Phát hiện, thu thập, bảo quản dấu vết điện tử trong khám nghiệm hiện trường và khám xét

Ngày đăng : 12:17, 03/03/2023

(Kiemsat.vn) - Trước sự phát triển mạnh mẽ của công nghệ thông tin, tội phạm sử dụng công nghệ cao có xu hướng tăng nhanh về số lượng, mức độ nguy hiểm và hậu quả thiệt hại. Bên cạnh đó, tội phạm truyền thống cũng có xu hướng sử dụng các thiết bị kỹ thuật số, mạng máy tính và các phần mềm để thực hiện hành vi phạm tội. Điều này đặt ra yêu cầu mới trong công tác đấu tranh phòng, chống tội phạm nói chung, hoạt động điều tra vụ án nói riêng, trong đó có vấn đề phát hiện, thu thập dấu vết điện tử.

Hiện nay, ở Việt Nam vẫn chưa có khái niệm thống nhất về dấu vết điện tử. Tuy nhiên, theo quy định của Bộ luật Tố tụng hình sự năm 2015, sửa đổi, bổ sung năm 2021 thì dữ liệu điện tử là một trong những nguồn chứng cứ (điểm c khoản 1 Điều 87) và tại khoản 1, khoản 2 Điều 99 quy định: “Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử” và “dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác” đã tạo cơ sở cho việc nhận diện rõ hơn về dấu vết điện tử. Theo đó, dấu vết điện tử trước hết phải là những dữ liệu điện tử, tức là những ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc các dạng tương tự được tạo ra, lưu trữ, truyền đi, hoặc nhận được bởi phương tiện điện tử; hai là, dấu vết điện tử phải là những dữ liệu điện tử hình thành, tồn tại trong vụ án hình sự. Nói cách khác, quá trình sử dụng, tạo dựng, lưu trữ, truyền dẫn dữ liệu điện tử trong các vụ án hình sự, thì dữ liệu điện tử đó trở thành dấu vết điện tử.

Dấu vết điện tử là hệ thống dữ liệu tồn tại dưới dạng những tín hiệu kỹ thuật số, được mã hóa dưới dạng nhị phân, nó không tồn tại như dạng vật chất cụ thể bên ngoài, mà nó tồn tại (được lưu trữ) trong các thiết bị kỹ thuật số, máy tính, mạng máy tính. Quá trình hình thành và tồn tại dấu vết điện tử bao gồm hai cơ chế: (1) Do sự tác động chủ động của đối tượng, nạn nhân thể hiện ở việc thực hiện các thao tác, lệnh đối với thiết bị kỹ thuật số và phần mềm, dữ liệu trong thiết bị kỹ thuật số; (2) Do sự tự động khởi tạo của các phần mềm, dữ liệu trong các thiết bị kỹ thuật số, thể hiện ở sự tự động khởi tạo các dữ liệu điện tử như: Cookies, URL, e-mail logs, web server log, IP, thông tin truy cập tài khoản, website…

Về bản chất, dấu vết điện tử tồn tại dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự, được lưu hoặc truyền đi bởi thiết bị có bộ nhớ kỹ thuật số; có thể thực hiện khôi phục dấu vết điện tử, kể cả đã bị xóa, bị ghi đè hay tồn tại dưới dạng ẩn, đã mã hóa và làm cho nó có thể đọc được, nhìn thấy được, ghi lại được để khai thác sử dụng làm chứng cứ. Tuy nhiên, do dữ liệu điện tử (dấu vết điện tử) có đặc điểm dễ bị xóa, bị sửa, bị thay đổi khi mở, kiểm tra, lưu không đúng cách hoặc bị nhiễm virus, mã hóa khi truyền qua mạng, nên trong quá trình phát hiện, thu thập dấu vết là dữ liệu điện tử, cần có những kiến thức nhất định về dữ liệu điện tử, tin học, máy tính, mạng máy tính, mạng viễn thông…

Quá trình hình thành và tồn tại dấu vết điện tử

Xác định sự hình thành và nơi tồn tại của dấu vết điện tử là cơ sở để thực hiện các hoạt động, phương pháp, kỹ thuật nhằm phát hiện và thu thập chúng. Đối với tội phạm sử dụng công nghệ cao, cũng như các tội phạm sử dụng các thiết bị kỹ thuật số, mạng máy tính và chương trình phần mềm để làm công cụ thực hiện hành vi phạm tội thì dấu vết điện tử được hình thành và tồn tại gắn với quá trình thực hiện hành vi phạm tội. Theo tác giả, quá trình này bao gồm: (1) Đối tượng chuẩn bị các thiết bị kỹ thuật số, máy tính, mạng máy tính, các chương trình phần mềm, các ứng dụng; (2) Đối tượng tác động vào các thiết bị kỹ thuật số, máy tính, mạng máy tính để sử dụng, kích hoạt các chương trình phần mềm, ứng dụng để thực hiện hành vi phạm tội; (3) Các chương trình, phần mềm, các ứng dụng sau khi được kích hoạt sẽ khởi chạy và khởi tạo các dữ liệu điện tử và được truyền dẫn tới các thiết bị kỹ thuật số, máy tính, mạng máy tính (là đối tượng bị tấn công, xâm nhập) thông qua mạng Internet, mạng viễn thông; (4) Các thiết bị kỹ thuật số, máy tính, mạng máy tính bị tác động, tấn công, xâm nhập nhận dữ liệu điện tử từ các nguồn tác động, tấn công, xâm nhập và khởi chạy, khởi tạo các dữ liệu điện tử.

Ngoài ra, trong trường hợp các thiết bị kỹ thuật số, máy tính, mạng máy tính, các chương trình phần mềm, ứng dụng được triển khai, sử dụng để theo dõi, cảnh giới, cảnh báo nhằm mục đích phòng ngừa tội phạm thì dấu vết điện tử cũng hình thành, tồn tại và được lưu trữ trong các thiết bị kỹ thuật số theo thiết lập của người sử dụng.

- Trong quá trình đối tượng chuẩn bị để thực hiện hành vi phạm tội: Các chương trình phần mềm, ứng dụng và dữ liệu lúc này được lưu giữ trong thiết bị kỹ thuật số, máy tính, mạng máy tính của đối tượng hoặc cũng có thể được lưu trữ trong các máy tính, mạng máy tính của đối tượng khác (bên thứ ba) mà các đối tượng đã chiếm quyền điều khiển, hoặc cũng có thể được lưu trữ trên mạng công cộng và điện toán đám mây - cloud (là các trung tâm dữ liệu trên Internet được cung cấp miễn phí hoặc trả phí như: Amazon, Google, Microsoft (quốc tế) hoặc FPT, Viettel, CMT hay VNPT (Việt Nam)...).

- Trong quá trình đối tượng thực hiện hành vi vi phạm, phạm tội có tính hình sự tác động, tấn công, xâm nhập: Dấu vết điện tử có thể được lưu trữ ở 04 nơi, đó là lưu trữ trong các thiết bị lưu trữ, thiết bị kỹ thuật số, máy tính, mạng máy tính của chính đối tượng; lưu trữ trong các thiết bị lưu trữ, thiết bị kỹ thuật số, máy tính, mạng máy tính của nạn nhân; lưu trữ của bên thứ ba trong máy tính, hệ thống trung tâm dữ liệu của bên mà bị hại hoặc người tấn công thuê đặt tại trung tâm dữ liệu của bên thứ ba; lưu trữ trên cloud (điện toán đám mây).

Cần lưu ý rằng, mặc dù dấu vết điện tử được lưu trữ ở những nơi khác nhau nhưng chúng có thể dễ dàng kết nối với nhau nhờ mạng Internet. Hơn nữa, dấu vết điện tử không tồn tại như dạng vật chất cụ thể bên ngoài, mà nó tồn tại trong các thiết bị kỹ thuật số, máy tính, mạng máy tính (của đối tượng, của nạn nhân, của bên thứ ba hoặc các trung tâm dữ liệu trên Internet).

Phát hiện, ghi nhận, thu lượm và bảo quản dấu vết điện tử trong khám nghiệm hiện trường và khám xét

- Phát hiện dấu vết điện tử: Dấu vết điện tử không tồn tại như dạng vật chất cụ thể bên ngoài, mà nó tồn tại trong các thiết bị kỹ thuật số, máy tính, mạng máy tính, trên cloud. Do đó, quá trình tìm kiếm, phát hiện dấu vết điện tử sẽ gắn liền với việc phát hiện các vật chứng, vật lưu trữ, lưu giữ, tức là các thiết bị kỹ thuật số, máy tính, mạng máy tính, các thiết bị ngoại vi và các loại dây cáp, dây kết nối giữa các thiết bị hoặc thông qua máy tính, mạng máy tính để kết nối đến các cloud. Cần lưu ý rằng, hiện nay, các thiết bị kỹ thuật số rất đa dạng về kích thước và hình dạng, do vậy, trong quá trình khám xét, khám nghiệm hiện trường, để phát hiện được dấu vết điện tử và thiết bị lưu trữ chúng một cách có hiệu quả, thì trước hết, cán bộ khám nghiệm, cán bộ khám xét cần có kiến thức nhất định về các thiết bị kỹ thuật số, máy tính, dấu vết điện tử, mạng máy tính, mạng Internet, mạng viễn thông... và phải thường xuyên cập nhật các thủ đoạn phạm tội mới liên quan đến công nghệ thông tin, các phương tiện điện tử... Trong quá trình khám nghiệm hiện trường, khám xét, cần kết hợp linh hoạt giữa phương pháp quan sát và suy đoán, phân tích, đồng thời, gắn liền với quá trình vận động tìm kiếm trong các bước của khám nghiệm hiện trường, khám xét.

Đối với hiện trường là địa điểm, đối tượng bố trí các thiết bị điện tử và sử dụng để thực hiện hành vi phạm tội. Đây là địa điểm mà đối tượng thiết kế, bố trí các thiết bị, phương tiện kỹ thuật số, máy tính, mạng máy tính, các thiết bị truyền dẫn cùng các chương trình phần mềm, các ứng dụng… và sử dụng chúng để thực hiện hành vi phạm tội. Ngoài ra, tại địa điểm này, đối tượng cũng có thể bố trí các thiết bị cảnh giới như camera, các thiết bị báo động… Do đó, cần lưu ý và phát hiện các thiết bị nhằm mục đích cảnh giới như camera, các thiết bị báo động khác của đối tượng thường được gắn ở bên ngoài, lối đi, cửa ra vào và trong phòng; các thiết bị điện tử, máy tính, thiết bị ngoại vi, dây cáp, dây kết nối giữa các thiết bị, bên cạnh các thiết bị có kích thước lớn dễ nhận diện, phát hiện như máy tính, máy in, máy scan, máy ảnh, máy điện thoại… thì cần quan sát kỹ trên bàn làm việc, trong các hộc bàn, các tập tài liệu, thùng rác, trong tủ, túi quần áo, ví hoặc các chỗ nghi ngờ khác... để tìm kiếm các thiết bị kỹ thuật số có kích thước nhỏ như thẻ nhớ, USB, đĩa CD, VCD, DVD hoặc các thiết bị điện tử dạng đặc biệt như camera tích hợp thẻ nhớ trên cây bút, móc khóa...

Trong trường hợp nghi vấn hoặc đã xác định được đối tượng làm thẻ tín dụng giả sau khi đánh cắp các thông tin của bị hại, thì cần lưu ý tìm kiếm các thẻ tín dụng bị làm giả, phôi thẻ và các thiết bị được sử dụng vào việc in thẻ, làm thẻ tín dụng giả.

Đối với hiện trường là địa điểm đối tượng tác động, tấn công, xâm nhập thông qua mạng máy tính, mạng Internet để thực hiện hành vi vi phạm, tội phạm: Đây là địa điểm có các thiết bị kỹ thuật số bị tác động, tấn công, xâm nhập, kèm theo đó là dấu vết điện tử được tạo ra trong các thiết bị do quá trình nhận dữ liệu điện tử thông qua hệ thống mạng máy tính, mạng viễn thông và đường truyền dẫn. Địa điểm này có thể được xác định từ việc cung cấp, tố giác của bị hại hoặc thông qua việc khai thác thông tin của dấu vết điện tử từ kết quả thu được ở hiện trường là địa điểm đối tượng sử dụng để thực hiện hành vi phạm tội.

- Ghi nhận, thu giữ dấu vết điện tử: Việc ghi nhận, thu giữ dấu vết điện tử được thực hiện cùng với việc ghi nhận, thu giữ thiết bị điện tử lưu trữ dấu vết điện tử. Quá trình đó cần bảo đảm thực hiện đúng trình tự, thủ tục và phương pháp ghi nhận, thu giữ dấu vết, vật chứng nói chung. Bên cạnh đó, trong một số trường hợp cụ thể, việc ghi nhận, thu giữ dấu vết điện tử được thực hiện như sau:

Đối với máy tính: Việc thu giữ máy tính và dấu vết điện tử ở máy tính, hiện nay, vẫn chưa có hướng dẫn cụ thể, thống nhất. Có quan điểm cho rằng, nếu máy tính đang hoạt động, thì phương pháp xử lý là ngắt kết nối ngay nguồn điện, để máy tính tắt đột ngột và thực hiện thu giữ toàn bộ máy tính và các thiết bị kết nối ngoại vi, theo đó có thể phục hồi các dữ liệu tạm thời trên DDRAM khi máy tính được khởi động trở lại. Tuy nhiên, theo quan điểm của tác giả thì việc xử lý như vậy là không phù hợp, vì việc tắt máy tính không đúng trình tự trong bất kỳ trường hợp nào cũng để lại những rủi ro như: Hỏng máy, hư phần mềm, mất dữ liệu…

Theo tác giả, các bước xử lý và thu giữ máy tính cùng dấu vết điện tử ở máy tính bao gồm:

(1) Trường hợp máy tính đang hoạt động: (i) Chụp ảnh thể hiện tình trạng của máy tính: Màn hình đang hiển thị gì, đang chạy các phần mềm, ứng dụng gì; lập biên bản ghi nhận tất cả thông tin hiển thị trên màn hình, bao gồm cả thời gian (giờ, ngày, tháng, năm) hiện tại lúc máy tính đang hoạt động; (ii) Kiểm tra tình trạng kết nối của máy tính, bao gồm: Kết nối với các thiết bị ngoại vi (máy in, máy scan, máy ảnh, điện thoại…), kết nối mạng LAN, Internet. Sau đó, tiến hành chụp ảnh, lập biên bản ghi nhận tất cả các kết nối và tình trạng kết nối. Nếu máy tính đang kết nối mạng Internet, cần nhanh chóng tìm kiếm, phát hiện và thu thập ngay các dữ liệu điện tử nghi vấn, có liên quan từ các nguồn: Trang web đang truy cập, nhóm chat đang sử dụng, email đang sử dụng, các trung tâm dữ liệu cloud… Tất cả các bước thực hiện cần được chụp ảnh lại, lập biên bản ghi nhận; dữ liệu thu giữ cần được lưu trữ vào các thiết bị phù hợp, lập biên bản, niêm phong theo đúng quy định của pháp luật; (iii) Ngắt kết nối Internet nếu máy tính đang kết nối Internet nhằm “cô lập” máy tính khỏi hệ thống mà nó đang kết nối để đề phòng đối tượng dùng mạng xâm nhập “cửa sau” (backdoor) xóa dữ liệu. Sau khi đã ngắt kết nối Internet, phải kiểm tra, ghi nhận kỹ hơn các chương trình, dữ liệu đang hoạt động, đang chạy trên máy tính, phòng ngừa trường hợp chúng bị mất sau khi tắt máy tính; (iv) Tắt máy tính theo đúng trình tự, đánh dấu tất cả các dây kết nối, dây cáp được kết nối vào máy tính, đánh dấu tương ứng đầu dây kết nối và vị trí kết nối, tháo và niêm phong tất cả các kết nối vào máy tính (phải chụp ảnh).

Bên cạnh vấn đề ghi nhận bằng chụp ảnh như đã nêu trong các bước như trên, trong quá trình tiến hành, cán bộ khám nghiệm cần ghi nhận đầy đủ vào biên bản khám nghiệm, biên bản khám xét.

(2) Trường hợp máy tính đã tắt: Không mở (khởi động) máy tính, chụp ảnh thể hiện rõ máy tính không hoạt động. Sau đó, đánh dấu tất cả các dây kết nối, dây cáp được kết nối vào máy tính, đánh dấu tương ứng đầu dây kết nối và vị trí kết nối và tháo tất cả các kết nối vào máy tính, rồi tiến hành niêm phong tất cả các lỗ kết nối của máy tính (phải chụp ảnh).

Quá trình tiến hành cần ghi nhận đầy đủ vào biên bản khám nghiệm, biên bản khám xét.

Đối với điện thoại thông minh: Hiện nay, điện thoại di động rất đa dạng về chủng loại và có nhiều tính năng cao cấp, nhiều điện thoại hoạt động tương tự như một máy tính thu nhỏ. Quá trình ghi nhận, thu giữ cần lưu ý rằng, hiện nay hầu hết các điện thoại thông minh có thể thực hiện xóa dữ liệu từ xa qua kết nối di động, wifi và bluetooth, bên cạnh đó việc tắt điện thoại di động khi chúng còn hoạt động thường gây khó khăn cho quá trình trích xuất dữ liệu về sau.

Đối với điện thoại đang hoạt động thì trong quá trình thu giữ, Điều tra viên, Cán bộ điều tra không nên tắt máy; chụp ảnh hiển thị màn hình, ghi lại các thông tin hiển thị, không thử nhập mật khẩu đăng nhập nếu máy đang cài mật khẩu đăng nhập; kiểm tra và ngắt kết nối mạng di động, wifi, dữ liệu di động, bluetooth, chức năng định vị GPS. Có thể thực hiện các giải pháp chắn sóng để ngăn chặn việc xóa từ xa và thay đổi các dữ liệu kỹ thuật số có trong điện thoại như sử dụng túi Faraday, bọc điện thoại trong giấy nhôm và không để máy hết pin (thực hiện nạp pin nếu cần thiết).

Đối với điện thoại đã tắt thì không mở (khởi động) máy mà luôn giữ trạng thái tắt; thu giữ, bảo quản đúng phương pháp.

Đối với camera an ninh: Camera an ninh có thể hoạt động độc lập hoặc kết nối mạng LAN, Internet. Camera an ninh có thể lưu những dữ liệu điện tử quan trọng phản ánh về đối tượng, nạn nhân, hoạt động phạm tội…

Đối với camera an ninh tại khu vực hiện trường hoặc địa điểm khám xét là địa điểm đối tượng sử dụng để thực hiện hành vi phạm tội thì cần kiểm tra và ngắt kết nối với mạng LAN, mạng internet; tắt nguồn và thu giữ, bảo quản đúng phương pháp. Các trường hợp khác cần phối hợp với bên quản lý, sử dụng để thực hiện trích xuất dữ liệu của camera.

Việc đóng gói, niêm phong phải được thực hiện theo đúng quy định của pháp luật. Cần lưu ý, đóng gói tất cả trong bao bì, hộp chứa chống tĩnh điện (túi nhựa và hộp đựng có thể tạo ra tĩnh điện và cho phép phát triển độ ẩm ngưng tụ có thể làm hỏng hoặc phá hủy dấu vết điện tử); bị uốn cong, trầy xước hoặc biến dạng.

TS. Lê Văn Công