Điều tra số là gì ?

Điều tra số là gì ?

Forensics, Digital Forensics, Computer Forensics chắc hẳn các bạn đã nghe rồi này nhưng chưa có một hình dung cụ thể về khái niệm này.

Thực tế thì khái niệm Computer Forensics không xa lạ với người làm An toàn thông tin, nhưng có lẽ với số đông mọi người nó vẫn là một khái niệm mới mẻ.

Computer Forensics là gì?

Trong lĩnh vực an toàn thông tin, Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra.

Khái niệm Forensics(Forensics Science – khoa học pháp y) xuất phát từ lĩnh vực y học từ thế kỷ 18 và liên quan đến điều tra pháp y. Ngày nay Forensics đã được mở rộng ra rất nhiều lĩnh vực khác.

Computer Forensics ra đời vào những năm 1980 do sự phát triển của máy tính cá nhân, khi xảy ra trộm cắp thiết bị phần cứng, mất mát dữ liệu, vi phạm bản quyền, virus máy tính phá hoại…Các doanh nghiệp và chính phủ khi đó cũng đã có ý thức hơn về vấn đề bảo mật.

Mục tiêu của Forensics?

Mục tiêu cốt lõi của Computer Forensic là phát hiện, bảo quản, khai thác, tài liệu hóa và đưa ra kết luận về dữ liệu thu thập được. Cần lưu ý rằng dữ liệu phải đảm bảo tính xác thực, và được lấy mà không bị hư hại, nếu không dữ liệu đấy sẽ không còn ý nghĩa.

Tại sao cần Forensics ?

Nếu bạn là chủ nhân một website nào đấy, một ngày đẹp trời website của bạn bị hacker ghé thăm và để lại hậu quả không mong muốn. Bạn muốn xác định nguyên nhân bị tấn công, tìm cách khắc phục để sự việc không tái diễn hay xa hơn là xác định thủ phạm. Đây chính là lúc bạn cần đến Forensics.

Ngoài ra còn rất nhiều trường hợp khác cần đến Forensics như để phát hiện mã độc trên máy tính, kiểm tra sự bất thường trong mạng, phát hiện sự xâm nhập… Nói chung Forensics giúp chúng ta phát hiện nguyên nhân sự cố và đưa ra các biện pháp giải quyết tiếp theo.

Nói về Forensics không thể không nhắc đến một nguyên tắc kinh điển của khoa học điều tra.

Nguyên tắc trao đổi Locard

Edmon Locard (1877 – 1966) được mệnh danh là Sherlock Homles của nước Pháp. Ông là chuyên gia điều tra pháp y, sáng lập Viện Hình sự học của trường Đại học Tổng hợp Lyon.

Locard phát biểu một nguyên tắc mà sau này trở thành kim chỉ nam ngành khoa học điều tra. Ông ta cho rằng bất cứ khi nào hai người tiếp xúc với nhau, một thứ gì đó từ một người sẽ được trao đổi với người khác và ngược lại. Có thể là bụi, tế bào da, bùn đất, sợi, mạt kim loại… Những việc trao đổi này có xảy ra vì thế chúng ta có thể bắt được nghi phạm.

Với Computer Forensics, nguyên tắc này cũng hoàn toàn đúng. Khi bạn làm việc với máy tính hay một hệ thống thông tin, tất cả hành động của bạn đều bị ghi vết lại ( mặc dù việc tìm ra thủ phạm trong trường hợp này khó khăn và mất thời gian rất nhiều).

Đặc điểm của Computer Forensics

  • Dữ liệu cần phân tích lớn, nếu dữ liệu chỉ là text thôi thì với dung lượng vài MB chúng ta cũng có một lượng thông tin rất lớn rồi. Trong thực tế thì còn khổng lồ hơn.
  • Dữ liệu thường không còn nguyên vẹn, bị thay đổi, phân mảnh và có thể bị lỗi.
  • Bảo quản dữ liệu khó khăn, dữ liệu thu được có thể có tính toàn vẹn cao, chỉ một thay đổi nhỏ cũng có thể làm ảnh hưởng đến tất cả.
  • Dữ liệu Forensics có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng,…
  • Vấn đề Forensics là khá trừu tượng: mã máy, dump file, network packet…
  • Dữ liệu dễ dàng bị giả mạo
  • Xác định tội phạm khó khăn, có thể bạn tìm ra được dữ liệu về hacker(IP, email, profile…) nhưng để xác định được đối tượng thật ngoài đời thì không phải là việc đơn giản.

Forensics những gì ?

Computer Forensics thường làm việc với những đối tượng sau:

  • Physical Media, Media Management: liên quan đến các thiết bị phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa…
  • File System: Phân tích các file hệ thống, hệ điều hành Windows, Linux, iOS, Android…
  • Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, dịch ngược(reverse) ứng dụng…
  • Network: Phân tích gói tin mạng, sự bất thường trong mạng.
  • Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra.

Do đó chúng ta có các loại hình Forensics sau: OS forensic, Email forensic, Memory forensic, Network forensic, Registry forensic, Malware forensic, Recovery file…

Chứng cứ (Evidence) là gì ?

Chứng cứ là những gì mà người điều tra  sẽ tìm kiếm. Chứng cứ là bất cứ cái gì có thể dùng để chứng minh hoặc bác bỏ thực tế.

Dữ liệu tìm được có thể rất lớn cũng có thể rất nhỏ, chỉ cần phục hồi được 4 bytes dữ liệu cũng có thể tìm được IP để sử dụng như một chứng cứ.

Một số nguyên tắc khi thu thập chứng cứ:

  • Phải đảm bảo chứng cứ không bị thay đổi.
  • Thực hiện bit-image copy.
  • Khóa hoặc giới hạn truy cập đến cabinet.
  • Sử dụng Cryptographic hash để đảm bảo tính toàn vẹn giữa chứng cứ gốc với bản được sao chép.
  • Giảm thiểu sự mất mát dữ liệu. Rất khó để tránh khỏi không ảnh hưởng đến hệ thống, cần thực hiện nhiều bước để giảm thiểu sự mất mát và thu thập tối đa dữ liệu.
  • Thực hiện việc ghi chép mọi thứ. Ghi nhận computer memory, disks, swap space… bao gồm cả hành động của chính bạn.
  • Phân tích tất cả dữ liệu có được. Phải phân tích hệ thống để xác nhận sự cố, nhưng khi gặp sự cố thật xảy ra thì bắt đầu thực hiện nhân bản dữ liệu. Bắt đầu với các dữ liệu volatile trước (bởi vì khi tắt nguồn sẽ phá hủy các dữ liệu volatile).
  • Báo cáo những gì đã tìm thấy. Report phải vắn tắt và rõ ràng, mô tả những gì mà bạn đã làm và cái cách mà bạn xác định trong thực tế.

Các bước thu thập bằng chứng cho điều tra số

  • Thu thập các kết nối mạng.
  • Ngắt kết nối.
  • Thu thập các volatile data (các tiến trình và bộ nhớ hệ thống).
  • Kiểm tra và xác nhận sự cố (Logs, IDS, System logs, …).
  • Thu thập chứng cứ (Images).

Thông tin cần thiết thu thập cho điều tra số

  • System time và date bao gồm cả timezone.
  • Thông tin phiên bản hệ điều hành
  • Thông tin chung về system information như là memory, hard drives và các mounted file systems.
  • Các danh sách dịch vụ và chương trình được cấu hình chạy tự động lúc khởi động như là Web Server, Database, multimedia application, email programs.
  • Danh sách các lịch tác vụ (task scheduled) tự động chạy.
  • Danh sách các local user accounts và group.
  • Danh sách các network interfaces bao gồm cả IP và MAC Address.
  • Routing table, ARP table và DNS cache.
  • Network connections, bao gồm các tiến trình tương ứng.
  • Các modules hoặc drivers được nạp.
  • Tiến trình đang chạy bao gồm cả tiến trình cha.
  • System configuration data.
  • User login history bao gồm username, source và thời gian.
  • Standard system log data.
  • Danh sách các phần mềm được cài đặt.
  • Log data của các ứng dụng như web browser history, antivirus logs,…
  • Full file system listing bao gồm cả timestamp của file system.

 

OS Forensic – Điều tra số hệ điều hành

Trong OS Forensic, chúng ta có thể điều tra các thông tin: SAM, Security, System, Software.

Registry là một tập hợp các tập tin databases mà lưu trữ các thông tin cấu hình quan trọng của hệ thống(phần mềm, phần cứng và các thông tin thành phần của hệ thống).

Thông tin về software đã được cài đặt, cấu hình hệ thống, các tập tin vừa mới sử dụng, các chương trình khởi động.

Cấu trúc của Registry gồm có 4 root keys: HKEY_CLASSSES_ROOT; HKEY_CURRENT_USER; HKEY_LOCAL_MACHINE; HKEY_USERS.

Trong đó HKEY_LOCAL_MACHINE là nơi lưu thiết đặt hệ thống, tập tin khởi động, cấu hình máy. 

Malware Forensic – Điều tra số malware

Quá trình điều tra số về malware bao gồm các bước:

  • Phân tích tĩnh (Static Analysis)
  • Phân tích động (Dynamic Analysis)
  • Phân tích bộ nhớ (Memory Analysis)
  • Viết báo cáo

Email Forensic – Điều tra số Email

Tiến hành điều tra email, chúng ta phải thu thập chứng cứ để trả lời các câu hỏi:

Ai là người gửi e-mail ?

  • Địa chỉ email.
  • Địa chỉ IP.
  • Bối cảnh gửi email.

Email được gửi đi khi nào ?

  • Thời gian trên header.
  • Thời gian trên mail server timestamps.

Email được gửi từ đâu ?

  • Địa chỉ IP/ISP.
  • Vị trí địa lý.
  • Mail server domain.

Có các nội dung nào liên quan ?

  • Message body.
  • Tập tin đính kèm.
  • Address book.
  • Toàn bộ calendar.

Các công cụ cần thiết cho Forensics – Điều tra số là gì

Công cụ thu thập thông tin Windows Mandiant Redline

  • Công cụ Mandiant Redline cho phép thực hiện thu thập và phân tích live respone data.
  • Để thu thập dữ liệu Mandiant Redline tạo ra một “collector” là tập hợp các command-line batch scripts và binanries mà được đặt trên các removable media và chạy trên mỗi system.
  • Sử dụng giao diện đồ họa để phân tích đối với các collector đã thu thập.
  • Tải công cụ tại:  https://www.fireeye.com/services/freeware/redline.html

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *