Computer Forensics – Bài 2: Bằng chứng số

Computer Forensics bai 2 bang chung so

Bằng chứng số:

Bằng chứng số (Digital Evidence), hay còn gọi là bằng chứng điện tử (Electronic Evidence), là mọi thông tin có giá trị pháp lý được lưu trữ, được truyền dẫn trong dạng thức số và có giá trị pháp lý trước tòa. Trước khi chấp nhận bằng chứng số, quan tòa phải xác định được là nó có liên quan đến vụ án đang xem xét, cho dù tính xác thực của nó đã được kiểm chứng.

Computer Forensics bai 2 bang chung so
Computer Forensics – Bài 2: Bằng chứng số

Tại các nước pháp triển, tính pháp lý của bằng chứng số được pháp luật công nhận như các loại bằng chứng cổ điển khác. Tính xác thực và tính toàn vẹn của bằng chứng số được ACPO (Association of Chief Police Officers – The United Kingdom) quy định (ver 5 – 10/2011) trong bộ nguyên lý ACPO, gồm 4 nguyên lý. Từ nguyên lý ACPO, Adams xây dựng bộ quy tắc, gồm 7 quy tắc, mà điều tra viên computer forensic phải tuân thủ trong quá trình thao tác trên bằng chứng số. Mục tiêu lớn nhất là, không làm thay đổi dữ liệu gốc và mọi thao tác liên quan phải được ghi lại đầy đủ.

Có thể hiểu về bằng chứng số một cách ngắn gọn như sau: Bằng chứng số là các bằng chứng ở dạng thức số, nó được khôi phục, hay được tìm thấy, trong các thiết bị số – thường là các thiết bị liên quan với máy tính.

Dữ liệu nhận được từ các ổ đĩa trên máy tính hoặc từ các thiết bị lưu trữ khác chưa thể là bằng chứng (số). Để có được bằng chứng, nhân viên điều tra phải thực hiện quá trình khảo sát và phân tích dữ liệu ban đầu. Thông thường, nếu tìm được dữ liệu họ phải “ráp” chúng lại với nhau để đưa ra được bằng chứng.

Nhiệm vụ của tin học pháp y (Forensic Computing) là: Áp dụng sự hiểu biết về khoa học và công nghệ để truy tìm – khôi phục, khảo sát và phân tích – các bằng chứng có nguồn gốc số. Bằng chứng tìm được phải có giá trị pháp lý trước tòa.

Điều tra viên thường sử dụng các chương trình, các công cụ, kỹ thuật hoạt động dựa trên máy tính để tìm ra bằng chứng trong một khoảng thời gian ngắn nhất nhưng với tính xác thực và độ tin cậy cao nhất.

Có thể nói, Forensic Computing là sự kết hợp mạnh mẽ và hiệu quả giữa khoa học, tin học và phát luật. Nó là không thể thiếu trong cuộc chiến chống tội phạm số ngày nay.

Đặc tính của bằng chứng số:

  1. Admissible (thừa nhận): Phải được quan tòa thừa nhận. Tức là, bằng chứng có thể được sử dụng trước tòa và những nơi khác.
  2. Authentic (xác thực): Phải đảm bảo tính xác thực. Tức là, bằng chứng được đưa ra có quan hệ với các tình huống có liên quan.
  3. Reliable (tin cậy): Làm cho quan tòa hoàn toàn tin cậy vào tính xác thực và tính chính xác của bằng chứng.
  4. Believable (đáng tin): Bằng chứng phải rõ ràng, dễ hiểu và đáng tin với quan tòa.

Ví trí có thể tìm thấy bằng chứng số:

  1. Internet History Files (trong các tập tin lịch sử truy cập internet).
  2. Temporary Internet Files (trong các tập tin tạm sinh ra từ truy cập internet).
  3. Slack/Unallocated Space (tại không gian (đĩa) chưa cấp phát/thuộc slack của tập tin).
  4. File Settings, folder structure, file names (nơi lưu trữ các thiết lập tập tin, cấu trúc thư mục, tên tập tin).
  5. File Storage Dates (nơi lưu trữ ngày lưu trữ tập tin).
  6. Software/Hardware added (ẩn/nhúng trong phần mềm/phần cứng bổ sung).
  7. Sharing Files (trong các tập tin chia sẻ).
  8. E-mails (ẩn trong các e-mail).

File slack space và Unallocated space

File slack space va Unallocated space
File slack space và Unallocated space

Không gian lưu trữ của các ổ đĩa logic được chia thành các phần nhỏ bằng nhau, có kích thước xác định, được gọi là block đĩa, hay còn gọi là các đơn vị cấp phát (allocation). Với hầu hết các hệ điều hành hiện nay, một đơn vị cấp phát tương ứng với một cluster đĩa. Cluster được hình thành từ 4, 6 hoặc 8 sector liên tiếp nhau, kích thước của một sector thường là 512 byte (tức là, mỗi sector chứa được 512 byte thông tin).

Dữ liệu của các tập tin cần lưu trữ, đầu tiên, được chia thành các block có kích thước bằng nhau và bằng kích thước của cluster. Các block tập tin, sau đó, sẽ được lưu tại các cluster khác nhau trên đĩa. Như vậy, trên đĩa vừa có các cluster đang chứa block của tập tin (không gian đã cấp phát: Allocated space/Used space), vừa có cluster còn để trống (không gian chưa cấp phát: Unallcated space/Free space).

Trong trường hợp kích thước của tập tin không là bội số của kích thước cluster thì cluster cuối cùng, trong dãy các cluster chứa tập tin này, sẽ không được sử dụng hết. Phần dư ra này được gọi là File slack space.

Ví dụ: Kích thước của một cluster đĩa là 2048 byte, kích thước của tập tin A là 20512 Byte. Trong trường hợp này, hệ điều hành phải dành ra (cấp phát) ít nhất là 11 cluster để chứa hết nội dung tập tin A. Tuy nhiên, cluster thứ 11 chỉ sử dụng 32 byte, còn dư 2048 – 32 = 2016 byte. Tức là File slack space của tập tin A là 2016 byte.

Thông thường, cả hệ điều hành và chương trình của người sử dụng ít “quan tâm” đến vùng đĩa thuộc file slack space và unallocated space, vì thế nó sẽ là nơi lý tưởng để các chương trình mã độc, các đoạn mã không mong muốn ẩn nấu.

0 0 Bình chọn
Đánh giá bài viết
Đăng ký
Nhận thông báo cho
guest
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận