Professional Documents
Culture Documents
VIE - CSA Tier 1 Cyber Training Program - All Modules v3.1 - FINAL (VN)
VIE - CSA Tier 1 Cyber Training Program - All Modules v3.1 - FINAL (VN)
BẬC 1
CHƯƠNG TRÌNH ĐÀO TẠO AN NINH MẠNG
Học phần 5: Các loại tội phạm mạng & tác nhân đe dọa
Tìm hiểu các loại tấn công khác nhau và các hoạt động độc hại do tội phạm mạng thực hiện cũng như
việc tiếp xúc với các tác nhân đe dọa khác nhau. Học viên sẽ được giới thiệu các thuật ngữ phổ biến
được sử dụng trong tội phạm mạng và an ninh mạng, bao gồm sự khác biệt giữa các hacker mũ
trắng/xám/đen.
Học phần 9: Các khái niệm và cân nhắc khi điều tra
Cung cấp tổng quan/danh sách các nội dung cần cân nhắc trong suốt quá trình điều tra tội phạm
mạng, bao gồm lập kế hoạch lệnh khám xét, tham gia với các nhóm chuyên gia, nhận thức về pháp
luật, quản lý bằng chứng điện tử và yêu cầu hỗ trợ.
Phụ lục A: Hướng dẫn xử lý ban đầu với tội phạm mạng
Hướng dẫn hữu ích để đưa vào lệnh khám xét nhằm giúp hỗ trợ xác định và bảo quản bằng chứng
điện tử tiềm năng
Học phần này sẽ giới thiệu sự khác biệt giữa tội phạm mạng và tội phạm lợi dụng không gian mạng
kèm theo ví dụ. Chúng ta sẽ nghiên cứu tội phạm mạng từ góc độ thực thi pháp luật và thảo luận
một số khái niệm liên quan đến không gian mạng, tiếp theo sẽ đề cập đến tầm quan trọng của sự
hợp tác và liên kết.
Nhìn chung, khóa học này sẽ cung cấp cho học viên nhận thức và hiểu biết sâu sắc hơn về cách thức
điều tra/thẩm vấn và các hạn chế trong việc tiến hành điều tra tội phạm mạng.
Tội phạm mạng có thể được định nghĩa là hoạt động tội phạm được thực hiện bằng máy tính hoặc
Internet. Từ góc độ thực thi pháp luật, tội phạm mạng có thể được xác định theo luật liên quan đến
từng quốc gia mà loại tội phạm này hoạt động. Thông thường tội phạm mạng có hai khái niệm chính.
Thứ nhất, tội phạm nhắm vào máy tính hoặc các công nghệ truyền thông thông tin khác (ICT). Thứ
hai, tội phạm trong đó máy tính hoặc ICT được sử dụng như một phần không thể thiếu của hành vi
phạm tội để kích hoạt hoạt động.
INTERPOL sử dụng thuật ngữ “tội phạm mạng thuần túy” để định nghĩa tội phạm đối với máy tính và
hệ thống thông tin với mục đích là truy cập trái phép vào thiết bị hoặc từ chối quyền truy cập của
người dùng hợp pháp. Các loại tội phạm mạng thuần túy phổ biến là truy cập dữ liệu máy tính một
cách bất hợp pháp (hack), phần mềm độc hại và từ chối dịch vụ. Những nội dung này sẽ được thảo
luận chi tiết ở phần sau của khóa học.
INTERPOL phân loại các loại tội phạm như gian lận tài chính trực tuyến hoặc khủng bố sử dụng
phương tiện truyền thông xã hội là "tội phạm lợi dụng không gian mạng ".
Các loại tội phạm lợi dụng không gian mạng phổ biến bao gồm hoạt động lừa đảo để ‘nhử’ người
dùng tiết lộ thông tin, gian lận và đánh cắp danh tính, bắt nạt trên không gian mạng, tống tiền/tình
người khác bằng cách tiết lộ bằng chứng về hoạt động tình dục của họ (sextortion),mã độc tống tiền
(ransomware) và xâm nhập email doanh nghiệp. Cảnh sát Liên bang Úc (AFP) và các cơ quan thực thi
pháp luật khác ở Đông Nam Á rất chú trọng các tội phạm lợi dụng không gian mạng bao gồm lạm
dụng tình dục trẻ em trực tuyến (LOCSA) và hành động cực đoan hóa trực tuyến. Các loại tội phạm
mạng này và các tác nhân đe dọa sẽ được thảo luận chi tiết trong Học phần 5 của khóa học.
Cần lưu ý rằng tội phạm mạng thực sự là một phạm trù rộng lớn, từ tội phạm mạng thuần túy đến
việc sử dụng công nghệ một cách vô tình và điều quan trọng là không nên quá chú trọng vào các
định nghĩa. Trên thực tế, những tội không phải là tội phạm mạng vẫn có thể có yếu tố mạng. Ví dụ,
một tội phạm gửi email cho ai đó về một vụ giết người mà hắn vừa thực hiện.
Công tác cảnh sát hiện đại hoạt động trong một môi
trường kỹ thuật và đầy thách thức. Cảnh sát cần
hiểu rằng vai trò của họ đối với các loại tội phạm
này là xử lý vụ việc một cách tập trung, có hiệu quả,
được tính toán và mang tính nghiệp vụ.
Cố gắng không gây ra sai sót nào. Cuộc điều tra này sẽ phức tạp. Trong nhiều trường hợp, khung
pháp lý kết hợp với các vấn đề công nghệ phức tạp sẽ dẫn đến một cuộc điều tra theo kiểu “vừa học
vừa điều tra”.
Bản chất khó nắm bắt này của tội phạm mạng thể hiện bằng một nhu cầu thiết yếu phải có trình độ
chuyên môn cao trong việc điều tra các vấn đề về tội phạm mạng. Ngay từ đầu cuộc điều tra, khó mà
xác định được mục đích cuối cùng đằng sau một vụ xâm nhập máy tính hoặc cách thức phát sinh vụ
việc.
Nếu một doanh nghiệp báo cáo về một hành vi xâm nhập liên quan đến mạng của doanh nghiệp, vẫn
chưa thể xác định được hành vi phạm tội. Đó có thể là một sự cố tấn công độc hại nhằm mục đích
làm hỏng hoặc phá hoại mạng, một cuộc tấn công khủng bố có thể xảy ra, một số hình thức gián
điệp, một cuộc tấn công từ chối dịch vụ, một cuộc tấn công ransomware, cũng như sự kết hợp của
các loại tội phạm lợi dụng không gian mạng. Hãy đối chiếu với một tội phạm truyền thống trong thế
giới thực, chẳng hạn như cướp có vũ trang. Khi một đối tượng sử dụng súng bước vào một cơ sở
doanh nghiệp để cướp tiền, loại tội phạm ở đây được xác định rõ ràng. Ngoài ra, tại hiện trường,
thường có một số loại bằng chứng vật lý như ADN, dấu vân tay, dấu giày, dấu công cụ, dấu vết lốp
xe, đạn đạo, video giám sát, số tiền thực tế bị lấy, cũng như một số nhân chứng - chưa kể đến đến vị
trí địa lý thực tế. Trong khi đó, không một thành tố nào trong số này có sẵn trong kịch bản tội phạm
mạng; và những bằng chứng kỹ thuật số (hoặc bằng chứng trực tuyến) vốn đã ít ỏi lại không tồn tại
lâu. Nếu Điều tra viên tội phạm mạng có tay nghề cao không xử lý ngay lập tức, bằng chứng có thể
biến mất vĩnh viễn.
Khi sự phụ thuộc của chúng ta vào công nghệ ngày càng tăng, tội phạm mạng trở thành một
nguồn thu ngày càng hấp dẫn đối với các nhóm tội phạm có tổ chức, đồng thời là một lựa chọn
hấp dẫn để thực hiện các giao dịch thương mại và tài chính hỗ trợ hoạt động tội phạm. Các biện
pháp bảo vệ biên giới tự nhiên trước đây với tư cách là một rào cản đối với hoạt động tội phạm
đã không còn tồn tại. Tội phạm mạng có thể ngay lập tức tiếp cận và tác động đến nhiều nạn
nhân hơn là thông qua các phương pháp truyền thống khác (VD: ấn phẩm) và tác động đến các
cá nhân bằng tin tức giả, thông tin sai lệch và hệ tư tưởng cực đoan. Lợi ích tài chính là động lực
chính, ngoài ra còn có những động lực khác như gây ảnh hưởng đến người khác.
Việc sử dụng Internet cho các mục đích phạm tội là một trong những thách thức quan trọng nhất mà
cơ quan thực thi pháp luật phải đối mặt. Do tính chất môi trường của tội phạm mạng, công tác thực
thi pháp luật đòi hỏi có sự hiểu biết và khả năng sử dụng công nghệ. Không gian mạng thường tạo ra
cảm giác an toàn giả tạo cho người dùng, khiến họ tiếp cận các cơ hội được tìm thấy trên Internet
một cách thiếu cẩn trọng hơn thông thường.
Dữ liệu điện tử rất mong manh. Nó dễ dàng bị xóa, thao túng và sửa đổi với một cách dễ dàng và
nạn nhân của tội phạm mạng đôi khi nằm rải rác trên khắp thế giới ở các khu vực pháp lý hoặc quốc
gia khác nhau. Đặc điểm này kết hợp với những thách thức đáng kể vốn có trong quá trình điều tra
tội phạm mạng, trong đó có: xác định vị trí tội phạm mạng ẩn danh một cách tinh vi; sự cần thiết
Ngoài các bước điều tra cơ bản cần thiết trong bất kỳ cuộc điều tra nào, điều tra tội phạm mạng yêu
cầu: (i) các loại câu hỏi mới được đặt ra, (ii) các cách điều tra/tìm hiểu mới, và (iii) các quy trình và kỹ
thuật mới liên quan đến việc thu thập và lưu giữ bằng chứng. Để điều tra thành công, các điều tra
viên đòi hỏi phải đổi mới kỹ năng đáng kể.
Dữ liệu là ‘Vua’
Cho dù mang tính riêng tư hay công khai, dữ
liệu được coi là "Vua". Thông tin điện tử
thường được lưu trữ trong cơ sở dữ liệu có
cấu trúc. Với kiến thức CNTT và ngân sách
hạn chế, cơ quan thực thi pháp luật có thể
phối hợp với các cơ quan và đối tác bên ngoài
để truy cập các cơ sở dữ liệu này. Mặc dù
cách tiếp cận này là cần thiết, điều quan trọng
là phải xác định đầy đủ các quy tắc cụ thể
trong quá trình hợp tác nhằm tránh việc tạo
ra một khoảng trống pháp lý cho các cơ quan
bên ngoài này.
Khi tội phạm mạng và người sử dụng bắt đầu dùng các kỹ thuật hỗ trợ quyền riêng tư (ví dụ: mã hóa,
tiền mã hóa, VPN, mạng TOR, v.v.), từ góc độ thực thi pháp luật, dữ liệu công khai ngày càng khó
truy cập. Do đó, để cơ quan thực thi pháp luật có được thông tin công khai làm bằng chứng, họ có
thể áp dụng các công cụ và phương pháp chuyên môn để xử lý sự gia tăng của tội phạm sử dụng các
công nghệ tiên tiến.
Dữ liệu có sẵn công khai này rất phong phú các thông tin, tuy nhiên các loại dữ liệu là vô hạn và các
rủi ro cụ thể đối với công tác thực thi pháp luật liên quan đến việc thu thập và phân tích dữ liệu lại
phụ thuộc vào thông tin cụ thể đang được trích xuất. Trong bối cảnh này, web nổi cung cấp thông tin
có thể truy cập được thông qua phần mềm chụp hoặc quét màn hình để truy cập các trang web,
tương tự như tương tác của con người.
Một thách thức đối với công tác thực thi pháp luật là các dữ liệu không có cấu trúc được thu thập và
loại bỏ. Dữ liệu có thể thiếu thông tin ngữ cảnh cụ thể, từ đó đặt ra câu hỏi về chất lượng và độ
chính xác của dữ liệu.
Dark Web là nơi thích hợp để truy cập các chợ đen trực tuyến, mua vũ khí và ma tuý trái phép, chia
sẻ/buôn bán tài liệu bóc lột trẻ em, rửa tiền, thuê tin tặc và thực hiện nhiều hoạt động bất chính
khác. Người dùng truy cập các dịch vụ ẩn này thông qua URL (trình định vị tài nguyên thống nhất) với
hậu tố .onion thay vì .com, .org, .net, v.v.
Theo CoinMarketCap (tính đến ngày 10 tháng 2 năm 2021), có hơn 8.400 loại tiền ảo và token, với
tổng vốn hóa thị trường là 1,4 nghìn tỷ USD. 12 loại tiền mã hóa hàng đầu:
Trước đây, các cơ quan thực thi pháp luật thường tự thu thập thông tin và nhờ các chuyên gia nội bộ
của mình đánh giá. Nhưng xử lý một mình như vậy là không phù hợp. Với bản chất phức tạp của các
cuộc điều tra tội phạm mạng, việc hợp tác và phối hợp giữa các cơ quan thực thi pháp luật, cũng như
với các đối tác bên ngoài như các tổ chức hàn lâm, công và tư là vô cùng quan trọng.
Các lĩnh vực kỹ thuật và chuyên môn để hỗ trợ đối phó với tội phạm mạng và tội phạm lợi dụng
không gian mạng là điều cần thiết để đạt được kết quả thành công. Một số nội dung kỹ thuật/chuyên
môn này bao gồm: nhóm điều tra tội phạm mạng, giám định hình sự kỹ thuật số và nhóm ứng phó
sự cố an ninh máy tính. Điều quan trọng cần lưu ý là cơ quan thực thi pháp luật có thể không có khả
năng tuyển dụng/sử dụng những chuyên gia này, những con người ngày càng đóng vai trò quan
Đội điều tra tội phạm mạng và/hoặc đơn vị xử lý tội phạm mạng
Các đội/đơn vị này có những nhân viên chuyên môn có khả năng điều tra và kỹ thuật trong quá trình
điều tra tội phạm mạng. Thông thường, các đội/đơn vị này đã thiết lập những thông lệ hợp tác thực
thi pháp luật quốc tế có hiệu quả.
Tin tức về an ninh mạng đề cập đến các vi phạm và/hoặc các mối đe dọa tiềm ẩn được báo cáo hàng
ngày, nhưng hiếm khi những tin tức này ảnh hưởng đến công chúng vì chúng có xu hướng là những
tin có mức độ hiển thị khá thấp đối với người bình thường. Tuy nhiên, những sự cố an ninh mạng
này có thể gây ra những hậu quả nghiêm trọng cho các doanh nghiệp và tổ chức, do đó có khả năng
ảnh hưởng đến công tác thực thi pháp luật.
Với bản chất tốc độ nhanh của tội phạm mạng, phòng ngừa là khía cạnh quan trọng của bất kỳ chiến
lược chống tội phạm mạng nào. Cơ quan phòng chống tội phạm ASEAN thúc đẩy việc đảm bảo tình
trạng an toàn của mạng trong toàn khu vực, trao quyền cho các cộng đồng để giữ an toàn và bảo vệ
bản thân khỏi trở thành nạn nhân của tội phạm mạng. Giáo dục và nâng cao nhận thức là trụ cột
chính của Cơ quan An toàn mạng Châu Á (CSA) và có liên quan trực tiếp đến cảnh sát và cộng đồng
của họ.
Học phần này cũng thảo luận về các yêu cầu nhận thức kỹ thuật cơ bản khi xử lý Tội phạm mạng và
các vấn đề và thách thức với bằng chứng điện tử trong thời điểm mà cải cách luật pháp không theo
kịp với những tiến bộ của công nghệ.
Bằng chứng điện tử, thường còn được gọi là ‘bằng chứng kỹ thuật số’, trong thế giới hiện đại không
có rào cản địa lý. Trong môi trường này, Điều tra viên phải tìm cách hiểu các vấn đề về chứng cứ, kỹ
thuật và pháp lý liên quan đến bằng chứng điện tử.
Việc thu thập và phân tích thông tin để đưa ra bằng chứng điện tử đã trở thành vấn đề trung tâm
trong một thế giới tội phạm mạng ngày càng nhiều thách thức. Trước đây, bằng chứng điện tử là bản
in thông thường từ máy tính, và rất nhiều vật chứng tại tòa đều là bản giấy. Nhưng trong nhiều năm,
các cán bộ thực thi pháp luật đã sử dụng phương tiện kỹ thuật số, không chỉ vì các thiết bị điện tử
nhỏ hơn và phổ biến hơn, mà bởi vì ngành giám định hình sự kỹ thuật số đã lớn mạnh và chuyên
nghiệp hóa đáng kể. Trong lịch sử, trong nhiều trường hợp, Điều tra viên đã tạo ra các bản in của
riêng họ, đôi khi sử dụng chương trình ứng dụng gốc, đôi khi là phần mềm chuyên dụng. Gần đây,
Giám định viên hình sự kỹ thuật số thường được gọi là Điều tra viên kỹ thuật số, là người thực hiện
giám định hình sự đối với một thiết bị hoặc mạng, xây dựng báo cáo giám định hình sự về bằng
chứng đã thu giữ và đưa ra bằng chứng chuyên môn trước tòa. Quá trình phân tích giám định hình
sự kỹ thuật số các phương tiện điện tử giúp hoàn thành một mục tiêu tiềm năng là mang nghi phạm
‘ra khỏi bàn phím’. Các yếu tố khác giúp đóng góp trực tiếp vào xác định quyền tác giả kỹ thuật số và
nhận dạng người dùng thiết bị, trong khi các khía cạnh khác giúp xác định hành vi phạm tội bị nghi
ngờ hoặc sử dụng hệ thống máy tính không đúng cách.
Cuối cùng, để dữ liệu hoặc thông tin điện tử được thu thập được coi là bằng chứng, dữ liệu và thông
tin này phải được kiểm tra về mức độ liên quan và độ tin cậy. Bằng chứng này có liên quan đến các
sự kiện đang được đề cập là đối tượng của cuộc điều tra không? Bằng chứng có được thu thập, bảo
quản và giải thích mà vẫn đảm bảo độ tin cậy của bằng chứng không?
Trong các vụ việc liên quan đến tội phạm bóc lột trẻ em, trong đó, một máy tính duy nhất là bằng
chứng duy nhất được thu thập, thì việc khám nghiệm giám định hình sự kỹ thuật số đóng vai trò
quan trọng. Tuy nhiên, trong phần lớn các trường hợp giám định hình sự kỹ thuật số, cần phải tiến
hành các hoạt động điều tra bổ sung đáng kể. Hoạt động bổ sung này giúp chứng thực những phát
hiện của phân tích giám định hình sự cũng như thu thập thêm bằng chứng tiềm ẩn về các hành vi
phạm tội được thực hiện theo các luật khác nhau, ví dụ: tội truyền bá và cũng như tội sở hữu. Vì
không có cuộc điều tra nào giống nhau nên các phương pháp điều tra vật lý được sử dụng cũng sẽ
khác nhau tùy từng trường hợp.
Một nội dung khác cần xem xét khi xác định vị trí của bằng chứng điện tử là một cuộc điều tra có sự
tham gia của nhóm ứng phó sự cố bảo mật. Lưu ý rằng vai trò của nhóm này có thể dẫn đến xung
đột với vai trò điều tra/thực thi pháp luật. Nhóm ứng phó sự cố tìm cách bảo vệ, giảm thiểu và
thường KHÔNG giữ gìn và bảo mật bằng chứng để phục vụ điều tra sự kiện sau đó. Trong những
cuộc điều tra này, hãy trao đổi càng sớm càng tốt về yêu cầu của bạn trong thời gian căng thẳng và
trách nhiệm cạnh tranh này.
Cuối cùng, không giống như bằng chứng vật chất truyền thống, bằng chứng điện tử rất dễ bị xóa,
mất hoặc bị tiêu hủy. Điều này không chỉ do sai sót trong điều tra, mà do thực tế là bằng chứng có
thể nằm ở một công ty có chính sách nội bộ về lưu giữ dữ liệu. Luật bảo vệ dữ liệu và luật bảo quản
đóng một vai trò quan trọng liên quan đến tính kịp thời của việc thu thập bằng chứng điện tử hiệu
quả.
Vì thông tin thuê bao cho đến nay là thông tin phổ biến nhất được các Cơ quan điều tra tội phạm
mạng trên khắp châu Á theo đuổi, điều quan trọng là phải phân biệt được giữa phân bổ tĩnh và động
của địa chỉ IP. Địa chỉ IP tĩnh không thay đổi và được chỉ định cho một người cụ thể trong thỏa thuận
dịch vụ, giống như số điện thoại di động, tuy nhiên, thay vào đó, nhà cung cấp dịch vụ có thể chỉ định
địa chỉ IP động, tức là nó có thể liên tục thay đổi. Trong trường hợp này, Điều tra viên sẽ cần biết
chính xác hơn ngày và giờ cụ thể mà một địa chỉ IP đã được sử dụng để nhà cung cấp dịch vụ báo cáo
chính xác về người đăng ký.
Điều quan trọng là phải nhận thức được các vấn đề xung quanh công nghệ Biên dịch địa chỉ mạng
cấp độ nhà cung cấp dịch vụ (CGN) được sử dụng bởi Nhà cung cấp dịch vụ Internet (ISP). CGN,
thường được gọi là ‘NATing cấp độ nhà cung cấp dịch vụ’, cho phép ISP chia sẻ một địa chỉ IP duy
nhất giữa một số người đăng ký (đôi khi hàng nghìn), điều này rõ ràng gây khó khăn cho ISP khi các
cơ quan thực thi pháp luật yêu cầu kiểm tra người đăng ký. Ngày nay, các ISP và nhà cung cấp dịch
vụ viễn thông khác nhau đang đầu tư vào khả năng cho phép họ ít nhất cung cấp cho Điều tra viên
một số tùy chọn khi được cung cấp địa chỉ IP, cổng nguồn, ngày và giờ chính xác, v.v. Cách đây vài
năm, khả năng này không có sẵn, khi đó các kết quả điều tra có giá trị đôi khi bị mất do không thể
truy cập thông tin này.
Các cuộc điều tra hiện đại có thể dễ dàng liên quan đến việc thu thập và phân tích hàng triệu tệp
điện tử. Việc quản lý bằng chứng ban đầu là rất quan trọng đối với tính toàn vẹn của bằng chứng
trước tòa án. Hãy nhớ rằng bằng chứng điện tử tốt nhất trên thế giới sẽ vô dụng nếu nó không được
chấp nhận vì quản lý kém.
Một Chuỗi hành trình được đưa ra nhằm mục đích chứng minh rằng bằng chứng không bị thay đổi
theo bất kỳ cách nào từ thời điểm thu thập cho đến khi trình bày cuối cùng trước tòa. Bản chất của
bằng chứng điện tử cho thấy, các lỗ hổng liên quan đến việc chứng minh rằng không có sự thay đổi
nào diễn ra, cũng như tính xác thực của bằng chứng là đáng tin cậy 100%.
Không giống như một bằng chứng vật lý thông thường (ví dụ: súng hoặc dao), việc trình bày các tệp
nhật ký điện tử thu được từ Nhà cung cấp dịch vụ Internet sẽ dễ đối mặt với thách thức hơn về tính
toàn vẹn, ngữ cảnh và giá trị bằng chứng. Do đó, các nguyên tắc chuỗi hành trình khi xử lý bằng
chứng điện tử phải có căn cứ và đáng tin cậy. Điều này sẽ được thảo luận sâu hơn ở phần sau của
khóa học.
Quản lý quy trình cung cấp một bản ghi nhanh có cấu trúc, có thể định lượng và cụ thể cho chứng cứ
điện tử, cụ thể như sau:
Quy trình bảy bước này được sử dụng kết hợp với ma trận chứng cứ điện tử sẽ giúp đảm bảo rằng
TẤT CẢ bằng chứng điện tử được kiểm tra một cách thích hợp và đầy đủ. Bất kỳ kết quả kiểm tra nào
sau đó có thể hỗ trợ thúc đẩy cuộc điều tra để đảm bảo tất cả các bằng chứng hiện tại và tiềm năng
được thu thập trong tương lai được tận dụng đầy đủ.
Mặc dù khả năng chấp nhận và chuỗi hành trình đóng vai
trò cơ bản để đảm bảo bằng chứng được tòa án chấp nhận, nhưng đây không phải là lý do tại sao
bằng chứng được trình bày. Bằng chứng phải được trình bày theo cách có liên quan và đáng tin cậy
thông qua việc trả lời các câu hỏi nhằm mục đích bác bỏ hoặc hỗ trợ các yếu tố của hành vi phạm tội.
Tất nhiên, câu trả lời có thể là cả ba, nhưng việc chia nhỏ thành lý luận điều tra chứ không chỉ đơn
thuần là trải nghiệm người dùng cuối sẽ cho phép Điều tra viên tội phạm mạng hình dung được hiện
trường vụ án thực sự. Mỗi câu trong số ba câu hỏi trên có thể giúp xác định một tập hợp các hiện
trường tội phạm trong phạm vi một thiết bị vật lý. Việc trả lời cho mỗi câu hỏi này đều có thách thức
thực thi pháp luật riêng, đồng thời đóng vai trò là phép thử để kiểm tra khả năng tưởng tượng của
Điều tra viên tội phạm mạng.
Nhận thức về công nghệ ngày nay phải bao gồm cả nhận thức về tiền ảo/tiền điện tử. Để hiểu về tiền
ảo, chúng ta cần nắm kiến thức về mật mã. Mật mã học là một phương pháp bảo vệ hoặc che giấu
thông tin bằng cách sử dụng các mã để chỉ những người có mục đích sử dụng thông tin mới có thể
đọc và xử lý nó. Tiền tố "crypt-" có nghĩa là "ẩn" hoặc "kho tiền" và hậu tố "-graphy" có nghĩa là
"viết". Liên quan đến máy tính, mật mã đề cập đến thông tin an toàn và các kỹ thuật truyền thông
bắt nguồn từ các khái niệm toán học và một tập hợp các phép tính dựa trên quy tắc được gọi là
thuật toán, để biến đổi thông tin theo những cách khó giải mã. Các thuật toán này được sử dụng để
tạo khóa mật mã. Khóa là một giá trị được sử dụng trong quá trình mã hóa để mã hóa và cũng để
giải mã dữ liệu và được gọi là 'biến mật mã' (‘crypto variable’).
Từ nhận thức cơ bản, Điều tra viên cần phát triển các kỹ
năng “sở trường” để cho phép họ thúc đẩy việc điều tra
và ra quyết định thu thập bằng chứng. Nhận thức về công
nghệ không thể được tích lũy chỉ bằng cách đọc một cuốn
sách. Quá trình này được phát triển trong nhiều năm bằng
cách áp dụng các phương pháp điều tra pháp lý cho các
tình huống khác nhau (được liệt kê bên dưới), đồng thời
đảm bảo các nguyên tắc về mức độ liên quan và độ tin cậy
được áp dụng.
Các cuộc tấn công trên không gian mạng có mục tiêu là thiết bị IoT hoặc sử dụng thiết bị IoT đã tăng
lên đáng kể trong vài năm qua. Thực trạng này đặt ra một số thách thức đối với công tác thực thi
pháp luật như sau:
Mặc dù lực lượng thực thi pháp luật trên toàn thế giới đang phát triển các kỹ năng cần thiết để kiểm
tra pháp lý máy tính và điện thoại di động, thách thức đang nổi lên không chỉ là biết cách thu thập
bằng chứng điện tử từ các thiết bị IoT, mà còn là xác định sự tồn tại của chúng ngay từ đầu.
Kết nối Wi-Fi chỉ được tìm thấy trong các thiết bị được cắm điện, chẳng hạn như loa thông minh, bộ
điều nhiệt thông minh. Wi-Fi tiêu thụ rất nhiều năng lượng, đó là lý do tại sao bạn hầu như không
bao giờ tìm thấy các thiết bị kết nối Wi-Fi chạy bằng pin. Zigbee và Z-Wave thường được sử dụng cho
những vật giống hệt nhau, chẳng hạn như khóa cửa, cảm biến không dây và rất nhiều thiết bị chạy
bằng pin, vì cả Zigbee và Z-Wave đều không tiêu thụ nhiều năng lượng. Cuối cùng, Bluetooth thường
được sử dụng trên các thiết bị chạy bằng pin bên trong, đặc biệt là biến thể Bluetooth năng lượng
thấp, khóa cửa đang chạy, ổ cắm điện và cảm biến không dây.
Một điểm đáng chú ý với công tác thực thi pháp luật là, Zigbee và Z-Wave thường muốn kiểm soát
các thiết bị từ mọi nơi trên thế giới bằng máy tính để bàn, điện thoại thông minh hoặc máy tính xách
tay; đồng thời Zigbee và Z-Wave không kết nối trực tiếp với Internet. Để điều khiển chúng từ mọi
nơi, bạn cần có một trung tâm Nhà Thông minh có thể giao tiếp với Zigbee, Z-Wave hoặc cả hai,
được cắm điện và kết nối với Internet. Chúng ta có thể bắt đầu nghiên cứu từ các thương hiệu như
Wink và Samsung SmartThings. Ngoài ra còn có các loa thông minh, như Amazon Echo Plus, có thể
tăng gấp đôi như một trung tâm Zigbee.
Cơ quan thực thi pháp luật đang ngày càng để ý đến các ‘trợ lý ảo thông minh’ (Smart assistant).
Google có Trợ lý Google (Google Assistant), Amazon có Alexa, Microsoft có Cortana và Apple có Siri.
Các trợ lý ảo thông minh này cũng có nhiều cách để bạn có thể nói chuyện hoặc giao tiếp với họ qua
điện thoại di động, máy tính hoặc nếu bạn có loa thông minh hỗ trợ việc giao tiếp với trợ lý đó. Mặc
dù không phải lúc nào cũng vậy, nhưng thông thường trợ lý thông minh là điểm tiếp xúc chính với
các thiết bị thông minh, vì chúng ta đều muốn có thể điều khiển các thiết bị đó bằng giọng nói của
mình. Ví dụ, bạn có thể nói, “OK Google, bây giờ là mấy giờ ở Việt Nam?” Tìm kiếm bằng giọng nói và
phản hồi của Google có được lưu ở bất kỳ đâu trên chính thiết bị trợ lý của Google không? Hoặc nó
đã được liên kết với tài khoản Google được đăng nhập trên thiết bị? Đây là những câu hỏi đặc thù
mà các Điều tra viên Tội phạm Mạng đang phải đối mặt.
IoT giới thiệu một loạt công nghệ mới kết nối các khả năng với môi trường tích hợp của chúng ta mà
không mấy chú trọng đến vấn đề bảo mật, bởi vì hầu hết các thiết bị đang sử dụng bộ xử lý đơn giản
hoặc thậm chí là hệ điều hành rút gọn. Trong một số trường hợp, các thiết bị thậm chí không hỗ trợ
các giải pháp bảo mật cao cấp hoặc thiếu một số tính năng bảo mật cơ bản của hệ điều hành do
thiếu bộ nhớ hoặc hiệu suất của thiết bị.
Điều quan trọng là các Điều tra viên tội phạm mạng phải nghiên cứu và hiểu rằng bằng chứng có thể
được tạo ra bởi người dùng, bao gồm cả các tác nhân độc hại, khi một thiết bị IoT được kết nối/được
gia nhập vào mạng. Cơ quan thực thi pháp luật phải tiếp cận IoT hoàn toàn từ một góc độ khác với
trải nghiệm của người dùng. Các lĩnh vực sau đây là điểm khởi đầu cho nghiên cứu nhận thức về
thực thi pháp luật liên quan đến IoT:
Nếu thực sự muốn tìm hiểu về một cách thức khác thường để thu thập dữ liệu, hãy tìm kiếm trên
Google từ khóa ‘smart bikini’.
Đằng sau những công nghệ tuyệt vời và tiện lợi, có một câu hỏi quan trọng là: Người dùng có phải
thiết lập tài khoản trực tuyến để vận hành thiết bị không? Các điều tra viên tội phạm mạng phải hiểu
rằng thực tế này thể hiện một lỗ hổng bảo mật. Vậy ai sẽ là người bảo vệ tên người dùng và mật
khẩu, cũng như khả năng kết nối của các thiết bị này? Môi trường không được kiểm soát của các nhà
sản xuất IoT có nghĩa là họ quan tâm nhiều hơn đến các tính năng của sản phẩm thay vì bảo mật dữ
liệu cá nhân.
Điều quan trọng cần lưu ý là các thiết bị IoT thực sự tạo ra nhiều lựa chọn tấn công hơn cho tội
phạm mạng. Thực trạng thâm nhập IoT đang gia tăng với tốc độ nhanh chóng và các nhà sản xuất
thiết bị vẫn chưa chuẩn bị sẵn sàng cho các thách thức về bảo mật. Hệ điều hành nhúng (embedded
operating systems) chạy trên các thiết bị được kết nối có nguy cơ xuất hiện các lỗ hổng bảo mật với
tốc độ chưa từng thấy. Kết hợp với việc ngày càng nhiều công ty chuyển sang sử dụng dịch vụ đám
mây, quy mô tấn công ngày càng tăng nhanh hơn khả năng thích ứng của các cơ quan thực thi pháp
luật.
Tương tự như cổng mạng gateway còn có kênh giao tiếp (tức là Internet) và thông qua kênh giao
tiếp này, các cổng mạng gateway sẽ giao tiếp với bộ lưu trữ dữ liệu và/hoặc máy chủ đám mây. Một
nội dung chủ chốt cần cân nhắc ở thời điểm này là dữ liệu sau đó được lưu trữ và phân tích; và dựa
trên chính ứng dụng, thông tin sau đó có thể được gửi đến ứng dụng từ xa của người dùng cuối trên
một thiết bị thông minh.
Internet là gì
Internet là một hệ thống toàn cầu gồm các mạng máy tính và thiết bị điện tử được kết nối với nhau,
được kích hoạt bởi sự kết hợp của các lớp vật lý và logic, thiết bị và giao thức công nghệ. Tuy nhiên,
với tất cả những cấu phần này, Internet vẫn không phải là World Wide Web. Thuật ngữ ‘Internet’ và
‘World Wide Web’ thường được sử dụng mà không có nhiều sự phân biệt. Mặc dù vậy, hai thuật ngữ
này không có nghĩa giống nhau. Internet là một hệ thống toàn cầu gồm các mạng máy tính được kết
nối với nhau, và ngược lại, World Wide Web là một tập hợp toàn cầu các tài liệu và các tài nguyên
khác được liên kết với nhau bằng các siêu liên kết.
Xương sống của Internet là một mạng lưới cáp vật lý toàn cầu bao gồm dây điện thoại bằng đồng,
cáp TV và cáp quang. Loại cáp khổng lồ này kết nối với các thiết bị lưu trữ thông tin mà người dùng
muốn xem. Trái ngược với suy nghĩ của nhiều người, Internet không bao giờ bị "sập". Trong trường
hợp này, người dùng đang đề cập đến việc điểm truy cập thực tế của họ vào Internet hoặc một dịch
vụ cụ thể mà họ đang yêu cầu không phản hồi.
Ở châu Á, e-mail độc hại vẫn là vũ khí được lựa chọn cho một loạt các hoạt động tội phạm mạng, đặc
biệt là phân phối phần mềm độc hại và tấn công giả mạo (phising), rồi đến mã độc tống tiền
(ransomware). Hiển nhiên, có một nguyên tắc về nhân quả trực tiếp giữa sự phát triển trong hoạt
động Internet thường nhật với việc tiến hành các hoạt động này một bất hợp pháp và độc hại.
Cảnh sát cần có nhận thức, hiểu biết, kiến thức và năng lực liên quan đến Internet. Tỷ lệ sử dụng
Internet ở Đông Nam Á tương đối cao so với tỷ lệ toàn cầu. Tỷ lệ sử dụng Internet trung bình ở Đông
Nam Á là khoảng 63%, tương đương khoảng 415 triệu người dùng. Đặc biệt, tỷ lệ sử dụng Internet là
84% ở Singapore, 82% ở Thái Lan, 80% ở Malaysia, 71% ở Philippines, 66% ở Việt Nam và 56% ở
Indonesia. Ở cấp thấp hơn, tại Lào và Myanmar, tỷ lệ này lần lượt là 36% và 33%. Indonesia và
Philippines dường như có mức tăng trưởng tuyệt đối lớn nhất trong khu vực, mỗi quốc gia đều có
mức tăng 13% về người dùng Internet. Người dùng Internet ở Philippines và Thái Lan đã dành lượng
thời gian cao nhất hàng ngày trên Internet, tương ứng là 10 giờ và 9 giờ.
Khu vực ASEAN có tỷ lệ thuê bao điện thoại di động ở mức cao đáng kể, với phần lớn các thuê bao là
trả trước. Một xu hướng không thể phủ nhận là người tiêu dùng trong khu vực đang dần quen với
các thiết bị thông minh được kết nối rộng mở với Internet.
Cảnh sát cần chuẩn bị sẵn sàng trước một môi trường Internet mới trên nền tảng công nghệ đám
mây với một khuôn khổ dựa trên Trí tuệ nhân tạo sẽ mang lại sự tối ưu hóa, cá nhân hóa chưa từng
có, với nhiều cấp độ an ninh mạng khác nhau. Điều này đang thúc đẩy việc gia tăng sử dụng Internet
trong mô hình nhà thông minh.
Nhà và Internet
Do lệnh khám xét của cơ quan thực thi pháp
luật liên quan đến một phần đáng kể của hệ
thống nhà ở, điều quan trọng là chúng ta phải
làm quen với cách thiết lập mạng gia đình hiện
đại. Mạng gia đình và Internet không nhất thiết
phải được kết nối với nhau. Tuy nhiên, các
mạng gia đình hiện đại thường được các hộ gia
đình sử dụng, cả có dây và không dây nhằm kết
nối Internet dành riêng cho gia đình với các
thiết bị hỗ trợ Internet.
The home Internet service will largely depend on the geographical location and the service provided
by the selected Internet Service Provider (ISP). The ISP in most instances will supply a pre-configured
modem that will automatically provide the service configured to a pre-determined registered user.
Dịch vụ Internet gia đình sẽ phụ thuộc phần lớn vào vị trí địa lý và dịch vụ được cung cấp bởi Nhà
cung cấp dịch vụ Internet (ISP) được lựa chọn. Trong hầu hết các trường hợp, ISP sẽ cung cấp một
modem được cấu hình trước để tự động cung cấp dịch vụ được cấu hình cho người dùng đã đăng ký
từ trước.
1. Truy cập quay số (Dialup) - Công nghệ chậm, lỗi thời và ngày nay rất hiếm thấy.
2. Kênh thuê bao số (DSL) – Loại kết nối băng thông rộng phổ biến nhất
3. Cáp (Cable) – Kết nối qua Truyền hình cáp, mặc dù vậy gia đình không cần phải có truyền
hình cáp để có thể kết nối theo cách này. Loại dịch vụ này sử dụng kết nối băng thông
rộng và có thể nhanh hơn cả dịch vụ truy cập quay số và Kênh thuê bao số DSL; tuy
nhiên, nó chỉ khả dụng ở những nơi có truyền hình cáp.
4. Cáp quang (Fibre) - Sử dụng cáp quang, đây là kết nối băng thông rộng nhanh nhất hiện
nay, tuy nhiên bị giới hạn bởi nơi lắp đặt.
5. Vệ tinh (Satellite) - Kết nối vệ tinh sử dụng băng thông rộng nhưng không yêu cầu
đường dây cáp hoặc điện thoại; dịch vụ này kết nối với Internet thông qua các vệ tinh
quay quanh Trái đất.
6. Điện thoại di động (Cellular) - Được bán dưới dạng các loại kết nối Internet không dây
4G, LTE và 5G được sử dụng bởi điện thoại di động và có thể được sử dụng như một thay
thế cho băng thông rộng trong gia đình.
Trong môi trường này, người dùng thực tế thường có kiến thức hạn chế về cách thức, vị trí và hoàn
cảnh Internet được sử dụng trong doanh nghiệp. Hơn nữa, người dùng nói chung sẽ không tham gia
vào việc triển khai bảo mật và do đó ít quan tâm đến bảo mật Internet tổng thể hơn so với điện
thoại di động cá nhân của họ. Vì những lý do đó, nhân viên trong một doanh nghiệp là mắt xích yếu
nhất khi nói đến bảo mật, do đó là mục tiêu chính của các tác nhân không gian mạng thông qua
Internet.
Do sự phức tạp và đa dạng của kết nối Internet doanh nghiệp, các điều tra viên cần sớm đề nghị sự
tham gia của bất kỳ cơ quan quản lý CNTT nội bộ hoặc theo hợp đồng nào. Đặc biệt, việc truy cập
vào ghi nhật ký dựa trên Internet là một yêu cầu điều tra quan trọng và nhân viên quản trị CNTT có
thể hỗ trợ tốt nhất trong giai đoạn điều tra then chốt này.
Chỉ riêng TCP/IP là không đủ để làm cho Internet hoạt động. Cần có một giao thức cho các ứng dụng
mà người dùng tương tác. Một ứng dụng phổ biến mà hầu hết mọi người đều nhận ra được gọi là
Giao thức truyền tải siêu văn bản (HTTP). HTTP là một giao thức truyền thông tin siêu phương tiện,
phân tán và cộng tác. HTTP hoạt động như một người biên dịch giữa người dùng cuối và mạng.
Địa chỉ IP
Tập đoàn Internet cấp số và tên miền (ICANN) chịu trách nhiệm điều phối duy trì và các quy trình của
một số cơ sở dữ liệu liên quan đến không gian tên và không gian số của Internet. Tổ chức này quản
1. RIPE NCC - Trung tâm điều phối mạng Réseaux IP Européens là cơ quan đăng ký Internet các
nước khu vực cho Châu Âu, Tây Á và Nga.
2. AFRINIC - Trung tâm Thông tin Mạng Châu Phi là cơ quan đăng ký Internet cho các nước khu
vực Châu Phi.
3. APNIC - Trung tâm Thông tin Mạng Châu Á và Thái Bình Dương là cơ quan đăng ký Internet
cho các nước khu vực Châu Á - Thái Bình Dương.
4. ARIN - Cơ quan đăng ký số Internet châu Mỹ là cơ quan đăng ký Internet cho Canada, Hoa Kỳ
và một số hòn đảo tại Caribe và Bắc Đại Tây Dương
5. LACNIC - Trung tâm Thông tin Mạng Mỹ Latinh và Caribe là cơ quan đăng ký Internet cho các
nước khu vực Mỹ Latinh và Caribe
Đại đa số các mạng ngày nay sử dụng Giao thức điều khiển truyền nhận/Giao thức liên mạng
(TCP/IP) để quản lý cách các máy tính kết nối và giao tiếp qua mạng. Trong hệ thống này, số nhận
dạng duy nhất được gán cho mỗi máy tính nhất định được gọi là địa chỉ IP của nó.
Có hai phiên bản địa chỉ IP khác nhau: IPv4 và IPv6. Tất cả các máy được nối mạng đều có địa chỉ
IPv4 và nhiều máy hiện đang sử dụng IPv6 được cập nhật. Sự khác biệt giữa hai địa chỉ này là IPv4 sử
dụng 32 bit nhị phân để phân biệt từng địa chỉ duy nhất — dẫn đến địa chỉ trên cơ sở hệ thập phân
được biểu thị bằng bốn cụm số được phân tách bằng dấu chấm, chẳng hạn như 202.108.180.16.
Trong khi đó, IPv6 sử dụng 128 bit nhị phân để tạo tám cụm cơ số 16 được phân tách bằng dấu hai
chấm, chẳng hạn như 2407: 7000: 9c16: 7326: f495: 86f2: 224a: 6a04.
Địa chỉ IP động liên tục thay đổi và thường được gán cho bộ định tuyến gia đình và điện thoại di
động của chúng ta. Mỗi khi điện thoại hoặc bộ định tuyến kết nối lại với Internet, các thiết bị này sẽ
được cấp một địa chỉ IP động mới. Điều tra viên tội phạm mạng cần phải cần xác định được người
dùng điện thoại di động vào một ngày và giờ cụ thể. Điều quan trọng là có được càng nhiều thông tin
ngày và giờ chính xác càng tốt của tất cả các hoạt động liên quan để xác định được người đăng ký.
Công cụ WHOIS
Cơ sở dữ liệu miền WHOIS là danh sách tất cả các miền đã đăng ký. Thông tin WHOIS được cơ quan
thực thi pháp luật sử dụng để kiểm tra người đăng ký tên miền. Mặc dù cơ sở dữ liệu WHOIS được
thiết kế theo một số cách để duy trì trách nhiệm giải trình, nhưng độ chính xác của dữ liệu không
phải lúc nào cũng đáng tin cậy. Khi xem kết quả dữ liệu WHOIS, chúng ta có thể không biết địa chỉ IP
nào liên quan đến dịch vụ di động hoặc dịch vụ cố định (băng thông rộng), do đó chúng ta sẽ cần gửi
yêu cầu đến nhiều nhà cung cấp.
Mặc dù có nhiều trang web và công cụ cho phép tìm kiếm dịch vụ dữ liệu WHOIS, đối với cơ quan
thực thi pháp luật, tìm kiếm WHOIS của Trung tâm Thông tin mạng châu Á – Thái Bình Dương
(APNIC) được ưu tiên vì cơ quan này đã được chuẩn bị để cung cấp lời khai phục vu cho các thủ tục
của Tòa án.
Cần lưu ý rằng có một tranh cãi pháp lý ở Châu Âu liên quan đến công cụ WHOIS và các công ty
không cần phải tiết lộ Người đăng ký là ai, do đó, việc cung cấp thông tin điều tra hữu ích trở nên
khó khăn hơn. Cho đến khi công cụ WHOIS “biến mất” và Quy định chung về bảo vệ dữ liệu (GDPR)
được giải quyết, trong nhiều trường hợp WHOIS không còn hữu ích như trước nữa, đặc biệt là đối
với các đăng ký miền tương đối mới, v.v., do đó trở thành trở ngại đối với công tác thực thi pháp luật
và những người khác khi cố gắng giải quyết vấn đề. Trên thực tế, cơ quan thực thi pháp luật có thể
chọn cách thương lượng các thỏa thuận riêng với các công ty đăng ký tên miền lớn trên thế giới để
truy cập dữ liệu quyền riêng tư này trên các tra cứu WHOIS bị chặn.
Giao thức cấu hình động máy chủ (DHCP) và Hệ thống phân giải tên miền (DNS) đều là những dịch vụ
thiết yếu trong cơ sở hạ tầng CNTT và Truyền thông, và điều quan trọng là các Điều tra viên tội phạm
mạng phải biết (i) những dịch vụ này là gì và (ii) cách thức hoạt động của các dịch vụ này.
Định dạng tài nguyên thống nhất (URI) xác định cách trình duyệt web diễn giải và hiển thị URL. Loại
URI được sử dụng phổ biến nhất bắt đầu bằng http: và xác định tài nguyên sẽ được truy xuất qua
Giao thức truyền siêu văn bản (HTTP). Các URI khác bao gồm HTTPS (một dạng HTTP an toàn) và FTP
(cho Giao thức truyền tệp tin). Ngoài ra, tiền tố ‘file://’ trong một trình duyệt web có thể được sử
dụng để truy cập các tệp tin được lưu trữ cục bộ. Đây là một nội dung quan trọng khi cố gắng điều
tra và giải thích lịch sử trình duyệt web vì sự tồn tại của lịch sử trình duyệt web không mặc nhiên có
nghĩa là nó đến từ Internet.
Web browsers attempt to extend their functionality by the use of plug-ins. These plug-ins, often
known as browser extensions, are used for improving a browser's user interface, security or
accessibility, blocking advertisements, and various other features to make browsing the Internet
easier and more pleasant. However, these extensions often collect and store artefacts that
Cybercrime Investigators can uncover, hence the more plug-ins used by a user in their web browser
could equal more potential evidence. On the other hand, browser extensions can represent security
vulnerabilities and expose the browser, and therefore the user, to malicious exploits.
Các công cụ tìm kiếm không chỉ cung cấp các tra cứu từ khóa đơn giản mà còn cho phép các tham số
tìm kiếm khác nhau để tinh chỉnh kết quả tìm kiếm. Hầu hết các công cụ tìm kiếm hỗ trợ việc sử
dụng toán tử Boolean VÀ, HOẶC và KHÔNG để giúp người dùng cuối tinh chỉnh yêu cầu tìm kiếm của
họ.
Vì hầu hết các công cụ tìm kiếm trên Web là các dự án thương mại được hỗ trợ bởi doanh thu quảng
cáo (trong đó một số công cụ cho phép các công ty quảng cáo xếp hạng danh sách của họ cao hơn
trong kết quả tìm kiếm với một khoản phí) nên kết quả sẽ khác nhau, thậm chí xung quanh mức độ
liên quan.
YouTube cũng được coi là một công cụ tìm kiếm và cung cấp hơn 1 tỷ giờ video mỗi ngày. Vì Google
cũng sở hữu YouTube, tiềm năng tìm kiếm bằng chứng từ dữ liệu được lưu trữ của Google là rất lớn.
Hệ thống Email
Hệ thống email bao gồm ba cấu phần sau:
1. Máy chủ mail - Chức năng của máy chủ mail là nhận, lưu trữ và gửi email. Nếu máy chủ thư
gặp sự cố hoặc không hoạt động, các email có thể bị mất.
2. Hòm mail - Hộp thư thường là một thư mục chứa các email và thông tin về chúng.
3. Ứng dụng mail - Còn được gọi là chương trình thư, ứng dụng thư hoặc trình duyệt mail và
được sử dụng để quản lý, đọc và soạn e-mail.
1. Phần phong bì (Envelope) - Phong bì là thứ mà người dùng email sẽ không bao giờ nhìn thấy
vì đây là một phần của quy trình nội bộ mà email được định tuyến.
2. Phần nội dung (Body) - Phần thân là phần nội dung thực của thư có trong email.
3. Phần tiêu đề (Header) - Tiêu đề được cho là phần khó khăn nhất đối với Điều tra viên trong
quá trình tìm hiểu.
giờ và người nhận, tuy nhiên thông tin này là tùy chọn.
Chủ đề thư (subject) và đồng gửi (Cc) thực ra cũng là các
tiêu đề tùy chọn.
Các tiêu đề khác bao gồm dấu thời gian gửi và dấu thời
gian nhận của tất cả các MTA đã nhận và gửi thư. Điều
Các dịch vụ email trực tuyến khác nhau giúp cho Điều tra viên hiểu nội dung siêu dữ liệu và thông tin
khác về email đang được điều tra. Một dịch vụ như ‘whatismyip.com’ cho phép Điều tra viên tội
phạm mạng đăng tải tiêu đề email lên chức năng Trace Email Analyzer để hiển thị siêu dữ liệu ở định
dạng dễ đọc hơn. Nó cũng cung cấp thông tin IP dễ đọc.
Phương tiện truyền thông mạng xã hội bắt nguồn như một cách để tương tác với bạn bè và gia đình
nhưng nhanh chóng được phát triển bởi các doanh nghiệp muốn tận dụng sự phổ biến ngày càng
tăng của nó bằng cách nhắm mục tiêu vào khách hàng tiềm năng. Với hơn 3 tỷ người dùng mạng xã
hội, các Điều tra viên tội phạm mạng phải áp dụng các chiến lược điều tra xem xét tất cả các hình
thức truyền thông mạng xã hội. Các chiến lược đó phải bao gồm cách tận dụng thông tin thu thập
được trong quá trình điều tra tội phạm mạng.
Mạng xã hội đề cập đến việc tập trung thành nhóm các cá nhân và tổ chức lại với nhau thông qua
một số phương tiện, với mục đích chia sẻ suy nghĩ, sở thích và hoạt động. Các công ty truyền thông
xã hội đã tạo ra các công nghệ tạo ra sự thay đổi trong cách con người giao tiếp xã hội, cho dù điều
đó tốt hay xấu.
Trong khi phần lớn người dùng chắc chắn hài lòng khi sử dụng phương tiện truyền thông mạng xã
hội, sẽ luôn có những người tận dụng công nghệ theo những cách mà các nhà thiết kế và nhà phát
triển không lường trước được. Khi các nhà phát triển thích ứng với các mục đích sử dụng ngoài ý
muốn, các tác nhân khác sẽ tìm ra những cách mới để khai thác nền tảng mạng xã hội.
Bất kể quan điểm cá nhân của Điều tra viên tội phạm mạng hay mức độ tiếp nhận phương tiện
truyền thông mạng xã hội là gì, giá trị cung cấp thông tin tình báo của mạng xã hội là không cần bàn
cãi và cơ quan thực thi pháp luật phải đầu tư vào nhân sự và chiến lược để tránh bỏ lỡ các cơ hội và
thông tin quan trọng vào những thời điểm then chốt.
Có hàng trăm dịch vụ mạng xã hội dựa trên web và di động có sẵn, tuy nhiên Facebook, Twitter và
LinkedIn có mức sử dụng toàn cầu đáng kể. Ngoài 3 nền tảng hàng đầu này, hầu hết các nền tảng
khác đều có mức độ sử dụng khác nhau dựa trên vị trí. Các ứng dụng nhắn tin di động đa nền tảng
như LINE và WeChat rõ ràng chiếm ưu thế ở châu Á, tuy nhiên, chúng lại ít được chú ý ở Úc. Điều
quan trọng là các Điều tra viên tội phạm mạng phải xem xét tính chất quốc tế của cuộc điều tra để
đảm bảo không bỏ qua các ứng dụng không quen thuộc.
Dữ liệu truyền thông mạng xã hội có thể được thu thập và phân tích để khám phá thông tin tình báo
về vị trí. Các tọa độ GPS được nhúng và thông tin vị trí bổ sung khác như những lần đăng ký ngoài xã
hội, tìm kiếm vị trí theo ngôn ngữ tự nhiên (mã hóa địa lý) và thu thập hồ sơ có thể được cơ quan
thực thi pháp luật khai thác. Dấu chân địa lý xã hội là các bit kết hợp về thông tin vị trí mà người
dùng tiết lộ thông qua phương tiện truyền thông xã hội, cuối cùng tạo thành cái gọi là “dấu chân”
của người dùng.
Truyền thông xã hội đã thay đổi cách giao tiếp của các cá nhân và tổ chức lớn. Đối với những người
đóng góp nội dung, lợi ích của việc tham gia vào phương tiện truyền thông mạng xã hội không chỉ
đơn giản là chia sẻ để xây dựng danh tiếng, mang lại cơ hội nghề nghiệp và thu nhập bằng tiền.
Các Điều tra viên tội phạm mạng có thể sử dụng khuôn khổ nêu trên như một công cụ để giúp hiểu
các hoạt động truyền thông xã hội và trong một số trường hợp, tận dụng nó với mục đích điều tra.
Mạng (Network) là gì
Nói một cách đơn giản, mạng là một tập hợp các thiết bị (hai hoặc nhiều hơn) được kết nối với nhau
nhằm mục đích chia sẻ tài nguyên. Wikipedia cung cấp một định nghĩa kỹ lưỡng hơn, nhưng vẫn rất
hữu ích như sau:
“Mạng máy tính là một nhóm các máy tính sử dụng một tập
hợp các giao thức giao tiếp chung qua các kết nối kỹ thuật
số nhằm mục đích chia sẻ tài nguyên có vị trí ở hoặc được
cung cấp bởi các nút mạng..”
Bất kể chúng ta tìm định nghĩa nào, một mạng sẽ bao gồm:
(i) các thiết bị được kết nối và (ii) chia sẻ tài nguyên. Khi
điều tra tội phạm mạng (dù là tội phạm mạng thuần túy hay
tội phạm lợi dụng không gian mạng), chúng ta thường đang
điều tra một số hình thức hoạt động/hành động liên quan
đến việc truyền dữ liệu (tài nguyên) qua mạng thông qua tải
xuống/tải lên ( gọi là ‘chia sẻ’).
Hơn nữa, các dịch vụ VPN thiết lập các kết nối an toàn và được mã hóa để mang lại sự riêng tư thậm
chí còn cao hơn một điểm phát sóng Wi-Fi được bảo mật. Các nội dung về VPN sẽ được thảo luận chi
tiết hơn trong Học phần 8: Web ẩn (Dark Web).
Ví dụ: Điều tra viên tội phạm mạng cần phải biết rằng dữ liệu
có thể được truyền qua FTP (Giao thức truyền tệp) trên cổng
20 và 21 hoặc biết email có thể được truy xuất từ máy chủ
bằng giao thức POP (Giao thức Bưu điện) phiên bản 3 trên
cổng 110. Cũng cần hiểu việc sử dụng trình duyệt web qua
HTTP (Giao thức truyền siêu văn bản) sẽ xảy ra trên cổng 80,
nhưng quan trọng hơn là hiểu cách sử dụng kết nối HTTP an
toàn - được cung cấp bởi Lớp cổng bảo mật (SSL) hoặc Bảo
mật lớp truyền tải (TLS) - xảy ra trên cổng 443 tức là HTTPS.
Những kiến thức nói trên vượt quá mức độ của khóa đào tạo này, tuy nhiên nếu điều tra viên có thể
hiểu rõ về các cổng và giao thức mạng cơ bản, thì sự hiểu biết về các phương pháp tấn công sẽ tăng
lên. Các giao thức (và số cổng) phổ biến như sau:
Thiết bị Modem
Một modem nhận thông tin từ Nhà cung cấp dịch vụ Internet (ISP) thông qua đường dây điện thoại,
cáp quang hoặc cáp đồng trục trong nhà hoặc văn phòng. Modem cho phép một máy tính hoặc một
thiết bị khác, chẳng hạn như bộ định tuyến hoặc bộ chuyển mạch, kết nối với Internet.
Địa chỉ MAC được sử dụng để xác định các thiết bị riêng lẻ trên mạng thông qua một công tắc và
thường được biểu hiển dưới dạng sáu nhóm gồm hai chữ thập lục phân (0-9, AF), được phân tách
bằng dấu hai chấm (:), dấu gạch ngang (-) hoặc không có dấu phân cách, ví dụ: 3F: 02: 4C: 81: BC: A9
hoặc 3F-02-4C-81-BC-A9.
Hầu hết người dùng gia đình đều có bộ định tuyến tích hợp điểm truy cập không dây (WAP), tuy
nhiên các điểm truy cập độc lập vẫn phổ biến đối với các doanh nghiệp vì có thể ghép nối nhiều điểm
truy cập với nhau để mở rộng mạng trên một khu vực rộng lớn.
Tường lửa phần cứng, như cái tên cho thấy, là một thiết bị vật lý được cài đặt giữa mạng máy tính và
Internet, hoặc ở rìa của mạng. Ưu điểm của việc sử dụng tường lửa phần cứng là: (i) một tường lửa
duy nhất có thể bảo vệ toàn bộ mạng của bạn và (ii) bạn ít bị tấn công hơn. Các nhà sản xuất tường
lửa phần cứng phổ biến nhất là Fortinet, Cisco, Forcepoint và SonicWall.
Tường lửa có thể là một máy chủ chạy sản phẩm phần mềm tường lửa hoặc một thiết bị phần cứng
chuyên dụng. Tường lửa giám sát các gói dữ liệu ra vào mạng mà nó đang bảo vệ. Tường lửa có thể
loại bỏ các gói dữ liệu, đóng gói lại hoặc chuyển hướng chúng, tùy thuộc vào cấu hình tường lửa. Các
gói tin được lọc dựa trên địa chỉ nguồn và địa chỉ đích của chúng, cũng như các cổng theo dịch vụ,
loại gói, loại giao thức, thông tin tiêu đề, bit trình tự, v.v. Có một số loại tường lửa cần lưu ý bao
gồm: tường lửa lọc theo gói tin, tường lửa hai chiều, proxy và tường lửa lọc gói động.
Trong nhiều trường hợp, các công ty sẽ thiết lập tường lửa để xây dựng ‘khu phi quân sự’ (DMZ), là
một phân đoạn mạng nằm giữa mạng được bảo vệ và mạng không được bảo vệ. Thông thường,
tường lửa phần cứng phổ biến hơn trong mạng SOHO và môi trường doanh nghiệp.
Điều quan trọng là phải biết về phần cứng mạng nói trên vì các thiết bị này thường được bắt gặp tại
hiện trường trong quá trình thực hiện lệnh khám xét tại cơ sở dân cư.
Có một số loại chuẩn IEEE 802.11, bắt nguồn từ những năm 1990 và tiếp tục phát triển cho đến ngày
nay. Các tiêu chuẩn mới được tạo ra khi có những cải tiến về thông lượng không dây, tốc độ và tần
số mới hơn.
Trong Học phần 3, học viên đã được giới thiệu về kết nối Internet và nhà cung cấp dịch vụ Internet
(ISP). Trong sơ đồ sau, chúng ta thấy thiết lập mạng không dây gia đình hoặc mạng SOHO tiêu chuẩn
sử dụng bộ định tuyến không dây, với sự kết hợp của máy tính, thiết bị di động và máy in được kết
nối cả không dây và có dây (thông qua cáp Ethernet). Bộ định tuyến được kết nối với một modem,
sau đó cho phép kết nối Internet thông qua ISP.
Quyền riêng tư tương đương mạng có dây (WEP) - một thuật toán mã hóa bảo mật dễ bị bẻ
khóa. Vì lý do này, nó đã được thay thế bằng các công nghệ khác.
WPA - tiêu chuẩn WPA ban đầu sử dụng Giao thức bảo mật mạng không dây TKIP, nhưng sau
đó được thay thế bằng WPA2 sử dụng thuật toán dựa trên Tiêu chuẩn mã hóa nâng cao có
độ an toàn hơn. WPA sử dụng khóa 256bit để mã hóa dữ liệu có thể được nhập dưới dạng
chuỗi hoặc dưới dạng mật khẩu từ 8 đến 63 ký tự - chúng ta sẽ thảo luận về mã hóa và mật
mã sau trong khóa học này. WPA/WPA2 vẫn dễ bị tấn công kiểu brute force khi sử dụng cụm
mật khẩu yếu.
WPA3 được giới thiệu vào năm 2018 và cung cấp bảo mật cao hơn WPA2 khi bảo vệ các
mạng mở, ví dụ: an toàn hơn khi kết nối Wi-Fi mở và miễn phí tại quán cà phê địa phương.
WPA3 cung cấp các biện pháp bảo mật tuyệt vời chống lại các nguy cơ bảo mật đã biết như
tấn công từ điển (dictionary attack).
Bluetooth
Bluetooth (IEEE 802.15.1) là một đặc điểm kỹ thuật cho mạng khu vực cá
nhân không dây (PAN), tạo điều kiện trao đổi dữ liệu giữa các thiết bị điện
tử như điện thoại di động, máy tính xách tay, máy tính cá nhân, máy in và
Hồng ngoại
Công nghệ hồng ngoại sử dụng chùm ánh sáng để truyền dữ liệu và sử dụng kết nối đường ngắm,
tức là các thiết bị giao tiếp với nhau phải có tầm nhìn không bị cản trở từ thiết bị này sang thiết bị
kia.
Linux là một hệ điều hành, giống như Microsoft Windows, về cơ bản Linux là phần mềm hỗ trợ các
chức năng cơ bản của máy tính, quản lý tài nguyên và hỗ trợ người dùng thực thi các ứng dụng.
Linux cũng là một hạt nhân, là bộ não của hệ điều hành và có toàn quyền kiểm soát những gì xảy ra
trong hệ thống. Nó quản lý sự tương tác giữa các ứng dụng và phần cứng. Cũng giống như Microsoft
Windows, chức năng của Linux phụ thuộc vào các thư viện và phần mềm đi kèm với hệ điều hành.
Trong khi hầu hết suy nghĩ về Linux là máy tính dựa trên thiết bị đầu cuối, thì Linux hiện đại đi kèm
với giao diện người dùng trực quan và đồ họa.
Linux được Linus Torvalds tạo ra vào năm 1991 chủ yếu vì ông muốn truy cập vào một hệ điều hành
miễn phí để sử dụng trong bất kỳ máy tính cá nhân nào. Hơn nữa, Torvalds muốn cung cấp mã
nguồn tự do cho người khác sử dụng và sửa đổi. Không phải tất cả các bản phân phối Linux đều miễn
phí. Linux Redhat Enterprise yêu cầu giấy phép trả phí, chủ yếu là do hỗ trợ dịch vụ rộng rãi được
cung cấp cho người dùng.
Bất kỳ ai cũng có thể tải xuống hệ điều hành Linux và mã nguồn hạt nhân (kernel source code). Các
nhà phát triển sau đó có thể sử dụng và thiết kế lại hệ điều hành này và nhân kernel để thực hiện các
chức năng theo ý tưởng hoặc nhu cầu riêng của họ. Các thiết kế Linux tùy chỉnh này có mục đích
chính và tập trung vào một chức năng hoặc tập hợp các chức năng. Hệ điều hành mới dựa trên Linux
này sau đó có thể được phân phối (hoặc bán) tự do cho người dùng. Các biến thể này của mã nguồn
ban đầu được gọi là bản phân phối Linux và thường được gọi là bản phân phối. Các bản phân phối
này là hạt nhân của hệ thống, cùng với các ứng dụng và môi trường máy tính để bàn bao gồm giao
diện người dùng đồ họa (GUI). Các bản phân phối Linux phổ biến bao gồm Ubuntu, Debian, Linux
Mint, Fedora, MX Linux và Manjaro. Bản phân phối dựa trên Debian Kali Linux (được hiển thị bên
dưới) được xây dựng nhằm mục đích kiểm tra thâm nhập và giám định hình sự kỹ thuật số, tuy nhiên
đây cũng là bản phân phối được tội phạm mạng lựa chọn.
Linux rất linh hoạt, có khả năng chạy tương tự như nhau trên các máy tính cũ hoặc mới. Với hơn 300
nhà phát triển hỗ trợ cộng đồng phát triển Linux, hệ điều hành Linux được đánh giá là đáng tin cậy,
rộng rãi và an toàn.
Công cụ mạng sử dụng Giao diện dòng lệnh và Thiết bị đầu cuối
Một giao diện dòng lệnh (command-line interface ) xử lý các lệnh tới chương trình máy tính dưới
dạng dòng và văn bản. Chương trình xử lý giao diện được gọi là trình thông dịch dòng lệnh hoặc bộ
xử lý dòng lệnh. Điều tra viên tội phạm mạng nên nắm được: (i) cách truy cập vào giao diện dòng
lệnh của máy tính và (ii) thực hiện các lệnh để lấy một số thông tin mạng cơ bản. Trong các ví dụ sau,
khóa học sẽ tập trung vào các lệnh mạng cơ bản sử dụng hệ điều hành Microsoft Windows và Linux.
Trong Chương trình tập huấn về an ninh mạng Bậc 2 của CSA, học viên sẽ được tiếp xúc với nhiều
lệnh và chức năng mạng của Microsoft và Linux.
Sau đó, người dùng sẽ được hiển thị với giao diện dòng lệnh Windows tương tự như sau:
Lệnh
Mục đích
Windows
Được sử dụng để xem cài đặt mạng từ dòng lệnh. Nếu bạn nhập “ipconfig” bằng tổ
hợp “/ all” (ví dụ: “ipconfig / all”), nó sẽ hiển thị tất cả các cài đặt IP của bạn và các
ipconfig
thông tin hữu ích khác như địa chỉ MAC, thông tin hệ thống phân giải tên miền
(DNS), v.v.
Packet InterNet Groper (PING) xác minh kết nối giữa các thiết bị được nối mạng.
Định dạng tiêu chuẩn cho lệnh này là "ping" theo sau là địa chỉ IP hoặc tên máy chủ.
ping Nếu thành công, lệnh ping sẽ trả lại câu trả lời từ máy chủ từ xa cùng với thời gian
nhận được câu trả lời. Nếu không thành công, bạn có thể sẽ nhận được thông báo
lỗi. Đây là một công cụ rất quan trọng để xác định kết nối mạng giữa các máy chủ.
Một công cụ khắc phục sự cố cho phép bạn xem đường dẫn đến một máy chủ được
chỉ định. Lệnh này sẽ hiển thị có bao nhiêu mục nhập (hoặc 'bước nhảy') mà gói dữ
tracert
liệu phải di chuyển đến và mất bao lâu để di chuyển. Để sử dụng công cụ này, hãy
nhập “tracert” theo sau là địa chỉ IP hoặc tên miền.
Truy vấn máy chủ hệ thống phân giải tên miền (DNS) để biết tên máy và thông tin
nslookup địa chỉ. Để sử dụng nslookup, hãy nhập “nslookup” theo sau là địa chỉ IP, tên máy
tính hoặc tên miền.
Hiển thị các kết nối mạng (cả đến và đi), bảng định tuyến và một số thống kê về giao
netstat
diện mạng. Lệnh này cũng được sử dụng để tìm kiếm các vấn đề trong mạng.
Khắc phục sự cố kết nối giữa hai thiết bị giao tiếp bằng cách hiển thị số liệu thống kê
nbtstat
giao thức và những kết nối hiện tại.
ifconfig Tương tự với lệnh ‘ipconfig’ trên Windows để tìm chi tiết mạng cơ bản.
ip Thực hiện nhiều tác vụ hơn và mạnh mẽ hơn lệnh ‘ifconfig’ cũ.
tracepath Tương tự như lệnh ‘traceroute’ nhưng không cần đặc quyền root.
ping Giống hệt lệnh 'ping' của Windows để kiểm tra kết nối giữa hai mạng.
Giống với lệnh ‘netstat’ trên Windows để hiển thị kết nối mạng, thông tin chi tiết về
netstat
cổng, v.v.
Giống với lệnh ‘nslookup’ trên Windows để truy vấn DNS để lấy tên miền, địa chỉ IP,
nslookup
v.v.
dig Phiên bản cập nhật của ‘nslookup’ để điều tra DNS.
host Hiển thị tên miền cho một địa chỉ IP hoặc địa chỉ IP cho một tên miền.
whois Lấy thông tin về một trang web, ví dụ: chi tiết người đăng ký.
Đây là phần giới thiệu để học viên làm quen với các chương trình giao diện dòng lệnh và các lệnh cơ
bản về mạng sử dụng Windows và Linux. Như đã đề cập trước đây, chúng tôi sẽ mở rộng việc sử
dụng các công cụ này trong các khóa tập huấn sau này, cũng như sử dụng các công cụ thu thập thông
tin như ‘whois.domaintools.com’, ‘centralops.net’, ‘whatismyipaddress.com’ và nhiều công cụ khác.
1. Tội phạm mạng đơn thuần – các loại tội phạm trực tiếp nhắm vào các máy tính bằng cách
phát tán virus (hoặc phần mềm độc hại), hack, và tấn công từ chối dịch vụ phân tán (DDOS)
... đây là những hoạt động chủ yếu tấn công vào máy tính hoặc các tài nguyên mạng.
2. Tội phạm lợi dụng không gian mạng – là những tội phạm trực tuyến sử dụng mạng máy tính
hoặc các thiết bị khác làm công cụ để thực hiện hành vi phạm tội như lạm dụng tình dục trẻ
em trên mạng, lừa đảo, đánh cắp danh tính bằng tấn công phi kỹ thuật, bắt nạt trên mạng,
theo dõi trên mạng, chiến tranh không gian mạng và các tội phạm khác. Tội phạm lợi dụng
không gian mạng bao gồm cả tuyên truyền quan điểm về mặt tư tưởng (cấp tiến, cực đoan,
chính trị) và đăng tải thông tin sai sự thật/tin giả.
Trong an ninh mạng, một vụ việc là một sự kiện an ninh gây ảnh hưởng đến tính toàn vẹn, bảo mật
hoặc độ sẵn có của hệ thống thông tin. Trên toàn cầu, số liệu cho thấy đánh cắp danh tính là loại vi
phạm về dữ liệu phổ biến nhất. Hiện nay, số lượng người dùng Internet đã lên đến 4.5 tỷ người, vậy
nên khả năng xảy ra tội phạm đánh cắp danh tính (và các loại tội phạm khác) cao hơn rất nhiều. Dịch
bệnh COVID-19 lại khiến cho tội phạm này càng dễ thực hiện do con người dành nhiều thời gian trên
mạng hơn cũng như phải dựa vào Internet để làm việc từ xa. COVID-19 đã cho phép tội phạm mạng
thay đổi cách tấn công bằng việc dùng COVID làm trung tâm hoặc mồi nhử.
Tội phạm truyền thống so với các loại tội phạm mạng tương tự
Trước khi tìm hiểu về các nguy cơ tội phạm mạng và các tác nhân, ta cần biết được tại sao Internet
và sự gia tăng người sử dụng Internet lại giúp cho các đối tượng thực hiện các tội phạm truyền
thống, nhưng trên nền tảng thế giới kỹ thuật số hiện nay. Bảng này cho thấy tội phạm truyền thống
đã chuyển mình sang tội phạm mạng như thế nào:
Hack
Hack là truy cập vào dữ liệu điện tử hoặc các tài nguyên điện tử bằng cách điều khiển hoặc vượt qua
những hoạt động thông thường của hệ thống hoặc máy tính, từ đó có được quyền truy cập vào hệ
thống hoặc thiết bị của bạn mà không cần bạn cho phép. Tin tặc (Hacker) có thể truy cập vào hệ
thống hoặc thiết bị của bạn thông qua các điểm yếu an ninh, lừa đảo giả mạo, hoặc dùng phần mềm
độc hại. Trong phần sau, chúng ta sẽ tìm hiểu về ba loại hacker.
Tấn công từ chối dịch vụ (DoS) hoăc Tấn công từ chối dịch vụ phân tán (DDoS)
Tấn công DoS hoặc DDoS khiến cho máy tính hoặc trang web bị ngập trong dữ liệu, từ đó không thể
hoạt động như bình thường. Hệ thống hay trang web đó bị quá tải đến nỗi phản hồi cực chậm hoặc
không thể phản hồi, sập hoặc trở nên vô dụng. Loại tấn công này thường nhằm vào các doanh
nghiệp hơn là cá nhân.
Tội phạm lợi dụng không gian mạng: Các mối đe dọa phổ biến
Tương tự như tội phạm mạng thuần túy, tội phạm lợi dụng không gian mạng cũng có nhiều loại. Việc
sử dụng phần mềm độc hại và lừa đảo giả mạo ngày càng gia tăng vì tội phạm có thêm nhiều động
cơ về tài chính.
Lừa đảo liên hoàn thường được gắn với tấn công lừa đảo email doanh nghiệp. Tội phạm can thiệp
vào chuỗi email, gửi những yêu cầu giả hay yêu cầu thay đổi thông tin ngân hàng. Lừa đảo chuyển
khoản cũng có thể được thực hiện qua hệ thống thư tín truyền thống.
Đôi khi kể cả có trả tiền, thông tin vẫn bị rò rỉ công khai. Khá phổ biến là khi nạn nhân đã trả tiền
chuộc, các đối tượng vẫn có thể không trả lại dữ liệu. Tất nhiên, tội phạm tấn công luôn hết sức hỗ
trợ nạn nhân trong việc thanh toán, đặc biệt thông qua tiền mã hóa/tiền ảo, ví dụ như viết từng
bước hướng dẫn thanh toán trong tin nhắn tống tiền.
Là bất cứ loại bắt nạt, xâm hại hay lạm dụng nào xảy ra trên mạng, ví dụ như qua mạng xã hội, email
hay trang web. Bắt nạt trên không gian mạng cực kỳ phổ biến trong độ tuổi từ 14 đến 18 tuổi.
Là sử dụng các thủ đoạn để lấy được nội dung nhạy cảm của một người, nhằm tống tiền, tài sải hoặc
dịch vụ từ nạn nhân. Nội dung nhạy cảm này có thể xuất phát từ mối quan hệ giả tạo mà đối tượng
Tác nhân đe dọa có thể là 'kẻ xấu' bên ngoài khởi động chiến dịch lừa đảo qua email độc hại hoặc
một nhân viên vô tình để lại thông tin hoặc tài liệu nhạy cảm ở ghế sau ô tô của họ. Chúng ta hãy
xem xét một loạt loại hình tác nhân đe dọa phổ biến hơn.
Một số nhóm chủ nghĩa tin tặc nổi tiếng bao gồm
Anonymous, Chaos Computer Club, LulzSec, Legion of Doom,
Fancy Bear (hoặc Cozy Bear) và The Lazarus Group. Các loại
chủ nghĩa tin tặc phổ biến bao gồm hạ uy tín trang web, từ
chối dịch vụ, xâm nhập cơ sở dữ liệu và rò rỉ thông tin.
Những hoạt động này thường là bất hợp pháp về bản chất.
Hơn nữa, những người có quan điểm phi logic, theo chủ
nghĩa chính trị hoặc tôn giáo cực đoan thường sử dụng những lời nói xấu hoặc xuyên tạc/tin tức giả
làm công cụ trao đổi.
Khủng bố mạng còn có thể dẫn đến tài trợ khủng bố cũng như chiêu mộ khủng bố.
Chỉ nhấp vào một liên kết lừa đảo qua email;
Thực hiện một hành động để tránh/né tránh việc hoàn thành nhiệm vụ, tức là đi đường tắt
và mắc lỗi;
Gửi thông tin cá nhân hoặc thông tin được bảo vệ cho người nhận sai; và
Không giám sát máy tính xách tay hoặc điện thoại có chứa thông tin bí mật.
2. Những người cảm thấy họ có trách nhiệm (kể cả có không được cho phép) phải chứng minh cho
mọi người thấy các lỗi bảo mật trong hệ thống.
Cuối cùng, bất kỳ ai hack hệ thống hoặc tài khoản cá nhân của người khác mà không có sự cho phép
hoặc chỉ đạo rõ ràng trên thực tế là phạm tội. Mũ xám cũng bao gồm 'những người tìm kiếm cảm
giác mạnh', mặc dù có thể không có ý định xấu, theo đuổi để chứng minh khả năng của họ và làm nổi
bật các lỗ hổng để đạt được sự hài lòng cho cá nhân.
Hình 1-5 cung cấp bản tóm tắt cấp cao về các phát hiện có trong Verizon 2020 DBIR, do đó cung cấp
cái nhìn tổng thể tuyệt vời về các xu hướng hiện tại đối với các kiểu tấn công, động cơ và phương
pháp hoạt động của tội phạm mạng hiện nay.
Do lỗi
Mã độc
Sử dụng sai
Tổ chức TP có tổ
chức
Nhiều bên
Khác
Admin hệ thống
Thuật ngữ trong lĩnh vực tội phạm mạng và công nghệ thông tin/ an
ninh mạng
Trong thế giới của tội phạm mạng và an ninh mạng, có vô số kiểu tấn công, cách khai thác và thuật
ngữ mà bạn cần phải biết - quá nhiều nội dung để đưa vào học phần này. Học viên có thể tìm hiểu
thêm tại www.malwarebytes.com/cybersecurity, bao gồm các báo cáo về an ninh mạng và phần
mềm độc hại, blog giáo dục, định nghĩa (một số được liệt kê bên dưới), v.v. Bảng sau cung cấp một
bản tóm tắt rất ngắn gọn về các thuật ngữ phổ biến mà bạn nên làm quen.
Mã độc (Malware)
Virus
Được thiết kế để gây tổn hại, gián đoạn, chiếm
Phần mềm tự nhân lên bằng cách tự gắn các
và duy trì quyền truy cập vào dữ liệu hoặc tài
bản sao của mình vào các đoạn mã khác
nguyên điện tử
Sâu máy tính (worm) Trojan
Phần mềm độc hại tự nhân lên, sử dụng một Phần mềm độc hại có vẻ như là có thể thực hiện
mạng máy tính để gửi các bản sao của mình chức năng mà người dùng muốn, nhưng thật ra
vào các hệ thống khác mà không cần can thiệp lại bí mật thực hiện chức năng khác như đánh
từ con người cắp thông tin hoặc phá hoại hệ thống
Dưới đây là danh sách các vụ xâm phạm dữ liệu nổi tiếng và các cuộc tấn công phần mềm độc hại.
Học viên được khuyến khích nghiên cứu một số (hoặc tất cả) trong số những vụ việc này.
Melissa (1999)
Trong các cuộc điều tra của Cảnh sát, một số địa điểm phổ biến nhất mà OSINT được thu thập là:
Vị trí
Nhận dạng
Địa chỉ
Gia đình
Những mối liên kết
Tư duy
Chúng ta nên làm việc với tư suy sau: Nếu tôi xem nội dung trực tuyến hôm nay, tôi cần thu thập
thông tin đó ngay hôm nay - nếu tôi đợi đến ngày mai, nội dung có thể bị thay đổi hoặc biến mất.
Điều này đặc biệt đúng đối với nội dung Truyền thông xã hội có thể bị phản đối - các công ty như
Facebook và Twitter có thể nhanh chóng xóa hình ảnh và nội dung khác vi phạm Điều khoản và Điều
kiện của họ. Khi nội dung có vấn đề đã bị xóa khỏi tài khoản mạng xã hội, nội dung đó có thể biến
mất vĩnh viễn! Hơn nữa, nếu tài khoản bị đóng băng, tạm ngưng hoặc thậm chí bị xóa, điều này có
thể cản trở việc điều tra tùy thuộc vào Biên bản ghi nhớ (MOU) được áp dụng.
Có vô số chương trình phần mềm miễn phí và trả phí có thể được sử dụng để chụp thông tin. Trong
Chương trình Đào tạo Công nghệ cao Cấp 2 của CSA, chúng tôi sẽ cung cấp cho học viên thêm thông
tin chi tiết về phần mềm mà bạn có thể sử dụng, nhưng tóm lại, phần mềm có thể được chia thành
hai loại:
Công cụ Snipping Tool có thể được sử dụng để chụp ảnh màn hình (hoặc ảnh cắt) của bất kỳ thứ gì
trên màn hình của bạn bằng cách khởi chạy chương trình sau đó sử dụng chuột để vẽ một hộp xung
quanh khu vực bạn muốn chụp. Ảnh chụp màn hình sau đó có thể được lưu vào máy tính làm việc
của bạn để sử dụng làm bằng chứng hoặc thông tin tình báo.
Bằng cách sử dụng tab 'Nâng cao' khi thực hiện tìm kiếm trên Google, bạn có thể tinh chỉnh các
thông số tìm kiếm của mình và điều này có thể cung cấp cho bạn kết quả chính xác hơn.
Tìm kiếm ngược bằng hình ảnh có thể được thực hiện
bằng các công cụ tìm kiếm như Google, Yandex và Tin
Eye.
Một số trang web và ứng dụng di động có thể được sử dụng để tìm kiếm các liên kết đến các số điện
thoại.
Các trang web và ứng dụng di động này được liên kết với cơ sở dữ liệu như Google. Kết quả trả về sẽ
không phải là ‘người đăng ký’ của số điện thoại mà là tên đã được liên kết với số trong trang web.
Điều quan trọng là phải 'xác thực' thông tin do các trang web này cung cấp bằng các nguồn khác.
Nếu bạn có thể xác định nơi mục tiêu có thể đang sống, làm việc hoặc gặp gỡ các đối tượng tội
phạm, bạn có thể sử dụng Công cụ lập bản đồ như Google Earth và Google Maps để hỗ trợ hiểu rõ
hơn về môi trường. Bạn có thể sử dụng Street view để có cái nhìn rõ hơn về vị trí và các khu vực
xung quanh.
Bạn nên thảo luận vấn đề này với Văn phòng Công tố viên địa phương, có quan có thẩm quyền trình
bày bằng chứng trước tòa.
Bạn cần lưu ý là một số công cụ miễn phí và một số công cụ yêu cầu thanh toán.
https://osintframework.com/
https://www.osintessentials.com/
https://www.search.org/resources/isp-list/
Trong học phần này, học viên sẽ được giới thiệu các khái niệm cơ bản về tiền mã hóa trong điều tra
tội phạm mạng, cũng như khám phá những kiến thức cơ bản về tiền mã hóa, công nghệ blockchain,
khóa công khai và khóa bí mật, ví điện tử và các nội dung cần cân nhắc về tịch thu.
Các Điều tra viên tội phạm mạng cần hiểu rằng các cuộc điều tra liên quan đến tiền mã hóa không
chỉ là tìm kiếm bitcoin hoặc cố gắng theo dõi địa chỉ bitcoin. Các cuộc điều tra này cần đến khả năng
chủ động nâng cao kiến thức và áp dụng kiến thức về tiền mã hóa trên tất cả các loại tội phạm.
Tiền mã hóa
Tiền mã hóa là một loại tiền kỹ thuật số được tạo ra bằng cách sử dụng toán học và khoa học máy
tính. Nó thường được coi là một loại tiền ảo vì bạn không thể chuyển nó hoặc sử dụng nó một cách
vật lý.
Tiền mã hóa nói chung dựa trên một mạng sử dụng các kỹ
thuật mã hóa và được phân phối trên một số lượng rất lớn
các máy tính. Cấu trúc này được phân cấp ở chỗ nó tồn tại và
hoạt động mà không có sự kiểm soát của chính phủ hoặc cơ
quan trung ương.
Người dùng có ví, cho phép họ quản lý quyền truy cập vào
tiền kỹ thuật số của họ. Sử dụng phần mềm, người dùng có
thể chuyển và nhận tiền kỹ thuật số. Giao dịch này được xác
minh bởi sự đồng thuận trong mạng, không phải một thực
thể duy nhất và sử dụng một quy trình gọi là khai thác, liên
quan đến việc giải các phép toán phức tạp bằng máy tính. Vì
quá trình này phát sinh chi phí, những người khai thác thành
công được thanh toán bằng cách nhận tiền tệ hoặc tài sản
mới.
Tiền mã hóa đại diện cho những thách thức đối với thực thi
pháp luật do tính ẩn danh của chúng vì tội phạm có thể
chuyển tiền trực tiếp giữa hai bên mà không cần bên thứ ba
đáng tin cậy như ngân hàng hoặc công ty phát hành thẻ tín
dụng. Một thách thức nữa là các giao dịch chuyển tiền này
được bảo mật bằng việc sử dụng các khóa công khai và bí
mật. Nhận thức và hiểu rõ về những thách thức này sẽ giúp
Điều tra viên tội phạm mạng xác định hướng điều tra trong
vụ việc liên quan đến tiền mã hóa.
Khóa mã hóa là khía cạnh quan trọng nhất của mật mã. Trong trường hợp tiền kỹ thuật số, quyền
truy cập vào khóa bí mật là cách duy nhất để mở khóa và sử dụng tiền kỹ thuật số.
Bitcoin được thiết kế như một loại tiền tệ giảm phát. Giống như vàng, tiền đề là theo thời gian, việc
phát hành bitcoin sẽ giảm và do đó trở nên khan hiếm hơn theo thời gian. Khi Bitcoin trở nên khan
hiếm hơn, ý tưởng này là giá trị sẽ tăng lên. Điều này trái ngược với tiền tệ 'fiat' (tiền pháp định), là
bất kỳ loại tiền tệ nào mà chính phủ tuyên bố là đấu thầu hợp pháp, nhưng bản thân nó không có giá
trị (không giống như vàng chẳng hạn). Các loại tiền 'Fiat' có xu hướng giảm giá trị theo thời gian khi
các chính phủ in ngày càng nhiều tiền tệ hơn, trong khi các loại tiền tệ giảm phát như Bitcoin có xu
hướng tăng theo thời gian. Một ví dụ đơn giản là giá trị của một chiếc ô tô cổ, không còn sản xuất.
Như vậy, khi cầu tăng nhưng cung vẫn giữ nguyên, thì giá trị sẽ tăng.
Các loại tiền mã hóa cạnh tranh xuất hiện sau thành công của Bitcoin, được gọi là "altcoin". Nói
chung, bất kỳ loại tiền mã hóa nào không phải là Bitcoin đều được gọi là altcoin. Nhiều altcoin được
xây dựng dựa trên khung cơ bản do Bitcoin cung cấp. Do đó, hầu hết các altcoin là ngang hàng. Các
loại tiền này cố gắng đưa ra những cách hiệu quả và không tốn kém để thực hiện các giao dịch trên
Internet. Ngay cả khi có nhiều tính năng chồng chéo, các altcoin rất khác nhau và sẽ yêu cầu áp dụng
Ethereum được ra mắt vào tháng 7 năm 2015, là một hệ thống blockchain mã nguồn mở phi tập
trung có tính năng tiền mã hóa của riêng nó, Ether (ETH). ETH hoạt động như một nền tảng cho
nhiều loại tiền mã hóa khác, cũng như để thực hiện các hợp đồng thông minh phi tập trung. Hợp
đồng thông minh là các chương trình máy tính tự động thực hiện các hành động cần thiết để thực
hiện thỏa thuận giữa một số bên trên Internet. Chúng được thiết kế để giảm nhu cầu về trung gian
đáng tin cậy giữa các nhà thầu, do đó giảm chi phí giao dịch đồng thời tăng độ tin cậy của giao dịch.
Ethereum đã sẵn sàng trở thành một nền tảng toàn cầu cho các ứng dụng phi tập trung, cho phép
người dùng từ khắp nơi trên thế giới viết và chạy phần mềm có khả năng chống lại sự kiểm duyệt,
thời gian chết và gian lận. Một trong những điểm khác biệt chính giữa Bitcoin và Ethereum là
Ethereum không giảm phát, tức là tổng nguồn cung của nó không bị giới hạn.
Trong khi các token XRP thường được gọi là 'Ripple', có sự khác biệt giữa XRP, Ripple và RippleNet.
XRP là tiền tệ chạy trên nền tảng thanh toán kỹ thuật số gọi là RippleNet, nằm trên cơ sở dữ liệu sổ
cái phân tán được gọi là XRP Ledger. Trong khi RippleNet được điều hành bởi một công ty có tên là
Ripple, XRP Ledger là mã nguồn mở và không dựa trên blockchain, mà là một cơ sở dữ liệu sổ cái
phân tán.
Bản chất bán ẩn danh của các giao dịch tiền mã hóa khiến chúng rất phù hợp cho một loạt các hoạt
động bất hợp pháp. Tuy nhiên, một số loại tiền mã hóa mang tính riêng tư hơn những loại tiền khác.
Ví dụ, Bitcoin thực sự là một lựa chọn tương đối tồi để tiến hành hoạt động bất hợp pháp, vì việc
phân tích chuỗi khối Bitcoin đã giúp cơ quan thực thi pháp luật bắt giữ và truy tố nhiều tội phạm. Có
nhiều đồng tiền có xu hướng đến quyền riêng tư hơn, chẳng hạn như Dash, Monero hoặc ZCash, khó
theo dõi hơn nhiều.
Token tiện ích (Utility token) là tài sản kỹ thuật số mà cung cấp yêu cầu về dịch vụ hoặc cung cấp
đảm bảo có thể tiêu thụ một số sản phẩm trong mạng lưới và đôi khi chúng được bán như một phần
của ICO. Utility token không cung cấp quyền sở hữu đối với một phần của công ty.
Không giống như các loại tiền ở dạng vật chất, chẳng
hạn như Bảng Anh hoặc Đô la Mỹ, tiền mã hóa chủ
yếu tồn tại trong thế giới kỹ thuật số. Bất chấp sự
khác biệt này, tiền mã hóa có thể được chia thành
các đơn vị nhỏ hơn, giống như đồng bảng Anh được
chia thành pence và đô la thành cent. Trong trường
hợp của Bitcoin, đơn vị nhỏ nhất hiện có được gọi là
satoshi, được đặt theo tên của Satoshi Nakamoto và
đại diện cho một trăm phần triệu bitcoin. Những
mệnh giá nhỏ như vậy có thể khiến các giao dịch
bitcoin trở nên cực kỳ tốt, về lý thuyết, bạn có thể trả ít hơn 1 xu.
Tiền mã hóa có thể được sử dụng trong nhiều giao dịch so với một tờ tiền hoặc đồng xu vật lý vì
chúng chỉ có thể tồn tại ở một nơi tại một thời điểm duy nhất. Vì tiền kỹ thuật số không tồn tại trong
không gian vật lý, nên việc sử dụng nó trong giao dịch không xóa nó khỏi quyền sở hữu của ai đó.
Chainalysis còn cho biết thêm rằng tổng cộng 13% tất cả các hoạt động không sử dụng dịch vụ trao
đổi tiền mã hóa được cho là do ‘Dịch vụ bất hợp pháp’, bao gồm lừa đảo trực tuyến, thị trường
Darknet và tiền bị đánh cắp.
Blockchain là một danh sách các bản ghi liên tục phát triển, chỉ nối thêm, được gọi là các khối, được
liên kết và bảo mật bằng mật mã. Blockchains là phương pháp tổ chức để đảm bảo tính toàn vẹn của
dữ liệu đã giao dịch và là một thành phần thiết yếu của hầu hết các loại tiền mã hóa.
Điều tra viên cần phải hiểu Blockchain hoạt động như thế nào để định hướng cuộc điều tra và phân
tích dữ liệu từ blockchain, đồng thời có khả năng giải thích bằng chứng của mình trước tòa hoặc cho
Điều tra viên khác.
Khi các giao dịch bitcoin diễn ra, chúng được gộp lại với nhau thành các khối mà bạn có thể coi như
một chiếc hộp. Sau khi hộp đầy, nó sẽ được khóa bằng mật mã và gắn vĩnh viễn vào hộp đã khóa
trước đó theo kiểu dây chuyền. Sau khi được đính vào chuỗi, nó không thể được gỡ bỏ hoặc thay
đổi. Mỗi khối có một cấu trúc cụ thể và giữ trung bình khoảng 2000 giao dịch. Blockchain bitcoin có
thể được tải xuống tuy nhiên nó có dung lượng hơn 300GB.
Các loại tiền mã hóa khác nhau sử dụng các blockchain khác nhau. Ví dụ: nếu bạn đang điều tra
Ethereum hoặc Litecoin, bạn cần truy cập vào blockchain mà những đồng tiền đó sử dụng.
Cách đơn giản nhất để truy cập vào một blockchain là sử dụng trình duyệt của bạn và truy cập các
trang web như:
www.blockexplorer.com
www.blockchain.com
www.blockcypher.com
Dữ liệu được lưu trữ bên trong một khối phụ thuộc vào loại blockchain. Ví dụ, một Khối Bitcoin chứa
thông tin về Người gửi, Người nhận và số bitcoin sẽ được chuyển. Một khối cũng có một hàm băm
(hash). Hàm băm giống như một dấu vân tay kỹ thuật số là duy nhất cho mỗi khối. Nó xác định một
khối và tất cả nội dung của nó, và nó luôn là duy nhất, giống như một dấu vân tay. Vì vậy, khi một
khối được tạo, bất kỳ thay đổi
nào bên trong khối sẽ khiến
hàm băm thay đổi. Mỗi khối có
dữ liệu, hàm băm của nó và
một hàm băm của khối trước
đó. Kỹ thuật khối chứa hàm
băm của các khối trước đó là
một cách thức giúp cho blockchain trở nên an toàn.
Ngược lại, mã hóa đối xứng sử dụng cùng một khóa để mã hóa và giải mã. Loại mã hóa này sẽ không
hoạt động đối với tiền mã hóa, vì cùng một khóa để "gửi" đến ví sẽ được sử dụng để "chuyển" từ ví.
Nhiều giao thức Internet như SSH, SSL/TLS dựa trên mật mã không đối xứng để mã hóa và chữ ký số.
Nó cũng được sử dụng trong các chương trình phần mềm, chẳng hạn như trình duyệt, để thiết lập
các kết nối an toàn qua một mạng không an toàn như Internet. Các ứng dụng nổi tiếng khác sử dụng
khóa công khai và bí mật để bảo mật tin nhắn là WhatsApp và Signal.
Khóa công khai và khóa bí mật không thực sự là chìa khóa thật mà là các số nguyên tố rất lớn có liên
quan về mặt toán học với nhau.
Sử dụng một phương trình toán học và một số ngẫu nhiên rất lớn, các khóa sau đã được tạo ra:
B4D209348EFBCA16CC19CF0360F742C62E794D3974A7FFF264461496F2FF5EE
0407796BCDF0C7E5A2FD64FAAB452960B2F186B40FECEA890D654237F59A8A686CB28885
BDB40B2A7EE19DBFA9AD135879E1F97618D525BB903C90D4EFF78D06BA
“Có liên quan về mặt toán học” nghĩa là bất kỳ thứ gì được mã hóa bằng khóa công khai chỉ có thể
được giải mã bằng khóa bí mật liên quan.
Có một số thuật toán toán học nổi tiếng được sử dụng để tạo ra các khóa công khai và bí mật. Ví dụ
như RSA, DSS (Tiêu chuẩn Chữ ký Kỹ thuật số) và các kỹ thuật đường cong eliptic khác nhau. Tiền mã
hóa thường sử dụng mật mã đường cong eliptic.
Khóa công khai sẽ xác định có bao nhiêu loại tiền kỹ thuật số được liên kết với khóa công khai đó;
tuy nhiên, tiền kỹ thuật số chỉ có thể được chuyển bằng khóa bí mật.
Vòng giao dịch giữa Amanda và Billy sử dụng mã hóa khóa bí mật và công khai là:
Billy lấy dữ liệu giao dịch bitcoin và khóa nó bằng khóa công khai của Amanda. Billy gửi dữ liệu được
mã hóa đến chuỗi khối dưới dạng một giao dịch. Giờ đây, Amanda là người duy nhất có thể mở khóa
giao dịch đó bằng khóa bí mật bí mật (hoặc duy nhất) của cô ấy được liên kết với khóa công khai
được Billy sử dụng cho giao dịch cụ thể đó.
Đối với địa chỉ bitcoin, không hề có địa chỉ bí mật nào, chỉ có chìa khóa WIF bí mật.
Khóa bí mật
5KBvPzkNepTM8ynNo5zafoLwYePwpvPHzf2EJF9P9GHgHA7xkKX
Khóa công khai được định dạng thập lục phân được băm và được hiển thị dưới dạng địa chỉ công
khai:
15rGFUSo7gXrPdzzMa8CLYBVcqdMeWXUqx
Trên đây là một biểu diễn mã Tham chiếu nhanh (QR) của các khóa. Vì vậy, nói một cách đơn giản,
một địa chỉ Bitcoin chỉ là một khóa công khai. Địa chỉ bitcoin dài 26-35 ký tự, bao gồm các ký tự chữ
và số, và bắt đầu bằng “1”, “3” hoặc “bc1” như sau:
1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2
3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq
Các điều tra viên tội phạm mạng cần phải tự làm quen với cách hiển thị và lưu trữ các địa chỉ khác
nhau, bởi vì khi tiến hành tìm kiếm, địa chỉ có thể được viết trên một mảnh giấy, ảnh chụp màn hình
hoặc được lưu ở đâu đó..
Một số ví ảo:
Ví online:
www.coinbase.com
www.blockchain.com (qua trao đổi)
Ví phần cứng:
Ledger, Trezor, Keepkey
Ví giấy:
Đơn giản là tự viết các mã khóa lên giấy
Ví xác định phân cấp, là loại ví kỹ thuật số mới nhất tự động tạo cấu trúc dạng cây phân cấp của các
địa chỉ bí mật/công khai (hoặc khóa), do đó giúp người dùng đỡ phải tự tạo chúng. Trong mô hình
này, một máy chủ có thể được thiết lập để chỉ biết Mã khóa công khai chính (MPK) của một ví xác
định cụ thể. Điều này cho phép máy chủ tạo đủ khóa công khai để nhận quỹ.
Ví xác định phân cấp hiện đại hỗ trợ khóa bí mật mở rộng (xprv). Xprv là một khóa chính bắt nguồn
từ một hạt giống (seed) và được sử dụng để tạo một chuỗi các khóa bí mật và nhiều địa chỉ. Hạt
giống (seed) là một giá trị 128 bit ngẫu nhiên được trình bày cho người dùng dưới dạng một cụm
khoảng 12 đến 24 từ tiếng Anh thông dụng. Đây được gọi là những từ mật mã dễ nhớ. Cụm từ hạt
giống, cụm từ khôi phục hạt giống hoặc cụm từ hạt giống dự phòng có thể được sử dụng để khôi
phục tiền mã hóa, vì vậy chúng có thể rất hữu ích để xác định vị trí tiền mã hóa trong quá trình điều
tra. Cụm từ khôi phục cho ví phần cứng thường là một danh sách gồm 24 từ. Vì ví phần cứng lưu trữ
Các sàn giao dịch có thể gửi tiền mã hóa đến ví tiền mã
hóa cá nhân của người dùng. Một số có thể chuyển đổi số
dư tiền tệ kỹ thuật số thành thẻ trả trước ẩn danh có thể
được sử dụng để rút tiền từ máy ATM.
Nhiều sàn giao dịch tiền kỹ thuật số là chỉ hoạt động kinh doanh trực tuyến và thường là đối tượng
của các cuộc tấn công mạng nhằm đánh cắp khóa bí mật. Vào tháng 2 năm 2014, sàn giao dịch có trụ
sở tại Nhật Bản, Mt Gox, là sàn giao dịch lớn đầu tiên “mất” một lượng đáng kể tiền mã hóa của
khách hàng.
Các sàn giao dịch thường được mô tả là các làn 'vào' và 'ra' trên đường cao tốc tiền mã hóa, do đó,
chúng mang lại cơ hội đáng kể cho Điều tra viên tội phạm mạng thực hiện điều tra tự như đối với
ngân hàng hoặc tổ chức tài chính.
Deep web là một phần của Internet chứa những thứ riêng tư như email, tài khoản Dropbox, tin nhắn
Facebook, v.v. Về cơ bản, bất kỳ thứ gì có bảo mật hoặc cần xác thực nhất định để truy cập sẽ được
coi là một phần của Deep web. Như bạn có thể tưởng tượng, loại thông tin này sẽ chiếm phần lớn
Internet, vì không phải mọi thứ đều có thể truy cập công khai, tức là ẩn sau một số hình thức bảo
mật trên Internet. Lý do chính đáng cho Deep Web là bạn không muốn thông tin chi tiết cá nhân của
mình (chủ lao động nắm giữ) hoặc chi tiết tài khoản ngân hàng (ngân hàng của bạn nắm giữ) bị công
khai. Thông tin này cần được bảo mật.
Dark web chứa những thứ đã được cố tình che giấu. Đó là nơi để ghé thăm các chợ đen trực tuyến,
mua vũ khí trái phép và ma tuý, chia sẻ/buôn bán tài liệu bóc lột trẻ em, thực hiện rửa tiền, thuê tin
tặc và thực hiện nhiều hoạt động bất chính khác. Người dùng truy cập các 'Dịch vụ ẩn' này thông qua
các URL với hậu tố '.onion' thay vì .com, .org, .net, v.v. Vì vậy, mặc dù dark web thực sự là một phần
của deep web, chúng ta giờ đây cần phân biệt chúng là hai thứ riêng biệt.
Mạng ẩn (Darknet)
Thuật ngữ ‘Darknet’ thường được sử dụng thay thế cho ‘dark web’. Như chúng ta đã thấy, dark web
là một tập hợp các trang web tồn tại trên một mạng được mã hóa, là Darknet. Trình duyệt Tor được
sử dụng để truy cập dark web, tuy nhiên có sẵn các công cụ / phần mềm và trình duyệt khác sử dụng
mạng được mã hóa Darknet.
Chúng ta sẽ không tìm hiểu thêm các phần khác của Darknet trong khóa học này, tuy nhiên bạn cần
phải biết về các trình duyệt và phần mềm khác sử dụng cơ sở hạ tầng Darknet như Freenet, Tor,
GNUnet, I2P, anoNet, OneSwarm và RetroShare.
Dark weeb thì hơi khác một chút. Đầu tiên, bạn vẫn cần một máy tính để truy cập nó, tuy nhiên thay
vì sử dụng trình duyệt web thông thường, bạn yêu cầu một thứ gọi là trình duyệt web Tor. Hơn nữa,
nếu bạn muốn mua bất kỳ thứ gì trên dark web, bạn sẽ cần biết cách sử dụng tiền mã hóa (ví dụ:
Bitcoin, Ethereum, Ripple, v.v.) và cách mua hàng ẩn danh. Ngoài ra, nếu bạn muốn an toàn nhất có
thể, bạn có thể sử dụng bản phân phối Linux di động
(hoặc hệ điều hành) được gọi là 'Tails'.
Tóm tắt các thành phần cơ bản để truy cập dark web:
Từ góc độ thực thi pháp luật, nghi phạm có thể sử dụng dịch vụ VPN để (i) che giấu hoạt động của
mình khỏi sự giám sát của cơ quan thực thi pháp luật đối với các dịch vụ từ xa, (ii) che giấu hoạt
động của mình khỏi sự giám sát của cơ quan thực thi pháp luật đối với kết nối Internet cục bộ và (iii)
che giấu nội dung mình truyền khỏi kẻ khác ví dụ tin tặc/kẻ tấn công khác. Có rất nhiều VPN có sẵn,
bao gồm cả miễn phí và phải đăng ký. Một số VPN phổ biến trên thị trường là ExpressVPN, NordVPN,
PIA, Tunnelbear, CyberGhost, Surfshark và ProtonVPN.
Một phương pháp ẩn danh khác cần lưu ý là 'fast flux'. Fast flux (thông lượng nhanh) là một kỹ thuật
DNS được bot sử dụng để ẩn phần mềm độc hại hoặc các trang web lừa đảo hoặc để khiến chúng
khó tắt hơn. Các trang web phân phối này nằm sau một mạng lưới liên tục thay đổi gồm các máy chủ
bị xâm nhập hoạt động như proxy. Vì nó sử dụng DNS, một mạng Fast flux có thể nhanh chóng xoay
vòng qua một số bot khiến việc kiểm tra IP trở nên khó khăn do các máy chủ bị xâm nhập chỉ được
sử dụng trong một thời gian ngắn.
Ý tưởng Onion routing này được phát triển hơn nữa, khi bản đầu tiên của Tor được phát hành vào
ngày 22 tháng 9 năm 2002. Ngày 13 tháng 8 năm 2004, mã Tor được phát hành theo giấy phép miễn
phí, và sau đó vào năm 2006, Dự án Tor phi lợi nhuận chính thức được thành lập, chính là Tor mà
Như đã đề cập trước đây, Tor là một trình duyệt ẩn danh mở ra nhiều khả năng. Nếu bạn sử dụng
trình duyệt Tor cùng với VPN, sự kết hợp này giúp bảo vệ quyền riêng tư trực tuyến của bạn cực kỳ
tốt. Trình duyệt Tor có sẵn tại www.torproject.com. Có các lựa chọn khác để truy cập nội dung trên
Dark web, tuy nhiên trình duyệt Tor là một trong những trình duyệt được sử dụng phổ biến nhất.
Trình duyệt Tor sử dụng mạng máy chủ rộng lớn trên toàn thế giới mà mạng Tor tạo nên. Như đã đề
cập trước đây, khi sử dụng trình duyệt, dữ liệu của bạn được chuyển tiếp qua các máy chủ Tor khác
nhau được gọi là các node, được điều hành bởi các tình nguyện viên. Khi người dùng gửi yêu cầu,
lưu lượng truy cập được mã hóa rất nhiều và từ từ được giải mã từng lớp một (tức là giống như một
củ hành) tại các node khác nhau cho đến khi nó đến máy chủ đích. Điều này có nghĩa là bất kỳ ai
đang cố gắng xác định bạn dựa trên lưu lượng truy cập trực tuyến của bạn sẽ chỉ thấy được máy chủ
cuối cùng mà lưu lượng dữ liệu của bạn đi qua, là node thoát (hoặc chuyển tiếp). Nói cách khác, trình
duyệt Tor gây khó khăn cho việc xác định người dùng khi sử dụng mạng Tor.
Đây là một cái nhìn tổng quan rất đơn giản về cách hoạt động của Tor. Phân tích sâu hơn về mạng
Tor, các node thoát, mã hóa / giải mã, v.v., sẽ được đề cập trong Chương trình Đào tạo công nghệ
cao Cấp 2 của CSA.
Dịch vụ ẩn
Thuật ngữ Dịch vụ ẩn (Hiden Service) là các dịch vụ được tìm thấy trên dark web bị ẩn vì chúng
không theo dõi địa chỉ IP của người dùng, cũng như không phát địa chỉ IP của chính nó. Dịch vụ ẩn
Tor là các trang nằm trong chính mạng Tor, cho phép người dùng xuất bản các trang web và các dịch
vụ khác mà không cần tiết lộ vị trí của trang. Các dịch vụ ẩn Tor thường được gắn nhãn địa chỉ web
gồm 16 ký tự với hậu tố là “.onion”.
Trong hầu hết các trường hợp, không có phương tiện sẵn có nào để xác định nơi các trang web /
dịch vụ này được lưu trữ trên thực tế. Tuy nhiên, cần phải lưu ý rằng, hầu hết những thiệt hại thực
sự xảy ra trong thế giới ngầm trực tuyến đều được thực hiện trên các diễn đàn hacker nói tiếng Nga
cấp cao, nhiều diễn đàn chưa từng sử dụng các trang của Onion.
Wiki ẩn
Wiki ẩn là một trang dark web nổi tiếng trong đó
có danh sách các trang web được biết đến / phổ
biến.
Hầu như hàng ngày, các dịch vụ ẩn bị đóng cửa hoặc được mô
tả chính xác hơn là 'bị tịch thu'. Các cơ quan như FBI, Interpol
và Europol, và một số cơ quan khác đang liên tục tiến hành
các cuộc điều tra chung để theo dõi, đấu tranh và triệt phá
các dịch vụ ẩn bất chính.
Việc truy cập một dịch vụ ẩn thông qua địa chỉ web .onion chỉ
để tìm thấy thông báo “Trang web ẩn này đã bị thu giữ” là rất
phổ biến. (Như hình bên trái)
Tại thời điểm viết bài, các thị trường thống trị có thể truy cập trên Dark Web bao gồm Dream
Market, Deep Sea Market, Empire Market, Dark0de Reborn, Hydra, Versus, and Cannazon.
Tại sao tội phạm sử dụng thị trường Dark Web và Darknet
Như đã nói trong học phần này, cộng đồng tội
phạm đã xác định dark web mang lại lợi ích đặc
biệt, vì phương pháp giao tiếp trong khi ẩn thông
tin đăng nhập khiến việc trốn tránh cơ quan thực
thi pháp luật và ẩn danh dễ dàng hơn.
Như được trình bày trong Học phần 7, Bitcoin thống trị thị trường tiền mã hóa và cho đến nay vẫn là
phương thức thanh toán chính được sử dụng trên các thị trường dark web. Điều này làm cho nó trở
thành một trong những công cụ và khái niệm quan trọng nhất cần nắm rõ khi tìm hiểu về dark web,
cũng như tiền mã hóa nói chung.
Các học phần từ 1 đến 8 đã cung cấp một loạt các khái niệm kỹ thuật để xem xét, giờ là lúc tổng hợp
lại kiến thức cơ bản này nhằm rút ra cách tốt nhất để thực hiện các cuộc điều tra liên quan đến tội
phạm mạng. Chúng tôi sẽ sử dụng các ví dụ khác nhau để giúp giải thích các nội hàm của một cuộc
điều tra.
Một cuộc điều tra có thể là một cuộc điều tra phản ứng (khi tội phạm và thiệt hại đã xảy ra, chẳng
hạn như trong một vụ giết người) hoặc một cuộc điều tra chủ động (khi một hành vi phạm tội đã bắt
đầu, nhưng tác hại chưa xảy ra như trong một vụ khủng bố chủ động hoặc có tổ chức điều tra tội
phạm). Các loại điều tra này có những điểm giống và khác nhau về cách quản lý.
Có nhiều khía cạnh đối với cuộc điều tra mà chúng ta có thể xem xét ngắn gọn, và một số khía cạnh
này là chung cho tất cả các cuộc điều tra, trong khi những khía cạnh khác khác nhau tùy theo loại
điều tra (mục đích của nó là gì, ai đang tiến hành và nơi nó diễn ra).
Ví dụ: trong một cuộc điều tra tội phạm ở Úc, mục đích 'thông thường' (chúng ta sẽ thảo luận thêm
về điều này sau, vì có thể có một số mục đích) là thu thập tất cả bằng chứng có liên quan và có thể
Thẩm quyền (kết hợp từ 'luật pháp' trong tiếng Latinh + từ 'tuyên bố') là thẩm quyền thực tế được
cấp cho cơ quan pháp lý để giám sát công lý, như được định nghĩa theo loại vụ việc và vị trí của vấn
đề (vị trí của nó).
Nói chung, hậu quả của kết quả điều tra càng nghiêm trọng thì các quy tắc về chứng cứ càng trở nên
phức tạp. Tuy nhiên, không phải luôn luôn là như vậy.
Ngược lại với một vụ án hình sự, nếu Cơ quan Tình báo từ một quốc gia cụ thể đang cố gắng tìm ra ai
đang theo dõi đất nước của họ, thì họ sẽ hoạt động theo những luật rất khác. Các hoạt động thu
thập thông tin của họ sẽ không quan tâm đến việc họ đã thu thập thông tin một cách công bằng hoặc
hợp pháp như thế nào, vì điều này không cần phải được chấp nhận tại một tòa án hình sự, nhưng nó
vẫn phải chính xác và họ sẽ vẫn tìm kiếm những gì mà tất cả các Điều tra viên tìm kiếm: ai , cái gì, khi
nào, ở đâu, như thế nào và tại sao…
Đây là một quá trình liên tục và vòng tròn thay vì tuyến tính. Có nghĩa là, khi việc lập kế hoạch đã
được thực hiện và các hành động đã bắt đầu để thu thập thông tin, sau khi nó được phân tích và
xem xét, thì việc lập kế hoạch, thu thập và phân tích / xem xét nhiều hơn có thể xảy ra trước khi vụ
Các giải pháp có thể bao gồm các sự kiện như nghi phạm bị bắt và hỏi cung, thu giữ các công cụ
phạm tội (chẳng hạn như máy tính trong tội phạm mạng) hoặc tiền do phạm tội mà có (chẳng hạn
như tiền hoặc tài sản khác) hoặc kết thúc một chiến dịch có kiểm soát. Các tùy chọn giải pháp sau
bao gồm tóm tắt về việc thu thập và nộp chứng cứ cũng như các hành động truy tố, nhưng những
điều này không phải lúc nào cũng xảy ra. Ngay cả khi việc truy tố xảy ra, điều này không nhất thiết có
nghĩa là kết thúc một vụ án.
Điều quan trọng đối với các Điều tra viên giỏi là phải luôn giữ đầu óc cởi mở, và đừng bao giờ nghĩ
rằng mình đã có tất cả các câu trả lời. Tất cả các hành động và quyết định được đưa ra cần phải
được đặt câu hỏi và xem xét lại, vì các cuộc điều tra và kết quả có thể rất chủ quan và sai lệch một
cách vô thức (hoặc có ý thức).
Thông tin có thể được định nghĩa là một tập hợp dữ liệu ở
dạng dễ hiểu có khả năng giao tiếp..
Thông tin tình báo là thông tin có giá trị cao hơn và có thể
được sử dụng cho một mục đích, chẳng hạn như cung cấp
thông tin chi tiết hoặc ảnh hưởng đến việc ra quyết định..
"Sự thật trong vấn đề" là một điều gì đó được thẩm vấn trong một phiên tòa (có thể là một "câu hỏi
về sự thật" hoặc "câu hỏi về luật").
Ngoài ra, vì nhiều tội phạm được thúc đẩy bởi lợi nhuận, mục đích của một cuộc điều tra có thể là
triệt phá hoặc cản trở tổ chức tội phạm bằng cách đóng băng tài sản của chúng và nộp đơn ra tòa án
dân sự để tịch thu, thay vì truy tố hình sự. Ở Úc và các khu vực pháp lý khác của Khối thịnh vượng
chung, một trường hợp như vậy sẽ yêu cầu ít bằng chứng hơn một vụ án hình sự, vì quyết định của
tòa án trong các vụ án dân sự được xác định trên một mức độ hoặc tiêu chuẩn chứng minh được gọi
là 'cân bằng xác suất' (nhiều khả năng hơn là không ~ trên 50 %) so với tiêu chuẩn chứng minh của
vụ án hình sự ('vượt qua mức nghi ngờ hợp lý' ~ gần 100%).
Các cân nhắc để lập kế hoạch bao gồm: mục tiêu và phạm vi điều tra; Luật pháp cho phép; sự an
toàn; tác động đến cộng đồng; chỉ huy và kiểm soát; rủi ro; tác động đến nạn nhân; các đối tác điều
tra (trong nước và quốc tế); chi phí và thời gian; sử dụng chuyên môn của chuyên gia; cấu trúc điều
tra được sử dụng; Báo cáo; các mốc thời gian; tiền do phạm tội mà có; phương tiện truyền thông;
tiết lộ; quản lý thông tin v.v.
Trong AFP, chúng tôi sử dụng Kế hoạch điều tra được định dạng trước, cung cấp các lĩnh vực cần cân
nhắc trong việc lập kế hoạch, và tất cả các điểm không phải là "đánh dấu và lướt qua" mà thực sự
xem xét chúng ta đang theo đuổi điều gì và làm cách nào để đạt được nó một cách hiệu quả nhất.
Theo Kế hoạch điều tra của AFP, việc lập kế hoạch bắt đầu bằng một bản tóm tắt nhanh về tình hình.
Sau đó, các thực thể quan tâm hoặc nghi ngờ được liệt kê. Sau đó, các hành vi phạm tội có thể xảy ra
và tiếp theo là tuyên bố nhiệm vụ điều tra. Ví dụ: một tuyên bố nhiệm vụ điều tra có thể được viết
là: Để xác định và thu thập bằng chứng một cách an toàn chống lại những người bị nghi ngờ tham gia
Sau đó, bạn phải xác định những việc bạn cần làm là gì, bao gồm trong các giai đoạn: thu thập; phân
tích / xem xét; giải pháp; và giải pháp sau.
Sau đó, xác định các chiến lược điều tra hoặc thu thập. Đó là, làm thế nào bạn sẽ thu thập tốt nhất
thông tin/bằng chứng có liên quan và có thể chấp nhận được trong trường hợp này.
Chiến lược điều tra (hoặc thu thập) có thể xem xét tất cả các nguồn thông tin khác nhau có sẵn và có
thể bao gồm: tình báo, đặc tình, các dự án đặc biệt, lệnh khám xét, bắt giữ, lấy lời khai nhân chứng
(bao gồm cả chiến lược từng cửa trong một số trường hợp), lấy lời khai nghi phạm, nguồn nhân lực ,
tài sản tội phạm, Internet/Bằng chứng điện tử, CCTV, Giám định hình sự, Giám định kỹ thuật số,
quản lý nạn nhân/FILO, chiến thuật, phương tiện truyền thông, v.v.
Những điều này sẽ thay đổi tùy theo cơ quan thu thập thông tin, năng lực và khả năng của họ cũng
như luật pháp mà họ đang sử dụng để thu thập thông tin.
Sau đó, một cấu trúc điều tra nên được thiết lập, nêu chi tiết ‘Chuỗi chỉ huy’ bao gồm người chịu
trách nhiệm về các khu vực cụ thể (hoặc các chiến lược điều tra), lưu ý rằng điều này có thể mở
rộng. Tức là một người có thể chịu trách nhiệm về nhiều lĩnh vực. Trong các cuộc điều tra nhỏ, Điều
tra viên thường chịu trách nhiệm về tất cả các khu vực, nhưng mỗi khu vực luôn phải được xem xét
trong quy hoạch.
Là một phần của quá trình lập kế hoạch này, cần xác định hệ thống quản lý thông tin hiệu quả, hệ
thống này phải bao gồm trình tự thời gian các sự kiện và ma trận bằng chứng.
Một ma trận bằng chứng tốt (còn được gọi là ma trận lập kế hoạch bằng chứng hoặc bảng tổng hợp
bằng chứng) khớp theo thứ tự thời gian thông tin chống lại các yếu tố vi phạm có thể xảy ra và chỉ ra
vị trí của các lỗ hổng bằng chứng. Trong quá khứ, đây chỉ đơn giản được gọi là dòng thời gian và
trình bày chi tiết những gì đã xảy ra 'trước, trong và sau' hành vi phạm tội.
Một phần của việc lập kế hoạch tốt cũng liên quan đến việc xác định và quản lý các rủi ro.
Quản lý rủi ro
Rủi ro được định nghĩa là một hàm của xác suất xảy ra một
điều gì đó (khả năng xảy ra) và hậu quả của sự kiện đó. Khả
năng xảy ra và hậu quả càng cao thì rủi ro càng cao.
Như đã đề cập trong phần Tư duy của Điều tra viên, Điều tra
viên giỏi chấp nhận rủi ro có tính toán.
Nhiều quốc gia và tổ chức có một ma trận rủi ro, xác định rủi
ro khi bạn nhập các mức khả năng xảy ra (thường là 5 mức từ
hiếm, không chắc, có thể, có khả năng đến 'gần như chắc
chắn') và hậu quả (thường là 5 mức, từ không đáng kể đến
thấp , trung bình, cao đến nghiêm trọng). Mỗi mức độ rủi ro
sau đó phải được xử lý theo một cách cụ thể cho đến khi có
một rủi ro tồn dư có thể chấp nhận được, với việc xử lý càng chi tiết và tốn nhiều nguồn lực thì rủi ro
càng cao.
Cũng như nhiều lĩnh vực điều tra, quản lý rủi ro có thể là một lĩnh vực chuyên biệt, nhưng tất cả các
Điều tra viên giỏi nên hiểu rủi ro và nhận ra rằng mọi quyết định đều liên quan đến việc quản lý rủi
ro theo cách hợp lý và chính đáng. Các rủi ro chiến lược cần được xem xét trong các cuộc điều tra
bao gồm: an toàn (của cộng đồng, tài sản, cơ quan điều tra và nghi phạm), rò rỉ phương pháp luận
của cảnh sát, thiếu kết quả chấp nhận được, phương tiện truyền thông bất lợi, tham nhũng, v.v.,
trong khi cũng có những rủi ro chiến thuật (chẳng hạn như hành vi phạm tội cơ hội và khả năng sử
dụng vũ khí) được xem xét trong quá trình đưa ra biện pháp chiến thuật như lệnh bắt giữ hoặc khám
xét.
Tiết lộ
Ở nhiều quốc gia, xem xét việc ‘tiết lộ’ trong giai đoạn lập kế hoạch điều tra là rất quan trọng. Ở Úc,
luật pháp quy định rằng bất cứ điều gì buộc tội (có xu hướng chứng minh hành vi phạm tội) hoặc
biện minh (có xu hướng bác bỏ hành vi phạm tội) phải được thừa nhận làm bằng chứng.
Tuy nhiên, luật cũng quy định rằng bất kỳ thông tin nào do Công tố viên sở hữu trái với vụ việc truy
tố, có thể hỗ trợ người bào chữa trong việc biện hộ hoặc liên quan đến sự tin cậy của nhân chứng -
phải được tiết lộ cho Người bào chữa trước khi kết luận truy tố. Cơ quan Công tố thực hiện điều này
hoặc vụ việc sau đó có thể bị kháng cáo nếu điều gì đó không được tiết lộ, sau này trở nên rõ ràng và
có thể đã ảnh hưởng đến kết quả.
Do đó, Điều tra viên phải xem xét chiến lược bảo vệ một số điểm nhạy cảm nhất định (như người
cung cấp thông tin bí mật hoặc biện pháp kỹ thuật nhạy cảm). Mặc dù tuyên bố về Quyền miễn trừ vì
lợi ích công cộng (PII) có thể bảo vệ việc tiết lộ một số thông tin nhất định, trong một số trường hợp,
có thể phải đưa ra quyết định rằng không có nghi phạm nào bị truy tố trong một trường hợp cụ thể,
vì làm như vậy sẽ tiết lộ một số thông tin nhạy cảm nhất định nếu được công khai , có thể gây nguy
hiểm cho nguồn nhân lực, làm tổn hại đến quan hệ đối tác hoặc ngăn cản cơ quan điều tra thực hiện
hiệu quả công việc của mình trong tương lai.
Ở Úc, có một số luật cho phép các khiếu nại PII này, chẳng hạn như điều 130 của Đạo luật Bằng
chứng 1995 (Cth) cho phép một số bằng chứng nhất định không được đưa ra trong một phiên tòa vì
những lý do bao gồm duy trì các mối quan hệ quốc tế, duy trì phương pháp luận , và bảo vệ nguồn
nhân lực.
Mặt khác, cách tiếp cận hợp lý để tiết lộ là tốt hơn nên tiết lộ một cái gì đó, nếu nó không thể được
bảo vệ bởi một nguyên đơn PII, thì hãy đưa nó trở lại sau như một vấn đề khiến cho kết luận của tòa
án bị lật lại khi kháng cáo.
Lưu ý rằng trong quá trình đưa ra quyết định tốt, việc nhận biết và tránh thành kiến cá nhân và văn
hóa là điều bắt buộc. Tính khách quan và tư duy phản biện là rất quan trọng.
Như đã đề xuất trong phần Tư duy của Điều tra viên, các quyết định phải liên quan đến quản lý rủi ro
và chính đáng, hợp lý, tương xứng và cần thiết.
Như đã thảo luận ở trên, điểm khởi đầu tốt của bất kỳ cuộc điều tra nào, đặc biệt cần thiết cho giai
đoạn thu thập và phân tích/xem xét, là thiết lập một mốc thời gian sự kiện (còn được gọi là trình tự
thời gian sự kiện hoặc ma trận/bảng tính quản lý bằng chứng hoặc tương tự) và đặt tất cả thông
tin/bằng chứng được thu thập theo trình tự thời gian. Sau đó, các yếu tố của các hành vi vi phạm có
thể đang được điều tra có thể được xem xét dựa trên thông tin/bằng chứng đã thu thập được và có
thể xác định được bất kỳ khoảng trống bằng chứng nào (khi thiếu các yếu tố hoặc thiếu ‘bằng
chứng’). Điều này cũng tương tự đối với các cuộc điều tra phi tội phạm, nhưng những lỗ hổng được
gọi là khoảng trống thông tin hơn là khoảng trống bằng chứng.
Việc liệt kê nguồn thông tin là rất quan trọng trong dòng thời gian hoặc bảng trình tự. Điều đó cho
phép thông tin được đánh giá về tính xác thực của nó và cũng cho phép tạo ra một bản tóm tắt bằng
văn bản (đôi khi được gọi là ‘Tóm tắt các sự kiện’), trong đó nêu chi tiết các sự kiện đã được chứng
minh bao gồm các nguồn của bằng chứng.
Các chiến lược sau đó có thể được xây dựng để thu thập các bằng chứng hoặc lỗ hổng thông tin. Các
chiến lược này đã được mô tả ở trên trong giai đoạn lập kế hoạch và bao gồm nhiều phương án điều
tra khác nhau có thể được thực hiện đồng thời (như một gói) để tạo ra kết quả tốt nhất có thể.
Ví dụ: một chiến lược bí mật - chẳng hạn như tiếp cận các nghi phạm bằng cách giả danh là nhân
viên chính phủ tham nhũng - có thể được sử dụng như một phần của chiến lược 'hoạt động có kiểm
soát' cung cấp một lô hàng trái phép chất ma túy (đã loại bỏ chất gây nghiện), cùng với một thông
cáo truyền thông chiến lược để thúc đẩy cuộc nói chuyện giữa các nghi phạm có thể được ghi lại một
cách hợp pháp (tùy thuộc vào luật của nơi mà hoạt động được tiến hành). Ở Úc, để tiến hành một
hoạt động có kiểm soát như vậy, cần có cơ quan quản lý được ủy quyền kiểm soát và lệnh có chữ ký
của quan chức tư pháp cấp cao (cả theo luật Liên bang) để cho phép các cơ quan chức năng / Điều
tra viên chặn và ghi lại các cuộc trò chuyện của nghi phạm một cách hợp pháp.
Việc thu thập sẽ tiếp tục cho đến khi đạt được mục đích của cuộc điều tra. Nếu điều này là để truy tố
các nghi phạm, thì việc giải quyết sẽ xảy ra khi đã thu thập đủ bằng chứng, hoặc dự kiến sẽ thu thập
được trong quá trình giải quyết, để kết tội thành công các nghi phạm. Hoặc cách khác, mục đích có
thể là làm gián đoạn các nghi phạm để họ không thể tiếp tục phạm tội liên quan đến việc làm hại
Như đã thảo luận, việc cân nhắc thu thập chứng cứ như thế nào là mục đích chính của cuộc điều tra.
Nếu mục đích là khởi tố vụ án, thì các quy tắc về chứng cứ là rất quan trọng trong cách thức thu thập
chứng cứ, và khi đã thu thập được, Điều tra viên cần duy trì tính liên tục của chứng cứ để khi chuyển
sang giai đoạn truy tố, tòa án. sẽ đồng ý rằng nó có thể được chấp nhận.
Tuy nhiên, việc nhấn mạnh vào việc thu thập bằng chứng có thể chấp nhận được có thể không quan
trọng bằng trong những trường hợp mục đích không phải là truy tố, mà là nhanh chóng xác định ai,
cái gì, khi nào, ở đâu, như thế nào và tại sao - và hành động để ngăn chặn thiệt hại xảy ra.
Một Điều tra viên giỏi cần phải biết tất cả các phương pháp thu thập truyền thống (chẳng hạn như
lấy lời khai nhân chứng/nghi phạm, nguồn lực con người, thực hiện lệnh khám xét, phân tích hiện
trường vụ án, video/CCTV, ảnh và các hoạt động có kiểm soát), cũng như cách sử dụng chuyên gia
hoặc các lĩnh vực kỹ thuật để thu thập bằng chứng có thể chấp nhận - bao gồm Giám định hình sự,
Giám định hình sự kỹ thuật số, đánh chặn bằng chứng điện tử, đặc tình chuyên gia, năng lực nhạy
cảm, v.v. Quan hệ đối tác, cả nội bộ và bên ngoài, đều rất quan trọng đối với các lựa chọn thu thập
bằng chứng.
Bằng chứng cũng có thể được chia thành bí mật và công khai. Một cuộc điều tra chủ động, trong
trường hợp tội phạm chưa được hoàn thành, sẽ cố gắng giữ bí mật (không cho công chúng hoặc nghi
phạm biết) cho đến khi Điều tra viên bắt đầu giai đoạn giải quyết bằng cách thực hiện lệnh khám xét
và lấy lời khai nghi phạm. Lưu ý rằng, ở một số quốc gia, lệnh khám xét bí mật hợp pháp có thể được
thực hiện trong một số cuộc điều tra nhất định, thường là rất nghiêm trọng (chẳng hạn như điều tra
chống khủng bố).
Ngoài ra, trong một cuộc điều tra phản ứng mà hành vi phạm tội đã được thực hiện và hiện trường
vụ án đã tồn tại và đã được công bố rộng rãi, tất cả các cuộc điều tra có thể bị lộ. Tuy nhiên, ngay cả
trong những cuộc điều tra công khai như vậy, đôi khi điều quan trọng là phải giữ bí mật ‘phương
thức thủ đoạn’ cụ thể (hoặc cách các đối tượng đã thực hiện hành vi phạm tội), để giúp xác định tội
phạm là ai. Điều này thường được chứng minh thông qua việc lấy lời khai nghi phạm được lên kế
hoạch và thực hiện tốt, vì việc thẩm vấn cẩn thận có thể cho thấy một nghi phạm biết những điều
mà chỉ người phạm tội mới có thể biết.
Các chiến lược thu thập hoặc điều tra sau đó có thể được đưa ra để thu thập các bằng chứng còn
thiếu.
Tuy nhiên, đôi khi bằng chứng 'còn thiếu' đã được thu thập nhưng vẫn ở dạng 'thông tin' và chưa
được công nhận là bằng chứng hoặc thông tin có giá trị, bởi vì cần phải phân tích thêm để hiểu rõ về
nó và chuyển nó thành thông tin có giá trị hoặc (thậm chí tốt hơn là) bằng chứng.
Tuy nhiên, thông thường bằng chứng/thông tin đang được tìm kiếm là đặc biệt đối với vụ án, do
những khoảng trống bằng chứng/thông tin được xác định và do đó, Điều tra viên bắt buộc phải biết
rất rõ vụ việc của họ và có thể tóm tắt đầy đủ bất kỳ lĩnh vực chuyên môn nào đang tìm kiếm bằng
chứng trong số vô số thông tin thu thập được.
Để phân tích và tăng giá trị cho thông tin đòi hỏi các kỹ năng chuyên môn khi thông tin mang tính kỹ
thuật rất cao, nhưng ngay cả khi nó bằng ngôn ngữ đơn giản, bất kỳ Điều tra viên nào (bao gồm cả
Điều tra viên chuyên môn như Giám định hình sự) phải hiểu rõ về vụ việc.
Công nghệ và máy tính đã làm cho nhiệm vụ tìm kiếm và phân tích thông tin thu thập được dễ dàng
hơn nhiều, nhưng một chương trình (hoặc công cụ) tìm kiếm chỉ tốt khi đi đôi với Điều tra viên và
các cụm từ tìm kiếm.
Ví dụ: nếu hàng nghìn tài liệu có thể liên quan được thu thập như một phần của lệnh khám xét, thì
Điều tra viên sẽ cần phải tìm kiếm từng tài liệu riêng lẻ hoặc sử dụng chương trình tìm kiếm xác định
các từ và cụm từ quan trọng, sau khi các tài liệu đã được điện tử hóa. Dù bằng cách nào thì kết quả
cuối cùng sẽ chỉ tốt ngang với các cụm từ tìm kiếm do Điều tra viên cung cấp.
Tất cả các dữ liệu điện tử cũng vậy. Mặc dù các nhóm chuyên gia như Giám định viên kỹ thuật số
(DF) có thể giúp tìm kiếm và phân tích dữ liệu điện tử đã thu thập, nhưng việc tìm kiếm của họ sẽ chỉ
tốt ngang với thông tin tóm tắt mà Điều tra viên cung cấp cho họ. Các Điều tra viên sẽ biết những lỗ
hổng bằng chứng tốt hơn bất kỳ ai khác, và cũng sẽ biết những gì có liên quan - vì vậy họ không thể
giao việc cho DF mà không cung cấp đầy đủ hỗ trợ.
Tương tự, các bản ghi âm bị chặn được phân tích tốt nhất bởi Điều tra viên hoặc bởi các chuyên gia,
những người biết họ đang nghe ai và họ đang tìm kiếm điều gì, bao gồm cả các mật mã được sử
dụng. Nhiều trường hợp đã thu thập được bằng chứng rất mạnh mẽ trong các bản ghi âm (chẳng
hạn như thông qua thiết bị nghe hoặc điện thoại bị chặn), nhưng đã bị bỏ sót trong quá trình xem
xét ban đầu vì Điều tra viên hoặc giám sát thiếu kinh nghiệm không hiểu các mật mã, thứ có thể phổ
biến trong một loại tội phạm nhưng thường thay đổi theo thời gian hoặc giữa các nền văn hóa. Ví
dụ, đối với một số kẻ khủng bố, 'đám cưới' là mật mã mà chúng sử dụng để mô tả một cuộc tấn công
khủng bố có thể xảy ra.
Đánh giá chính thức khác với phân tích thông tin, nhưng đòi hỏi kỹ năng phân tích ở chỗ nó bao gồm
việc nhìn lại toàn bộ cuộc điều tra để đảm bảo rằng mọi thứ đã được xem xét cẩn thận một cách
khách quan, hợp pháp, hiệu lực và hiệu quả.
Đôi khi, ngay cả những Điều tra viên có kinh nghiệm cũng đưa ra quyết định hoặc kết luận sớm, dựa
trên thông tin có sẵn tại thời điểm đó, mà khi xem xét lại không phải là quyết định chính xác. Tuy
nhiên, quyết định này có thể đã đưa cuộc điều tra đi theo hướng dẫn đến việc coi những người
không chính xác trở thành nghi phạm. Do đó, trong một cuộc điều tra bắt buộc phải ghi lại tất cả các
quyết định quan trọng, bao gồm thông tin mà chúng dựa trên vào thời điểm đó, những cân nhắc và
cơ sở lý luận cho những quyết định đó. Bằng cách này, người đánh giá có thể xác định chính xác thời
điểm điều tra đi 'chệch hướng' và nó có thể được đưa trở lại thời điểm đó, nơi có thể bắt đầu một
cuộc điều tra mới, được nhắm mục tiêu khác.
Giải quyết
Hình thức giải quyết sẽ được xác định theo mục đích của cuộc điều tra và các yếu tố khác bao gồm
các nguồn lực sẵn có, quản lý rủi ro và áp lực thời gian (đôi khi được gọi là các khía cạnh của cuộc
điều tra: quy mô, thời gian, rủi ro, độ phức tạp).
Ở Úc, như đã nói, an toàn luôn được xem xét hàng đầu - vì vậy, đôi khi một cuộc điều tra sẽ được
giải quyết sớm hơn so với thời điểm mà Điều tra viên cho là tối ưu về mặt thu thập bằng chứng, để
đảm bảo an toàn cho nạn nhân (hiện tại hoặc tương lai), công chúng , cảnh sát và nghi phạm.
Các chiến lược giải quyết thường bao gồm việc bắt giữ và lấy lời khai các nghi phạm, và các chiến
lược lấy lời khai là quan trọng trong mọi trường hợp, nhưng đặc biệt với nhiều nghi phạm.
Lấy lời khai là một kỹ năng rất quan trọng đối với Điều tra viên, và ở Úc và các quốc gia khác có nhiều
cấp độ lấy lời khai khác nhau từ Cấp độ 1/cơ bản đến Cấp độ 4/Điều phối viên. Các kế hoạch lấy lời
khai có thể được điều chỉnh cho phù hợp với từng nghi phạm hoặc nhân chứng để có được thông tin
tốt nhất từ họ, theo hình thức có thể chấp nhận và hành động, mà không cần dùng đến các phương
pháp thẩm vấn trái pháp luật. Đây là một lĩnh vực chuyên môn, nhưng tất cả các Điều tra viên nên
biết những điều cơ bản về các cuộc lấy lời khai tốt thường dựa trên một mô hình như mô hình
PEACE: Chuẩn bị và lập kế hoạch; Tham gia và giải thích, Kê khai - làm rõ và thách thức; Kết thúc và
Đánh giá.
Điều quan trọng nữa là tất cả các bài học kinh nghiệm trong quá trình điều tra và tất cả thông tin thu
thập được phải được ghi lại và lưu giữ trong hệ thống quản lý thông tin theo cách cho phép tìm kiếm
và phổ biến thông tin một cách dễ dàng.
3. Xác định loại tội phạm tiềm tàng (cái gì, khi nào, ở đâu, như thế nào và tại sao)
Lưu ý rằng tại thời điểm này, có đủ thông tin để bắt đầu tiến trình bằng chứng / bảng tính /
ma trận và trình tự thời gian của các sự kiện, điều này sẽ giúp Điều tra viên hình dung họ
đang theo đuổi điều gì và họ có thể thu thập như thế nào.
5. Xác định cách thức và vị trí bạn sẽ thực hiện và khi nào bạn sẽ làm điều đó bằng cách liệt
kê các giai đoạn và chiến lược điều tra với khung thời gian nhất định (đôi khi được gọi là 'cột
mốc quan trọng').
Điều này cần xem xét các cột mốc thu thập / phương thức điều tra có thể có, bao gồm:
Trong nước Úc (ở đâu): nguồn nhân lực / nhân chứng ở Úc; trinh sát nội tuyến trực tuyến;
phương tiện truyền thông - thường là cách thủ phạm liên lạc với nạn nhân, hồ sơ của Chính
phủ - bao gồm tiền án tiền sự, hồ sơ thông tin và đi lại; đánh chặn trực tuyến - khi IP chính
xác đã được thiết lập (lưu ý rằng điều này có thể không hợp pháp ở một số quốc gia để làm
bằng chứng, mà chỉ dành cho mục đích thu thập thông tin).
Ở nước ngoài (ở đâu): Cơ quan thực thi pháp luật và Cơ quan pháp lý trung ương thông qua
Hiệp ước Tương trợ Tư pháp (MLAT) hoặc thông qua Cảnh sát với Cảnh sát (nếu không sử
dụng quyền lực cưỡng chế); Nhà cung cấp Internet - thông qua các quy trình đã thỏa thuận;
các công ty truyền thông - thông qua lệnh lưu giữ; nguồn nhân sự / nhân chứng ở nước
ngoài; nạn nhân ở nước ngoài (sự an toàn của nạn nhân sẽ là ưu tiên chính, cao hơn việc thu
thập bằng chứng. Khi họ đã được xác định vị trí và an toàn, họ sẽ giao máy tính của mình cho
cơ quan thực thi pháp luật địa phương để kích hoạt hoạt động trinh sát nội tuyến trực
tuyến? Hay là họ sẵn sàng và có thể đưa ra bằng chứng xác thực về thủ phạm); hồ sơ tài
chính - hầu hết các vụ lạm dụng xảy ra do thủ phạm trả tiền cho nạn nhân hoặc người kiểm
soát nạn nhân (thật không may, đây là cha mẹ hoặc người giám hộ nghèo cần tiền).
Trong trường hợp như thế này, chủ yếu dựa vào bằng chứng điện tử được thu thập, được hỗ trợ bởi
lời khai của nhân chứng, điều này có thể bao gồm các trang cụ thể trên trang web truyền thông xã
hội hoặc video về hành vi phạm tội (do một số người phạm tội ghi lại và sau đó phát tán hành vi lạm
Ví dụ: một bức ảnh có thể bị xóa địa chỉ IP, nhưng nó vẫn có thể chứa những thứ nhất định chỉ dẫn
đến một quốc gia hoặc khu vực cụ thể của một quốc gia. Nếu có bản ghi âm với hình ảnh, dấu trọng
âm có thể giúp bạn loại bỏ điều này. Hoặc, một mốc cụ thể trong nền hoặc một loại tòa nhà, phương
tiện hoặc nhà máy là duy nhất. Nếu ai đó nói tiếng Anh với giọng Cebuano và có một chiếc xe
Jeepney ở phía sau, thì rất có thể tội phạm đã xảy ra ở Philippines. Tính độc đáo và tính chất khu vực
cụ thể của đồ trang trí Jeepney cũng có thể hỗ trợ việc xác định chính xác nơi các nạn nhân có thể
sống.
AFP có một nhóm cụ thể được gọi là Nhóm Nhận dạng Nạn nhân làm việc để xác định nơi tội ác có
thể đã được thực hiện và nơi nạn nhân có thể đang sống.
Một số nguồn bằng chứng khác có thể được thu thập trong quá trình giải quyết vụ án này bao gồm:
Nhân chứng dân sự - bao gồm các thành viên của hộ gia đình nơi nghi phạm sống để xác
định ai đã sử dụng máy tính khi tội phạm được thực hiện. Hàng xóm (thông qua kiểm tra
từng nhà) cũng có thể xác nhận ai khác sống ở đó hoặc đã đến thăm (hoặc không) vào những
thời điểm cụ thể khi tội ác xảy ra;
Lệnh khám xét để thu giữ máy tính và điện thoại và bất kỳ nguồn bằng chứng nào khác bao
gồm cả phương tiện lưu trữ;
Lấy lời khai/thẩm vấn nghi phạm;
Nhân chứng cảnh sát bao gồm bất kỳ đặc vụ bí mật nào và Điều tra viên liên quan đến việc
giải quyết vụ việc; và
Các chuyên gia giám định hình sự và giám định kỹ thuật số, những người có thể phân tích
bằng chứng thu giữ được.
Xem xét vụ việc - xác định bất kỳ bài học kinh nghiệm nào và các quy trình cần cải thiện
Chăm sóc/quản lý nạn nhân - điều quan trọng là phải đảm bảo rằng nạn nhân được chăm
sóc cả về tinh thần và thể chất, ngay cả khi họ không đưa ra bằng chứng về vấn đề này. Các
nhà cung cấp dịch vụ chăm sóc bao gồm các tổ chức chính phủ và phi chính phủ. Khi cảnh sát
làm việc với nạn nhân, phải đối xử với họ với sự tôn trọng và quan tâm đặc biệt đến tình
trạng của họ, và bất kỳ lời khai nào được ghi lại đều phải lưu ý đến điều đó.
Kế hoạch truyền thông - quảng bá tích cực không chỉ nâng cao tinh thần của nhóm điều tra
và nạn nhân và gia đình nạn nhân, mà còn có tác dụng răn đe đối với những tội phạm tiềm
Tóm tắt các nội dung cần cân nhắc khi tiến hành cuộc điều tra
Khi có thể, Điều tra viên nên xem xét các yếu tố/ hành phần sau khi tiến hành điều tra:
Mục tiêu / Kết quả có được - ví dụ: Phát hiện, ngăn chặn, đấu tranh, triệt phá, truy tố
Trách nhiệm của cơ quan điều tra
Khung pháp lý - quyền tài phán, tội phạm, quyền hạn, khả năng được chấp nhận
Quan hệ đối tác - bên ngoài (Cơ quan thực thi pháp luật (LEA), LEA nước ngoài, Chính phủ,
Phi chính phủ, Học thuật, Công nghiệp) và nội bộ
Các khía cạnh của một cuộc điều tra - quy mô, thời gian, rủi ro, độ phức tạp
Các nguyên tắc của một cuộc điều tra - giá trị, quyền con người, kết quả, quản lý rủi ro, quản
lý thông tin, luật hiện hành
Ra quyết định - cơ sở, mục tiêu, các lựa chọn / cân nhắc, quyết định, cơ sở lý luận, giao tiếp
Lập kế hoạch - bao gồm tất cả các chiến lược điều tra
Phân tích / Đánh giá
Rủi ro trong điều tra bao gồm: an toàn (của công chúng, tài sản, cơ quan điều tra và nghi
phạm), rò rỉ phương pháp luận của cảnh sát, thiếu kết quả chấp nhận được, phương tiện
truyền thông bất lợi, tham nhũng, quan hệ đối tác, rò rỉ thông tin
Quản lý và giám sát
Ra lệnh và kiểm soát
Cấu trúc và quản lý một cuộc điều tra lớn - bao gồm Cán bộ điều tra cấp cao (SIO), Trưởng
nhóm, Cán bộ phụ trách / Điều tra viên và các 'điều phối viên' khác nhau như Thông tin
giám định hình sự, Tiết lộ, Giám định hình sự, Công nghệ cao, thu thập thông tin, lấy lời khai,
Tài sản Hình sự, Truyền thông , Đầu mối liên lạc gia đình (FILO)
Các phương thức truy vấn / nguồn thông tin có thể bao gồm: Hồ sơ chính phủ, Hồ sơ phi
chính phủ, Điện thoại (chỉ dành cho điện thoại - Hồ sơ cuộc gọi của khách hàng), Chặn điện
thoại (bao gồm cả vị trí), Thiết bị nghe, Máy tính, các thiết bị điện tử khác, Phương tiện
truyền thông, Giám sát , Hoạt động được kiểm soát (bao gồm trực tiếp và bí mật trực tuyến),
Nguồn nhân lực, cơ quan đối tác (quốc gia hoặc quốc tế), Lệnh khám xét, nhân chứng, nghi
phạm, CCTV / video, hiện trường vụ án, các vật dụng vật chất bao gồm - tài liệu, vũ khí, công
cụ, quần áo, giày
MPK Khóa công khai tổng Là một khóa mật mã chỉ được sử dụng để bảo vệ các
khóa khác.
MTA Tác nhân chuyển thư/Tác Là phần mềm chuyển thư điện tử từ máy tính này sang
nhân chuyển tin nhắn máy tính khác bằng SMTP
NAS Thiết bị lưu trữ đính kèm Là một máy chủ lưu trữ dữ liệu máy tính ở cấp độ tệp
(trái ngược với cấp độ khối) được kết nối với mạng máy
tính cung cấp quyền truy cập dữ liệu cho một nhóm
khách hàng không đồng nhất
NIC Thẻ giao diện mạng Phần cứng máy tính kết nối máy tính với mạng
OSINT Thông tin tình báo nguồn Một phương pháp để thu thập, phân tích và đưa ra quyết
mở định về dữ liệu có thể truy cập được trong các nguồn có
sẵn công khai để sử dụng như thông tin có giá trị.
P2P Mạng ngang hàng Một kiến trúc ứng dụng phân phối phân vùng nhiệm vụ
hoặc khối lượng công việc giữa các ứng dụng ngang hàng.
Những người ngang hàng là những người tham gia có đặc
quyền như nhau trong ứng dụng
PAN Mạng khu vực cá nhân Một mạng máy tính kết nối các thiết bị điện tử với nhau,
tập trung vào không gian làm việc của một cá nhân
POP Giao thức bưu điện Giao thức chuẩn tầng internet ứng dụng được sử dụng
bởi ứng dụng email để truy xuất email từ máy chủ thư
QR Tham chiếu nhanh Một loại mã vạch ma trận, nó là một nhãn có thể đọc
được bằng máy có chứa thông tin về mặt hàng mà nó
được gắn vào
RADIUS Giao thức RADIUS (Remote Một giao thức mạng hoạt động trên các cổng 1812 và
Authentication Dial in User 1813 cung cấp xác thực tập trung, ủy quyền và tính cước
Service) cho người dùng kết nối và sử dụng dịch vụ mạng
RSA Hệ mã hóa RSA (Rivest– Hệ thống mật mã khóa công khai được sử dụng rộng rãi
Shamir–Adleman) để truyền dữ liệu an toàn. Từ viết tắt RSA xuất phát từ họ
của Ron Rivest, Adi Shamir và Leonard Adleman, người
đã mô tả công khai thuật toán vào năm 1977
SANS Viện SANS về bảo mật và www.sans.org
mạng
SMTP Giao thức SMTP Một giao thức truyền thông để truyền thư điện tử
SOHO Văn phòng nhỏ tại nhà Loại hình kinh doanh có từ một đến mười công nhân
SSH Môi trường an toàn Một giao thức mạng mật mã để vận hành các dịch vụ
mạng một cách an toàn qua một mạng không an toàn
SSL Lớp socket bảo mật Một giao thức mật mã được thiết kế để cung cấp bảo
mật thông tin liên lạc qua mạng máy tính, trong các ứng
dụng như email, nhắn tin và thoại qua IP
TCP Giao thức điểu khiển truyền Một giao thức cốt lõi của các giao thức internet, cho
vận phép chuyển các luồng bytes giữa các ứng dụng thông
qua mạng IP một cách đáng tin cập, đúng thứ tự và có
thể kiểm tra lỗi.
TCP/IP Giao thức điều khiển truyền Là bộ giao thức truyền thông chính của Internet và cung
nhận/giao thức liên mạng cấp giao tiếp dữ liệu đầu cuối, chỉ định cách dữ liệu được
đóng gói, xác định địa chỉ, truyền đi, định tuyến và nhận.
TKIP Giao thức bảo mật mạng Một giao thức bảo mật được sử dụng trong tiêu chuẩn
không dây mạng không dây IEEE 802.11.