các luật về tội phạm máy tính. Năm 1986, Tổ chức chống Gian lận và Lạm dụng máy tính của Mỹ ra đời. Năm 1989, Úc sửa đổi luật về tội phạm máy tính. Đạo luật của Anh xuất hiện năm 1990 quy định về các hành vi lạm dụng máy tính.
Từ năm 2000, các tiêu chuẩn được phát triển để đáp ứng yêu cầu tiêu chuẩn hóa; các cơ quan và các hội đồng khác nhau đã công bố các tài liệu hướng dẫn kỹ thuật điều tra số.
Năm 2002, nhóm công tác khoa học về chứng cứ số đã xuất bản một bài báo với tiêu đề “Các bước thực thi điều tra tội phạm máy tính” (Best practices for Computer Forensics).
Năm 2004, Hiệp định về tội phạm máy tính đã được ký kết bởi 43 quốc gia có hiệu lực, các quốc gia thỏa thuận liên kết với nhau trong việc điều tra các tội phạm liên quan đến công nghệ cao.
Từ năm 2005, nhiều tiêu chuẩn của ISO đề cập đến các yêu cầu về thẩm quyền giám định, kiểm chuẩn được công bố.
Tại sao phải tiến hành điều tra số?
Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệt đối an toàn trước những nguy cơ, rủi ro, tấn công ác ý của tội phạm mạng. Quá trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác. Một cuộc điều tra số được tiến hành nhằm:
- Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó đưa ra giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của hệ thống.
- Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với hệ thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, biến hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác,.… Việc tiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể xảy ra.
- Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra: phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích.
- Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội phạm công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật.
Các bước thực hiện điều tra số
Theo SANS (SysAdmin, Audit, Networking, and Security) - công ty chuyên đào tạo an toàn thông tin và an ninh mạng, một cuộc điều tra số thường bao gồm 4 gian đoạn: chuẩn bị, tiếp nhận dữ liệu, phân tích và lập báo cáo.
Chuẩn bị: Bước này thực hiện việc mô tả lại thông tin hệ thống, những hành vi đã xảy ra, các dấu hiệu để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.
Tiếp nhận dữ liệu: là bước tạo ra một bản sao chính xác các dữ liệu (chứng cứ số) hay còn gọi là nhân bản điều tra các phương tiện truyền thông. Để đảm bảo tính toàn vẹn của chứng cứ thu được thì những dữ liệu này phải được sử dụng một kỹ thuật mật mã là “băm” dữ liệu (sử dụng SHA1 hoặc MD5), trong quá trình điều tra cần phải xác minh độ chính xác của các bản sao thu được.
Phân tích: là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng thu được.
Lập báo cáo: Những chứng cứ thu thập được phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho các bộ phận có trách nhiệm xử lý chứng cứ theo quy định.
Các loại hình điều tra số
Với nhiều loại hình điều tra số như: điều tra Internet, điều tra điện tử, điều tra mạng, điều tra ứng dụng... có các cách phân chia khác nhau, nhưng về cơ bản điều tra số được chia thành 3 loại hình chính là điều tra máy tính, điều tra mạng và điều tra thiết bị di động.
Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều tra số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu trữ kỹ thuật số như:
Điều tra bản ghi (Registry Forensics) là việc trích xuất thông tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết được những thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong bản ghi (Register).
Điều tra bộ nhớ (Memory Forensics) là việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống. Để xác định các hành vi đã xảy ra trong hệ thống, người ta thường sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ.
Điều tra phương tiện lưu trữ (Disk Forensics) là việc thu thập, phân tích dữ liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích xuất dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ liệu trên thiết bị được phân tích.
Điều tra mạng (network forensic) là một nhánh của khoa học điều tra số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập vào hệ thống máy tính này. Điều tra mạng có thể được thực hiện như một cuộc điều tra độc lập hoặc kết hợp với việc điều tra máy tính (computer forensics) – thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội.
Điều tra mạng bao gồm việc chặn bắt, ghi âm và phân tích các sự kiện mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự cố của một vấn đề nào đó. Không giống các loại hình điều tra số khác, điều tra mạng xử lý những thông tin dễ thay đổi và biến động. Lưu lượng mạng được truyền đi và không được lưu lại, do đó việc điều tra mạng thường phải rất linh hoạt, chủ động.
Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu từ các thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát triển mạnh trong những năm gần đây, nhưng các nghiên cứu điều tra về thiết bị di động là một lĩnh vực tương đối mới. Sự gia tăng các loại hình điện thoại di động trên thị trường (đặc biệt là điện thoại thông minh) đòi hỏi nhu cầu giám định về tính an toàn của các thiết bị này mà không thể đáp ứng bằng các kỹ thuật điều tra máy tính hiện tại.
Kết luận
Sự phục hồi của các chứng cứ số ngày càng trở nên quan trọng. Không chỉ về mặt kỹ thuật, điều tra số xác định chính xác những gì đang xảy ra, nguyên nhân hệ thống bị tấn công và đưa ra chứng cứ thuyết phục về vấn đề cần làm sáng tỏ. Nó còn cung cấp chứng cứ về mặt pháp lý giúp cho việc điều tra tố tụng và áp dụng chế tài xử phạt đối với hành vi phạm pháp của tội phạm mạng máy tính. Hiện nay, điều tra số được đánh giá là một trong 5 kỹ năng cần thiết đưa vào cuộc thi về kỹ năng thực thi an toàn thông tin như Capture the Flag (CTF), được tổ chức thường niên, thu hút sự tham gia của giới hacker, chuyên gia bảo mật và các sinh viên chuyên ngành ATTT và CNTT. Việc đẩy mạnh nghiên cứu về điều tra số để cung cấp các căn cứ cho việc khắc phục sự cố về máy tính và mạng, cũng như đưa ra các chứng cứ số phục vụ quá trình điều tra tội phạm mạng là một vấn đề hết sức cần thiết đối với nước ta trong giai đoạn hiện nay.