Tìm hiểu lĩnh vực điều tra số trên đám mây

Điện toán đám mây là mô hình máy tính mới cho phép sử dụng các dịch vụ từ xa thông qua mạng Internet cung cấp tối đa tài nguyên với nguồn lực tối thiểu để phục vụ cho việc sử dụng các nguồn lực khác nhau. Hầu hết dữ liệu quan trọng được chuyển đến các nhà cung cấp dịch vụ đám mây, một trong những mối quan tâm chính là xử lý các vấn đề bảo mật. Điều tra số truyền thống liên quan đến việc thu thập phương tiện tại hiện trường vụ án hoặc ít nhất là vị trí nơi phương tiện bị thu giữ, những nỗ lực để bảo quản phương tiện đó, và xác nhận, phân tích, giải thích, tài liệu và trình bày tại tòa án về kết quả kiểm tra. Đối với hầu hết các tình huống, ngoài điều tra nội bộ, mọi bằng chứng có trong phương tiện truyền thông sẽ được kiểm soát bởi cơ quan thực thi pháp luật kể từ thời điểm bị bắt giữ. Giờ đây, trong kịch bản đám mây, thông tin có thể ở bất kỳ đâu trên toàn cầu, thậm chí bên ngoài ranh giới quốc gia, vậy nên vấn đề trở nên phức tạp hơn. Điều tra số trên đám mây là một thành phần quan trọng để bảo mật đám mây và là sự kết hợp giữa điều tra máy tính và điều tra mạng. Nói một cách đơn giản, điều tra số trên đám mây là chủ yếu tập trung vào việc thu thập thông tin dữ liệu từ cơ sở hạ tầng đám mây. Điều này có nghĩa là làm việc với một bộ tài nguyên máy tính, chẳng hạn như tài sản mạng, máy chủ (cả vật lý và ảo), kho lưu trữ, ứng dụng và bất kỳ dịch vụ nào được cung cấp. Hiện nay, tình hình nghiên cứu tìm hiểu lĩnh vực điều tra số đang phát triển mạnh mẽ, tập trung vào điều tra máy tính, điều tra mạng, điều tra di động. Đối với điều tra số trên đám mây là lĩnh vực mới đối với trong và ngoài nước, không nhiều đề tài nghiên cứu vì là một mô hình điện toán mới nổi những năm gần đây. Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài Tìm hiểu về lĩnh vực điều tra số trên đám mây (Cloud forensics) nhằm đưa ra những hiểu biết chung về điều tra số, quy trình điều tra số trên đám mây và giới thiệu công cụ, kỹ thuật điều tra số trên đám mây giúp môi trường đám mây được an toàn, uy tín cũng như đảm bảo sự tin tưởng đối với người sử dụng cần sử dụng đám mây. Đồ án trình bày bao gồm 3 chương như sau: Chương 1: Tổng quan về điều tra số: Trình bày các khái niệm, các loại hình điều tra số, mục tiêu và ý nghĩa và quy trình điều tra số Chương 2: Nền tảng kỹ thuật điều tra số trên đám mây: Chương này trình bày tổng quan về điện toán đám mây, mô hình, quy trình điều tra trên đám mây. Đưa ra các kỹ thuật, công cụ và một số khó khăn khi điều tra trên đám mây. Chương 3: Kịch bản mô phỏng điều tra số trên đám mây: Trình bày kịch bản mô phỏng điều tra số trên đám mây dựa vào điều tra Dropbox. Từ đó phân tích và đưa ra kết luận đã đạt được trong quá trình điều tra số trên Dropbox

Gi ng viên h ả ướ ng d n: ẫ

ThS Ph m Sỹ Nguyên ạ

Đ i h c Kỹ thu t – H u c n CAND, B Công Anạ ọ ậ ậ ầ ộ

Hà N i - 20 ộ 20

M C L C Ụ Ụ

DANH M C HÌNH NH Ụ Ả

DANH M C B NG BI U Ụ Ả Ể

DANH M C KÝ HI U VÀ T VI T T T Ụ Ệ Ừ Ế Ắ

T vi t t t ừ ế ắ T ti ng anh ừ ế

API Application Programming Interface

CFTT Computer Forensics Tool Testing

CMOS Complementary Metal-Oxide-SemiconductorCSP Cloud Service Provider

DNS Domain Name Servers

IP Internet Protocol

LEA Law Enforcement Agency

NIST National Institute of Standards and Technology

PC Personal Computer

RAM Random Access Memory

SLAs Service-level agreement

VOIP Voice Over Internet Protocol

SSID Service Set Identifier

MAC Media Access Control

URL Uniform Resource Locator

L I C M N Ờ Ả Ơ

Th i gian trôi qua th t nhanh, m i đó em đã có 5 năm th t đ p v iờ ậ ớ ậ ẹ ớngôi trường H c vi n Kỹ thu t M t mã cùng v i các th y cô và b n bè V iọ ệ ậ ậ ớ ầ ạ ớlòng bi t n, em xin g i l i c m n chân thành đ n các th y cô tr c thu cế ơ ử ờ ả ơ ế ầ ự ộcác khoa trong trường H c vi n Kỹ thu t M t mã v i tâm huy t và s g nọ ệ ậ ậ ớ ế ự ắ

bó giúp đ , truy n đ t ki n th c quý giá cho chúng em Đ c bi t em xin g iỡ ề ạ ế ứ ặ ệ ử

l i c m n sâu s c đ n ThS Ph m Sỹ Nguyên, trờ ả ơ ắ ế ạ ường đ i h c Kỹ thu t –ạ ọ ậ

H u c n CAND, B Công an đã tr c ti p hậ ầ ộ ự ế ướng d n, t n tình ch b o, giúpẫ ậ ỉ ả

L I CAM ĐOAN Ờ

Tôi Vương Đình B c xin cam đoan:ắ

Đ án ồ "Tìm hi u v lĩnh v c đi u tra s trên đám mây (Cloud ể ề ự ề ố forensics) " là m t công trình nghiên c u đ c l p độ ứ ộ ậ ược s hự ướng d n c aẫ ủThS Ph m Sỹ Nguyên.ạ

Nh ng ph n s d ng tài li u tham kh o trong đ án đã đữ ầ ử ụ ệ ả ồ ược nêu rõtrong m c tài li u tham kh o, ngoài ra không s d ng b t c tài li u li uụ ệ ả ử ụ ấ ứ ệ ệnào khác mà không được ghi

N u sai tôi xin ch u hoàn toàn trách nhi m và ch u m i hình th c kế ị ệ ị ọ ứ ỷ

lu t c a h c vi n.ậ ủ ọ ệ

Hà N i, ngày tháng năm 2020 ộ

SINH VIÊN TH C HI N Ự Ệ

V ươ ng Đình B c ắ

L I NÓI Đ U Ờ Ầ

Đi n toán đám mây là mô hình máy tính m i cho phép s d ng cácệ ớ ử ụ

d ch v t xa thông qua m ng Internet cung c p t i đa tài nguyên v iị ụ ừ ạ ấ ố ớngu n l c t i thi u đ ph c v cho vi c s d ng các ngu n l c khác nhau.ồ ự ố ể ể ụ ụ ệ ử ụ ồ ự

H u h t d li u quan tr ng đầ ế ữ ệ ọ ược chuy n đ n các nhà cung c p d ch vể ế ấ ị ụđám mây, m t trong nh ng m i quan tâm chínhộ ữ ố là x lý các v n đ b oử ấ ề ả

m t.ậ Đi u tra s truy n th ng liên quan đ n vi c thu th p phề ố ề ố ế ệ ậ ương ti n t iệ ạ

hi n trệ ường v án ho c ít nh t là v trí n i phụ ặ ấ ị ơ ương ti n b thu gi , nh ngệ ị ữ ữ

n l c đ b o qu n phỗ ự ể ả ả ương ti n đó, và xác nh n, phân tích, gi i thích, tàiệ ậ ả

li u và trình bày t i tòa án v k t qu ki m tra.ệ ạ ề ế ả ể

Đ i v i h u h t các tình hu ng, ngoài đi u tra n i b , m i b ngố ớ ầ ế ố ề ộ ộ ọ ằ

ch ng có trong phứ ương ti n truy n thông sẽ đệ ề ược ki m soát b i c quanể ở ơ

th c thi pháp lu t k t th i đi m b b t gi ự ậ ể ừ ờ ể ị ắ ữ Gi đây, trong k ch b n đámờ ị ảmây, thông tin có th b t kỳ đâu trên toàn c u, th m chí bên ngoài ranhể ở ấ ầ ậ

gi i qu c gia, v y nên v n đ tr nên ph c t p h n Đi u tra s trên đámớ ố ậ ấ ề ở ứ ạ ơ ề ốmây là m t thành ph n quan tr ng đ b o m t đám mây và là s k t h pộ ầ ọ ể ả ậ ự ế ợ

gi a đi u tra máy tính và đi u tra m ng Nói m t cách đ n gi n, đi u traữ ề ề ạ ộ ơ ả ề

s trên đám mây là ch y u t p trung vào vi c thu th p thông tin d li uố ủ ế ậ ệ ậ ữ ệ

t c s h t ng đám mây.ừ ơ ở ạ ầ Đi u này có nghĩa là làm vi c v i m t b tàiề ệ ớ ộ ộnguyên máy tính, ch ng h n nh tài s n m ng, máy ch (c v t lý và o),ẳ ạ ư ả ạ ủ ả ậ ảkho l u tr , ng d ng và b t kỳ d ch v nào đư ữ ứ ụ ấ ị ụ ược cung c p Hi n nay, tìnhấ ệhình nghiên c u tìm hi u lĩnh v c đi u tra s đang phát tri n m nh mẽ,ứ ể ự ề ố ể ạ

t p trung vào đi u tra máy tính, đi u tra m ng, đi u tra di đ ng Đ i v iậ ề ề ạ ề ộ ố ớ

đi u tra s trên đám mây là lĩnh v c m i đ i v i trong và ngoài nề ố ự ớ ố ớ ước,không nhi u đ tài nghiên c u vì là m t mô hình đi n toán m i n i nh ngề ề ứ ộ ệ ớ ổ ữnăm g n đây.ầ

M c tiêu c a vi c nghiên c u th c hi n đ án t t nghi p v i đ tàiụ ủ ệ ứ ự ệ ồ ố ệ ớ ề

"Tìm hi u v lĩnh v c đi u tra s trên đám mây (Cloud forensics) ể ề ự ề ố "

nh m đ a ra nh ng hi u bi t chung v đi u tra s , quy trình đi u tra sằ ư ữ ể ế ề ề ố ề ốtrên đám mây và gi i thi u công c , kỹ thu t đi u tra s trên đám mây giúpớ ệ ụ ậ ề ốmôi trường đám mây được an toàn, uy tín cũng nh đ m b o s tin tư ả ả ự ưởng

đ i v i ngố ớ ườ ử ụi s d ng c n s d ng đám mây.ầ ử ụ

Đ án trình bày bao g m 3 chồ ồ ương nh sau:ư

Chương 1: T ng quan v đi u tra s : Trình bày các khái ni m, cácổ ề ề ố ệ

lo i hình đi u tra s , m c tiêu và ý nghĩa và quy trình đi u tra sạ ề ố ụ ề ố

Chương 2: N n t ng kỹ thu t đi u tra s trên đám mây: Chề ả ậ ề ố ương nàytrình bày t ng quan v đi n toán đám mây, mô hình, quy trình đi u tra trênổ ề ệ ềđám mây Đ a ra các kỹ thu t, công c và m t s khó khăn khi đi u tra trênư ậ ụ ộ ố ềđám mây

Chương 3: K ch b n mô ph ng đi u tra s trên đám mây: Trình bày k ch ị ả ỏ ề ố ị

b n mô ph ng đi u tra s trên đám mây d a vào đi u tra Dropbox T đó ả ỏ ề ố ự ề ừphân tích và đ a ra k t lu n đã đ t đư ế ậ ạ ược trong quá trình đi u tra s trên ề ốDropbox

CH ƯƠ NG 1 T NG QUAN V ĐI U TRA S Ổ Ề Ề Ố

1.1. Khái ni m v đi u tra s ệ ề ề ố

Trong lĩnh v c an toàn thông tin, Digital Forensics hay còn g i là đi uự ọ ềtra s là công vi c phát hi n, b o v và phân tích thông tin đố ệ ệ ả ệ ượ ưc l u tr ,ữtruy n t i ho c đề ả ặ ượ ạc t o ra b i các thi t b s (máy tính, đi n tho i, cácở ế ị ố ệ ạthi t b thông minh, ) nh m đ a ra các suy lu n h p lý đ tìm nguyênế ị ằ ư ậ ợ ểnhân, gi i thích các hi n tả ệ ượng trong quá trình đi u tra.ề

Máy tính ngày càng tr nên m nh mẽ, vì v y, lĩnh v c đi u tra sở ạ ậ ự ề ốcũng ph i có s phát tri n tả ự ể ương x ng Trong nh ng ngày đ u m i có máyứ ữ ầ ớtính, r t d đ nh ng nhân viên đi u tra có th tìm ra m t file nào đó b iấ ễ ể ữ ề ể ộ ởdung lượng l u tr r t th p Ngày nay, v i dung lư ữ ấ ấ ớ ượng l u tr c a đĩaư ữ ủ ổlên t i gigabyte, th m chí là terabyte d li u, công vi c l i càng khó khănớ ậ ữ ệ ệ ạ

h n Đi u tra viên sẽ ph i tìm ra nh ng phơ ề ả ữ ương pháp khác nhau đ có thể ểtìm ki m b ng ch ng mà không ph i dùng t i quá nhi u ngu n cho quáế ằ ứ ả ớ ề ồtrình đi u tra, nâng cao tính hi u qu cho quá trình đi u tra.ề ệ ả ề

M t cu c đi u tra s thông thộ ộ ề ố ường sẽ đi u tra t các d li u đề ừ ữ ệ ược

l y t ph n c ng máy tính hay các thi t b l u tr khác, vi c đi u tra nàyấ ừ ầ ứ ế ị ư ữ ệ ề

được th c hi n thành th t c và chính sách đã đự ệ ủ ụ ược tiêu chu n hóa nh mẩ ằxác đ nh li u các thi t b m t có b truy c p trái phép bay không Vi c đi uị ệ ế ị ậ ị ậ ệ ềtra này được nhóm đi u tra th c hi n s d ng các phề ự ệ ử ụ ương pháp khác nhau(nh phân tích tĩnh hay đ ng), các công c khác nhau Đ m t cu c đi uư ộ ụ ể ộ ộ ềtra thành công, nhóm đi u tra ph i có ki n th c chuyên môn v nhi u lĩnhề ả ế ứ ề ề

v c khác nhau t ki n th c v các ki u h đi u hành (Windows, Linux,ự ừ ế ứ ề ể ệ ềMac OS), các d ng mã đ c, c ch ghi nh n và qu n lý log các thi t b ,ạ ộ ơ ế ậ ả ở ế ịcác m u ho t đ ng b t thẫ ạ ộ ấ ường góc đ b nh , m ng, … và th m chí đ nở ộ ộ ớ ạ ậ ế

m c có ki n th c v các đi u lu t cũng nh các t ch c pháp lý tứ ế ứ ề ề ậ ư ổ ứ ương ng.ứ

Lĩnh v c đi u tra s v n còn khá m i m Nh ng ngày đ u c a máyự ề ố ẫ ớ ẻ ữ ầ ủtính, tòa án coi b ng ch ng t máy tính không khác gì so v i nh ng lo iằ ứ ừ ớ ữ ạ

b ng ch ng khác Khi máy tính ngày càng tr nên phát tri n h n và ph cằ ứ ở ể ơ ứ

t p h n, suy nghĩ này đã thay đ i, tòa án bi t đạ ơ ổ ế ược b ng ch ng t i ph mằ ứ ộ ạ

r t d dàng có th b thay đ i, b xóa ho c b phá h ng Đi u tra viên nh nấ ễ ể ị ổ ị ặ ị ỏ ề ậ

ra r ng c n thi t ph i phát tri n m t công c nào đó có th giúp vi c đi uằ ầ ế ả ể ộ ụ ể ệ ềtra b ng ch ng trong máy tính mà không làm nh hằ ứ ả ưởng t i thông tin Đãớ

b t tay làm vi c v i nh ng nhà khoa h c máy tính, l p trình viên đ bànắ ệ ớ ữ ọ ậ ề

lu n v các phậ ề ương pháp và công c phù h p mà h c n m i khi ph i truyụ ợ ọ ầ ỗ ả

h i thông tin t m t máy tính T đó, h đã phát tri n phỏ ừ ộ ừ ọ ể ương pháp đểhình thành nên lĩnh v c đi u tra s ự ề ố

1.2. Các lo i hình đi u tra s ạ ề ố

1.2.1. Đi u tra s trên các thi t b máy tính ề ố ế ị

Đi u tra s trên máy tính là m t nhánh c a khoa h c đi u tra s liênề ố ộ ủ ọ ề ốquan đ n vi c phân tích các b ng ch ng pháp lý đế ệ ằ ứ ược tìm th y trong máyấtính và các phương ti n l u tr kỹ thu t s M c đích c a đi u tra máyệ ư ữ ậ ố ụ ủ ềtính là nh m xác đ nh, b o qu n, ph c h i, phân tích, trình bày l i s vi cằ ị ả ả ụ ồ ạ ự ệ

và ý ki n v các thông tin t thi t b kỹ thu t s và ti n hành đi u tra cácế ề ừ ế ị ậ ố ế ềthành ph n nh :ầ ư

Đi u tra b nh (Memory Forensics): là phề ộ ớ ương th c đi u tra máyứ ềtính b ng vi c ghi l i b nh kh bi n (b nh RAM) c a h th ng sau đóằ ệ ạ ộ ớ ả ế ộ ớ ủ ệ ố

ti n hành phân tích làm rõ các hành vi đã x y ra trên h th ng C th h n,ế ả ệ ố ụ ể ơ

đó là c g ng s d ng ki n trúc qu n lý b nh trong máy tính đ ánh x ,ố ắ ử ụ ế ả ộ ớ ể ạtrích xu t các t p tin đang th c thi và c trú trong b nh Nh ng t p tinấ ậ ự ư ộ ớ ữ ậ

th c thi có th đự ể ượ ử ục s d ng đ ch ng minh r ng hành vi c a t i ph m đãể ứ ằ ủ ộ ạ

x y ra ho c đ theo dõi nó đã di n ra nh th nào ả ặ ể ễ ư ế Công c s d ng:ụ ử ụDumpit, Strings, The Sleuth kit Win32dd, ForemostL, Volatility, MandiantRedline, DFF

Hình 1.1 S d ng công c ử ụ ụ Dumpit đ ghi l i b nh ể ạ ộ ớ

Đi u tra Registry: Đây là lo i hình đi u tra liên quan đ n vi c tríchề ạ ề ế ệ

xu t thông tin và ng c nh t m t ngu n d li u ch a đấ ữ ả ừ ộ ồ ữ ệ ư ược khai thác qua

đó bi t đế ược nh ng thay đ i (ch nh s a, thêm b t ) d li u trong Registry.ữ ổ ỉ ử ớ ữ ệCông c thụ ường dùng: MuiCache View, Process Monitor, Regshot,USBDcvikev

Đi u tra h h th ng (File System Forensics): Đây là lo i hình đi uề ệ ệ ố ạ ềtra liên quan đ n các file h th ng c a h đi u hành windows, linux.ế ệ ố ủ ệ ề

Đi u tra ng d ng (Application Forensics): Là lo i hình đi u traề ứ ụ ạ ềphân tích các file log trong ng d ng nh Email, d li u trình duy t Skype,ứ ụ ư ữ ệ ệYahoo… Qua đó trích xu t các b n ghi đấ ả ượ ưc l u tr trên các ng d ng ph cữ ứ ụ ụ

v cho vi c đi u tra tìm ki m ch ng c Công c thụ ệ ề ế ứ ứ ụ ường dùng:ChromeCacheView, MozillaCookiesView, MyLastSearch, PasswordFox,SkypeLogView…

Hình 1.2 SkypeLogView xem d li u đ ữ ệ ượ c trao đ i qua đ ổ ườ ng truy n ề

Đi u tra đĩa (Disk Forensics): Là vi c thu th p, phân tích d li uề ổ ệ ậ ữ ệ

đượ ưc l u tr trong phữ ương ti n l u tr v t tý, nh m trích xu t d li u n,ệ ư ữ ậ ằ ấ ữ ệ ẩkhôi ph c các t p tin b xóa qua đó xác đ nh ngụ ậ ị ị ười đã t o ra nh ng thayạ ữ

đ i d li u trên thi t b đ phân tích Các công c thổ ữ ệ ế ị ể ụ ường dùng : ADSLocator, Disk Investigator, Disk Director, FTK,P Passware EncryptionAnalyzer …

Hình 1.3 Passware Encryption Analyzer xác đ nh file đ ị ượ ả ệ ở c b o v b i m t kh u ậ ẩ

1.2.2. Đi u tra m ng ề ạ

Đi u tra m ng là m t nhánh c a khoa h c đi u tra s liên quan đ nề ạ ộ ủ ọ ề ố ế

vi c giám sát và phân tích l u lệ ư ượng máy tính nh m ph c v cho thu nh pằ ụ ụ ậthông tin, ch ng c pháp lý hay là phát hi n các cu c xâm nh p vào hứ ứ ệ ộ ậ ệ

th ng máy tính ố

Đi u tra m ng có th th c hi n nh m t cu c đi u tra đ c l p ho cề ạ ể ự ệ ư ộ ộ ề ộ ậ ặ

k t h p v i đi u tra máy tính, thế ợ ớ ề ường đượ ử ục s d ng đ phát hi n m i liênể ệ ố

k t gi a các thi t b kỹ thu t s hay tái t o l i quy trình ph m t i.ế ữ ế ị ậ ố ạ ạ ạ ộ

Đi u tra m ng bao g m vi c ch n b t, ghi âm ho c phân tích các sề ạ ồ ệ ặ ắ ặ ự

ki n m ng đ khám phá ngu n g c c a các cu c t n công ho c s c m tệ ạ ể ồ ố ủ ộ ấ ặ ự ố ộ

v n đ nào đó Không gi ng nh các lo i đi u tra s khác, đi u tra m ngấ ề ố ư ạ ề ố ề ạ

x lý nh ng thông tin d thay đ i và bi n đ ng L u lử ữ ễ ổ ế ộ ư ượng m ng đạ ượctruy n đi và không đề ượ ư ạc l u l i, do đó, vi c đi u tra m ng ph i r t linhệ ề ạ ả ấ

ho t và ch đ ng.ạ ủ ộ

Các công c s d ng : WireShark, Tcpdump, Networkminer,ụ ử ụWildpackets, Xplico, Snort, …

Hình 1.4 S d ng WireShark phân tích t n công Teardrop ử ụ ấ

1.2.3. Đi u tra trên thi t b di đ ng ề ế ị ộ

Đi u tra s trên thi t b di đ ng (Mobile Device Forensics): là m tề ố ế ị ộ ộnhánh khoa h c đi u tra s liên quan đ n vi c thu h i b ng ch ng kỹọ ề ố ế ệ ồ ằ ứthu t s ho c d li u c a các thi t b di đ ng Thi t b di đ ng đâyậ ố ặ ữ ệ ủ ế ị ộ ế ị ộ ởkhông ch đ c p đ n đi n tho i di đ ng mà còn là b t kỳ thi t b kỹ thu tỉ ề ậ ế ệ ạ ộ ấ ế ị ậ

s nào có b nh trong và kh năng giao ti p, bao g m các thi t b PDA,ố ộ ớ ả ế ồ ế ịGPS và máy tính b ng.ả

Vi c s d ng đi n tho i v i m c đích ph m t i đã phát tri n m nhệ ử ụ ệ ạ ớ ụ ạ ộ ể ạtrong nh ng năm g n đây, nh ng vi c nghiên c u đi u tra v thi t b diữ ầ ư ệ ứ ề ề ế ị

đ ng là m t lĩnh v c tộ ộ ự ương đ i m i S gia tăng các lo i hình đi n tho i diố ớ ư ạ ệ ạ

đ ng trên th trộ ị ường đòi h i nhu c u giám đ nh v tính an toàn c a cácỏ ầ ị ề ủthi t b này mà không th đáp ng b ng kỹ thu t đi u tra máy tính hi nế ị ể ứ ằ ậ ề ệ

 M c tiêu đi u tra sụ ề ố

M c tiêu c t lõi c a đi u tra s là phát hi n, b o qu n, khai thác, tàiụ ố ủ ề ố ệ ả ả

li u hóa và đ a ra k t lu n v d li u thu th p đệ ư ế ậ ề ữ ệ ậ ược D li u thu đữ ệ ược

ph i đ m b o tính xác th c, tính toàn v n n u không d li u l y đả ả ả ự ẹ ế ữ ệ ấ ược sẽkhông còn ý nghĩa

Gi s , A là qu n tr viên c a m t website thả ử ả ị ủ ộ ương m i đi n t , n uạ ệ ử ế

m t ngày website c a A khôi ph c l i website nh lúc đ u đ ng th i ki nộ ủ ụ ạ ư ầ ồ ờ ệtoàn h th ng đ tránh s vi c t n công l i b tái di n, h n n a xác đ nh aiệ ố ể ự ệ ấ ạ ị ễ ơ ữ ị

là k đã t n công Đây là lúc A c n ph i d a vào nh ng b ng ch ng tẻ ấ ầ ả ự ữ ằ ứ ừ

nh ng t p tin nh t ký (log) và các b ng ch ng khác thu th p t máy chữ ậ ậ ằ ứ ậ ừ ủ

đ xác đ nh vi c gì đang di n ra v i h th ng c a mình Đây ch là m t víể ị ệ ễ ớ ệ ố ủ ỉ ộ

d khá đi n hình, ngoài ra còn nh ng trụ ể ữ ường h p khác nh phát hi n mãợ ư ệ

đ c trên máy tính, ki m tra s b t thộ ể ự ấ ường trong m ng, phát hi n xâmạ ệ

nh p,… Nói chung đi u tra s giúp xác đ nh đậ ề ố ị ược nguyên nhân s c vàự ố

đ a ra các bi n pháp gi i quy t ti p theo.ư ệ ả ế ế

Đi u tra s có nh ng ng d ng quan tr ng trong khoa h c đi u traề ố ữ ứ ụ ọ ọ ề

c th ụ ể

• V m t kỹ thu t: đi u tra s giúp xác đ nh nh ng gì đang x y ra làm nhề ặ ậ ề ố ị ữ ả ả

hưởng t i h th ng đ ng th i qua đó phát hi n các nguyên nhân h th ng,ớ ệ ố ồ ờ ệ ệ ố

b xâm nh p, các hành vi, ngu n g c c a các vi ph m x y ra đ i v i hị ậ ồ ố ủ ạ ả ố ớ ệ

th ng.ố

• V m t pháp lý: đi u tra s giúp cho c quan đi u tra khi t giác t i ph mề ặ ề ố ơ ề ố ộ ạcông ngh cao có đệ ược nh ng ch ng c s thuy t ph c đ áp d ng cácữ ứ ứ ố ế ụ ể ụ

ch tài x ph t v i các hành vi vi ph m.ế ử ạ ớ ạ

 Ý nghĩa đi u tra sề ố

Không có b t c s đ m b o nào cho h th ng m ng máy tính đấ ứ ự ả ả ệ ố ạ ượctuy t đ i an toàn trệ ố ước nh ng nguy c , r i ro, t n công ác ý c a t i ph mữ ơ ủ ấ ủ ộ ạ

m ng Quy trình x lý s c , ph c h i ch ng c và truy tìm d u v t t iạ ử ự ố ụ ồ ứ ứ ấ ế ộ

ph m c n ph i đạ ầ ả ược ti n hành m t cách chuyên nghi p nh m đem l iế ộ ệ ằ ạ

ch ng c chính xác M t cu c đi u tra s đứ ứ ộ ộ ề ố ược ti n hành nh m:ế ằ

• Xác đ nh nguyên nhân h th ng công ngh thông tin b t n công, t đó đ a raị ệ ố ệ ị ấ ừ ư

gi i pháp kh c ph c đi m y u nh m nâng cao hi n tr ng an toàn c a hả ắ ụ ể ế ằ ệ ạ ủ ệ

• Xác đ nh các hành vi t i ph m m ng máy tính đã, đang và sẽ làm đ i v i hị ộ ạ ạ ố ớ ệ

th ng m ng máy tính Trong th c t , thi t h i ti m n do nh ng cu c t nố ạ ự ế ệ ạ ề ẩ ữ ộ ấcông gây rò r thông tin, hay làm m t tính s n sàng c a h th ng là vi c hỉ ấ ẵ ủ ệ ố ệ ệ

th ng b n m quy n đi u khi n, cài chố ị ắ ề ề ể ương trình theo dõi, xóa b thông tin,ỏ

bi n h th ng m ng máy tính thành công c t n công các h th ng khác, ế ệ ố ạ ụ ấ ệ ố

Vi c ti n hành m t cu c đi u tra s nh m xác đ nh chính xác nh ng ho tệ ế ộ ộ ề ố ằ ị ữ ạ

đ ng mà t i ph m m ng đã tác đ ng vào h th ng và ngăn ng a các r i roộ ộ ạ ạ ộ ệ ố ừ ủkhác có th x y ra.ể ả

• Khôi ph c thi t h i mà cu c t n công vào h th ng m ng máy tính gây ra:ụ ệ ạ ộ ấ ệ ố ạ

ph c h i d li u, thông tin l u tr trên h th ng đã b phá ho i có chụ ồ ữ ệ ư ữ ệ ố ị ạ ủđích

Th c hi n đi u tra t i ph m, tìm ki m ch ng c s nh m v ch tr nự ệ ề ộ ạ ế ứ ứ ố ằ ạ ầ

t i ph m công ngh cao, các ho t đ ng gian l n, gián đi p, vi ph m phépộ ạ ệ ạ ộ ậ ệ ạ

lu tậ

1.4. Quy trình đi u tra s ề ố

Đi u tra s là m t nhánh c a đi u tra pháp y do đó đòi h i vi c đi uề ố ộ ủ ề ỏ ệ ềtra ph i tuân theo m t quy trình m t các ch t chẽ đ đ m b o quá trìnhả ộ ộ ặ ể ả ả

đi u tra đ t hi u qu t t nh t Quy trình đi u tra s g m có 5 bề ạ ệ ả ố ấ ề ố ồ ước [5]:Quan sát hi n trệ ường, ghi và l p tài li u hi n trậ ệ ệ ường, b o qu n ch ng c ,ả ả ứ ứphân tích, báo cáo

Hình 1.6 S đ quy trình đi u tra s ơ ồ ề ố

1.4.1. Quan sát và b o v hi n tr ả ệ ệ ườ ng

V i m t s t i ph m truy n th ng, ch ng h n nh m t v cớ ộ ố ộ ạ ề ố ẳ ạ ư ộ ụ ướp

ho c gi t ngặ ế ười, ph m vi thạ ường được đánh d u b i băng c nh sát ho cấ ở ả ặhàng rào c nh sát Nó xác đ nh khu v c c n b o đ m B o v hi n trả ị ự ầ ả ả ả ệ ệ ường

v án g m m t s bụ ồ ộ ố ước Trước h t ph i lo i b cá nhân không c n thi tế ả ạ ỏ ầ ế

t i hi n trạ ệ ường Quy t c r t đ n gi n: Ngo i tr các nhân viên th c thiắ ấ ơ ả ạ ừ ựpháp lu t, nh ng ngậ ữ ười không có nhi m v ph i đệ ụ ả ược yêu c u ra kh iầ ỏ

hi n trệ ường Người không c n thi t t i hi n trầ ế ạ ệ ường ch làm cho ch ng cỉ ứ ứ

b t n h i Ti p theo c n đánh d u khu v c này, cô l p hi n trị ổ ạ ế ầ ấ ự ậ ệ ường v án,ụ

và ngăn không cho người xâm nh p vào hi n trậ ệ ường M i ngỗ ười trong hi nệ

trường có th đ l i ch ng c nh tóc, s i qu n áo, ho c các ch t gây ôể ể ạ ứ ứ ư ợ ầ ặ ấnhi m khác Ch cho phép nhân viên c n thi t vào hi n trễ ỉ ầ ế ệ ường, h ch uọ ịtrách nhi m v nh ng gì h làm và đ a ra tài li u c n thi t b sung vàoệ ề ữ ọ ư ệ ầ ế ổbiên b n ban đ u Cũng sẽ có nhân viên c nh sát gi nh t ký c a nh ngả ầ ả ữ ậ ủ ữ

người đi vào, ra kh i hi n trỏ ệ ường Các b n ghi là r t quan tr ng B i cácả ấ ọ ở

lu t s có th bào ch a r ng trong hi n trậ ư ể ữ ằ ệ ường có nh ng ngữ ười không c nầthi t và ch ng c không đế ứ ứ ược xem tr ng.ọ

Quá trình này tương t v i t i ph m máy tính Trự ớ ộ ạ ước h t c n ph iế ầ ả

đ m b o hi n trả ả ệ ường v án Rõ ràng, vi c đ m b o t i ph m máy tính cóụ ệ ả ả ộ ạ

th khác nhau v i vi c đ m b o hi n trể ớ ệ ả ả ệ ường m t t i ph m truy n th ng.ộ ộ ạ ề ố

Hi n trệ ường v án thụ ường là các máy tính th c t , các b đ nh tuy n, vàự ế ộ ị ếcác máy ch có liên quan đ n t i ph m Đ b o đ m ch ng c ph i t t đi,ủ ế ộ ạ ể ả ả ứ ứ ả ắngăn ch n ngặ ười dùng truy c p vào N u có m t máy tính đang b nghi ngậ ế ộ ị ờ

là công c c a t i ph m thì nó ph i đụ ủ ộ ạ ả ược b o đ m.ả ả

Xác đ nh khu v c c a t i ph m máy tính khác v i t i ph m truy nị ự ủ ộ ạ ớ ộ ạ ề

th ng Các máy khác nhau có th b cô l p v m t đ a lý, nh ng quan tr ngố ể ị ậ ề ặ ị ư ọ

là được b o đ m và cô l p đ ki m tra Sau đó c n h n ch s lả ả ậ ể ể ầ ạ ế ố ượng

người đã được ti p c n v i hi n trế ậ ớ ệ ường v án và t t c các tài li u tụ ấ ả ệ ươngtác v i hi n trớ ệ ường v án Trong nhi u trụ ề ường h p, các h th ng liên quanợ ệ ố

c n thi t cho ho t đ ng c a n n nhân c n ti p t c đầ ế ạ ộ ủ ạ ầ ế ụ ược theo dõi Ví dụ

n u máy ch c s d li u c a công ty đã b t n công và d li u b đánhế ủ ơ ở ữ ệ ủ ị ấ ữ ệ ị

c p, h sẽ v n c n máy ch đ ti p t c ho t đ ng kinh doanh Phắ ọ ẫ ầ ủ ể ế ụ ạ ộ ươngpháp ti p c n sau đó là s d ng nh ng máy ch đã thoát t m th i, saoế ậ ử ụ ữ ủ ạ ờchép đĩa c ng cho máy ch và sau đó đ t các đĩa b n sao tr l i vàoổ ứ ủ ặ ổ ả ở ạ

d ch v , do đó vi c gi đĩa g c đ m b o đị ụ ệ ữ ổ ố ả ả ược làm b ng ch ng.ằ ứ

1.4.2. Ghi và l p tài li u hi n tr ậ ệ ệ ườ ng

Không được ch m vào b t c gì cho đ n khi b t đ u thu th p b ngạ ấ ứ ế ắ ầ ậ ằ

ch ng M t khi đã đi qua và quan sát hi n trứ ộ ệ ường, bây gi là lúc ghi l iờ ạ

nh ng gì đã quan sát đữ ược Quay phim toàn b hi n trộ ệ ường là đi u khôngề

b t bu c trong tài li u ch ng c N u ch n quay video hi n trắ ộ ệ ứ ứ ế ọ ệ ường v ánụthì nó ph i là cái nhìn 360 đ c a căn phòng Video gi ng nh cái nhìn thả ộ ủ ố ư ứhai c a hi n trủ ệ ường, và nó cũng h u ích cho h i đ ng b i th m xem l iữ ộ ồ ồ ẩ ạ

nh ng gì đã th y trong quá trình đi u tra Các đi u tra viên ph i luôn nêuữ ấ ề ề ả

đ u video ng i đã làm đo n băng và ch c ch n th i gian là chính xác

t h n có th gây ra nghi ng v kỹ năng Lu t s bào ch a sẽ nh n ra vàệ ơ ể ờ ề ậ ư ữ ậ

đ t câu h i v tính công b ng và kỹ thu t đi u tra Sau đó ph i gi i thíchặ ỏ ề ằ ậ ề ả ả

t i sao nh ng nh n xét đã đạ ữ ậ ược th c hi n cho các lu t s bào ch a và bênự ệ ậ ư ữ

th m phán Đây có th là m t cách mà lu t s bào ch a có th s d ng đẩ ể ộ ậ ư ữ ể ử ụ ể

ch ng l i quá trình đi u tra ố ạ ề

Sau khi làm video, ch p nh l i các c nh đi u tra Các quy t c tụ ả ạ ả ề ắ ương

t áp d ng trong ch p nh hi n trự ụ ụ ả ệ ường nh là quay video: trình bày chiư

ti t Máy nh có hi n th ngày, th i gian, đ m b o đế ả ệ ị ờ ả ả ược thi t l p đúng Sauế ậkhi có được video và hình nh, c n tìm hi u vê nó (hình 1.7) V i hình nhả ầ ể ớ ả

kỹ thu t s ho c film 35mm, s d ng m t tài li u đ ghi l i hình nhậ ố ặ ử ụ ộ ệ ể ạ ả

Hình 1.7 Tài li u v hình nh ệ ề ả

M t s b ph n v n còn s d ng film 35mm, do đó c n ghi l i cu nộ ố ộ ậ ẫ ử ụ ầ ạ ộfilm đ để ược x lý Vài năm trử ước đây, đã có r t nhi u tranh cãi v b ngấ ề ề ằ

ch ng hình nh kỹ thu t s đứ ả ậ ố ược ch p nh n t i tòa án B i các b c nh kỹậ ậ ạ ở ứ ảthu t s có th đậ ố ể ược thay đ i ổ

Ghi l i t t c h ng m c c a b ng ch ng có th m t th i gian, nh ngạ ấ ả ạ ụ ủ ằ ứ ể ấ ờ ư

nó r t quan tr ng Chi ti t quá trình đó ph thu c vào t ng trấ ọ ế ụ ộ ừ ường h p t iợ ộ

ph m máy tính c th Các tài li u thu th p b ng ch ng r t quan tr ngạ ụ ể ệ ậ ằ ứ ấ ọ

nh ng t t nh t là ghi chính xác là đã thu th p các b ng ch ng ngoài tàiư ố ấ ậ ằ ứ

li u b ng ch ng chính nó Sẽ không đệ ằ ứ ược làm gì trên máy tính, router ho cặthi t b khác B t kỳ hành đ ng nào cũng có th làm thay đ i d li u vàế ị ấ ộ ể ổ ữ ệlàm b ng ch ng thu đằ ứ ược vô hi u l c.ệ ự

Các dây cáp g n vào máy tính có th c n ph i tô màu đ tránhắ ể ầ ả ể

l i các thi t b g n vào đó Khi tài li u hoàn t t, sau đó có th b t đ u ng tạ ế ị ắ ệ ấ ể ắ ầ ắ

k t n i các thi t b v i nhau ế ố ế ị ớ

đây đ a ra m t tài li u nghĩa là ph i nh n ra m t notepad và th

b ng ch ng Các ph n khác nhau c a b ng ch ng ph i đằ ứ ầ ủ ằ ứ ả ược ghi l i và cạ ả

v trí mà nó đã đị ượ ấc l y ra Notepad sẽ giúp theo dõi đi u này M i m cề ỗ ụ

n m b t cũng nên có m t th b ng ch ng Th sẽ ghi ngày, gi , đ a đi m,ắ ắ ộ ẻ ằ ứ ẻ ờ ị ểhành vi ph m t i, m t hàng b t ch thu, s lạ ộ ặ ị ị ố ượng d ch v , nhân viên, ngị ụ ười

nh n hàng ậ

Trên m t sau th là n i mà tài li u đã x lý b ng ch ng và chu iặ ẻ ơ ệ ử ằ ứ ỗhành trình Chu i hành trình là r t quan tr ng Theo vi n SANS Institte-ỗ ấ ọ ệScore: “ chu i hành trình là m t thu t ng pháp lý mô t các b s u t p,ỗ ộ ậ ữ ả ộ ư ậ

v n chuy n và l u tr b ng ch ng đ ngăn ch n m t mát, thi t h i v tậ ể ư ữ ằ ứ ể ặ ấ ệ ạ ậ

ch t, ho c tiêu h y”.ấ ặ ủ

N u không có đ chu i t m gi tài li u, lu t s bào ch a sẽ c g ngế ủ ỗ ạ ữ ệ ậ ư ữ ố ắlàm cho nó xu t hi n v i nh ng nghi ng tính toàn v n c a t p ch ng cấ ệ ớ ữ ờ ẹ ủ ậ ứ ứnày Toàn b m c tiêu c a lu t s là ph i đ t nghi ng trong th m phán vộ ụ ủ ậ ư ả ặ ờ ẩ ề

đ tin c y c a các b ng ch ng Quá trình này ph i nh t quán trong m iộ ậ ủ ằ ứ ả ấ ỗ

s v t ch ng có th đố ậ ứ ể ược đ t trong túi gi y và lu t s có th ph n bi nặ ấ ậ ư ể ả ệ

r ng không dùng túi ch ng tĩnh thì v t ch ng có th b thay đ i ho c hằ ố ậ ứ ể ị ổ ặ ư

có th gây thi t h i cho thi t b và sẽ không th gi để ệ ạ ế ị ể ữ ược quy n ki m soátề ể

v t ch ng Chu i hành trình là r t quan tr ng ậ ứ ỗ ấ ọ

Bước ti p theo là đóng gói các b ng ch ng và v n chuy n đ n khuế ằ ứ ậ ể ế

v c b o đ m cho b ph n đi u tra Dùng t khóa đ b o v các b ngự ả ả ộ ậ ề ủ ể ả ệ ằ

ch ng N u lứ ế ượng b ng ch ng l n c n đ n m t phòng đ b o v Th kýằ ứ ớ ầ ế ộ ể ả ệ ư

sẽ l y các b ng ch ng và đăng nh p đúng cách vào khu v c l u tr Thấ ằ ứ ậ ự ư ữ ẻ

b ng ch ng sẽ hi n th các chu i hành trình c a ch ng c Và b ng ch ngằ ứ ể ị ỗ ủ ứ ứ ằ ứ

ph i đả ược b o v an toàn, l u ý v n i đ t Ví d không đ t máy tính bênả ệ ư ề ơ ặ ụ ặ

c nh loa h p l n b i các máy tính có th b nh hạ ộ ớ ở ể ị ả ưởng b i các nam châmởtrong loa N u d li u b thay đ i b ng b t kỳ cách nào, nó có th khôngế ữ ệ ị ổ ằ ấ ể

được ch p nh n t i tòa án.ấ ậ ạ

Th t c pháp lý là tuy t đ i quan tr ng Th t b i trong b o v hi nủ ụ ệ ố ọ ấ ạ ả ệ ệ

trường và duy trì chu i b ng ch ng có th làm h ng m t cu c đi u tra.ỗ ằ ứ ể ỏ ộ ộ ề

Bước đ u tiên là ph i đ m b o hi n trầ ả ả ả ệ ường v án hoàn toàn an toàn Sauụ

đó, ph i đ m b o đả ả ả ượ ằc r ng các b ng ch ng đằ ứ ược thu th p theo đúng thậ ủ

t c pháp y V i trụ ớ ường h p này v i m t đi u tra viên có tay ngh cao, h sẽợ ớ ộ ề ề ọlàm nh sau: Bư ước đ u tiên là đ đ m b o cho các máy ch đó N u ai đóầ ể ả ả ủ ế

đã xâm nh p vào máy ch , c n ph i đ m b o máy ch đó Vì v y, các qu nậ ủ ầ ả ả ả ủ ậ ả

tr m ng đã offline máy ch , sao chép c ng t i m t n i m i, đ t các b nị ạ ủ ổ ứ ớ ộ ơ ớ ặ ảsao ph c v , gi c ng ban đ u cho b ng ch ng Toàn b quá trình ph iụ ụ ữ ổ ứ ầ ằ ứ ộ ả

được ghi l i R ng tài li u hạ ằ ệ ướng d n chi ti t ai đã tham gia và quá trình.ẫ ếSau đó đĩa c ng sẽ đổ ứ ược phân tích b t kỳ d li u b n ghi ho c ngu nấ ữ ệ ả ặ ồkhác có th để ược ki m tra b ng ch ng B ng ch ng sau đó sẽ để ằ ứ ằ ứ ược ghi l i.ạ

Ví d , có th ghi nh n r ng b n ghi truy c p cho th y máy ch đụ ể ậ ằ ả ậ ấ ủ ược truy

c p t đ a ch IP nh t đ nh t i m t th i đi m nh t đ nh Bậ ừ ị ỉ ấ ị ạ ộ ờ ể ấ ị ước ti p theo làếtri u t p các nhà cung c p d ch v Internet nghi ng , do đó có th l n l iệ ậ ấ ị ụ ờ ể ầ ạ

đ a ch IP mà k t n i đ n máy ch và xác đ nh xem k t n i đã th c s đ nị ỉ ế ố ế ủ ị ế ố ự ự ế

t th ph m Cu i cùng, đ m b o quy n truy c p vào máy tính th ph mừ ủ ạ ố ả ả ề ậ ủ ạ

và x lý nó gi ng nh cách đã làm v i máy ch , c n th n ghi l i t ng bử ố ư ớ ủ ẩ ậ ạ ừ ước.1.4.4. Phân tích

Đây là giai đo n các chuyên gia s d ng các phạ ử ụ ương pháp nghi p v ,ệ ụcác kỹ thu t cũng nh công c khác nhau đ trích xu t, thu th p và phânậ ư ụ ể ấ ậtích các b ng ch ng thu đằ ứ ược.

Thi t l p m c th i gian và phân tích: ế ậ ố ờ Sau khi thu th p xong ch ngậ ứ

c t t c các d li u đứ ấ ả ữ ệ ược cách ly trong m t môi trộ ường đi u tra an toànề

và nhi m v ti p theo c a quá trình th c hi n phân tích là thi t l p t p tinệ ụ ế ủ ự ệ ế ậ ậ

th i gian Vi c thi t l p t p tin th i gian giúp ngờ ệ ế ậ ậ ờ ười th c hi n công vi cự ệ ệ

đi u tra theo dõi l i các ho t đ ng c a h th ng (hi n th ra th i gian cu iề ạ ạ ộ ủ ệ ố ể ị ờ ốcùng mà m t t p tin th c thi độ ậ ự ược ch y, các t p tin ho c th m c đạ ậ ặ ư ụ ược

t o/xóa trong th i gian qua và qua đó có th giúp ngạ ờ ể ười đi u tra hìnhềdung, ph ng đoán đỏ ượ ự ệc s hi n di n c a các k ch b n ho t đ ng).ệ ủ ị ả ạ ộ

Phân tích phương ti n truy n d li u c a h đi u hành:T các k t quệ ề ữ ệ ủ ệ ề ừ ế ảthu được b i vi c phân tích th i gian, ti n hành b t đ u phân tích phở ệ ờ ế ắ ầ ương

ti n truy n thông đ tìm ki m các đ u m i phía sau m t h th ng b th aệ ề ể ế ầ ố ộ ệ ố ị ỏ

hi p B công c có s n đ ph c v cho vi c phân tích ph thu c vào m t sệ ộ ụ ẵ ể ụ ụ ệ ụ ộ ộ ốnhân t nh :ố ư

• N n t ng ph n m m đề ả ầ ề ượ ử ục s d ng trong máy tính ph c v đi u tra.ụ ụ ề

• N n t ng ph n m m đề ả ầ ề ượ ử ục s d ng trong các h th ng m c tiêu c a vi cệ ố ụ ủ ệphân tích

• Môi trường phân tích.

Trong giai đo n này, vi c phân tích đ ki m tra kỹ các l p phạ ệ ể ể ớ ương

ti n truy n thông (v t lý, d li u, siêu d li u, h th ng t p tin và tên t pệ ề ậ ữ ệ ữ ệ ệ ố ậ ậtin…) đ tìm ki m b ng ch ng v vi c cài đ t các t p tin nghi ng , các thể ế ằ ứ ề ệ ặ ậ ờ ư

m c đụ ược thêm vào/g b ỡ ỏ

Tìm ki m chu i: ế ỗ V i nh ng gì đã thu th p đớ ữ ậ ược, người phân tích

có th b t đ u tìm ki m các chu i c th ch a bên trong các t p tin để ắ ầ ế ỗ ụ ể ứ ậ ểtìm ki m nh ng thông tin h u ích nh đ a ch IP, đ a ch Email… đ t đóế ữ ữ ư ị ỉ ị ỉ ể ừtruy tìm d u v t t n công.ấ ế ấ

Khôi ph c d li u: ụ ữ ệ Sau khi th c hi n xong giai đo n phân tích cácự ệ ạ

phương ti n truy n thông, chuyên viên đi u tra hoàn toàn có th tìm ki mệ ề ề ể ế

nh ng d li u t ch ng c đã đữ ữ ệ ừ ứ ứ ược ghi l i và trích xu t ra các d li u ch aạ ấ ữ ệ ư

được phân b trong ngăn x p, sau đó ph c h i l i b t kỳ t p tin nào đã bổ ế ụ ồ ạ ấ ậ ịxóa Tìm ki m không gian tr ng (trong môi trế ố ường windows) ho c tìmặ

trong không gian ch a phân b d li u có th khám phá ra nhi u t p tinư ố ữ ệ ể ề ậphân m nh, đó có th là đ u m i v các hành đ ng xóa t p tin, th i gianả ể ầ ố ề ộ ậ ờ

được xóa… Vi c n m b t đệ ắ ắ ược th i gian t p tin b xóa là m t trong nh ngờ ậ ị ộ ữthông tin quan tr ng liên quan đ n các ho t đ ng t n công đã x y ra trênọ ế ạ ộ ấ ả

h th ng (ví d xóa các b n ghi liên quan đ n quá trình thâm nh p hệ ố ụ ả ế ậ ệ

th ng).ố

1.4.5. L p báo cáo ậ

Sau khi thu th p đậ ược nh ng ch ng c có giá tr và có tính thuy tữ ứ ứ ị ế

ph c thì t t c ph i đụ ấ ả ả ược tài li u hóa l i rõ ràng, chi ti t và báo cáo l i choệ ạ ế ạ

b ph n có trách nhi m x lý ch ng c thu độ ậ ệ ử ứ ứ ược, các chuyên gia phân tích

ph i đ a ra các kỹ thu t đi u tra, các công ngh , phả ư ậ ề ệ ương th c đứ ược sử

d ng, cũng nh các ch ng c thu đụ ư ứ ứ ược, t t c ph i đấ ả ả ược gi i thích rõ ràngảtrong báo cáo quá trình đi u tra.ề

1.5. K t lu n ch ế ậ ươ ng 1

Trong chương 1, đ án đã trình bày v t ng quan v đi u tra s Đóồ ề ổ ề ề ố

là trình bày v khái ni m, ý nghĩa và m c đích đi u tra s Qua đó giúpề ệ ụ ề ố

n m v ng l i ki n th c v đi u tra s , hi u đắ ữ ạ ế ứ ề ề ố ể ượ ầc t m quan tr ng đi u traọ ề

s trong đi u tra Ngoài ra, còn trình bày quy trình đi u tra s Giúp quáố ề ề ốtrình đi u tra đề ược thu n l i và tuân th quy trình đi u tra đậ ợ ủ ề ược pháp lu tậcông nh n Chậ ương 2 sẽ tìm hi u v đi n toán đám mây và sẽ đi chuyênể ề ệsâu và các v n đ liên quan đ n đi u tra s trên đám mây.ấ ề ế ề ố

CH ƯƠ NG 2 N N T NG KỸ THU T ĐI U TRA S TRÊN Ề Ả Ậ Ề Ố

ĐÁM MÂY

2.1. T ng quan v đi n toán đám mây ổ ề ệ

2.1.1. Khái ni m v đi n toán đám mây ệ ề ệ

Đi n toán đám mây (Thu t ng ti ng Anh: Cloud Computing, hay cònệ ậ ữ ế

bi t đ n v i tên g i “Đi n toán máy ch o”) là mô hình máy tính d a trênế ế ớ ọ ệ ủ ả ự

n n t ng phát tri n c a Internet.ề ả ể ủ

Đi n toán đám mây là s nâng c p t mô hình máy ch mainframeệ ự ấ ừ ủsang mô hình client-server C thụ ể, ngườ dùng sẽ không còn phái có cáci

ki n th c v chuyên mế ứ ề ôn đ ể đi u khi n các công ngh , máy móc và c sề ể ệ ơ ở

h t ng, mà các chuyên gia trong “đámạ ầ mây” c a các hãng cung c p sẽ giúpủ ấ

Ví d , n u m t website đụ ế ộ ược ch a trên m t máy ch , ngứ ộ ủ ười dùng

ph i l a ch n h đi u hành (Linux/Windows/Mac) đ cài đ t, ti n hànhả ự ọ ệ ề ể ặ ếcác thi t l p đ máy ch và website có th ho t đ ng Tuy nhiên, n uế ậ ể ủ ể ạ ộ ếtrang web được ch a trên “đám mây”, ngứ ười dùng sẽ không c n ph i th cầ ả ự

hi n thêm b t kỳ đi u gì khác Đi u này cũng đ m b o y u t đ u t vệ ấ ề ề ả ả ế ố ầ ư ề

ph n c ng đầ ứ ược gi m t i m c t i đa Tài nguyên, d li u, ph n m m vàả ả ở ứ ố ữ ệ ầ ềcác thông tin liên quan đ u đề ược ch a trên các server (chính là các “đámứmây”)

2.1.2. Ki n trúc và thành ph n c a đi n toán đám mây ế ầ ủ ệ

2.1.2.1. Ki n trúc đi n toán đám mâyế ệ

Đi m ch y u trong c s h t ng c s c a đi n toán đám mâyể ủ ế ơ ở ạ ầ ơ ở ủ ệ

hi n nay là s k t h p c a nh ng d ch v đáng tin c y đệ ự ế ợ ủ ữ ị ụ ậ ược phân ph iốthông qua các trung tâm d li u đữ ệ ược xây d ng trên nh ng máy ch v iự ữ ủ ớcác công ngh o hóa khác nhau Các d ch v này có th đệ ả ị ụ ể ược truy c p tậ ừ

b t kỳ đâu trên th gi i, và “Đám mây” là m t đi m truy c p duy nh t đápấ ế ớ ộ ể ậ ấ

ng yêu c u c a t t c các ng i dùng máy tính Vi c cung c p đám mây

ph i phù h p v i yêu c u c a khách hàng v ch t lả ợ ớ ầ ủ ề ấ ượng d ch v và m cị ụ ứ

đ ch p nh n c a d ch v Các tiêu chu n m và các ph n m m mã ngu nộ ấ ậ ủ ị ụ ẩ ở ầ ề ồ

m cũng quy t đ nh đ n s l n m nh c a đi n toán đám mây.ở ế ị ế ự ớ ạ ủ ệ

Hình 2.1.Mô hình ki n trúc đi n toán đám mây ế ệ

Ki n trúc đi n toán đám mây bao g m: n n t ng đám mây (Cloudế ệ ồ ề ảplatform), các d ch v đám mây (cloud service), c s h t ng đám mâyị ụ ơ ở ạ ầ(Cloud infrastructure), l u tr đám mây (cloud storage).ư ữ

2.1.2.2. Thành ph n c a đi n toán đám mâyầ ủ ệ

Các thành ph n c b n c a đi n toán đám mây sau đây:ầ ơ ả ủ ệ

ng d ng (application): không c n ph i cài đ t và ch y ng d ng

trên chính máy tính c a khách hàng, do đó gi m b t gánh n ng c a vi củ ả ớ ặ ủ ệduy trì, đi u hành và h tr Ví d : máy tính đ ng đ ng, ng d ng web,ề ỗ ợ ụ ồ ẳ ứ ụ

ph n m m ho t đ ng nh d ch v ầ ề ạ ộ ư ị ụ

Máy khách (clients): máy khách đám mây bao g m ph n c ng máyồ ầ ứtính và / ho c ph n m m máy tính, ph thu c vào ng d ng đám mây đặ ầ ề ụ ộ ứ ụ ểphân ph i ng d ng, ho c đố ứ ụ ặ ược thi t k riêng đ phân ph i các d ch vế ế ể ố ị ụđám mây Ví d : thi t b di đ ng.ụ ế ị ộ

D ch v (services): m t d ch v đám mây bao g m “s n ph m, d chị ụ ộ ị ụ ồ ả ẩ ị

v , gi i pháp”, là h th ng ph n m m đụ ả ệ ố ầ ề ược thi t k đ h tr tế ế ể ỗ ợ ương tác

gi a các máy trong m ng, d ch v này có th đữ ạ ị ụ ể ược truy c p b i các thànhậ ở

ph n c a đi n toán đám mây khác, các ph n m m, ho c b i ngầ ủ ệ ầ ề ặ ở ười dùng

cu i.ố

L u tr (Storage): l u tr đám mây g m vi c phân ph i các d ch vư ữ ư ữ ồ ệ ố ị ụ

l u tr d li u: các d ch v c s d li u: c s d li u, d ch v web.ư ữ ữ ệ ị ụ ơ ở ữ ệ ơ ở ữ ệ ị ụ

2.1.3. Các mô hình d ch v đi n toán đám mây ị ụ ệ

Đám mây cung c p các d ch v khác nhau theo các mô hình d ch vấ ị ụ ị ụkhác nhau Trong đó có ba lo i d ch v c a đám mây chính sau:ạ ị ụ ủ

• D ch v h t ng IaaS (Infrastructure as a Service)ị ụ ạ ầ

• D ch v n n t ng PaaS (Platform as a Service)ị ụ ề ả

• D ch v ng d ng SaaS (Software as a Service)ị ụ ứ ụ

Hình 2.2 Mô hình d ch v đi n toán đám mây ị ụ ệ

2.1.3.1. D ch v h t ng IaaS (Infrastructure as a Service)ị ụ ạ ầ

Cung c p cho ngấ ười dân h t ng thô (thạ ầ ường là dưới hình th c cácứmáy o) nh là m t d ch v D ch v IaaS cung c p các d ch v c b nả ư ộ ị ụ ị ụ ấ ị ụ ơ ả

ch ng h n nh các máy o, l u tr d li u, và c s d li u trên n n t ngẳ ạ ư ả ư ữ ữ ệ ơ ở ữ ệ ề ả

đ tri n khai và ch y các ng d ng c a ngể ể ạ ứ ụ ủ ười dùng

Người dùng có th tri n khai và ch y ph n m m trên các máy oể ể ạ ầ ề ả

nh là m t máy ch đích th c hay có th đ a d li u cá nhân lên đám mâyư ộ ủ ự ể ư ữ ệ

đ l u tr Ngể ư ữ ười dùng không có quy n ki m soát h t ng th c bên trongề ể ạ ầ ựđám mây và tuy nhiên người dùng có toàn quy n qu n lý và s d ng tàiề ả ử ụnguyên mà h đọ ược cung c p, cũng nh yêu c u m r ng lấ ư ầ ở ộ ượng tài nguyên

h đọ ược phép s d ng ử ụ

Các đ c tính tiêu bi u c a d ch v h t ng IaaS: ặ ể ủ ị ụ ạ ầ

• Cung c p tài nguyên nh là d ch v bao g m c máy ch , thi t b m ng, bấ ư ị ụ ồ ả ủ ế ị ạ ộ

nh , CPU, không gian đ a c ng, trang thi t b trong trung tâm d li u.ớ ị ứ ế ị ữ ệ

• Kh năng m r ng linh ho t.ả ở ộ ạ

• Chi phí thay đ i tùy theo th c t ổ ự ế

• Nhi u ngề ười thuê có th cùng dùng chung trên m t tài nguyênể ộ

• C p đ doanh nghi p đem l i l i ích cho công ty b i m t ngu n tài nguyênấ ộ ệ ạ ợ ở ộ ồtính toán t ng h pổ ợ

Hình 2.3 IaaS cho phép nhà cung c p d ch v thuê các tài nguyên ấ ị ụ

c ng và ph n m m bên dứ ầ ề ưới PaaS cung c p t t c các tính năng c n thi tấ ấ ả ầ ế

đ h tr cho vi c xây d ng, cung c p m t ng d ng và d ch v web s nể ỗ ợ ệ ự ấ ộ ứ ụ ị ụ ẵsàng trên Internet mà không c n b t kỳ thao tác tái hay cài đ t ph n m mầ ấ ặ ầ ềcho nh ng ngữ ười phát tri n, qu n lý tin h c, hay ngể ả ọ ười dùng cu i ố

Nh ng đ c tr ng tiêu bi u:ữ ặ ư ể

• Ph c v cho vi c phát tri n, ki m th , tri n khai và v n hành ng d ngụ ụ ệ ể ể ử ể ậ ứ ụ

gi ng nh là môi trố ư ường phát tri n tích h p.ể ợ

• Cung c p các công c kh i t o v i giao di n trên n n web.ấ ụ ở ạ ớ ệ ề

• Ki n trúc đ ng nh t.ế ộ ấ

• Tích h p d ch v web và c s d li uợ ị ụ ơ ở ữ ệ

• H tr công tác nhóm phát tri nỗ ợ ể

• Cung c p các công c h tr ti n ích khácấ ụ ỗ ợ ệ

Hình 2.4 PaaS cho phép khách hàng truy c p vào n n t ng đi n toán ậ ề ả ệ

đám mây

2.1.3.3. D ch v ng d ng SaaS (Software as a Service)ị ụ ứ ụ

SaaS là m t mô hình tri n khai ng d ng mà đó ngu n cung c pộ ể ứ ụ ở ồ ấcho phép người dùng s d ng d ch v theo yêu c u Nh ng nhà cung c pử ụ ị ụ ầ ữ ấSaaS có th l u trú ng d ng trên máy ch c a h ho c t i ng d ngể ư ứ ụ ủ ủ ọ ặ ả ứ ụ

xu ng thi t b khách hàng, vô hi u hóa nó sau khi k t thúc th i h n Cácố ế ị ệ ế ờ ạ

ch c năng theo yêu c u có th đứ ầ ể ược ki m soát bên trong đ chia s b nể ể ẻ ảquy n c a m t nhà cung c p ng d ng th ba ề ủ ộ ấ ứ ụ ứ

Các đ c tr ng tiêu bi u c a SaaS:ặ ư ể ủ

• Ph n m m s n có đòi h i vi c truy xu t, qu n lý qua m ng ầ ề ẵ ỏ ệ ấ ả ạ

• Qu n lý các ho t đ ng t m t v trí t p trung h n là t i m i n i c a kháchả ạ ộ ừ ộ ị ậ ơ ạ ỗ ơ ủhàng, cho phép khách hàng truy xu t t xa thông qua web ấ ừ

• Cung c p ng d ng thông thấ ứ ụ ường g n gũi v i mô hình ánh x t m t đ nầ ớ ạ ừ ộ ếnhi u h n là mô hình 1:1 bao g m c các đ c tr ng ki n trúc, giá c vàề ơ ồ ả ặ ư ế ả

Hình 2.5 SaaS cung c p d ch v cho khách hàng ấ ị ụ

2.1.4. Các mô hình tri n khai trong đám mây ể

Trong đi n toán đám mây, các nhà cung c p d ch v đã đ a ra b nệ ấ ị ụ ư ố

mô hình đ các t ch c, cá nhân l a ch n tùy thu c vào nhu c u và đ c thùể ổ ứ ự ọ ộ ầ ặcông vi c, cũng nh chi phí mà t ch c, cá nhân b ra đ s d ng các d chệ ư ổ ứ ỏ ể ử ụ ị

v đi n toán đám mây ụ ệ Đó là các mô hình sau

• Đám mây riêng (Private Cloud)

• Đám mây công c ng (Public Cloud)ộ

• Đám mây lai (Hybrid Cloud)

• Đám mây c ng đ ng (Community Cloud)ộ ồ

2.1.4.1. Đám mây riêng (Private Cloud)

Hình 2.6 Mô hình đám mây riêng

Đám mây riêng là d ch v đám mây đị ụ ược xây d ng trong h th ngự ệ ố

c a doanh nghi p Nh ng đám mây này t n t i bên trong tủ ệ ữ ồ ạ ường l a vàử

được doanh nghi p doanh nghi p qu n lý tr c ti p Vi c s d ng đámệ ệ ả ự ế ệ ử ụmây riêng giúp ch đ ng trong vi c s d ng, qu n lí và đ m b o thông tinủ ộ ệ ử ụ ả ả ả

t t h n Nh ng g p khó khăn trong vi c tri n khai, t n chi phí duy trì hố ơ ư ặ ệ ể ố ệ

th ng và ch ph c v trong doanh nghi p.ố ỉ ụ ụ ệ

2.1.4.2. Đám mây công c ng (Public Cloud)ộ

Là d ch v đám mây đị ụ ược m t bên th ba (ngộ ứ ười bán) cung c p Nóấ

t n t i ngoài tồ ạ ường l a c a doanh nghi p và đử ủ ệ ượ ưc l u tr đ y đ và đữ ầ ủ ượcnhà cung c p đám mây qu n lý.ấ ả

Các đám mây công c ng c g ng cung c p cho ngộ ố ắ ấ ười dùng v i cácớ

ph n t công ngh thông tin t t nh t Cho dù đó là ph n m m, c s hầ ử ệ ố ấ ầ ề ơ ở ạ

t ng ng d ng ho c h t ng v t lý, nhà cung c p đám mây ch u tráchầ ứ ụ ặ ạ ầ ậ ấ ịnghi m v cài đ t, qu n lý, cung c p và b o trì Khách hàng ch u chi phíệ ề ặ ả ấ ả ịcho các tài nguyên nào mà h s d ng Các d ch v này đọ ử ụ ị ụ ược cung c p v iấ ớquy ước v c u hình, nghĩa là đề ấ ược phân ph i ý tố ưởng cung c p các trấ ường

h p s d ng ph bi n nh t Các tùy ch n c u hình thợ ử ụ ổ ế ấ ọ ấ ường là t p h p conậ ợ

nh h n so v i nh ng gì mà đã có n u ngu n tài nguyên đỏ ơ ớ ữ ế ồ ược người dùng

ki m soát tr c ti p.ể ự ế

Hình 2.7 Mô hình đám mây công c ng ộ

2.1.4.3. Đám mây lai (Hybrid Cloud)

Hình 2.8 Mô hình đám mây lai

Là s k t h p c a đám mây riêng và đám mây công c ng Cho phépự ế ợ ủ ộkhai thác đi m m nh c a t ng mô hình cũng nh đ a ra phể ạ ủ ừ ư ư ương th c sứ ử

d ng t i u cho ngụ ố ư ườ ử ụi s d ng Nh ng “đám mây” này thữ ường do doanhnghi p t o ra và vi c qu n lý sẽ đệ ạ ệ ả ược phân chia gi a doanh nghi p và nhàữ ệcung c p đi n toán đám mây công c ngấ ệ ộ Doanh nghi p và nhà cung c pệ ấ

qu n lý theo s th a thu n Ngả ự ỏ ậ ườ ử ụi s d ng có th s d ng các d ch v c aể ử ụ ị ụ ủnhà cung c p và d ch v riêng c a doanh nghi p L i th c a đám mây laiấ ị ụ ủ ệ ợ ế ủ

là doanh nghi p cùng m t lúc có th s d ng đệ ộ ể ử ụ ược nhi u d ch v màề ị ụkhông b gi i h n Nh ng khó khăn trong vi c tri n khai và qu n lý và t nị ớ ạ ư ệ ể ả ốnhi u chi phíề

2.1.4.4. Mô hình đám mây c ng đ ng (Community Cloud)ộ ồ

Hình 2.9 Mô hình đám mây c ng đ ng ộ ồ

Các đám mây c ng đ ng là các đám mây độ ồ ược chia s b i m t s tẻ ở ộ ố ổ

ch c và h tr m t c ng đ ng c th có m i quan tâm chung (ví d : chungứ ỗ ợ ộ ộ ồ ụ ể ố ụ

s m nh, yêu c u an ninh, chính sách ) Nó có th đứ ệ ầ ể ược qu n lý b i các tả ở ổ

ch c ho c m t bên th ba.ứ ặ ộ ứ Đ i tố ượng s d ng: M t đám mây c ng đ ng cóử ụ ộ ộ ồ

th để ược thi t l p b i m t s t ch c có yêu c u tế ậ ở ộ ố ổ ứ ầ ương t và tìm cách chiaự

s c s h t ng đ th c hi n m t s l i ích c a đi n toán đám mây.ẻ ơ ở ạ ầ ể ự ệ ộ ố ợ ủ ệ Có

th đáp ng v s riêng t , an ninh ho c tuân th các chính sách t t h nể ứ ề ự ư ặ ủ ố ơ

t i c s h t ng c a m ng v i băng thông l u lả ơ ở ạ ầ ủ ạ ớ ư ượng tiêu th Đ t ch iụ ể ừ ố

d ch v DoS cho các máy o khác trong m t máy v t lý, k t n công hị ụ ả ộ ậ ẻ ấ ệ

th ng không th s d ng ho c làm gián đo n b ng cách làm quá t i tàiố ể ử ụ ặ ạ ằ ả

khi n cho các h th ng nh cân b ng t i, giám sát m ng và tế ệ ố ư ằ ả ạ ường l aử

ng ng ph c v ừ ụ ụ

T n công trên giao di n đám mây ấ ệ

Các nhà cung c p đám mây cung c p m t b giao di n ph n m mấ ấ ộ ộ ệ ầ ềcho phép người dùng tương tác v i d ch v đám mây và qu n lý Các cu cớ ị ụ ả ộ

t n công liên ti p có liên quan đ n m t s lấ ế ế ộ ố ượng l n c g ng tìm m tớ ố ắ ộthông tin xác th c đ đăng nh p nh m t ngự ể ậ ư ộ ười dùng xác th c và truy c pự ậ

d ch v đám mây Ngoài ra, k t n công có th kh i ch y các cu c t n côngị ụ ẻ ấ ể ở ạ ộ ấ

d a trên trình duy t, nh là l p c ng b o m t SSL gi m o ch ng ch , t nự ệ ư ớ ổ ả ậ ả ạ ứ ỉ ấcông vào b nh Cache c a trình duy t, ghi l i nh t ký khóa và t n côngộ ớ ủ ệ ạ ậ ấ

nh ng d li u c n thi t.ữ ữ ệ ầ ế

T n công t ng ấ ừ ườ i dùng n i b ộ ộ

Nh ng ngữ ười trong công ty nh n th c đậ ứ ược các l h ng trong tỗ ổ ổ

ch c Ngoài ra, s d ng m t m c đ đ c quy n cao h n có th cho phépứ ử ụ ộ ứ ộ ặ ề ơ ểnhân viên có quy n truy c p vào d li u bí m t và d ch v đ đ t đề ậ ữ ệ ậ ị ụ ể ạ ược

m c tiêu mong mu n Vì l u lụ ố ư ượng truy c p m ng n i b thậ ạ ộ ộ ường b quaỏ

tường l a và phát hi n xâm nh p trong h th ng, ho t đ ng đ c h i trongử ệ ậ ệ ố ạ ộ ộ ạđám mây không b phát hi n.ị ệ

T n công vào o hóa ấ ả

o hóa đ c s d ng trong đám mây m i m c đích đa nhi m Tuy

nhiên, m t s cu c t n công vào c s h t ng đám mây độ ố ộ ấ ơ ở ạ ầ ược gây ra b i lở ỗ

h ng o hóa K t n công có th k t h p m t s l h ng áo hóa k t h pổ ả ẻ ấ ể ế ợ ộ ố ỗ ổ ế ợ

đ đ t để ạ ược m c tiêu mong mu n M t s y u t thu hút k t n công vàoụ ố ộ ố ế ố ẻ ấmôi trường o hóa do c u hình tả ấ ương t c a máy o trong đám mây đ uự ủ ả ề

gi ng nhau nên có cùng l h ng, ngố ỗ ổ ười dùng cài đ t các ng d ng d bặ ứ ụ ễ ị

t n công trên máy o, s d ng máy o tri n khai nhanh nh ng d n đ nấ ả ử ụ ả ể ư ẫ ế

v n đ b o m t, giao ti p gi a máy o thông qua m ng o, các thànhấ ề ả ậ ế ữ ả ạ ả

ph n c s h t ng đám mây không đầ ơ ở ạ ầ ược thi t k cung c p đ c tính cáchế ế ấ ặ

ly m nh cho đa nhân.ạ

2.2.2. Đ nh nghĩa v đi u tra s trên đám mây ị ề ề ố

Đi u tra s trên đám mây là m t b ph n c a đám mây và đi u traề ố ộ ộ ậ ủ ề

kỹ thu t s ậ ố Đám mây là m t b s u t p chia s c u hình m ng tài nguyênộ ộ ư ậ ẻ ấ ạ

đã làm vi c (ví d : m ng, máy ch , l u tr , ng d ng và d ch v t n n) cóệ ụ ạ ủ ư ữ ứ ụ ị ụ ệ ạ

th để ượ ấc c u hình l i nhanh chóng v i n l c t i thi u ạ ớ ỗ ự ố ể Kỹ thu t đi u traậ ề

s là vi c áp d ng các nguyên t c khoa h c máy tính đ ph c h i b ngố ệ ụ ắ ọ ể ụ ồ ằ

ch ng đ trình bày t i m t tòa án c a pháp lu t ứ ể ạ ộ ủ ậ

Đi u tra s trên đám mây là m t t p h p con c a đi u traề ố ộ ậ ợ ủ ề

m ng.ạ Đám mây d a trên truy c p m ng r ng.ự ậ ạ ộ Do đó, đi u tra trên đámềmây ph i tuân theo chính các giai đo n c a đi u tra m ng v i các kỹ thu tả ạ ủ ề ạ ớ ậphù h p v i môi trợ ớ ường đám mây Đám mây là m t mô hình phát tri n v iộ ể ớcác khía c nh ph c t p.ạ ứ ạ Nó là đ c đi m thi t y u đã gi m đáng k chi phíặ ể ế ế ả ểcông ngh thông tin, đóng góp cho đ n vi c áp d ng nhanh chóng đi nệ ế ệ ụ ệtoán đám mây c a doanh nghi p và chính ph Đ đ m b o tính kh d ngủ ệ ủ ể ả ả ả ụ

c a d ch v và hi u qu chi phí, nhà cung c p d ch v đám mây (CSP -ủ ị ụ ệ ả ấ ị ụCloud Service Provider) duy trì d li u các trung tâm trên kh p thữ ệ ắ ế

gi i.ớ D li u đữ ệ ượ ưc l u tr trong m t trung tâm d li u đữ ộ ữ ệ ược nhân r ng t iộ ạnhi u đ a đi m đ đ m b o s phong phú và gi m nguy c th t b i Ngoàiề ị ể ể ả ả ự ả ơ ấ ạ

ra, s phân bi t nhi m v gi a CSP và khách hàng liên quan trách nhi mự ệ ệ ụ ữ ệ

đi u tra khác nhau theo các mô hình d ch v đã s d ng.ề ị ụ ử ụ Tương t nhự ư

v y, các tậ ương tác gi a nhi u ngữ ề ười thuê d ch v đám mây chia s cùngị ụ ẻ

m t tài nguyên đám mây khác nhau tùy theo mô hình tri n khai làm vi c.ộ ể ệ2.2.3. Quy mô đi u tra s trên đám mây ề ố

M t cu c đi u tra trong môi trộ ộ ề ường đám mây liên quan đ n ít nh tế ấhai th c th : CSP và khách hàng đám mây.ự ể Tuy nhiên, ph m vi đi u tra mạ ề ở

r ng khi CSP thuê ngoài d ch v các bên khác nhau.ộ ị ụ

CSP và h u h t các ng d ng đám mây thầ ế ứ ụ ường đ u có s ph thu cề ự ụ ộvào các CSP khác S ph thu c gi a chu i CSP và khách hàng trên đámự ụ ộ ữ ỗ

mây là r t cao.ấ Trong tình hu ng nh v y, cu c đi u tra trên đám mây cóố ư ậ ộ ề

th ph thu c v đi u tra c a t ng liên k t trong chu i CSP.ể ụ ộ ề ề ủ ừ ế ỗ B t kỳ s cấ ự ố

ho c thi u s ph i h p trách nhi m gi a t t c các bên liên quan có thặ ế ự ố ợ ệ ữ ấ ả ể

d n đ n các v n đ nh hẫ ế ấ ề ả ưởng đ n vi c đi u tra Chính sách t ch c vàế ệ ề ổ ứ

th a thu n c p đ d ch v (SLA – Service-level Agreement) t o đi u ki nỏ ậ ấ ộ ị ụ ạ ề ệgiao ti p và h p tác trong các ho t đ ng đi u tra.ế ợ ạ ộ ề Ngoài th c thi pháp lu t,ự ậchu i CSP ph i có s giao ti p và h p tác v i các bên th ba và đi u traỗ ả ự ế ợ ớ ứ ềviên Các bên th ba sẽ h tr cho vi c ki m toán và tuân th , đi u tra viênứ ỗ ợ ệ ể ủ ề

có th cung c p chuyên môn giúp các cu c đi u tra đ t để ấ ộ ề ạ ược hi u qu ệ ả

Hình 2.10 Các th c th tham gia cu c đi u tra trên đám mây ự ể ộ ề

Các đ i tố ượng tham gia h tr đi u tra trên đám mây bao g m:ỗ ợ ề ồ

Đi u tra viên: ề Các đi u tra viên có trách nhi m ki m tra các hành viề ệ ểsai trái và làm vi c v i c quan th c thi pháp lu t bên ngoài các c quanệ ớ ơ ự ậ ơkhi c n thi t.ầ ế H ph i có đ chuyên môn đ th c hi n đi u tra các tài s nọ ả ủ ể ự ệ ề ảriêng c a h cũng nh tủ ọ ư ương tác v i các quan h trong đi u tra.ớ ệ ề

Chuyên gia Công ngh thông tin: ệ Chuyên gia công ngh thông tinệbao g m các chuyên gia h th ng, m ng và qu n tr viên b o m t, chuyênồ ệ ố ạ ả ị ả ậgia an ninh m ng, ki n ạ ế trúc s b o m t đám mây, và nhân viên kỹ thu t vàư ả ậ ậ

h tr ỗ ợ H cung c p ki n ọ ấ ế th c chuyên môn h tr vi c đi u tra, h trứ ỗ ợ ệ ề ỗ ợ

đi u tra viên ti p c n hi n trề ế ậ ệ ường, và có th th c hi n thu th p d li uể ự ệ ậ ữ ệthay cho các đi u tra viên.ề

Ng ườ ử i x lý s c : ự ố Ngườ x lý s c tham gia kh c ph c các s ci ử ự ố ắ ụ ự ố

b o m t c a h th ng nh truy c p d li u trái phép, rò r d li u do taiả ậ ủ ệ ố ư ậ ữ ệ ỉ ữ ệ

2.2.4. C s pháp lý đi u tra s trên đám mây ơ ở ề ố

Đi u tra trên đám mây cũng gi ng nh đi u tra s truy n th ngề ố ư ề ố ề ốkhác Trước khi th c hi n đi u tra, c n có nh ng c s pháp lý đ phânự ệ ề ầ ữ ơ ở ể

đ nh rõ quy n h n, trách nhi m c a c quan đi u traị ề ạ ệ ủ ơ ề Các khía c nh phápạ

lý c a đi u tra đám mây đòi h i s phát tri n c a các đi u kho n và th aủ ề ỏ ự ể ủ ề ả ỏthu n đ đ m b o r ng các ho t đ ng đi u tra không vi ph m lu t phápậ ể ả ả ằ ạ ộ ề ạ ậ

và các quy đ nh trong khu v c tài phán n i l u tr d li u và đ m b o tínhị ự ơ ư ữ ữ ệ ả ả

b o m t c a ngả ậ ủ ườ ử ụi s d ng d ch v đám mây.ị ụ

SLA xác đ nh các đi u kho n s d ng gi a CSP và khách hàng c aị ề ả ử ụ ữ ủmình.Các đi u kho n sau đây liên quan đ n ho t đ ng đi u tra nên đề ả ế ạ ộ ề ược

đ a vào SLA: các d ch v đư ị ụ ược cung c p, các kỹ thu t đấ ậ ược h tr vàỗ ợquy n truy c p đề ậ ượ ấc c p b i CSP cho khách hàng trong quá trình đi u tra;ở ềràng bu c s tin tộ ự ưởng, vai trò và trách nhi m gi a CSP và khách hàngệ ữquan tâm đ n đi u tra;ế ề và quá trình ti n hành đ u t trong môi trế ầ ư ường đa

th m quy n mà không vi ph m các ng d ng lu t pháp, quy đ nh, và chínhẩ ề ạ ứ ụ ậ ịsách b o m t và quy n riêng t c a khách hàngả ậ ề ư ủ

2.3. Quy trình đi u tra s trên đám mây ề ố

Quy trình đi u tra s trên đám mây g m có 7 bề ố ồ ước sau:

Khi b t đ u m t cu c đi u tra, đi u quan tr ng là phác th o ph mắ ầ ộ ộ ề ề ọ ả ạ

vi, tính ch t và phân tích n n t ng Đi u quan tr ng c a đi u tra là xácấ ề ả ề ọ ủ ề

đ nh rõ ràng đị ược m c đích c a vi c đi u tra s , đ có th quy t đ nh toànụ ủ ệ ề ố ể ể ế ị

b ph m vi c a quá trình đi u tra Các đi u tra viên và nh ng ngộ ạ ủ ề ề ữ ười cóchuyên môn trong đi u tra s c n ph i hi u đề ố ầ ả ể ược, tr l i các câu h i “cáiả ờ ỏ

gì, đâu, khi nào, ai, t i sao và cách th c c a m t cu c đi u tra và đ xácở ạ ứ ủ ộ ộ ề ể

đ nh ranh gi i c a cu c đi u tra đó T t c đi u này nên đị ớ ủ ộ ề ấ ả ề ược ghi l i, vìạ

nh ng ngữ ười có chuyên môn và đi u tra viên sẽ đ c p đ n đi u này trongề ề ậ ế ềtoàn b quá trình đi u tra Ph m vi c a cu c đi u tra sẽ bao g m nh ngộ ề ạ ủ ộ ề ồ ữ

người có liên quan, b t kỳ d li u ho c b ng ch ng nào đã b thu gi , đi uấ ữ ệ ặ ằ ứ ị ữ ềkho n t khóa và các thông tin liên quan khác Ph m vi ban đ u có th kháả ừ ạ ầ ểchung chung, và khi quá trình đi u tra đề ược ti n hành, nó sẽ đế ược đi uề

ch nh đ t p trung vào các v n đ khi phát sinh.ỉ ể ậ ấ ề

2.3.2. Chu n b đi u tra ẩ ị ề

Ngay khi ph m vi đạ ược xác đ nh, bị ước ti p theo c a b t kì m t cu cế ủ ấ ộ ộ

đi u tra nào, dân s hay hình s , là đ hi u đề ự ự ể ể ược các yêu c u và đ m b oầ ả ả

đượ ằc r ng các thi t b và thông tin là chính xác và có hi u l c S chu n bế ị ệ ự ự ẩ ị

có th bao g m vi c đào t o và mua l i các thi t b c n thi t C n ph i cóể ồ ệ ạ ạ ế ị ầ ế ầ ả

m t ngộ ười có chuyên môn đ có nh ng kỹ năng chính xác, theo nguyên t cể ữ ắ

“competency ( năng l c)” ACPO 2 (ACPO, 2006), và đi u này có th đự ề ể ược

gi i quy t b ng cách th c hi n vi c đào t o thích h p trả ế ằ ự ệ ệ ạ ợ ước khi th c hi nự ệ

đi u tra Nh ng ti n b trong công ngh thông tin và truy n thông nhề ữ ế ộ ệ ề ưmôi trường đám mây, sẽ yêu c u đào t o và nghiên c u liên t c v đi u traầ ạ ứ ụ ề ề

s , và đi u này sẽ bao g m toàn th các chuyên gia v công ngh thông tin.ố ề ồ ể ề ệ

Ho t đ ng này sẽ h tr tích c c trong công tác đi u tra và truy t t iạ ộ ỗ ợ ự ề ố ộ

ph m an ninh m ng Ví d , các chuyên gia v công ngh thông tin có thạ ạ ụ ề ệ ể

được yêu c u giúp t o đi u ki n tuân th các nghĩa v pháp lý, phát tri nầ ạ ề ệ ủ ụ ể

và v n hành b o m t máy tính và h th ng đám mây đ b o đ m quy nậ ả ậ ệ ố ể ả ả ềriêng t c a thông tin đư ủ ược b o v Vi c đào t o sẽ trang b cho các chuyênả ệ ệ ạ ịgia công thông tin ngh có ki n th c làm vi c v các thách th c và v n đệ ế ứ ệ ề ứ ấ ềpháp lý quan tr ng mà h có th g p ph i trong quá trình ho t đ ng.ọ ọ ể ặ ả ạ ộ

S chu n b có th bao g m vi c nghiên c u và phát tri n, đự ẩ ị ể ồ ệ ứ ể ược th cự

hi n đ có đệ ể ượ ự ểc s hi u bi t v m t v n đ ho c m t khía c nh c a m tế ề ộ ấ ề ặ ộ ạ ủ ộ

cu c đi u tra Ví d , n u ph m vi c a m t cu c đi u tra có liên quan đ nộ ề ụ ế ạ ủ ộ ộ ề ế