CƠ SỞ AN TOÀN THÔNG TIN ĐỀ TÀI: TÌM HIỂU VỀ ĐIỀU TRA SỐ

Điều tra số có thể được hiểu là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo

TÌM HIỂU VỀ ĐIỀU TRA SỐ

Sinh viên thực hiện: Nguyễn Thanh Long AT150533

Nguyễn Tiến Sỹ AT131044 Giảng viên hướng dẫn: Nguyễn Mạnh Thắng

Hà Nội, 9-2021

LỜI NÓI ĐẦU

Công nghệ ngày càng phát triển mang đến những lợi ích không hề nhỏ cho conngười Theo báo cáo tổng kết, trong 5 năm qua, ngành công nghiệp CNTT, điện tửviễn thông Việt Nam đã có những bước tiến vượt bậc, đạt được những thành tựuhết sức quan trọng Công nghiệp Công nghệ thông tin, điện tử viễn thông đã trởthành một ngành kinh tế quan trọng của đất nước với doanh thu năm 2019 ước đạt

112 tỷ USD, tăng trưởng 9,8% so với năm 2018, giải quyết việc làm cho hơn 1triệu lao động, đóng góp trên 14% GDP, nộp ngân sách Nhà nước trên 53.000 tỷđồng Các mặt hàng công nghiệp Công nghệ thông tin, điện tử viễn thông, đặc biệt

là điện thoại và máy tính chiếm vị trí top 1 và top 3 trong danh sách top 10 sảnphẩm xuất khẩu chủ lực của Việt Nam năm 2019, xuất khoảng 28 tỷ USD, đồngthời đưa Việt Nam trở thành nước đứng thứ 2 thế giới về sản xuất điện thoại vàlinh kiện, thứ 10 thế giới về sản xuất iện tử và linh kiện

Nhưng khi xã hội ngày càng phát triển theo hướng dữ liệu, tầm quan trọng của của an toàn thông tin hay nói cách khác là việc đảm bảo sự an toàn và tính trung thực của dữ liệu tăng theo cấp số nhân Hầu hết các nước, các tổ chức đều đề ra quy định, pháp luật để bảo vệ dữ liệu và an toàn thông tin của mình Với sự gia tăng đáng kể của tội phạm mạng thì một vai trò không thể thiếu là điều tra số - mộtlĩnh vực an ninh mạng tập trung vào việc theo dõi những kẻ đã chiếm được quyền điều khiển internet cho những mục đích bất chính Vậy nên thông qua đề tài này này, chúng em muốn giới thiệu tổng quan về điều tra số, các ứng dụng hay cách thức để điều tra số

LỜI CẢM ƠN

Trong quá trình thực hiện môn Cơ sở an toàn thông tin này, em đã nhận được sự giúp đỡ tận tình, chu đáo của giảng viên hướng dẫn – thầy Nguyễn Mạnh Thắng – khoa An toàn thông tin, Học viện Kĩ thuật Mật mã

Cảm ơn thầy với sự hướng dẫn chi tiết, cụ thể đã giúp em hoàn thành đề tài

bộ môn Cơ sở an toàn thông tin này!

SINH VIÊN THỰC HIỆN

Mục lục

LỜI NÓI ĐẦU 2

LỜI CẢM ƠN 3

I Tổng quan điều tra số 6

II Quy trình điều tra số trên máy tính 9

1 Giai đoạn trước khi điều tra số: Chuẩn bị (Preparation) 9

2 Giai đoạn điều tra số: Thu thập và phân tích (Acquisition & Analysis) 9

2.1 Thu thập (Acquisition): 10

2.2 Phân tích (Analysis): 10

3 Giai đoạn sau điều tra số: Lập báo cáo (Reporting) 11

III Các loại hình điều tra số 13

1 Operating System Forensics 13

1.1 Windows Forensics 14

1.2 Linux Forensics 15

1.3 Onother OS Forensics 15

1.4 Phương pháp điều tra hệ điều hành 16

1.5 Ứng dụng 17

2 Network Forensics 20

2.1 Quy trình thực hiện điều tra mạng 21

2.2 Một số công cụ hỗ trợ điều tra mạng 24

2.3 Ứng dụng 25

3 Điều tra các cuộc tấn công vào Website (Web Application Forensics) 26

3.1 Các vấn đề về WAF 27

3.2 Cách thức điều tra tấn công trong Ứng dụng Web 28

3.3 Ứng dụng 30

4 Điều tra database (Database Forensics) 39

4.1 Quy trình điều tra Database 40

4.2 Công cụ điều tra dữ liệu 40

4.3 Ứng dụng 40

5 Điều tra mã độc (Malware Forensics) 43

5.1 Các loại điều tra phần mềm độc hại 44

5.2 Các TOOL điều tra phần mềm độc hại 45

5.3 Ứng dụng 45

6 Điều tra Email (Email Forensics) 47

6.1 Phân tích Email Header 47

6.2 Điều tra máy chủ mail 48

6.3 Điều tra các thiết bị mạng trong hệ thống Mail 48

6.4 Điều tra các tệp đính kèm trong Mail 49

6.5 Các công cụ điều tra Email 49

6.6 Ứng dụng 49

7 Điều tra các thiết bị di động (Mobile Forensics) 51

7.1 Các giai đoạn điều tra thiết bị di động 52

7 Ứng dụng 53

I Tổng quan điều tra số

Khái niệm điều tra số

Digital Forensics (điều tra số) là một nhánh của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong các thiết bị kỹ thuật số.Thuật ngữ điều tra số ban đầu được sử dụng tương đương với thuật ngữ điều tra máy tính Sau đó, khái niệm này được mở rộng để bao quát toàn bộ việc điều tra các thiết bị có khả năng lưu trữ dữ liệu số

Điều tra số có thể được hiểu là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện, nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống

Điều tra số thường hay liên quan đến tội phạm máy tính Cũng như điều tra hình

sự, trước khi thực hiện điều tra số, cần có những cơ sở pháp lý để phân định rõ những quyền hạn, trách nhiệm của cơ quan điều tra

Giai đoạn năm 1980 đến 1990: Trước sự gia tăng tội phạm máy tính những năm này, các cơ quan thực thi pháp luật đã tiến hành thành lập các nhóm chuyên ngành cấp quốc gia để xử lý các khía cạnh kỹ thuật của việc điều tra Các kỹ thuật điều tra số cũng đã phát triển và thuật ngữ “Computer Forensics” xuất hiện và được sử dụng trong các tài liệu học thuật.

Mục đích - Ứng dụng

Mục tiêu cốt lõi của điều tra số là thu thập, phân tích và tìm ra chứng cứ thuyết phục về một vấn đề cần sáng tỏ Cần lưu ý rằng dữ liệu phải đảm bảo tính xác thực, và được lấy mà không bị hư hại, nếu không dữ liệu đấy sẽ không còn ý nghĩa Điều tra số có những ứng dụng quan trọng trong khoa học điều tra cụ thể

Trong thời đại công nghệ phát triển mạnh như hiện nay Song song với các ngành khoa học khác, điều tra số đã có những đóng góp rất quan trọng trong việc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chuyên gia có thể phát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập, cũng như việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ thống

Về mặt kỹ thuật thì điều tra số giúp xác định những gì đang xảy ra làm ảnh hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ thống bị xâm nhập, các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ thống

Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tội phạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hành vi phạm pháp

Đặc điểm của điều tra số

- Dữ liệu cần phân tích lớn, nếu dữ liệu chỉ là text thôi thì với dung lượng vài MB chúng ta cũng có một lượng thông tin rất lớn rồi Trong thực tế thì còn khổng lồ hơn

- Dữ liệu thường không còn nguyên vẹn, bị thay đổi, phân mảnh và có thể bịlỗi

- Bảo quản dữ liệu khó khăn, dữ liệu thu được có thể có tính toàn vẹn cao, chỉ một thay đổi nhỏ cũng có thể làm ảnh hưởng đến tất cả

- Dữ liệu Forensics có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng,…

- Vấn đề Forensics là khá trừu tượng: mã máy, dump file, network packet…

- Dữ liệu dễ dàng bị giả mạo

- Xác định tội phạm khó khăn, có thể tìm ra được dữ liệu về hacker (IP, email, profile…) nhưng để xác định được đối tượng thật ngoài đời thì không phải

là việc đơn giản

Khi nào thì thực sự cần thiết thực hiện một cuộc điều tra số?

 Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân

 Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi

 Hiểu rõ cách làm việc của hệ thống

 Khi thực hiện điều tra tội phạm có liên quan đến công nghệ cao

 Điều tra sự gian lận trong tổ chức

 Điều tra các hoạt động gián điệp công nghiệp



Cần điều tra những gì?

Forensics thường làm việc với những đối tượng sau:

 Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa…

 File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android…

 Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng dụng…

 Network: Phân tích gói tin mạng, sự bất thường trong mạng

 Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra

II Quy trình điều tra số trên máy tính

1 Giai đoạn trước khi điều tra số: Chuẩn bị (Preparation)

Thiết lập một phòng thí nghiệm pháp y máy tính, xây dựng một trạm làm việc pháp y, phát triển một bộ công cụ điều tra, thiết lập một quy trình điều tra, nhận được sự chấp thuận của cơ quan có thẩm quyền liên quan, v.v

Ngoài ra, thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra, cácdấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra

 Kiểm tra xác minh: Khi bắt đầu quá trình điều tra thì đây là nhiệm vụ đầutiên Ở giai đoạn này việc kiểm tra xác minh cung cấp một cái nhìn bao quát về các thông tin liên quan đến hệ thống bị tấn công, thông tin về hạ tầng mạng, các cơ chế bảo vệ thệ thống đó, các ứng dụng ngăn chặn virustrên hệ thống, cũng như các thiết bị mạng (tường lửa, IDS, router…) đang được triển khai

 Mô tả hệ thống: Sau khi hoàn thành nhiệm vụ kiểm tra xác minh chúng ta

sẽ tiến hành mô tả chi tiết các thông tin về hệ thống như thời gian hệ thống bị tấn công, đặc điểm phần cứng, hệ điều hành đang sử dụng, phần mềm đang cài trên hệ thống, danh sách người dùng và nhiều thông tin hữu ích khác liên quan tới hệ thống Một phần của những dữ liệu này sẽ được lấy ra khỏi hệ thống bằng việc sử dụng các phần mềm phục vụ cho quá trình điều tra, vì việc điều tra không thể thực hiện ngay trên hệ thống được xem là mục tiêu của tấn công được, bởi vì hệ thống có thể đã được cài đặt các phần mềm độc hại…

2 Giai đoạn điều tra số: Thu thập và phân tích

(Acquisition & Analysis)

Quá trình thu thập, bảo quản và phân tích chứng cứ để xác định nguồn gốc của tội phạm và thủ phạm đằng sau nó

II.1 Thu thập (Acquisition):

Đây là bước tạo ra một bản sao chính xác các sector hay còn gọi là nhân bản điều tra các phương tiện truyền thông, xác định rõ các nguồn chứng cứ sau đó thu thập và bảo vệ tính toàn vẹn của chứng cứ bằng việc sử dụng hàmbăm mật mã

 Giai đoạn này rất quan trọng cho quá trình phân tích, điều tra một hệ thống máy tính bị tấn công Tất các những thông tin máy tính có sẵn phải được đưa vào một môi trường điều tra an toàn để thực hiện công việc điều tra, phân tích, đây là việc làm rất quan trọng bởi vì nó phải đảm bảo được rằng những chứng cứ thu được ban đầu cần phải đảm bảo được tính toàn vẹn

 Tất cả các dữ liệu thu được từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa…) phải được ghi lại và ký mã bởi các thuật toán như MD5 hoặc SHA1 để đảm bảo tính toàn vẹn chứng cứ, trước khi bắt đầu điều tra thì người thực hiện nhiệm vụ phân tích điều tra sẽ kiểm tra độ tin cậy của chứng cứ dựa vào thông tin mà các chuỗi MD5hay SHA1 cung cấp Nhằm tránh việc gian lận và cài đặt, làm giả các chứng cứ đánh lạc hướng điều tra

II.2 Phân tích (Analysis):

Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các

kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích cácbằng chứng thu được

 Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng cứ tất cả các dữ liệu được cách ly trong một môi trường điều tra an toàn

và nhiệm vụ tiếp theo của quá trình thực hiện phân tích là thiết lập tập tin thời gian Việc thiết lập tập tin thời gian giúp người thực hiện côngviệc điều tra theo dõi lại các hoạt động của hệ thống (hiển thị ra thời gian cuối cùng mà một tập tin thực thi được chạy, các tập tin hoặc thư mục được tạo/xóa trong thời gian qua và qua đó có thể giúp người điều tra hình dung, phỏng đoán được sự hiện diện của các kịch bản hoạt động)

 Phân tích phương tiện truyền dữ liệu của hệ điêu hành:Từ các kết quả thu được bởi việc phân tích thời gian, chúng ta tiến hành bắt đầu phân

tích phương tiện truyền thông để tìm kiếm các đầu mối phía sau một

hệ thống bị thỏa hiêp Bộ công cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào một số nhân tố như:

- Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra

- Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu củaviệc phân tích

- Môi trường phân tích

 Tìm kiếm chuỗi: Với những gì đã thu thập được, người phân tích có thể bắt đầu tìm kiếm các chuỗi cụ thể chứa bên trong các tập tin để tìm kiếm những thông tin hữu ích như địa chỉ IP, địa chỉ Email… để

từ đó truy tìm dấu vết tấn công

 Khôi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các phương tiện truyền thông, chuyên viên điều tra hoàn toàn có thể tìm kiếm những dữ liệu từ chứng cứ đã được ghi lại và trích xuất ra các dữliệu chưa được phân bổ trong ngăn xếp, sau đó phục hồi lại bất kỳ tập tin nào đã bị xóa Tìm kiếm không gian trống (trong môi trường windows) hoặc tìm trong không gian chưa phân bố dữ liệu có thể khám phá ra nhiều tập tin phân mảnh, đó có thể là đầu mối về các hành động xóa tập tin, thời gian được xóa… Việc nắm bắt được thời gian tập tin bị xóa là một trong những thông tin quan trọng liên quan đến các hoạt động tấn công đã xảy ra trên hệ thống (ví dụ xóa các bản ghi liên quan đến quá trình thâm nhập hệ thống)

3 Giai đoạn sau điều tra số: Lập báo cáo (Reporting)

Lập báo cáo (Reporting): Sau khi thu thập được những chứng cứ có giá trị

và có tính thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báocáo lại cho bộ phận có trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích phải đưa ra các kỹ thuật điều tra, các công nghệ, phương thức được sửdụng, cũng như các chứng cứ thu được, tất cả phải được giải thích rõ ràng trongbáo cáo quá trình điều tra

Từ đó, ta có cái nhìn chi tiết về các bước cần làm của 1 nhà điều tra viên mỗi khi muốn truy hồi bằng chứng từ máy tính:

- Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được

an toàn Điều này có nghĩa điều tra viên cần phải nắm quyền bảo mật để không

có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát được kết nối này

- Tìm kiếm tất cả các file có trong hệ thống máy tính, bao gồm các file đãđược mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè Nhân viên điều tra nên sao chép lại tất cả các file của hệ thống, bao gồmcác file có trong ổ đĩa của máy tính hay file từ các ổ cứng cắm ngoài Bởi khi truy cập các file có thể thay đổi nó nên nhân viên điều tra chỉ nên làm việc với các bản copy của các file khi tìm kiếm bằng chứng Bản nguyên gốc cần được bảo quản và không được động đến

- Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa

- Tìm kiếm thông tin của tất cả các file ẩn

- Giải mã và truy cập các file được bảo vệ

- Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận

- Ghi lại tất cả các bước của quá trình Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thông tin của hệ thống máy tính mà không làm thay đổi hoặc làmhỏng chúng Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu không cótài liệu xác thực, bằng chứng thậm chí còn không được chấp nhận Robbins cho rằng những tài liệu xác thực này không chỉ bao gồm các file và dữ liệu được khôi phục từ hệ thống mà còn bao gồm cả bản vẽ của hệ thống và nơi các file được mã hóa hoặc được ẩn

- Hãy chuẩn bị là nhân chứng trước tòa trong computer forensics Thậm chí, khi quá trình điều tra hoàn tất, công việc điều tra của họ vẫn chưa xong Họ

có thể vẫn phải chứng thực trước tòa

 Tất cả các bước này rất quan trọng, nhưng bước đầu tiên mới là quan trọng nhất Nếu nhân viên điều tra không thể kiểm soát toàn bộ hệ thống máy tính, bằng chứng họ tìm được sẽ không được công nhận Đây cũng là việc rất khó Trong thời gian đầu của máy tính, hệ thống chỉ bao gồm một chiếc máy với một

vài chiếc đĩa mềm Ngày nay, nó bao gồm rất nhiều máy tính, ổ đĩa, ổ cứng cắmngoài, ….

 Một số kẻ xấu đã tìm cách gây khó khăn cho nhân viên điều tra để tìm thấy thông tin trong hệ thống của chúng Chúng sử dụng các chương trình và ứng

dụng có tên anti-forensic Điều tra viên sẽ phải dè chừng những chương trình

này và tìm cách loại bỏ chúng nếu họ muốn truy cập thông tin trong hệ thống

III Các loại hình điều tra số

Dựa vào những phạm vi hạ tầng, cũng như nền tảng hệ thống mà người ta chia

ra các loại điều tra sau:

 Điều tra hệ điều hành (Operating System Forensics)

 Điều tra mạng (Network Forensics)

 Điều tra các cuộc tấn công vào Website (Investigating Web Attacks)

 Điều tra database (Database Forensics)

 Điều tra mã độc (Malware Forensics)

 Điều tra Email (Email Forensics)

 Điều tra các thiết bị di động (Mobile Forensics)

1 Operating System Forensics

Đây là quá trình truy xuất thông tin hữu ích từ Hệ điều hành (OS) của máy tính hoặc thiết bị di động Mục đích của việc thu thập thông tin này là để có được bằng chứng thực nghiệm chống lại thủ phạm

Hiểu rõ về hệ điều hành cũng như hệ thống tệp của nó là rất cần thiết – để khôi phục dữ liệu cho các cuộc điều tra máy tính Hệ thống tệp cung cấp một hệ điều hành với một lộ trình đến dữ liệu trên đĩa cứng Hệ thống tệp cũng xác định cách ổ cứng lưu trữ dữ liệu Có nhiều hệ thống tệp được giới thiệu cho các hệ điều

hành khác nhau, chẳng hạn như FAT, exFAT và NTFS cho Hệ điều hành

Windows (OS) và Ext2fs hoặc Ext3fs cho Linux OS.

Các kỹ thuật khôi phục dữ liệu và tệp cho các hệ thống tệp này bao gồm

data carving, slack space, và data hiding Một khía cạnh quan trọng khác của

điều tra hệ điều hành là: điều tra bộ nhớ, kết hợp bộ nhớ ảo, bộ nhớ Windows, bộ nhớ Linux, bộ nhớ Mac OS, trích xuất bộ nhớ và hoán đổi không gian (swap)

1.1 Windows Forensics

Windows là một hệ điều hành được sử dụng rộng rãi Các hệ thống tệp được Windows sử dụng bao gồm FAT, exFAT, NTFS và ReFS Các nhà điều tra có thể tìm kiếm bằng chứng bằng cách phân tích các vị trí quan trọng sau đây của

Windows:

Recycle Bin

Tại đây chứa các tệp đã bị người dùng loại bỏ Khi người dùng xóa các tệp, một bản sao của chúng sẽ được lưu trữ trong thùng rác Quá trình này được gọi là "Xóa mềm" Khôi phục tệp từ thùng rác có thể là một nguồn bằng chứng tốt

Registry

Windows Registry chứa một cơ sở dữ liệu gồm các giá trị và khóa cung cấp các thông tin hữu ích cho các nhà phân tích pháp y Ví dụ: hãy xem bảng bên dưới cung cấp các khóa đăng ký và các tệp liên quan bao gồm các hoạt động của người dùng trên hệ thống

Windows XP / 2003 / Vista / 2008/7/7/8/10 :Windowssystem32spoolprinters Hệ điều hành công cụ pháp y có thể tự động phát hiện đường dẫn; không cần phải xác định nó theo cách thủ công

1.2 Linux Forensics

Linux là một hệ điều hành mã nguồn mở, giống Unix và được thiết kế trang nhã, tương thích với máy tính cá nhân, siêu máy tính, máy chủ, thiết bị di động, netbook và máy tính xách tay Không giống như các hệ điều hành khác, Linux chứa nhiều hệ thống tệp thuộc họ ext, bao gồm ext2, ext3 và ext4 Linux có thể cung cấp bằng chứng thực nghiệm nếu máy nhúng Linux được khôi phục từ hiện trường vụ án Trong trường hợp này, các nhà điều tra pháp y nên phân tích các thư mục và thư mục sau

Mac OS X là hệ điều hành dựa trên UNIX có chứa kênh vi mạch Mach 3 và

hệ thống con dựa trên FreeBSD Giao diện người dùng của nó giống Apple, trong khi kiến trúc bên dưới giống UNIX

Mac OS X cung cấp một kỹ thuật mới để tạo bản sao pháp y Để làm như vậy, máy tính của thủ phạm phải được đặt ở chế độ “Target Disk Mode” Sử dụng

chế độ này, giám định viên pháp y tạo một bản sao pháp y cho đĩa cứng của hung thủ với sự trợ giúp của kết nối cáp Firewire giữa hai PC.

Apple iOS là hệ điều hành dựa trên UNIX được phát hành lần đầu tiên vào năm 2007 Đây là hệ điều hành chung cho tất cả các thiết bị di động của Apple, chẳng hạn như iPhone, iPod Touch và iPad Một thiết bị nhúng iOS được truy xuất

từ hiện trường vụ án có thể là một nguồn bằng chứng thực nghiệm phong phú

Android là một nền tảng mã nguồn mở của Google được thiết kế cho các thiết bị di động Nó được sử dụng rộng rãi làm hệ điều hành di động trong ngành thiết bị cầm tay Hệ điều hành Android chạy trên nhân dựa trên Linux, hỗ trợ các chức năng cốt lõi, chẳng hạn như quản lý nguồn, cơ sở hạ tầng mạng và trình điều khiển thiết bị Bộ phát triển phần mềm (SDK) của Android chứa một công cụ rất quan trọng cho các mục đích chung và pháp y, đó là Android Debug Bridge

(ADB) ADB sử dụng kết nối USB giữa máy tính và thiết bị di động

1.4 Phương pháp điều tra hệ điều hành

Có năm bước cơ bản cần thiết cho việc nghiên cứu pháp y Hệ điều hành Năm bước sau được liệt kê dưới đây:

 Chính sách và Phát triển Thủ tục

 Đánh giá bằng chứng

 Thu thập bằng chứng

 Kiểm tra bằng chứng

 Lập hồ sơ và Báo cáo

Phương pháp thu thập dữ liệu

Có 4 phương pháp có thể được thực hiện trên cả Static Acquisition (thu thập tĩnh) và Live Acquisition (thu thập trực tiếp) Các phương pháp này là:

 Disk-to-image file: có thể tạo một hoặc nhiều bản sao của ổ đĩa thuộc hệ

điều hành Các công cụ được sử dụng cho các phương pháp này là iLookIX, X-Ways, FTK, EnCase hoặc ProDiscover

 Disk-to-disk copy: Tính năng này hoạt động tốt nhất khi không thể thực

hiện phương pháp từ đĩa sang hình ảnh Các công cụ cho phương pháp này bao gồm SnapCopy, EnCase hoặc SafeBack

 Disk-to-data file: Phương pháp này tạo tệp disk-to-data hoặc disk-to-disk.

 The Sparse copy of a file: Đây là phương pháp thích hợp nếu thời gian có

hạn và đĩa có dung lượng lưu trữ dữ liệu lớn

Phân tích dữ liệu

Thực hiện phân tích dữ liệu để xem xét các hiện vật do thủ phạm, tin tặc, vi rút và phần mềm gián điệp để lại Chúng quét các mục đã xóa, hoán đổi hoặc tệp trang, tệp cuộn và RAM trong quá trình này Những hiện vật được thu thập này có thể cung cấp nhiều thông tin liên quan đến cách các tác nhân độc hại cố gắng che giấu dấu vết của họ và những gì họ đang làm với một hệ thống

Công cụ nào hữu ích nhất khi tiến hành điều tra hệ điều hành?

 Cuckoo Sandbox

 Helix

 X-Ways forensics

1.5 Ứng dụng

Ví dụ : Phân tích Window Registry

Khi phân tích Registry, ta có thể xem được các thông tin như:

 Thông tin về máy tính của người dùng

 Lần cuối cùng người đó đổi mật khẩu

 Số lần người dùng nay đăng nhập

Ví dụ 2 : Phân tích Memory dump

Dựa vào bộ nhớ máy tính khi dump ra, ta dùng Volatility để phân tích.Đầu tiên xem hệ điều hành máy tính đang sử dụng và phiên bản:

Sau đó kiểm tra các tiến trình đang chạy:

Phát hiện ra một tiến trình độc hại sử dụng svchosts.exe mạo danh Service Host Process là svchost.exe Từ đây ta có thể dump file svchosts.exe để tiến hành phân tích chuyên sâu hơn

tra viên chỉ có thể dựa vào thông tin từ các thiết bị an toàn như bộ lọc gói, tường lửa, hệ thống phát hiện xâm nhập đã được triển khai để dự đoán hành vi vi phạm.

Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức tạp và chuyên sâu, sử dụng thông tin được khai thác từ bộ nhớ đệm (cache) của web, proxy hay chặn bắt thụ động lưu lượng truy cập mạng và xác định các hành vi bất thường

2.1 Quy trình thực hiện điều tra mạng

Điều tra mạng được phát triển như một phản ứng tất yếu với xu hướng gia tăng tội phạm mạng, để khám phá ra nguồn gốc của các cuộc tấn công mạng Vì vậy, cần phải xây dựng một quy trình cụ thể cho việc điều tra mạng Quy trình chung cho việc phân tích điều tra mạng nhằm xác định các bước thực hiện được xây dựng từ mô hình điều tra số, được chia thành 9 giai đoạn như sau:

Giai đoạn 1 Chuẩn bị và ủy quyền

Trước khi bắt đầu một cuộc điều tra mạng, cần tiến hành khảo sát cơ sở hạ tầng mạng nơi xảy ra sự cố về an toàn Điều tra mạng chỉ có thể áp dụng cho các môi trường mà ở đó những công cụ an toàn mạng như hệ thống phát hiện xâm nhập, hệ thống phân tích gói tin, tường lửa, phần mềm đo đạc lưu lượng đã được triển khai tại những điểm chiến lược Các hệ thống như Honeynets, network

telescope cũng có thể được xây dựng để thu hút kẻ tấn công, nhằm nghiên cứu các hành vi và tìm hiểu chiến thuật của chúng Đội ngũ chuyên gia quản lý những công cụ và hệ thống này cần phải được đào tạo, huấn luyện để có thể thu thập số bằng chứng tối đa và chất lượng nhất, nhằm tạo điều kiện thuận lợi cho việc điều tra, quy kết hành vi phạm tội Giai đoạn này còn đòi hỏi một sự ủy quyền từ các bên liên quan nhằm hạn chế những vi phạm liên quan đến quyền bảo mật thông tin hay các chính sách an toàn của cá nhân hay tổ chức bên trong hệ thống

Giai đoạn 2 Phát hiện sự cố hoặc hành vi phạm tội

Sau khi có được sự ủy quyền, điều tra viên cần tiến hành nghiên cứu các cảnh báo được tạo ra bởi các công cụ an toàn đã được triển khai Thông thường, những cảnh báo này sẽ chỉ ra các hành vi vi phạm chính sách an toàn được thiết lậpbởi tổ chức Mọi hành động bất thường xuất hiện trong các cảnh báo đều sẽ được phân tích dựa trên những kiến thức về mạng máy tính hay kinh nghiệm nhận dạng

các tấn công mạng thường gặp của điều tra viên Sự hiện diện và tính chất của cuộctấn công được xác định một cách sơ bộ dựa vào các thông số khác nhau như: lưu lượng mạng, thời gian hay tần suất xuất hiện các dấu hiệu bất thường Lúc này cần nhanh chóng đưa ra nhận định về hình thức tấn công khả nghi Đây là căn cứ cho việc quyết định tiếp tục điều tra hay bỏ qua các cảnh báo (cảnh báo sai) Cần thực hiện các biện pháp đề phòng như: sao lưu, ghi lại nội dung cảnh báo để đảm bảo chứng cứ số không bị sửa đổi trong toàn bộ quá trình, có hai hướng để tiếp cận vụ việc là ứng phó với sự cố hoặc thu thập các dấu vết mạng.

Giai đoạn 3 Ứng phó sự cố

Việc ứng phó sẽ dựa trên các thông tin được thu thập từ giai đoạn trước Cầnphải xây dựng quy trình ứng phó sự cố nhằm ngăn chặn các cuộc tấn công trong tương lai và phục hồi các tổn thất do tấn công gây ra Trong cùng thời điểm ứng phó sự cố, điều tra viên cần quyết định ngay việc có tiếp tục điều tra và thu thập thêm thông tin hay không Việc này được áp dụng đối với những trường hợp mà cuộc điều tra được triển khai trong khi tấn công đang xảy ra và vẫn chưa có thông tin về tội phạm

Giai đoạn 4 Thu thập các dấu vết mạng

Dữ liệu tiếp tục được thu thập từ những công cụ an toàn mạng được sử dụng

bổ sung Các công cụ được sử dụng phải an toàn, có khả năng chịu lỗi, giới hạn quyền truy cập và phải có khả năng tránh sự thỏa hiệp Các công cụ phải đảm bảo thu thập được lượng chứng cứ tối đa mà chỉ gây ra tác động tối thiểu đến nạn nhân.Một số công cụ có thể kể đến như Wireshark, tcpdump, Snort, Tcpxtract,

Foremost Hệ thống mạng cũng cần được giám sát để xác định các tấn công trongtương lai Tính toàn vẹn của dữ liệu được ghi lại và các bản ghi sự kiện mạng phải được đảm bảo, vì dữ liệu mạng thay đổi một cách liên tục và ít có khả năng tạo ra cùng một dạng dấu vết trong những lần sau Không những vậy, số lượng dữ liệu lớn cần yêu cầu một không gian bộ nhớ tương đương và hệ thống phải đủ khả năng

để xử lý các định dạng khác nhau một cách thích hợp

Giai đoạn 5 Duy trì và bảo vệ

Các dữ liệu thu được từ giai đoạn trước sẽ được lưu trữ trên một thiết bị sao lưu Việc “băm” giá trị của dữ liệu thu được sẽ đảm bảo tính chính xác và độ tin cậy trong quá trình điều tra Một bản sao lưu khác của dữ liệu sẽ được sử dụng cho việc phân tích và lưu lượng mạng ban đầu thu được cũng sẽ được bảo vệ Giai đoạn này được thực hiện để đảm bảo quá trình điều tra có thể được chứng minh ngay trên dữ liệu gốc (đã được bảo vệ) để đáp ứng các yêu cầu pháp lý.

Giai đoạn 6 Kiểm tra

Các dấu vết thu được từ các công cụ an ninh sẽ được tổng hợp, sắp xếp và chuyển đổi thành các dữ liệu theo thời gian Điều này nhằm đảm bảo thông tin quan trọng không bị mất hoặc lẫn lộn Những vết tích ẩn hoặc ngụy trang của kẻ tấn công cần phải được khai phá Các thông tin dự phòng và dữ liệu không liên quan bị loại bỏ nhằm tập trung phân tích các bằng chứng có khả năng nhất

Giai đoạn 7 Phân tích

Các vết tích sau khi được xác định sẽ được coi là chứng cứ số cơ sở và được tiếp tục phân tích để khai thác những dấu hiệu đặc biệt của tội phạm; Có thể sử dụng phương pháp thống kê và khai phá dữ liệu để tìm kiếm những dữ liệu phù hợp với các mẫu tấn công nghi ngờ Một vài thông số quan trọng liên quan đến việc phân tích điều tra mạng như: sự thiết lập các kết nối mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức và hệ điều hành, các tiến trình giả mạo, phần mềm hay rootkit được cài đặt Những công cụ được sử dụng trong giai đoạn này là NetworkMiner, Splunk, OllyDbg, Scapy Các mẫu tấn công được xâu chuỗi với nhau và tấn công sẽ được xây dựng và tái hiện lại giúp các điều tra viên nắm được ý định và phương thức hành động của kẻ tấn công Kết quả của giaiđoạn này là sự xác nhận các hành động khả nghi

Giai đoạn 8 Điều tra, quy kết trách nhiệm

Các thông tin có từ giai đoạn Phân tích sẽ được dùng để xác định ai? Cái gì?

Ở đâu? Khi nào? Như thế nào? Tại sao gây ra sự cố? Việc này sẽ giúp cho việc xâydựng lại kịch bản tấn công và quy kết trách nhiệm Phần khó khăn nhất của việc phân tích điều tra mạng là xác định danh tính kẻ tấn công Có hai cách thức mà kẻ

tấn công sử dụng để che giấu danh tính là giả mạo IP và thực hiện tấn công bàn đạp.

Giai đoạn 9 Báo cáo tổng kết

Phần hoàn tất quá trình điều tra mạng là xây dựng báo cáo tổng kết Nội dung báo cáo tổng kết trình bày cho người quản lý tổ chức và cán bộ pháp chế về các chứng cứ số thu thập được trong quá trình điều tra và một số tài liệu hệ thống liên quan Bên cạnh đó, một báo cáo điều tra toàn diện của vụ việc sẽ được trình bày cùng các biện pháp được khuyến nghị để ngăn ngừa những sự cố tương tự xảy

ra trong tương lai Các kết quả được tài liệu hóa để sử dụng trong những cuộc điều tra sau này, cũng như cải thiện chất lượng các sản phẩm bảo mật

2.2 Một số công cụ hỗ trợ điều tra mạng

Hỗ trợ cho quá trình điều tra mạng là các công cụ phục vụ cho công tác điều tra, có khả năng chặn bắt, sao lưu, trích xuất, khôi phục và phân tích các dữ liệu mạng Những công cụ này có thể giúp điều tra viên xác định thời gian, cách thức, nội dung mà dữ liệu được truyền đi hay nhận về, cung cấp lượng chứng cứ số nhanh chóng, chính xác, tạo thuận lợi cho việc điều tra Ba công cụ được ứng dụngphổ biến như:

 Wireshark: là một công cụ phân tích mạng với tên gọi trước đây là

Ethereal, có khả năng chặn bắt các gói tin theo thời gian thực và hiển thị chúng dưới một định dạng dễ đọc, được sử dụng trong việc thu thập các vết tích mạng Wireshark bao gồm các bộ lọc, mã màu và nhiều tính năng khác cho phép người sử dụng khai thác lưu lượng mạng và kiểm tra các gói dữ liệu cá nhân và được cài đặt đa nền tảng Wireshark cũng cung cấp khả nănglựa chọn giao diện mạng để thực hiện việc chặn bắt, cho phép lưu, trích xuất các kết quả và tìm kiếm các gói tin theo từng thông số cụ thể

 Snort: là một hệ thống phát hiện xâm nhập mạng (IDS) được sử dụng để

giám sát dữ liệu di chuyển trên mạng, có khả năng thực hiện phân tích giao thức và tìm kiếm, so sánh theo nội dung Snort còn được sử dụng để phát hiện một loạt các cuộc tấn công và thăm dò, ví dụ như tràn bộ đệm, quét cổng, tấn công CGI, thăm dò SMB Snort sử dụng các luật được lưu trữ trong các tập tin văn bản và có thể được chỉnh sửa bởi người quản trị Tìm ra

các dấu hiệu và sử dụng chúng trong các luật đòi hỏi kinh nghiệm từ các nhàđiều tra vì càng sử dụng nhiều luật thì càng yêu cầu năng lực xử lý cao.

 Foremost: là một chương trình điều khiển (console) dùng để khôi phục tệp

tin dựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu bên trong Quá trình này thường được gọi là data carving Foremost có thể làm việc trên các tệp tin ảnh, chẳng hạn được tạo ra bởi dd, Safeback, Encase, hoặc trực tiếp từ trên

ổ cứng Các tiêu đề và phụ đề có thể được xác định bởi một tệp tin cấu hình hoặc sử dụng bộ chuyển đổi dòng lệnh để xác định các dạng tệp tin tích hợp.Các dạng tích hợp này sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin được cung cấp giúp cho việc phục hồi trở nên nhanh và đáng tin cậy hơn

2.3 Ứng dụng

Forensic các gói tin được bắt bằng Whiresark Ta nhận thấy các gói sử dụng giao thức USB và đây là lưu lượng truy dược ghi lại từ bàn phím vì có rất nhiều USB_INTERRUPT Sử dụng filter usb.transfer_type==0x01 ta sẽ lấy được các kí

tự được nhập đó

3 Điều tra các cuộc tấn công vào Website (Web Application Forensics)

WAF liên quan đến việc thu thập và phân tích nhật ký và các hiện vật khác dọc theo đường dẫn hoàn chỉnh theo yêu cầu web Nó bao gồm máy chủ web, máy chủ ứng dụng, máy chủ cơ sở dữ liệu, các sự kiện hệ thống, v.v., để xác định nguyên nhân, bản chất và thủ phạm khai thác web

Ứng dụng web là các chương trình tồn tại trên một máy chủ trung tâm cho phép người dùng truy cập một trang web qua Internet, gửi và truy xuất dữ liệu đến

và từ cơ sở dữ liệu Một ứng dụng web thực hiện một yêu cầu thông qua một máy

chủ web Khi máy chủ phản hồi yêu cầu, ứng dụng web sẽ tạo ra các tài liệu về phản hồi cho client/user.

Các tài liệu web được tạo bởi các ứng dụng web có định dạng chuẩn, tức là HTML, XML, v.v., được hỗ trợ bởi tất cả các loại trình duyệt Các ứng dụng web hoàn thành tác vụ được yêu cầu bất kể hệ điều hành và trình duyệt được cài đặt

Chúng có xu hướng trở thành mồi ngon cho những kẻ tấn công do mã hóa hoặc giám sát bảo mật không đúng cách Những kẻ tấn công cố gắng khai thác các

lỗ hổng trong mã hóa và giành quyền truy cập vào nội dung cơ sở dữ liệu, do đó lấy được thông tin nhạy cảm, chẳng hạn như thông tin xác thực người dùng, chi tiếttài khoản ngân hàng, v.v Một số cuộc tấn công được thực hiện trên các ứng dụng web bao gồm SQL injection, cross-site scripting, session hijacking, thực thi mã từ

xa, v.v

Vì thế, WAF được đặt ra khi các loại tấn công như vậy xảy ra trên các ứng dụng web WAF liên quan đến việc kiểm tra pháp y các ứng dụng web và nội dungcủa nó (nhật ký, thư mục và tệp cấu hình) để theo dõi cuộc tấn công, xác định nguồn gốc của cuộc tấn công, xác định cách thức tấn công được lan truyền - cùng với các thiết bị được sử dụng (điện thoại di động và máy tính) và những người liên quan để thực hiện vụ tấn công

Các nhà điều tra kiểm tra nhật ký và tệp cấu hình – vì chúng liên kết với máy chủ web và máy chủ ứng dụng Tập lệnh phía máy chủ được ứng dụng web sửdụng, còn logs thì liên quan đến các ứng dụng phần mềm và hệ điều hành của bên thứ ba Từ đó giúp ta có được cái nhìn chi tiết về cuộc tấn công

3.1 Các vấn đề về WAF

Khi một cuộc tấn công trang web xảy ra, các nhà điều tra cần thu thập các dấu vân tay kỹ thuật số do kẻ tấn công để lại Sau đó, họ cần thu thập các trường dữ liệu sau được liên kết với mỗi yêu cầu HTTP được gửi đến trang web để có được cái nhìn sâu sắc về cuộc tấn công đã thực hiện:

 Ngày và giờ gửi yêu cầu

 Địa chỉ IP từ nơi yêu cầu bắt đầu

 Phương thức HTTP được sử dụng (GET / POST)

 Truy vấn HTTP

 tập hợp đầy đủ các tiêu đề HTTP

 Nội dung Yêu cầu HTTP đầy đủ

 Nhật ký sự kiện (dữ liệu không thay đổi)

 Danh sách tệp và dấu thời gian (dữ liệu không thay đổi)

Hầu hết các ứng dụng web hạn chế quyền truy cập vào thông tin HTTP, chẳng hạn như tập hợp đầy đủ các tiêu đề HTTP và nội dung yêu cầu mà không có tất cả các tiêu đề HTTP sẽ giống nhau Điều này khiến các nhà điều tra không thể phân biệt các yêu cầu HTTP hợp lệ với các yêu cầu độc hại

Khi nào cần đến WAF?

- Khách hàng không thể truy cập dịch vụ

- Các hoạt động đáng ngờ trong tài khoản người dung

- Rò rỉ dữ liệu nhạy cảm

- Sửa các URL chuyển hướng đến các trang web không chính xác

- Biểu tượng trang web

- Hiệu suất mạng chậm bất thường

- Thường xuyên khởi động lại máy chủ

- Bất thường trong tệp nhật ký

- Các thông báo lỗi như 500 errors, "internal server error" và "problem

processing your request"

Có những dấu hiệu khác nhau liên quan đến từng loại tấn công Ví dụ, trong một cuộc tấn công từ chối dịch vụ (DoS), khách hàng bị từ chối bất kỳ quyền truy cập nào vào thông tin hoặc dịch vụ có trên trang web Trong những trường hợp nhưvậy, khách hàng báo cáo sự không khả dụng của các dịch vụ trực tuyến vì kẻ tấn công ngăn người dùng hợp pháp truy cập các trang web, tài khoản email và các dịch vụ khác dựa vào máy tính của nạn nhân

Các bất thường được tìm thấy trong các tệp nhật ký cũng là một dấu hiệu của các cuộc tấn công web Thay đổi mật khẩu và tạo tài khoản người dùng mới cũng cho thấy các nỗ lực tấn công Có thể có các dấu hiệu khác, chẳng hạn như sự trở lạicủa các thông báo lỗi Ví dụ: trang thông báo lỗi HTTP 500 cho biết sự xuất hiện của một cuộc tấn công chèn SQL Có các thông báo lỗi khác, chẳng hạn như "lỗi máy chủ nội bộ" hoặc "sự cố khi xử lý yêu cầu của bạn" cho thấy một cuộc tấn công web