Các bước thực hiện điều tra tội phạm máy tính
Bao gồm 5 bước:
1. Quan sát, bảo vệ hiện trường vụ án.
2. Ghi và lập tài liệu về hiện trường.
3. Bảo quản chứng cứ.
4. Tiến hành điều tra.
5. Lập báo cáo điều tra.
Bước 1: quan sát, bảo vệ hiện trường.
• Đảm bảo hiện trường vụ án: tắt các thiết bị đang hoạt động, ngăn không cho bất kỳ ai truy cập.
• Xác định khu vực phạm tội.
• Hạn chế số lượng người được tiếp cận với hiện trường và tất cả các tài liệu tương tác với hiện trường vụ án: trong một số trường hợp, các hệ thống liên quan cần thiết cho hoạt động của nạn nhân cần được theo dõi. Ví dụ máy chủ CSDL của công ty đã bị hack và dữ liệu bị đánh cắp, họ sẽ vẫn cần máy chủ để tiếp tục hoạt động kinh doanh: triển khai máy chủ tạm thời, sao chép dữ liệu tới ổ đĩa mới, gắn ổ đĩa mới lên máy chủ tạm thời và tiếp tục cho hoạt động.
Bước 2: ghi và lập tài liệu về hiện trường.
• Không được chạm vào bát cứ gì cho tới khi bắt đầu thu thập bằng chứng.
• Ghi lại các chứng cứ thu thập được:
o Quay video:
▪ Ghi lại toàn bộ khung cảnh của hiện trường.
▪ Phải luôn nêu ở đầu video người đã làm đoạn băng và chắc chắn thời gian là chính xác.
▪ Nếu có tình tiết nổi bật thì phải có nhận xét về nó: cách thức kết nối được gắn vào máy tính hay các thiết bị khác, mô tả của căn phòng.
▪ Cẩn thận với những lời nói trong video.
o Chụp ảnh:
▪ Trình bày một cách rõ nét và chi tiết: ngày tháng chụp, thời gian chụp, địa điểm chụp. => đảm bảo được thiết lập đúng.
▪ Với một số loại máy ảnh (máy ảnh số hoặc máy film 35mm) cần sử dụng một tài liệu để ghi lại thông tin.
▪ Theo “Crime Scene and Evidence Photographer’s Guide”:
• Xây dựng quy trình hoạt động chuẩn.
• Bảo vệ các hình ảnh kỹ thuật số ban đầu: nên thực hiện các thử nghiệm với 1 bản sao; không để mất tập tin ban đầu.
• Bảo tồn ảnh ở định dạng ban đầu.
o Các dây cáp gắn vào máy tính có thể cần phải tô màu để tránh nhầm
lẫn:
▪ Ghi lại các thiết bị gắn vào dây cáp.
▪ Khi hoàn tất, ngắt kết nối các thiết bị với nhau.
• Các thông tin cần được ghi lại thành 1 bảng các sự kiện – tài liệu về hiện trường:
o Mô tả thời gian, ngày tháng.
o Các hành vi phạm tội.
o Các vật chứng bị tịch thu.
o Người xác nhận.
=> Ngăn chặn mất mát, thiệt hại vật chất, hoặc tiêu hủy chứng cứ.
Bước 3: bảo vệ chứng cứ.
• Tại hiện trường:
o Đặt từng hạng mục thu được vào túi chứng cứ, đánh dấu đúng.
o Đeo găng tay chống tĩnh trong khi thu thập và đưa vào túi bằng chứng.
o Giữ bằng chứng nguyên vẹn cho đến khi mang đến khu vực an toàn của bộ phận điều tra.
• Khi vận chuyển:
o Không để nhân viên, điều tra viên không có nghĩa vụ đặt bằng chứng trong xe của họ.
o Dùng tủ khóa để bảo vệ các bằng chứng. Nếu lượng bằng chứng lớn cần đến một phòng để bảo vệ.
o Bằng chứng phải được bảo vệ an toàn, lưu ý về nơi đặt chúng. Ví dụ máy tính không đặt bên cạnh loa hộp lớn bởi các máy tính có thể bị ảnh hưởng bởi các nam châm trong loa.
Lưu ý: nếu dữ liệu bị thay đổi bằng bất kỳ cách nào, nó có thể không được chấp nhận tại tòa án.
Bước 4: tiến hành điều tra.
• Các công việc cần thực hiện:
o Thu thập và phân tích chứng cứ từ các linh kiện phần cứng.
o Thu thập và phân tích chứng cứ từ hệ thống.
o Thu thập và phân tích chứng cứ từ email, điện thoại, thiết bị mạng…
• Nhiệm vụ: tìm ra các bằng chứng phạm tội và các hành vi phạm tội, để từ đó có thể quy trách nhiệm trước tòa án.
Bước 5: lập báo cáo điều tra.
• Mô tả toàn bộ các bước tiến hành điều tra từ lúc bắt đầu cho đến khi kết thúc.
• Là hồ sơ lưu trữ cho các công tác xử lý về sau.