Luận văn nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng

Khái niệm Theo [11] điều tra số đôi khi còn gọi là Khoa học điều tra số là một nhánhcủa ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìmthấy trong các thiết

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

ĐINH THỊ THÚY HƯỜNG

NGHIÊN CỨU KĨ THUẬT ĐIỀU TRA SỐ

TRONG GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH

VÀ ỨNG DỤNG

Chuyên ngành: Khoa học máy tính

Mã số: 8 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Giáo viên hướng dẫn: TS Hồ Văn Hương

THÁI NGUYÊN - 2021

LỜI CẢM ƠN

Trong suốt quá trình học tập vừa qua, em đã được quý thầy cô cung cấp

và truyền đạt tất cả kiến thức chuyên môn cần thiết và quý giá nhất Ngoài ra,

em còn được rèn luyện một tinh thần học tập và làm việc độc lập và sáng tạo.Đây là tính cách hết sức cần thiết để có thể thành công khi bắt tay vào nghềnghiệp trong tương lai

Đề tài luận văn thạc sĩ là cơ hội để em có thể áp dụng, tổng kết lại nhữngkiến thức mà mình đã học Đồng thời, rút ra được những kinh nghiệm thực tế

và quý giá trong suốt quá trình thực hiện đề tài Sau một thời gian em tập trungcông sức cho đề tài và làm việc tích cực, đặc biệt là nhờ sự chỉ đạo và hướng

dẫn tận tình của TS Hồ Văn Hương cùng với các thầy cô trong trường Đại

học Công nghệ thông tin & Truyền thông - Đại học Thái Nguyên, đã giúp cho

em hoàn thành đề tài một cách thuận lợi và gặt hái được những kết quả mongmuốn Bên cạnh những kết quả khiêm tốn mà em đạt được, chắc chắn khôngtránh khỏi những thiếu sót khi thực hiện luận văn của mình, kính mong thầy côthông cảm Sự phê bình, góp ý của quý thầy cô sẽ là những bài học kinhnghiệm rất quý báu cho công việc thực tế của em sau này

Em xin chân thành cảm ơn TS Hồ Văn Hương đã tận tình giúp đỡ em

hoàn thành đề tài này

Em xin chân thành cảm ơn!

Thái Nguyên, tháng 01 năm 2021

Học viên

Đinh Thị Thúy Hường

3

LỜI CAM ĐOAN

Em xin cam đoan nội dung luận văn này là do chính em thực hiện, các sốliệu thu thập và kết quả phân tích trong báo cáo là trung thực, không sao chép

từ bất cứ đề tài nghiên cứu khoa học nào Nếu sai, em xin hoàn toàn chịu tráchnhiệm trước Nhà trường

Thái Nguyên, tháng 01 năm 2021

Học viên

Đinh Thị Thúy Hường

4

MỤC LỤC

DANH MỤC CÁC TỪ VIẾT TẮT

Viết

SHA Secure Hash Algorithm Giải thuật băm an toàn

MD5 Message - Digest algorithm 5 Thuật toán hàm băm

PDA Personal digital assistant Thiết bị trợ giúp cá nhân

MDS Maintenance Data System Hệ thống dữ liệu bảo trì

FAT File Allocation Table Bảng định vị tập tin

NTFS New Technology File System Hệ thống tập tin công nghệ mới

DNS Doman Name System Hệ thống tên miền

NIDS

Network Intrusion Detection

System

Hệ thống phát hiện xâm nhập mạng

RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên

NFAT Network Forensics Analysis Tool Công cụ phân tích mạng

ARP Address Resolution Protocol Giao thức phân giải địa chỉ

DANH MỤC BẢNG

DANH MỤC HÌNH ẢNH

LỜI MỞ ĐẦU

1 Tính cấp thiết của đề tài

Hiện nay công nghệ thông tin ngày càng phát triển, không ngừng đem đếnnhiều lợi ích cho các lĩnh vực kinh tế, thương mại, dịch vụ Bên cạnh đó, đâycũng chính là môi trường thuận lợi để các loại tội phạm công nghệ cao thựchiện hành vi phạm tội của mình như đánh cắp thông tin, phát tán mã độc haycác hành vi chuộc lợi khác Để xác định được hành vi của tội phạm công nghệcao thì cần phải dựa vào những bằng chứng mà chúng để lại

Từ đó tiến hành bảo quản, thu thập, xác nhận, chứng thực, phân tích, giảithích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹthuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện,nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động tráiphép gây gián đoạn quá trình làm việc của hệ thống Tất cả những hành độngtrên liên quan đến ngành khoa học điều tra số Việc điều tra số này không chỉđơn thuần là yếu tố kĩ thuật, nó còn đòi hỏi người thực hiện có kinh nghiệmnhận thức được những gì nên làm và không nên làm

Tình hình an toàn thông tin mạng trên Thế giới nói chung và Việt Namnói riêng ngày càng diễn biến phức tạp, tinh vi, khó dự đoán Không nằmngoài xu thế chung trên toàn cầu công tác đảm bảo giám sát an toàn thông tinmạng của UBND Tỉnh Quảng Ninh được đặt lên hàng đầu Là cơ quan đầu nãocủa Tỉnh, vấn đề an toàn thông tin của Tỉnh được đặt ở mức bảo vệ cao nênnhiệm vụ quan trọng, thiết yếu được đặt ra là vấn đề đảm bảo giám sát an toànthông tin cho mạng máy tính của Tỉnh

Vì thế mục tiêu của luận văn là nghiên cứu quy trình điều tra số, bộ công

cụ và quy định pháp lý về giá trị bằng chứng số để áp dụng triển khai đảm bảo

an toàn thông tin mạng máy tính của UBND Tỉnh Quảng Ninh

2 Đối tượng và phạm vi nghiên cứu

+ Vấn đề an ninh, an toàn mạng máy tính

8

+ Các công cụ, giải pháp giải quyết vấn đề an ninh cho mạng máy tính:Thâm nhập, truy cập trái phép, tấn công, phá hoại, lấy trộm dữ liệu

+ Nghiên cứu một số công cụ để ứng dụng trong phát hiện các nguy cơmất an ninh trong mạng máy tính

+ Triển khai thử nghiệm để giám sát an toàn thông tin mạng máy tính củaUBND tỉnh Quảng Ninh

3 Hướng nghiên cứu của đề tài

Điều tra CSDL máy tính: Thu thập những bằng chứng pháp lý được tìm

thấy trong máy tính và các phương tiện lưu trữ kĩ thuật số

Điều tra mạng: Phân tích lưu lượng dữ liệu truyền qua mạng máy tính

nhằm phát hiện các xâm nhập khả nghi vào hệ thống

Điều tra thiết bị di động: Thu thập những bằng chứng về tài nguyên kĩ

thuật hoặc dữ liệu từ các thiết bị di động

Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điềutra và phương pháp nghiên cứu thực nghiệm

4 Những nội dung và bố cục của luận văn

Chương 1: Tổng quan về điều tra số

Chương này sẽ trình bày khái niệm về điều tra số, phân loại điều tra số,đặc điểm của điều tra số và xác định hợp lệ của bộ công cụ điều tra số

Chương 2: Quy trình điều tra số và các công cụ

Chương này sẽ trình bày quy trình điều tra số, những nội dung cần thiếtphải chuẩn bị, bảo vệ và giám định, lập tài liệu, thu thập bằng chứng, đánhdấu, vận chuyển và lưu trữ, kiểm tra, phân tích, lập tài liệu và báo cáo

Nghiên cứu tìm hiểu một số công cụ phần cứng và phần mềm được sửdụng trong mỗi bước của quy trình, so sánh, phân tích, đánh giá một số côngcụ

Chương 3: Áp dụng kĩ thuật điều tra số để giám sát an toàn mạng

máy tính UBND Tỉnh Quảng Ninh.

Chương này sẽ mô tả hệ thống giám sát an ninh mạng, mô tả các công

9

nghệ và việc áp dụng quy trình, kỹ thuật cũng như bộ công cụ để tiến hànhđiều tra, tìm ra những manh mối nghi ngờ dựa trên những dữ liệu đã cung cấp.

5 Phương pháp nghiên cứu

Nghiên cứu, thu thập, đọc, tìm hiểu các tài liệu đã xuất bản, các bài báotrên các tạp chí khoa học và các tài liệu trên mạng Internet có liên quan đếnvấn đề đang nghiên cứu của các tác giả trong và ngoài nước Từ đó chọn lọc vàsắp xếp lại theo ý tưởng của mình

Khai thác, thực hiện cài đặt triển khai một số giải pháp an toàn cụ thể.Triển khai áp dụng quy trình điều tra số để giám sát an toàn mạng máytính UBND tỉnh Quảng Ninh

6 Ý nghĩa khoa học của đề tài

Đề tài góp phần nghiên cứu, xác định nguyên nhân hệ thống công nghệthông tin bị tấn công, từ đó đưa ra giải pháp khắc phục điểm yếu nhằm nângcao hiện trạng an toàn của hệ thống

Kết quả nghiên cứu của đề tài có giá trị thực tiễn đảm bảo an toàn mạng máy tính tại Ủy ban nhân dân Tỉnh Quảng Ninh và tham khảo trong công tác nghiên cứu các mạng khác.

10

CHƯƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Khái niệm về điều tra số

1.1.1 Khái niệm

Theo [11] điều tra số (đôi khi còn gọi là Khoa học điều tra số) là một nhánhcủa ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìmthấy trong các thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính.Thuật ngữ điều tra số ban đầu được sử dụng tương đương với điều tra máy tínhnhưng sau đó được mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết

bị có khả năng lưu trữ dữ liệu số

Điều tra số có thể được định nghĩa là việc sử dụng các phương pháp, công

cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận,chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tinthực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việctái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoáncác hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống

1.1.2 Mục đích của điều tra số

Theo [1] trong thời đại công nghệ phát triển mạnh như hiện nay Song songvới các ngành khoa học khác, điều tra số đã có những đóng góp rất quan trọngtrong việc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chuyên gia

có thể phát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập,cũng như việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đốivới hệ thống

Về mặt kỹ thuật thì điều tra số như: Điều tra mạng, điều tra bộ nhớ, điều tracác thiết bị điện thoại có thể giúp cho tổ chức xác định nhanh những gì đang xảy

ra làm ảnh hưởng tới hệ thống, qua đó xác định được các điểm yếu để khắc phục,kiện toàn [2]

Về mặt pháp lý thì điều tra số giúp cho cơ quan điều tra khi tố giác tộiphạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế

tài xử phạt với các hành vi phạm pháp.

Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệtđối an toàn trước những nguy cơ, rủi ro tấn công ác ý của tội phạm mạng Quátrình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải đượctiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác

Một cuộc điều tra số được tiến hành nhằm [3]:

- Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó đưa

ra các giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của

hệ thống

- Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với

hệ thống mạng máy tính Trong thực tế, thiệt hại tiềm ẩn do những cuộctấn công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống làviệc hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏthông tin, biến hệ thống mạng máy tính thành công cụ tấn công các hệthống khác, Việc tiến hành một cuộc điều tra số nhằm xác định chính xácnhững hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngănngừa các rủi ro khác có thể xảy ra.[10]

- Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra:

phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủđích

- Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội

phạm công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật

1.1.3 Các bước thực hiện điều tra

Một cuộc điều tra số thường bao gồm 4 gian đoạn: Chuẩn bị, tiếp nhận dữliệu hay còn gọi là ảnh hóa tang vật, phân tích và lập báo cáo

nh 1 Các bước thực hiện điều tra số

Chuẩn bị:

Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra

là “băm” dữ liệu( sử dụng SHA 128) trong quá trình điều tra cần phải xác minh

độ chính xác của các bản sao thu được

Phân tích:

Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các

kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng thu được

Lập báo cáo:

Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ phận có trách nhiệm xử lý chứng cứ thu được theo quy định

1.1.4 Một số loại h nh điều tra phổ biến

Với nhiều loại hình điều tra số như: Điều tra Internet, điều tra điện tử, điều tra mạng, điều tra ứng dụng có các cách phân chia khác nhau, nhưng về cơ bản điều tra số được chia thành 3 loại hình chính là điều tra máy tính, điều tra mạng

và điều tra thiết bị di động [4]

Điều tra máy tính:

Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều tra

số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy

tính và các phương tiện lưu trữ kỹ thuật số.

Điều tra Registry Forensics là loại hình điều tra liên quan đến việc trích

xuất thông tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biếtđược những thay đổi (chỉnh sửa, thêm bớt ) dữ liệu trong Register

Công cụ thường dùng: MuiCacheView, ProcessMonitor, Regshot,

nh 2 Sử dụng Regsshot quan sát sự thay đổi trong Registry.

Điều tra phương tiện lưu trữ(Disk Forensics) là việc thu thập, phân tích dữ

liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích xuất dữ liệu ẩn, khôiphục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ liệu trên thiết bị được phân tích

Công cụ thường dùng: ADS Locator, Disk Investigator, Passware

Encryption Analyzer, Disk Detector, Sleuth Kit, FTK

t-ỊihM ĩ 3-C' 15* AX31

>' ĩ Ã.' ĩ -9 ‘

Điều tra bộ nhớ(Memory Forensics): là phương thức điều tra máy tính

bằng việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó tiến hànhphân tích làm rõ các hành vi đã xảy ra trên hệ thống

Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máytính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ.Những tập tin thực thi có thể được sử dụng để chứng minh rằng hành vi của tộiphạm đã xảy ra hoặc để theo dõi nó đã diễn ra như thế nào

Công cụ sử dụng: Dumpit, Strings, The Sleuthkit, Win32dd, Foremost,Volatility, Mandiant Redline, DFF

nh 4 Sử dụng Volatility liệt kê các tiến tr nh đang chạy trên hệ thống

Điều tra mạng

Điều tra mạng (Network Forensics) là một nhánh của khoa học điều tra

số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằmphục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâmnhập Network Forensics cũng được hiểu như Digital Forensics trong môitrường mạng

Network Forensics là một lĩnh vực tương đối mới của khoa học pháp y.

Sự phát triển mỗi ngày của Internet đồng nghĩa với việc máy tính đã trở thànhmạng lưới trung tâm và dữ liệu bây giờ đã khả dụng trên các chứng cứ số nằmtrên đĩa Network Forensics có thể được thực hiện như một cuộc điều tra độc

lập hoặc kết hợp với việc phân tích pháp y máy tính (computer forensics)

-thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số

hay tái tạo lại quy trình phạm tội

nh 5 Sử dụng Wireshark phân tích tấn công Teadrop

Application Forensics là loại hình điều tra phân tích các ứng dụng chạy

trên hệ thống như Email, dữ liệu trình duyệt, skype, yahoo Qua đó trích xuấtcác bản ghi được lưu trữ trên các ứng dụng phục vụ cho việc điều tra tìm kiếmchứng cứ

Công cụ thường dùng: Chrome Cache View, Mozilla Cookies View, My

Last Search, Password Fox, Skype Log View

Protocol LOOP LOOP LOOP

Length Info

60 Reply

60 Reply

60 Reply

333 Device ID: gramirez-isdn.tivoli.com Port ID: EthernetO

78 Standard query Ox7d9e A picard.uthscsa.edu

289 Standard query response 0x7d9e A 129.111.30.27 Fragmented IP protocol UDP 17, off-O, ID-oof2) [Rea: source port: who has 10.0.

(proto-who has 10.0 (proto-who has 10.0.

70 42 42

31915 0.254?

0.254?

Destination port: 20197 [BAD UDP LENGTt Tell 10.0.0.6

Tell 10.0.0.6 Tell 10.0.0.6

B L2 IPv4 Fragments (28 bytes): #8(36), #9(4)J B TFrame: 8,

payload: 0-35 (36 bytes)1

^■iIII Bl inrmTĩTt—

iFrame; 9 payload; 24-27 (4 byt£s)l

[Fragment count: 2]

[Reassembled IPv4 length: 28]

[Reassembled IPv4 data: 7cab4ee50024000000000000000000000000000000000000.■.]

source port: 31915 (31915) Destination port: 20197

(20197)

Length: 36 (bogus, payload length 28)

HHHt POT®

B [Expert Info (Error/Malformed): Bad length value 36 > IP payload length]

[Message: Bad length value 36 > IP payload length] [severity level:

Error]

[Group: Malformed]

I- Checksum: 0x0000 (none)

nh 6 Sử dụng skypelogview xem dữ liệu được trao đổi qua đường truyền

Điều tra thiết bị di động:

Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của khoa học

điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu từ cácthiết bị di động Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động màcòn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồmcác thiết bị PDA, GPS và máy tính bảng

Việc sử dụng điện thoại với mục đích phạm tội đã phát triển rộng rãi trongnhững năm gần đây, nhưng các nghiên cứu điều tra về thiết bị di động là một lĩnhvực tương đối mới, xuất hiện từ những năm 2000 Sự gia tăng các

loại hình điện thoại di động trên thị trường (đặc biệt là điện thoại thông minh) đòihỏi nhu cầu giám định các thiết bị này mà không thể đáp ứng bằng các kỹ

Tội phạm máy tính là hành vi vi phạm pháp luật hình sự do người có năng lựctrách nhiệm hình sự sử dụng máy tính để thực hiện hành vi phạm tội, lưu trữ thôngtin phạm tội hoặc xâm phạm đến hoạt động bình thường và an toàn của máy tính, hệthống mạng máy tính

Các loại tội phạm máy tính gồm có:

+ Đánh cắp định danh;

+ Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm;

+ Lừa đảo trực tuyến;

thuật điều tra máy tính hiện tại

nh 7 Sử dụng WPDeviceManager để trích xuất SMS

PmMíxvoi AdNr.WL

+ Phát tán tin rác, mã độc;

Thứ nhất, về tội đánh cắp định danh là quá trình thu thập thông tin cá nhân để

thủ phạm giả danh người khác Thường được thực hiện để được thẻ tín dụng của nạnnhân, để cho nạn nhân một khoản nợ mà không hề hay biết Ở Mỹ tội đánh cắp định

danh được xác định như sau: “Tội phạm trộm cắp và lừa đảo danh tính là thuật ngữ

dùng để chỉ các loại tội phạm ăn cắp, gian lận, lừa dối và sử dụng trái phép dữ liệu các nhân của người khác” Có 4 cách có thể thực hiện truy cập vào thông tin cá

nhân: Giả mạo, tấn công, sử dụng phần mềm gián điệp, truy cập trái phép vào dữliệu

Thứ hai, truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm là

mục đích khác hơn so với tội phạm đánh cắp định danh [11]

Ví dụ: Thủ phạm có thể muốn ăn cắp dữ liệu bí mật của công ty, tài liệu tài

chính nhạy cảm hoặc các dữ liệu khác Thông tin này có thể được sử dụng để thu hútkhách hàng từ đối thủ cạnh tranh, phát hành để làm hỏng cổ phiếu của công ty, hoặc

sử dụng để tống tiền

Trong mọi trường hợp, các yếu tố phổ biến là thủ phạm hoặc là không đượccho phép truy cập dữ liệu hoặc không được phép sử dụng dữ liệu vậy mà cố tình sửdụng nó Các phương pháp tương tự như bất kể mục đích của các truy cập trái phép

Nó có thể được thực hiện thông qua hacking hoặc phần mềm gián điệp, các nhânviên truy cập dữ liệu hoặc thông qua phương tiện truyền thông dữ liệu bị loại bỏ.Đặc biệt, hành vi trộm cắp dữ liệu là một vấn đề quan trọng, lý do chính là khókhăn để ngăn chặn nhân viên được phép truy cập đến dữ liệu Đôi khi cũng rất khó

để phân biệt giữa các truy cập trái phép và được phép

Thứ ba, là tội phạm lừa đảo, loại này khá phổ biến Một trong số các hành vi

lừa đảo trực tuyến trên Internet bao gồm:

Lừa đảo đầu tư: là phần đầu tư, môi giới đầu tư không hợp pháp, đây không

phải là một trào lưu cũng không hẳn là một hoạt động phạm tội

Lừa đảo giao dịch trực tuyến: Hiện nay giao dịch đấu giá trực tuyến khá phổ

biến Người dùng hợp pháp có thể khó khăn xác định một mức giá tốt, hoặc loại bỏ

các mặt hàng không còn nhu cầu, cũng như nhiều địa điểm kinh doanh hợp pháp.Tuy nhiên, bọn tội phạm nỗ lực thao tác lừa đảo để ăn cắp từ các nạn nhân Nhưkhông giao hàng, giao hàng với giá trị thấp hơn, cung cấp hàng hóa không đúng hạn,không tiết lộ thông tin liên quan đến sản phẩm.

Lừa đảo nhận/chuyển tiền: Một loạt các trò gian lận trên internet có liên quan

đến việc trao đổi một lệnh chuyển tiền giả hoặc ký séc tiền thật

Vi phạm bản quyền: là hành vi trộm cắp tài sản trí tuệ Bản quyền phần mềm,

bài hát, đoạn phim được trao đổi, mua bán khi chưa có sự đồng ý của tác giả Thôngthường các trường hợp này là vấn đề dân sự Vụ kiện, vụ việc sẽ bị ngăn chặn vàgiải quyết thiệt hại bằng một số tiền một cách đáng kể

Thứ tư, phát tán tin rác, mã độc Đây cũng là một hình thức phạm tội rất phổ

biến hiện nay Tội phạm này chuyên thực hiện các hành vi phát tán tin rác, mã độchại Phát tán tin rác là hành vi gửi các tin nhắn hoặc các email chưa nội dung quảngcáo, marketing và được gửi một cách vô tội gây phiền toái cho người nhận Đôi khi,

nó dẫn dụ người nhẹ dạ, tìm cách đọc số thẻ tín dụng và các tin tức cá nhân của họ.Viết mã độc - phát tán mã độc là một trong những hình thức tấn công mới trênmạng Kẻ tấn công sử dụng các chương trình mã độc để lây nhiễm vào các hệ thống,phần mềm nhằm mục đích phá hoại hệ thống hoặc đánh cắp các thông tin trái phép

Để thực hiện phát tán mã độc, kẻ tấn công thường gửi một email có chứa mã độc tớinạn nhân hoặc đính kèm trong một phần mềm phổ dụng; người dùng chỉ cần kíchhoạt chương trình là mã độc sẽ tự động lây nhiễm vào hệ thống Như vậy, kẻ tấncông có thể theo dõi toàn bộ hoạt động trên hệ thống lây nhiễm hoặc sử dụng hệthống bị lây nhiễm như một công cụ thực hiện tấn công tới các đối tượng khác

Định nghĩa

Có rất nhiều định nghĩa khác nhau về bằng chứng số, mỗi định nghĩa phản ánhmột cách nhìn nhận khác nhau Trong đó định nghĩa hiện nay đang được sử dụng đó

là “bằng chứng số hay còn gọi là bằng chứng điện tử là mọi thông tin có giá trị pháp

lý được lưu trữ, được truyền dẫn dưới dạng thức số” Những bằng chứng này cóđược khi thông tin và thiết bị vật lý được thu thập và lưu trữ trong quá trình điều tra

Ví dụ: Tại thời điểm phạm tội, bất cứ thông tin nào được lưu trên máy tính của

nạn nhân ở Sever hay chính hệ thống đó, thì trong khi điều tra có thể theo dõi thôngtin bằng chứng kiểm tra log files, lịch sử trình duyệt

Hoàn chỉnh: Bằng chứng phải chứng minh được hành động của kẻ tấn công cótội hoặc vô tội

Bằng chứng số dễ bị hư hại như trong khi điều tra tại hiện trường vụ án máytính bị tắt nguồn thì các dữ liệu dễ biến động như RAM sẽ bị mất Hay trong khimáy tính đang được kết nối với Internet, nạn nhân chưa kịp ngắt kết nối thì kẻ tấncông có thể xóa bằng chứng bằng cách xóa đi các tập tin logs

Ngoài việc xóa dấu vết bằng chứng, tội phạm máy tính còn sử dụng forensics để làm cản trở, gây khó khăn cho việc điều tra

anti-Ghi đè lên dữ liệu: phá hủy bất kỳ dữ liệu nghi ngờ nào bằng cách ghi đè nhiềulần với bit 0

Ngày nay, công nghệ thông tin phát triển và tội phạm về công nghệ thông tincũng bắt đầu tăng dần Ngoài xã hội có loại tội phạm gì thì trên mạng thông tin toàncầu có loại tội phạm đó, từ trộm cắp, lừa đảo, khủng bố đến giết người Đây đượcxem là nguồn chứng cứ quan trọng và đặc thù.

Điều đáng lưu ý là dữ liệu điện tử là những ký tự được lưu giữ trong thiết bịđiện tử như máy tính, máy ảnh, máy photo, mạng Internet mà từ đó có thể cho rachữ viết, chữ số, hình ảnh, âm thanh phản ánh sự kiện phạm tội Những dữ liệuđiện tử này rất dễ bị tẩy xóa, sửa chữa, thay đổi, hủy bỏ do cố ý hoặc vô ý

Để thu thu thập được dữ liệu điện tử này, cần sử dụng những thiết bị và phầnmềm phù hợp, để có thề phục hồi "dấu vết điện tử" đã bị xóa, bị ghi đè, dữ liệu tồntại dưới dạng ẩn, đã mã hóa để có thể đọc, ghi lại, sử dụng làm bằng chứng trướctòa Đặc biệt, hiện chưa có quy định về thủ tục tố tụng hình sự đối với việc thu thập,bảo quản, phục hồi và giám định chứng cứ là dữ liệu điện tử [9]

1.2.4 Các loại bằng chứng số

Bằng chứng số trên máy tính được chia làm 02 loại: Tập tin được tạo bởi ngườidùng và tập tin được máy tính sinh ra tự động

Tập tin được tạo bởi người dùng

Tập tin được tạo ra bởi người dùng bao gồm văn bản(.docx), bảng tính (excel),hình ảnh, audio, video Những tập tin này chứa siêu dữ liệu, siêu dữ liệu này cungcấp các thông tin sau: Tên người tạo tài liệu, chủ sở hữu máy tính ngày và giờ các tàiliệu này được tạo ra, thời gian tài liệu được lưu lại, bất kỳ sửa đổi nào được thực

hiện trên tài liệu, ngày tháng và thời gian tài liệu được chỉnh sửa lần cuối và truycập.

Các tập tin được tạo ra bởi máy tính

Các tập tin được tạo ra tự động bởi máy tính có thể rất có giá trị Các tập tin cóthể hỗ trợ điều tra viên trong việc điều tra như: logs, lịch sử trình duyệt, cookies, tậptin temp

- Tập tin logs: Tự động ghi lại các sự kiện trong máy tính có thể được sử dụng

để theo dõi, hiểu, chẩn đoán các hoạt động và vấn đề trong hệ thống

- Setup logs: Tập tin này cung cấp dữ liệu về các ứng dụng được cài đặt trên

máy tính

- System logs: Tập tin cung cấp thông tin về các thành phần hệ thống

- Aplication and services logs: Ghi lại các sự kiện mới

- Lịch sử trình duyệt: Thu thập dữ liệu từ các trang web người dùng sử dụng

Cookies là bản ghi được tạo ra và lưu lại trên trình duyệt khi người dùng truycập vào một trang web

File Temporary là các tập tin được lưu tạm trong quá trình cài đặt chương trìnhứng dụng

I.2.4.2 Các kiểu bằng chứng khác

Hệ thống điện toán đám mây: Cung cấp một mô hình mới để xử lý phân tán

dữ liệu số Việc lưu trữ trên đám mây các tài liệu, hình ảnh cũng sẽ là một nguồntiềm năng chứa nhiều chứng cứ trong quá trình điều tra số

Đối với thiết bị lưu trữ:

Ổ cứng là thiết bị lưu trữ điện tử, lưu trữ dữ liệu trên bề mặt các tấm đĩa trònphủ vật liệu từ tính Ổ đĩa cứng là loại bộ nhớ “không thay đổi”, dữ liệu không bịmất đi khi ngừng cung cấp điện Có thể lưu các định dạng khác nhau như văn bản,hình ảnh bằng chứng thu thập bằng cách kiểm tra văn bản, video, cơ sở dữ liệu vàcác tập tin chương trình máy tính

Thẻ nhớ: Đây là thiết bị lưu trữ di động, được sử dụng trong nhiều thiết bị như

máy ảnh, điện thoại, PDA Dữ liệu trong thẻ nhớ không bị mất khi ngắt nguồn Thuthập bằng chứng bằng cách kiển tra logs, tập tin văn bản, tập tin hình ảnh

USB flash: Đây là thiết bị lưu trữ di động với USB kết nối, đây là thiết bị nhỏ

và nhẹ Có thể thu thập bằng chứng trong đây bằng cách kiểm tra văn bản, hình ảnh.Ngoài ra còn các thiết bị lưu trữ truyền thống như đĩa mềm, CD/DVD bất kỳ

dữ liệu nào được ghi trong đó đêu là bằng chứng

Thiết bị ngoại vi

Máy in được kết nối với máy tính thông qua cáp hoặc truy cập thông qua mộtcổng hồng ngoại Một vài máy in có chứa bộ nhớ đệm cho phép nhận và lưu giữnhiều loại tài liệu Chứng cứ được tìm thông qua logs, thông tin thời gian, xác địnhthông tin mạng, hộp mực sử dụng

Máy scan là một thiết bị quang kết nối với máy tính, có thể chuyển đổi h ìnhảnh, văn bản chữ viết thành ảnh kỹ thuật số Chứng cứ được tìm thầy bằng cách nhìnvào các dấu vết trên mặt kính của máy scan

Thiết bị RFDI (nhận dạng bằng sóng vô tuyến) đây là thiết bị có thể thay thếcho các mã vạch trong siêu thị được sử dụng trong lĩnh vực quản lý hàng hóa, làmthẻ hộ chiếu Những chứng cứ sẽ được thể hiện trên máy tính khi thiết bị này kết nốivới máy tính

Thiết bị thông minh: Loại điện thoại, điện thoại thông minh, thiết bị GPS,

máy tính bảng Đối với thiết bị điện thoại bằng chứng được tìm thấy thông qua danh

bạ, số điện thoại, xác định thông tin người gọi, hay các bằng chứng khi truy cậpweb, email thông qua logs Đối với thiết bị GPS bằng chứng được tìm thấy thôngqua các điềm truy cập, nhật kí truy cập

Thiết bị mạng: Loại firewall, router, hub, switch, các thiết bị khác.

Router, hub, switch kết nối máy tính hoặc mạng khác nhau Đối với router bằngchứng được tìm thấy khi cấu hình file Đối với hub và switch bằng chứng được tìmthấy trong các thiết bị khác

Server là một máy tính trung tâm trong đó cung cấp các dịch vụ cho phép máy

tính hay bất kì thiết bị nào khác truy cập Bằng chứng tìm thấy trong Logs, Ram,Regsitry.

Firewall kết nối với các thiết bị khác trong mạng, để điều tra bằng chứng có thểđược tìm trong file Log của Firewall

Một số thiết bị khác như card mạng bằng chứng được tìm thấy trên địa chỉmạng, hay dây cáp mạng bao gồm màu sắc, độ dây, hình dạng kết nối tùy được vào

hệ thống, chứng cứ được tìm thấy trên các thiết bị

Các nguồn bằng chứng không phải điện tử rất có giá trị như bằng chứng vật lýthu thập được trong quá trình thu thập bằng chứng, chứa dấu vân tay, mẫu nhữngbằng chứng quan trọng có xác định danh tính của một người nào đó rất hữu ích choviệc điều tra

1.3 Kết luận chương 1

Trong chương này đã có cái nhìn tổng quát về điều tra số, khái niệm điều tra

số, phân loại điều tra số, tập trung vào một số loại hình điều tra phổ biến, nền tảngpháp lý được luật pháp quy định, đặc điểm liên quan đến bằng chứng số và xác nhậntính hợp lệ của công cụ điều tra số

CHƯƠNG 2: KĨ THUẬT ĐIỀU TRA SỐ

Điều tra số là một lĩnh vực liên quan đến việc phục hồi và điều tra các chứng

cứ số được tìm thấy trong các thiết bị kỹ thuật số, được phân chia thành 3 loại là:điều tra máy tính, điều tra mạng và điều tra thiết bị di động Trong đó, điều tra mạngtập trung vào việc chặn bắt, sao lưu và phân tích lưu lượng mạng nhằm phục vụ điềutra trong công tác phòng chống tội phạm mạng Bài báo cáo trình bày tổng quan vềđiều tra mạng, giới thiệu quy trình và một số công cụ hỗ trợ trong việc thực hiệnđiều tra

Thuật ngữ điều tra mạng được đưa ra bởi chuyên gia bảo mật máy tính MarcusRanum vào đầu những năm 90 thế kỷ XX Điều tra mạng là một loại hình của điềutra số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục

vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập

Không giống các loại hình khác của điều tra số, điều tra mạng xử lý nhữngthông tin dễ thay đổi và biến động, khó dự đoán Lưu lượng mạng được truyền đi vàsau đó bị mất, do đó việc điều tra được diễn ra rất linh hoạt, chủ động Các điều traviên chỉ có thể dựa vào thông tin từ các thiết bị an toàn như bộ lọc gói, tường lửa, hệthống phát hiện xâm nhập đã được triển khai để dự đoán hành vi vi phạm.

Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức tạp và chuyên sâu,

sử dụng thông tin được khai thác từ bộ nhớ đệm (cache) của web, proxy hay chặnbắt thụ động lưu lượng truy cập mạng và xác định các hành vi bất thường

Tại Việt Nam, vấn đề khắc phục sự cố về an toàn thông tin cũng như điều tratìm hiểu nguồn gốc tấn công đang ở giai đoạn bắt đầu phát triển Các nghiên cứu vềđiều tra mạng ở Việt Nam vẫn còn nhiều hạn chế, chưa tiếp cận được trình độ khoahọc - kỹ thuật của các nước phát triển cũng như chưa xây dựng được bộ công cụriêng phục vụ công tác điều tra mạng

Quy trình thực hiện điều tra mạng

Điều tra mạng được phát triển như một phản ứng tất yếu với xu hướng gia tăngtội phạm mạng, để khám phá ra nguồn gốc của các cuộc tấn công mạng Vì vậy, cầnphải xây dựng một quy trình cụ thể cho việc điều tra mạng

Quy trình chung cho việc phân tích điều tra mạng nhằm xác định các bước thựchiện được xây dựng từ mô hình điều tra số, được chia thành 9 g iai đoạn như sau:

Các hệ thống như Honeynets, network telescope cũng có thể được xây dựng

để thu hút kẻ tấn công, nhằm nghiên cứu các hành vi và tìm hiểu chiến thuật củachúng Đội ngũ chuyên gia quản lý những công cụ và hệ thống này cần phải đượcđào tạo, huấn luyện để có thể thu thập số bằng chứng tối đa và chất lượng nhất,nhằm tạo điều kiện thuận lợi cho việc điều tra, quy kết hành vi phạm tội Giai đoạnnày còn đòi hỏi một sự ủy quyền từ các bên liên quan nhằm hạn chế những vi phạmliên quan đến quyền bảo mật thông tin hay các chính sách an toàn của cá nhân hay

tổ chức bên trong hệ thống

Cần phải tạo ra một kế hoạch hành động để thực hiện một cuộc điều tra hiêụquả thì cần phải có nhân viên điều tra và trang thiết bị đảm bảo Chuẩn bị lệnh thugiữ, khi có được lệnh thu giữ thì điều tra viên sẽ tạo ra kế hoạch đối phó với các

Chuẩn bị thiết bị lưu trữ

Hình ảnh là kết quả của quá trình “nhân bản pháp y”, phải cung cấp các thiết

bị lưu trữ an toàn Ba loại thiết bị lưu trữ: Ổ đĩa cứng, đĩa quang và USB flash làphổ biến trên thị trường Các thiết bị này được các nhà điều tra sử dụng để lưu trữhình ảnh nhân bản, để sử dụng cho việc điều tra và phân tích tiếp theo Điều quantrọng nhất là điều tra viên cần phải đảm bảo rằng thiết bị đó “sạch” không chứabất kì dữ liệu nào mà vô tình có thể trở thành một bằng chứng khác trong điều tra

Chuẩn bị thiết bị chống ghi ngược

Trong cuộc điều tra (thu giữ hoặc thu thập) bằng chứng số được lưu trữ trongcác hệ thống hoạt động hoặc thiết bị lưu trữ khác phải được bảo vệ khỏi bị ghi đèhoặc thay đổi Trong các hệ thống máy tính, dữ liệu được ghi và đọc từ một thiết

bị lưu trữ thông qua lệnh của máy tính là cổng kết nối từ máy tính đến thiết bị lưutrữ khác Do đó, chiến lược cơ bản để thực hiện chống ghi là đặt một bộ lọc giữamáy tính và thiết bị cấp thấp Bộ lọc này chặn tất cả các lệnh trực tiếp có thể hay

có khả năng gây ra sự thay đổi với dữ liệu gốc và chỉ cho phép các lệnh vào thiết

bị mà không thay đổi đối với thiết bị

Thiết bị chống ghi nằm giữa kết nối giữa máy tính chủ với thiết bị lưu trữ, nó

có thể thực hiện theo phần cứng hoặc phần mềm Theo đó, hai loại kĩ thuật bảo vệghi được phát triển phần cứng chống ghi và phần mềm chống ghi

Phần cứng chống ghi: Được thực hiện bằng thiết bị vật lý hoặc cơ học, để

theo dõi các lệnh cho phép và ngăn chặn dữ liệu từ bên ngoài ghi vào bằng chứng

Phần mềm chống ghi: Được thực hiện thông qua ngắt lệnh và lệnh IRP.

Bảng 2.1: Thiết bị chống ghi phần cứng, phần mềm

STT rri /V /V

Tên công cụ

Nhà cung cấp

2 SafeBlock Phần mềm

Phần mềm chống ghi ngược giúp việc thu thập

dữ liệu nhanh chóng và an toàn, và giúp phân tích bất

kì ổ đĩa hoặc phương tiện lưu trữ nào trên Windows

intelligence Phần cứng

Đây là công cụ cầm tay giúp chống ghi ngược và kết nối bộ chuyển

đổi(adapter) để sử dụng trong việc thu thập dữ liệu

và bất kì ổ đĩa hoặc thiết bịlưu trữ nào

MASSter Phần cứng

Sản phẩm này được thiết

kế để xóa dữ liệu và làm sạch 9 lần ổ đĩa với tốc độ 3GB/phút Nó có thể xóa

ổ một cách nhanh chóng vàlàm giảm thời gian cần thiết để xóa ổ

2.2 Bảo vệ và giám định hiện trường

Điều đầu tiên của đội điều tra nên đảm bảo sự an toàn của tất cả mọi người tại hiện trường vụ án Tất cả các hành động và hoạt động thực hiện tại

hiện trường phải phù hợp với luật pháp Thực hiện theo chính sách của luật pháp

về việc bảo vệ hiện trường.

Thực hiện một danh sách kiểm tra: Xác nhận kiểu sự cố, chắc chắn hiệntrường an toàn, cô lập những người khác được phép có mặt tại hiện trường, xácđịnh vị trí của nạn nhân, xác định dữ liệu liên quan đến kẻ phạm tội, yêu cầu sựgiúp đỡ thêm ở hiện trường nếu cần Thiết lập một vành đai an ninh để xác định

kẻ phạm tội trong khu vực hiện trường vụ án, bảo vệ và bảo quản bằng chứngkhỏi những rủi ro mất mát Bảo vệ các dữ liệu dễ bị biến động

Điều tra viên nên chuẩn bị lệnh thu giữ Lệnh thu giữ cho đội phản ứng đầutiên được phép thực hiện tìm kiếm và thu giữ bằng chứng số, vấn đề này được đềcập trong lệnh thu giữ Lệnh thu giữ bằng chứng số về cơ bản tập trung vào nhữngđiều sau:

- Lệnh thu giữ thiết bị lưu trữ số cho phép đội phản ứng đầu tiên tìm kiếm vàthu giữ các thành phần máy tính của nạn nhân( như: phần cứng, phần mềm,thiết bị lưu trữ và tài liệu)

- Lệnh thu giữ đảm bảo đội phản ứng đầu tiên có được thông tin trong máy tínhnạn nhân

Thực hiện tìm kiếm ban đầu trong hiện trường Cô lập hệ thống máy rính vàcác thiêt bị có thể chứa bằng chứng Tìm kiếm và thu giữ bằng chứng tập tin logsbởi trong đó có những mô tả về máy tính, thiết bị trong khi tìm kiếm bằng chứng.Ghi lại những lưu ý trong khi phác thảo hiện trường Cuối cùng là chụp ảnh vàphác thảo hiện trường, chi tiết về tất cả bằng chứng máy tính

Điều quan trọng là phải xem xét các vấn đề an toàn trong công việc thực hiện

ở tất cả các giai đoạn của quá trình điều tra bởi các điều tra viên Tất cả đội ngũđiều tra viên nên đeo găng tay cao su bảo vệ khi hoạt động tìm kiếm và thu giữdiễn ra Vấn đề này vừa bảo vệ được nhân viên vừa bảo vệ được dấu vân tay trênbằng chứng để có thể khôi phục lại

2.3 Lập tài liệu hiện trường

Lập tài liệu hiện trường nhằm mục đích để không thay đổi vị trí trong hiệntrường Điều quan trọng là ghi lại chính xác vị trí trong hiện trường, ghi lại trạngthái của hệ thống máy tính, thiết bị lưu trữ, thiết bị mạng không dây, điện thoại.Các tài liệu ban đầu trong hiện trường nên được chụp lại tất cả hoạt động, chụp vàghi chú những nội dung hiển thị trên màn hình máy tính

Tài liệu hiện trường bao gồm toàn bộ vị trí, vị trí này của máy tính và vị trícác thiết bị điện tử khác, vị trí các kết nối vật lí đi và đến các thiết bị khác Ghi lạibất kì mạng không dây và các điểm có khả năng kết nối giữa máy tính và các thiết

bị khác nhau

Mô phỏng lại hiện trường nên chuẩn bị đầy đủ các khung cảnh, bao gồm cácthiết bị trong khu vực Phải mô phỏng chính xác hiện trương mô phỏng từ cảnhtổng thể đến những chi tiết nhỏ nhất của bằng chứng

- Giá trị có khả năng: Dựa vào sự hiểu biết của người phân tích tình hình và tưliệu trước đó trong các tình huống, nhà phân tích sẽ có thể ước tính những khảnăng của mỗi nguồn dữ liệu tiềm năng

- Biến động: Dữ liệu biến động (volatile) đề cập đến dữ liệu trên hệ thống khivẫn khởi động nguồn có thể bị mất khi tắt nguồn Trong trường hợp, thu thập

dữ liệu biến động nên được ưu tiên hơn so với những dữ liệu không biếnđộng Tuy nhiên, dữ liệu sẽ không biến động cũng có khả năng dễ biến động

ví dụ như các file logs được ghi đè bởi sự kiện mới xảy ra

Bằng cách xem xét 3 yếu tố này với nguồn dữ liệu tiềm năng, các nhà điều

tra có thể đưa ra quyết định về ưu tiên trong việc thu thập dữ liệu, cũng như xácđịnh những nguồn dữ liệu Các tổ chức nên cẩn thận trong việc xem xét việc ưutiên cũng như tính phức tạp của nguồn dữ liệu và nên xây dựng kết hợp bằng vănbản, hướng dẫn và thủ tục giúp nhà phân tích thực hiện ưu tiên có hiệu quả.

Thu thập dữ liệu

Thu thập là hành động tìm kiếm và thu nhận các thiết bị điện tử có thể chứacác bằng chứng từ hiện trường vụ án

Nếu dữ liệu không sẵn sàng được thu thập bởi các công cụ an toàn, các công

cụ phân tích hoặc các phương tiện khác, quá trình tổng hợp để thu thập dữ liệuliên quan đến việc sử dụng các công cụ pháp lý để thu thập dữ liệu dễ biến động,sao chép các dữ liệu từ các nguồn không biến động và đảm bảo nguồn gốc dữ liệukhông bị sửa đổi Thu thập dữ liệu có thể thực hiện tại đó hoặc thông qua mạng.Thông thường thu thập dữ liệu tại chỗ hơn so với qua mạng bởi được kiểm soáttốt hơn cho hệ thống và dữ liệu, thu thập tại chỗ không phải lúc nào cũng khả thi(ví dụ, hệ thống trong căn phòng bị khóa,hệ thông ở 1 vị trí khác) Khi thu thập dữliệu qua mạng, quyết định nên được thực hiện liên quan đễn dữ liệu Ví dụ: nó cóthể là cần thiết có được dữ liệu từ nhiều hệ thống thông qua các kết nối mạng khácnhau

Thu thập tĩnh: Thu thập dữ liệu không thay đổi khi hệ thống tắt Đây là kiểu

dữ liệu được gọi là non-valatile (không biến động) và nó thường được khôi phục

từ ổ cứng, các dạng log như firewall logs, antivirus logs, web access log, ids log, hay các dữ liệu có thể thể tồn tại trong slack space (file không sử dụng đến dunglượng), file swap, và không gian ổ chưa được cấp Ngoài ra các nguồn dữ liệukhông biến động còn bao gồm: CD-ROMs, USB, smartphone và PDA Thôngthường 1 việc thu thập tĩnh được thực hiện trên 1 máy tính bị bắt giữ trong cuộcđột kích của cảnh sát Nếu máy tính có 1 ổ đĩa được mã hóa, hay bị đặt mật khẩuthì phương pháp thu thập động sẽ được áp dụng Thu thập tĩnh là phương phápthông dụng và được yêu thích trong việc thu thập bằng chứng số Tuy nhiên,phương pháp này bị hạn chế ở 1 số tình huống chẳng hạn như ổ đĩa gốc bị mã hóa

và chỉ có thể đọc khi được cung cấp nguồn điện hay các máy tính khả thi cần truycập qua mạng.

Thu thập động:

Thu thập dữ liệu khi máy tính đang chạy, máy tính đang ở trạng thái dữ liệu

bị mất khi hệ thống tắt Đây là kiểu dữ liệu gọi là volatile (biến động) và cư trútrong registry, cache và RAM, các kết nối mở RAM và các dữ liệu biến độngđược gọi là dynamic (động) , việc thu thập thông tin nên theo thời gian thực

Các dạng dữ liệu khác nhau này đòi hỏi phải sử dụng các công cụ và thủ tụckhác nhau để truy xuất và thu thập Và các dạng dữ liệu này có thể được thu thập

ở mức cục bộ hay từ xa thông qua môi trường mạng

Nếu thu giữ thiết bị vật lí ngay tại hiện trường, nó được đóng gói và có xácnhận của cơ quan điều tra viên, người đã thực hiện quá trình điều tra và thu giữ.Sau đó thiết bị đã sẵn sàng để vận chuyển Nếu chỉ thực hiện việc tạo ảnh tập tincủa dữ liệu thu giữ, thì ổ cứng lưu trữ file ảnh cần phải được đóng gói như đónggói thiết bị vật lí trong trường hợp trên

Ngoài ra cần phải lấy hash của file ảnh đó và ghi giá trị hash này vào bảnđánh dấu sau đó lấy xác nhận của điều tra viên Nói các khác khi thu giữ 1 ổ cứngthì cẩn phải niêm phong ở chỗ chống tĩnh điện và 1 giấy đánh giấu ghi toàn bộthông tin về thiết bị thu giữ ở mặt sau

Đối với đa số loại thiết bị thu giữ, trong trường hợp này là ổ cứng, đầu tiênđặt nó trong túi chống tĩnh điện, sau đó gập lại với túi chống shock Sử dụngnhững thiết bị chuyên dụng để vận chuyện ổ cứng Trong trường hợp đóng gói vớithiết bị di động cần phải sử dụng hộp có chức năng chắn sóng điện tử

Hình 9: Mô hình thu thập thông tin 2.4.2 Xác nhận tính toàn vẹn của dữ liệu

Sau khi dữ liệu được thu giữ, tính toàn vẹn nên được xác minh Nó đặc biệt quan trọng đối vói người điều tra viên để chứng minh dữ liệu không bị giả mạo, đấy

là điều cần thiết về tính pháp lý Xác minh toàn vẹn dữ liệu thường bao gồm việc sử dụng công cụ tính giá trị băm của dữ liệu gốc và sao chép dữ liệu sau đó so được so sánh giá trị băm đó có giống với ban đầu hay không

Trước khi bắt đầu thu thập bất kì dữ liệu nào, 1 quyết định cần phải được thực

hiện bởi người thu thập hoặc người quản lý (phù hợp với chính sách tổ chức hoặcpháp luật) về sự cần thiết để thu thập và bảo quản bằng cách hỗ trợ sử dụng nó trongthủ tục tố tụng pháp lí và quyền giám hộ theo sau để tránh việc xử lý sai hoặc giảmạo bằng chứng Điều này liên quan tới việc tạo tài liệu quản lí chuỗi hành trình củatất cả mọi người, tài liệu này sẽ là bằng chứng về thời điểm nào, lưu trữ bằng chứngnhư thế nào, có đảm bảo an toàn không.

Nhân bản là 1 chuỗi các hành động để tạo ra 1 bản sao giống hệt bằng chứnggốc

Đối với cả 2 trường hợp thu thập tĩnh và thu thập động

Xác định phương pháp nhân bản tốt nhất:

- Disk-to-image

- Disk-to-disk

- Sparse data copy

Disk-to-image: sao chép disk-to-image là phương pháp phổ biến trong việcđiều tra pháp y Tạo file ảnh của bằng chứng gốc Khi sử dụng phương pháp này, cácnhà điều tra có thể tạo ra nhiều bản sao mà họ cần Điều tra viên có ảnh từ đĩa gốc

và đĩa khác

Disk-to-disk: nếu như điều tra viên không thể tạo bit-stream disk-to- image vì 1

lí do nào đó, họ phải sao chép chính từ ổ đĩa gốc này sang ổ đĩa gốc khác Vớiphương pháp này, sử dụng các công cụ như SafeBack, SnapCopy, Norton Ghost

Sparse data copy: trong quá trình điều tra, điều tra viên tìm thấy bằng chứngbuộc tội cụ thể trong tập tin hoặc thư mục Vì vậy phương pháp này tạo 1 bản sao

mà điều tra viên chỉ sử dụng 1 phần tập hợp của các dữ liệu trong tất cả các dữ liệuliên quan Điều tra viên có thể sử dụng phương pháp này để tạo ra 1 bản sao này đểlàm giảm kích thước tổng thể của bằng chứng

Để xác định được phương thức nhân bản tốt nhất phụ thuộc vào phương thứcđiều tra mà ta tiến hành Tuy nhiên hình thức phổ biến nhất là tạo ra 1 bản disk-to-image Với phương pháp này, ta có thể tạo 1 hay nhiều bản sao của 1 ổ đĩa khả nghivới chất lượng tốt nhất Và bản sao này có thể đọc bằng nhiều công cụ điều trachứng cứ số khác nhau như: ProDiscover, EnCase, FTK, Smar, Kit Sleuth và Ilook,

để đọc các loại phổ biến nhất của đĩa tập tin hình ảnh tạo ra

Trong một số trường hợp không thể tạo được các ảnh đĩa theo dạng disk- image do các ổ đĩa gốc quá cũ hay thiếu các trình điều khiển cần thiết Khi đó phảitạo các bản sao theo dạng disk-to-disk Một số công cụ tạo ảnh đĩa hay dữ liệu cóthể sao chép dữ liệu một cách chính xác từ một ổ đĩa cũ sang ổ đĩa mới Các công cụthực hiện điều này như EnCase và SafeBack Việc nhân bản chứng cứ từ một ổ đĩalớn có thể mất vài giờ Nếu thời gian có hạn, hãy tính đến các tình huống tạo bản saotheo hình thức ánh xạ logic hay phương pháp sao chép dữ liệu sparse copy Hìnhthức sao chép logic chỉ copy những tập tin xác định, còn trường hợp spare copy sẽsao chép cả những phần chia chưa cấp phát và tập tin bị xóa mà không cần phải làmviệc với toàn bộ hệ thống đĩa

to-Có các phương pháp khác nhau, tuy nhiên mục đích của phần mềm hay

phương thức đều là duy trì tính toàn vẹn của bằng chứng số Để bảo mật định danh giữa bằng chứng số và file ảnh bản sao tạo ra bởi việc nhân bản thì hiện trường thu thập bằng chứng cũng phải được bảo vệ Việc niêm phong thiết bị, tài liệu, chụp ảnh hiện trường và các thủ tục khác cũng được yêu cầu

2.4.4 Công cụ sử dụng để thu thập

Công cụ phần mềm

Những công cụ phần mềm dưới đây được khuyến cáo sử dụng theo các trang chuyên cung cấp công cụ điều tra số

A A

Bảng 2-2: Công cụ phần mềm giúp thu thập

1 Data acquisition

Toolbox

Data acquisition Toolbox cung cấp các chức năng để kết nối MATLAB đến phần cứng thu thập dữ liệu

Data Acquisition Toolbox cung cấp các chức năng để kết nối Matlab đến phần cứng thu thập

dữ liệu

3

FLAG (Forensics

and LogAnalysics GUI)

Công cụ điều tra pháp y cho phép phân tích khối lượng lớn file logs và điều tra pháp y

Công cụ này phân tích bắt hình ảnh từ mạng dưới định dạng TCPDump Phân tích hình ảnh của ổ đĩa cứng