HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO CƠ SỞ AN TỒN THƠNG TIN ĐỀ TÀI: TÌM HIỂU VỀ ĐIỀU TRA SỐ Sinh viên thực hiện: Giảng viên hướng dẫn: Nguyễn Thanh Long AT150533 Nguyễn Tiến Sỹ AT131044 Nguyễn Mạnh Thắng Hà Nội, 9-2021 LỜI NĨI ĐẦU Cơng nghệ ngày phát triển mang đến lợi ích khơng nhỏ cho người Theo báo cáo tổng kết, năm qua, ngành công nghiệp CNTT, điện tử viễn thơng Việt Nam có bước tiến vượt bậc, đạt thành tựu quan trọng Công nghiệp Công nghệ thông tin, điện tử viễn thông trở thành ngành kinh tế quan trọng đất nước với doanh thu năm 2019 ước đạt 112 tỷ USD, tăng trưởng 9,8% so với năm 2018, giải việc làm cho triệu lao động, đóng góp 14% GDP, nộp ngân sách Nhà nước 53.000 tỷ đồng Các mặt hàng công nghiệp Công nghệ thông tin, điện tử viễn thông, đặc biệt điện thoại máy tính chiếm vị trí top top danh sách top 10 sản phẩm xuất chủ lực Việt Nam năm 2019, xuất khoảng 28 tỷ USD, đồng thời đưa Việt Nam trở thành nước đứng thứ giới sản xuất điện thoại linh kiện, thứ 10 giới sản xuất iện tử linh kiện Nhưng xã hội ngày phát triển theo hướng liệu, tầm quan trọng của an tồn thơng tin hay nói cách khác việc đảm bảo an tồn tính trung thực liệu tăng theo cấp số nhân Hầu hết nước, tổ chức đề quy định, pháp luật để bảo vệ liệu an tồn thơng tin Với gia tăng đáng kể tội phạm mạng vai trị khơng thể thiếu điều tra số - lĩnh vực an ninh mạng tập trung vào việc theo dõi kẻ chiếm quyền điều khiển internet cho mục đích bất Vậy nên thông qua đề tài này, chúng em muốn giới thiệu tổng quan điều tra số, ứng dụng hay cách thức để điều tra số LỜI CẢM ƠN Trong q trình thực mơn Cơ sở an tồn thơng tin này, em nhận giúp đỡ tận tình, chu đáo giảng viên hướng dẫn – thầy Nguyễn Mạnh Thắng – khoa An toàn thông tin, Học viện Kĩ thuật Mật mã Cảm ơn thầy với hướng dẫn chi tiết, cụ thể giúp em hồn thành đề tài mơn Cơ sở an tồn thơng tin này! SINH VIÊN THỰC HIỆN Mục lục I Tổng quan điều tra số • Khái niệm điều tra số Digital Forensics (điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số Thuật ngữ điều tra số ban đầu sử dụng tương đương với thuật ngữ điều tra máy tính Sau đó, khái niệm mở rộng để bao quát toàn việc điều tra thiết bị có khả lưu trữ liệu số Điều tra số hiểu việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện, nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống Điều tra số thường hay liên quan đến tội phạm máy tính Cũng điều tra hình sự, trước thực điều tra số, cần có sở pháp lý để phân định rõ quyền hạn, trách nhiệm quan điều tra • Lịch sử điều tra số Tội phạm máy tính xuất từ năm 1960 lịch sử gắn liền với lịch sử điều tra số Năm 1978, tội phạm máy tính lần đề cập Luật Tội phạm máy tính Floria, với quy định việc chống sửa đổi trái phép hay xóa liệu hệ thống máy tính Giai đoạn năm 1980 đến 1990: Trước gia tăng tội phạm máy tính năm này, quan thực thi pháp luật tiến hành thành lập nhóm chuyên ngành cấp quốc gia để xử lý khía cạnh kỹ thuật việc điều tra Các kỹ thuật điều tra số phát triển thuật ngữ “Computer Forensics” xuất sử dụng tài liệu học thuật • Mục đích - Ứng dụng Mục tiêu cốt lõi điều tra số thu thập, phân tích tìm chứng thuyết phục vấn đề cần sáng tỏ Cần lưu ý liệu phải đảm bảo tính xác thực, lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Trong thời đại công nghệ phát triển mạnh Song song với ngành khoa học khác, điều tra số có đóng góp quan trọng việc ứng cứu nhanh cố xảy máy tính, giúp chuyên gia phát nhanh dấu hiệu hệ thống có nguy bị xâm nhập, việc xác định hành vi, nguồn gốc vi phạm xảy hệ thống Về mặt kỹ thuật điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát nguyên nhân hệ thống bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thống Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm cơng nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp • Đặc điểm điều tra số - Dữ liệu cần phân tích lớn, liệu text thơi với dung lượng vài MB có lượng thơng tin lớn Trong thực tế cịn khổng lồ - Dữ liệu thường khơng cịn ngun vẹn, bị thay đổi, phân mảnh bị lỗi - Bảo quản liệu khó khăn, liệu thu có tính tồn vẹn cao, thay đổi nhỏ làm ảnh hưởng đến tất - Dữ liệu Forensics gồm nhiều loại khác nhau: file hệ thống, ứng dụng,… - Vấn đề Forensics trừu tượng: mã máy, dump file, network packet… - Dữ liệu dễ dàng bị giả mạo - Xác định tội phạm khó khăn, tìm liệu hacker (IP, email, profile…) để xác định đối tượng thật ngồi đời khơng phải việc đơn giản • Khi thực cần thiết thực điều tra số? • Khi hệ thống bị cơng mà chưa xác định nguyên nhân • Khi cần thiết khôi phục liệu thiết bị, hệ thống bị xóa • Hiểu rõ cách làm việc hệ thống • Khi thực điều tra tội phạm có liên quan đến cơng nghệ cao • Điều tra gian lận tổ chức • Điều tra hoạt động gián điệp cơng nghiệp • Cần điều tra gì? Forensics thường làm việc với đối tượng sau:  Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi liệu bị xóa…  File System: Phân tích file hệ thống, hệ điều hành windows, linux, android…  Application: Phân tích liệu từ ứng dụng file Log, file cấu hình, reverse ứng dụng…  Network: Phân tích gói tin mạng, bất thường mạng  Memory: Phân tích liệu nhớ, thường liệu lưu RAM dump II Quy trình điều tra số máy tính Giai đoạn trước điều tra số: Chuẩn bị (Preparation) Thiết lập phịng thí nghiệm pháp y máy tính, xây dựng trạm làm việc pháp y, phát triển công cụ điều tra, thiết lập quy trình điều tra, nhận chấp thuận quan có thẩm quyền liên quan, v.v Ngoài ra, thực việc mơ tả lại thơng tin hệ thống, xảy ra, dấu hiệu, để xác định phạm vi điều tra, mục đích tài nguyên cần thiết sử dụng suốt trình điều tra • Kiểm tra xác minh: Khi bắt đầu trình điều tra nhiệm vụ Ở giai đoạn việc kiểm tra xác minh cung cấp nhìn bao qt thơng tin liên quan đến hệ thống bị công, thông tin hạ tầng mạng, chế bảo vệ thệ thống đó, ứng dụng ngăn chặn virus hệ thống, thiết bị mạng (tường lửa, IDS, router…) triển khai • Mơ tả hệ thống: Sau hoàn thành nhiệm vụ kiểm tra xác minh tiến hành mô tả chi tiết thông tin hệ thống thời gian hệ thống bị công, đặc điểm phần cứng, hệ điều hành sử dụng, phần mềm cài hệ thống, danh sách người dùng nhiều thơng tin hữu ích khác liên quan tới hệ thống Một phần liệu lấy khỏi hệ thống việc sử dụng phần mềm phục vụ cho trình điều tra, việc điều tra khơng thể thực hệ thống xem mục tiêu cơng được, hệ thống cài đặt phần mềm độc hại… Giai đoạn điều tra số: Thu thập phân tích (Acquisition & Analysis) Quá trình thu thập, bảo quản phân tích chứng để xác định nguồn gốc tội phạm thủ phạm đằng sau II.1 Thu thập (Acquisition): Đây bước tạo xác sector hay cịn gọi nhân điều tra phương tiện truyền thông, xác định rõ nguồn chứng sau thu thập bảo vệ tính tồn vẹn chứng việc sử dụng hàm băm mật mã • Giai đoạn quan trọng cho q trình phân tích, điều tra hệ thống máy tính bị cơng Tất thơng tin máy tính có sẵn phải đưa vào mơi trường điều tra an tồn để thực cơng việc điều tra, phân tích, việc làm quan trọng phải đảm bảo chứng thu ban đầu cần phải đảm bảo tính tồn vẹn • Tất liệu thu từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa…) phải ghi lại ký mã thuật toán MD5 SHA1 để đảm bảo tính tồn vẹn chứng cứ, trước bắt đầu điều tra người thực nhiệm vụ phân tích điều tra kiểm tra độ tin cậy chứng dựa vào thông tin mà chuỗi MD5 hay SHA1 cung cấp Nhằm tránh việc gian lận cài đặt, làm giả chứng đánh lạc hướng điều tra II.2 Phân tích (Analysis): Đây giai đoạn chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để trích xuất, thu thập phân tích chứng thu • Thiết lập mốc thời gian phân tích: Sau thu thập xong chứng tất liệu cách ly mơi trường điều tra an tồn nhiệm vụ q trình thực phân tích thiết lập tập tin thời gian Việc thiết lập tập tin thời gian giúp người thực công việc điều tra theo dõi lại hoạt động hệ thống (hiển thị thời gian cuối mà tập tin thực thi chạy, tập tin thư mục tạo/xóa thời gian qua qua giúp người điều tra hình dung, đốn diện kịch hoạt động) • Phân tích phương tiện truyền liệu hệ điêu hành:Từ kết thu việc phân tích thời gian, tiến hành bắt đầu phân tích phương tiện truyền thơng để tìm kiếm đầu mối phía sau hệ thống bị thỏa hiêp Bộ cơng cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào số nhân tố như: - • Nền tảng phần mềm sử dụng máy tính phục vụ điều tra Nền tảng phần mềm sử dụng hệ thống mục tiêu việc phân tích Mơi trường phân tích Tìm kiếm chuỗi: Với thu thập được, người phân tích bắt đầu tìm kiếm chuỗi cụ thể chứa bên tập tin để tìm kiếm thơng tin hữu ích địa IP, địa Email… để từ truy tìm dấu vết cơng • Khôi phục liệu: Sau thực xong giai đoạn phân tích phương tiện truyền thơng, chun viên điều tra hồn tồn tìm kiếm liệu từ chứng ghi lại trích xuất liệu chưa phân bổ ngăn xếp, sau phục hồi lại tập tin bị xóa Tìm kiếm khơng gian trống (trong mơi trường windows) tìm khơng gian chưa phân bố liệu khám phá nhiều tập tin phân mảnh, đầu mối hành động xóa tập tin, thời gian xóa… Việc nắm bắt thời gian tập tin bị xóa thơng tin quan trọng liên quan đến hoạt động công xảy hệ thống (ví dụ xóa ghi liên quan đến trình thâm nhập hệ thống) Giai đoạn sau điều tra số: Lập báo cáo (Reporting) Lập báo cáo (Reporting): Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiết báo cáo lại cho phận có trách nhiệm xử lý chứng thu được, chuyên gia phân tích phải đưa kỹ thuật điều tra, công nghệ, phương thức sử dụng, chứng thu được, tất phải giải thích rõ ràng báo cáo q trình điều tra Từ đó, ta có nhìn chi tiết bước cần làm nhà điều tra viên muốn truy hồi chứng từ máy tính: - Kiểm sốt hệ thống máy tính để chắn thiết bị liệu an toàn Điều có nghĩa điều tra viên cần phải nắm quyền bảo mật để khơng có cá nhân truy cập máy tính thiết bị lưu trữ kiểm tra Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát kết nối - Tìm kiếm tất file có hệ thống máy tính, bao gồm file mã hóa, bảo vệ mật khẩu, ẩn bị xóa chưa bị ghi đè Nhân viên điều tra nên chép lại tất file hệ thống, bao gồm file có ổ đĩa máy tính hay file từ ổ cứng cắm Bởi truy cập file thay đổi nên nhân viên điều tra nên làm việc với biệt nhớ trang tạm thời khác với phiên đĩa cập nhật) Hơn nữa, nội dung đệm đệm sở liệu cung cấp số thông tin chi tiết hàng truy cập gần truy vấn người dùng, chúng tơi chọn để trực quan hóa đệm đệm sở liệu truy vấn khác thực thi Hình hiển thị nội dung đệm cache Oracle (50K trang), với dấu chấm đại diện cho trang biểu đồ tóm tắt số lượng trang Ban đầu đệm đệm tích hợp trước với liệu tổng hợp từ số bảng (được tổng hợp thành biểu đồ thanh), hiển thị ảnh chụp nhanh biểu đồ tương ứng bên Hình ảnh thứ hai cho thấy trang lưu nhớ cache sau bảng khách hàng phận truy vấn với tổng số khoảng 7000 trang đĩa (sử dụng 50 truy vấn khác nhau) với biểu đồ tương ứng bên dưới; hai hình ảnh sau cho thấy điều xảy sau bảng xếp hàng truy cập nhiều lần truy vấn Ảnh chụp nhanh thứ ba cho thấy hiệu ứng nhớ đệm sau thực 100 (120 trang) truy vấn xếp hàng (được tóm tắt biểu đồ thứ ba) ảnh thứ tư cho thấy kết thực thêm 200 truy vấn tương tự để ghi đè lên toàn bộ đệm cache cách hiệu quả, thay tất truy vấn trước liệu lưu nhớ cache Trong lineorder truy vấn thêm lên đến xấp xỉ (300*120) 36K trang, nhớ lại mục thường sử dụng để tạo điều kiện truy cập bảng Do đó, có số trang mục, khơng hiển thị biểu đồ thanh, có hình ảnh chụp nhanh cuối Nội dung ảnh chụp nhanh đệm đệm phản ánh liệu truy cập gần Tuy nhiên, lưu ý tất truy vấn thử nghiệm chọn để đảm bảo trang chúng lưu vào nhớ đệm đầy đủ Phần thảo luận chi tiết sách nhớ đệm sở liệu nằm phạm vi báo này, lưu ý truy vấn truy cập số lượng lớn trang (ví dụ: phần ba tổng kích thước nhớ đệm đệm), phần cụ thể lần đọc liệu lưu vào nhớ đệm Điều thực để tránh loại bỏ nhiều trang bảng khác khỏi đệm đệm sử dụng để lý luận liệu bảng truy cập gần Ví dụ : khôi phục liệu bị lỗi Sử dụng nhà cung cấp dịch vụ đám mây phổ biến, thuê phiên tạo sở liệu PostgreSQL - sử dụng dịch vụ đám mây để minh họa liệu quét từ phiên lân cận ngừng hoạt động chúng không làm cách (thực dị tìm phiên liệu cá nhân chống lại Điều khoản dịch vụ) Sau tải PostgreSQL điểm chuẩn SSBM (Scale4, 24M hàng bảng xếp hàng), tắt sở liệu xóa (sử dụng rm) tệp có chứa nhớ sở liệu Dung lượng đĩa xóa đánh dấu “khả dụng” cuối bị ghi đè tệp Chúng tơi mơ q trình ghi đè cách thực ghi ngẫu nhiên KB tồn ảnh đĩa cách ngẫu nhiên Chúng tơi sử dụng tính ghi nhỏ để kiểm tra khả xây dựng lại trang công cụ trang bị hỏng phần (nếu toàn trang bị ghi đè, đơn giản biến mất) Khi tỷ lệ phần trăm định khối KB ghi vào đĩa cách ngẫu nhiên, đo lượng liệu mà công cụ chúng tơi phục hồi Bảng tóm tắt kết theo trang bảng phục hồi Cột thứ hai có số khối ban đầu, trước xảy thiệt hại trang sau chúng tơi hiển thị phân bổ cho 10% 25% giá trị thiệt hại Mặc dù tổn thất xác khác tùy thuộc vào vận may bảng cụ thể, số lượng trang phục hồi trung bình tương ứng chặt chẽ với số lượng thiệt hại gây Cuối cùng, lưu ý việc chạy truy vấn PostgreSQL sau ghi đè siêu liệu trang khiến Kết nối với máy chủ bị Đang cố gắng đặt lại: Không thành cơng; thay đổi kích thước tệp lưu trữ bảng (ví dụ: thêm bớt vài byte) gây LỖI: kích thước u cầu cấp phát nhớ khơng hợp lệ 2037542769 Điều tra mã độc (Malware Forensics) Đây cách tìm kiếm, phân tích điều tra thuộc tính khác phần mềm độc hại để tìm thủ phạm lý công phương pháp bao gồm nhiệm vụ kiểm tra mã độc, xác định xâm nhập nó, phương pháp lan truyền, tác động lên hệ thống, cổng mà cố gắng sử dụng, v.v Các nhà điều tra tiến hành điều tra pháp y kỹ thuật công cụ khác Các loại phần mềm độc hại: Danh mục phần mềm độc hại dự đốn dựa thơng số khác cách ảnh hưởng đến hệ thống, chức mục đích chương trình, chế lây lan liệu chương trình có u cầu cho phép đồng ý người dùng trước thực hoạt động định hay không số phần mềm độc hại thường gặp là: • Backdoor • Botnet • Downloader • Launcher • Rootkit • HackTool • Rogue application • Scareware • Worm or Virus Sau số triệu chứng hệ thống bị nhiễm: ⋅ ⋅ ⋅ ⋅ ⋅ Hệ thống khơng ổn định phản hồi chậm phần mềm độc hại sử dụng tài nguyên hệ thống Các tệp thực thi không xác định tìm thấy hệ thống Lưu lượng truy cập mạng không mong đợi đến trang web mà bạn đơn giản khơng mong đợi để đính kèm Đã thay đổi cài đặt hệ thống trang chủ trình duyệt mà khơng có đồng ý bạn Cửa sổ bật lên ngẫu nhiên hiển thị dạng quảng cáo Điều kiện tiên để điều tra phần mềm độc hại: Điều kiện tiên để phân tích phần mềm độc hại bao gồm hiểu phân loại phần mềm độc hại, khái niệm ngôn ngữ lập trình x86 cần thiết, định dạng tệp định dạng tệp thực thi di động, API cửa sổ, chuyên môn việc sử dụng công cụ giám sát, trình tháo gỡ trình gỡ lỗi 5.1 Các loại điều tra phần mềm độc hại Hai số loại phân tích phần mềm độc hại hỗ trợ phương pháp tiếp cận bao gồm: - Phân tích phần mềm độc hại tĩnh: phân tích mã hiểu phần mềm độc hại giải thích chức Phân tích phần mềm độc hại động: Nó liên quan đến việc thực thi phần mềm độc hại để xem xét hành vi, hoạt động xác định chữ ký kỹ thuật xác nhận mục đích xấu Ngồi cịn có dịch vụ điều tra mã độc trực tuyến: • VirusTotal • Metascan Online • Malware Protection Center • Web Online Scanners • Payload Security • Jotti • Valkyrie, etc 5.2 Các TOOL điều tra phần mềm độc hại Hai số loại phân tích phần mềm độc hại hỗ trợ phương pháp tiếp cận bao gồm: IDA Pro, What’s Running, Process Explorer, Directory Monitor, RegScanner, Capsa Network Analyzer, API Monitor Đó mối quan tâm to lớn để cung cấp an toàn cho hệ thống máy tính chống lại phần mềm độc hại ngày nhiều phần mềm độc hại tạo điều tồi tệ phần mềm độc hại tinh vi khó phát Bởi nhà phát triển phần mềm độc hại sử dụng kỹ thuật nâng cao khác để che đậy mã cụ thể hành vi phần mềm độc hại Do đó, việc nghiên cứu phần mềm độc hại để lấy thơng tin hữu ích trở nên khó khăn để tạo kiểu cho hệ thống phát phần mềm độc hại kỹ thuật phân tích chống tĩnh chống động Do đó, điều quan trọng nhà phân tích pháp y phải có kiến thức vững chương trình phần mềm độc hại khác nhau, hoạt động lan truyền chúng, vị trí tác động phương pháp phát phân tích tiến liên tục chương trình tương đương 5.3 Ứng dụng Ví dụ : Điều tra mã độc (Malware Forensics) Bản thân nguồn gốc phần mềm độc hại đặc điểm phân biệt mẫu vật với mẫu vật khác Việc mẫu chứng kỹ thuật số định có nguồn gốc từ máy tính nghi phạm đủ để kết nối nghi phạm với tội phạm Các công cụ công từ chối dịch vụ sử dụng để công Yahoo! trang web Internet lớn khác, chẳng hạn, chứa thông tin hữu ích việc xác định nguồn cơng Ví dụ, địa IP đặc điểm khác trích xuất từ cơng cụ cơng từ chối dịch vụ phân tán thể hình Phân biệt đặc điểm phần mềm độc hại đáng ngờ Các địa IP làm cuối cho biết vị trí đặt máy chủ huy điều khiển phần mềm độc hại sử dụng Internet hệ thống huy điều khiển có chứng kỹ thuật số hữu ích chúng Đặc điểm class thiết lập mối liên hệ kẻ đột nhập trường vụ án Ví dụ, tệp cài đặt “t0rn” chứa tên người dùng số cổng chọn kẻ xâm nhập hiển thị hình Đặc điểm lớp phần mềm độc hại đáng ngờ Nếu đặc điểm tương tự tìm thấy máy chủ bị xâm nhập khác máy tính nghi phạm, đặc điểm tương quan với chứng khác thấy kẻ xâm nhập chịu trách nhiệm cho tất tội ác cơng thực từ máy tính nghi phạm Ví dụ,Kiểm tra máy tính có địa IP 192.168.0.7 sử dụng để đột nhập vào 192.168.0.3 cho thấy dấu vết sau hình giúp thiết lập liên kết Kiểm tra nhiều hệ thống nạn nhân để tìm vật tương tự: Cần biết nhà phát triển phần mềm độc hại tiếp tục tìm cách để phá hoại forensic analysis Ví dụ: gặp kỹ thuật chống lâm sàng sau phần mềm độc hại Linux (mặc dù danh sách khơng có nghĩa đầy đủ chắn phát triển theo thời gian): • • • • • Đa thành phần Mã có điều kiện bị xáo trộn Đóng gói mã hóa Phát trình gỡ lỗi, trình tháo gỡ mơi trường ảo Loại bỏ thông tin tượng trưng gỡ lỗi trình biên dịch tệp ELF file Điều tra Email (Email Forensics) E-mail dịch vụ phổ biến sử dụng qua internet trở thành nguồn thơng tin liên lạc cho tổ chức công chúng Việc sử dụng dịch vụ email hoạt động kinh doanh ngân hàng, nhắn tin gửi tệp đính kèm tăng lên với tốc độ chóng mặt Phương tiện liên lạc trở nên dễ bị công loại cơng khác Tin tặc giả mạo tiêu đề email gửi email ẩn danh cho mục đích xấu chúng Tin tặc khai thác máy chủ chuyển tiếp mở để thực kỹ thuật xã hội lớn Email nguồn phổ biến công lừa đảo Để giảm thiểu công bắt người chịu trách nhiệm, sử dụng kỹ thuật pháp y email thực phân tích tiêu đề, điều tra máy chủ, dấu vân tay người gửi, v.v Pháp y email phân tích nguồn nội dung email, xác định người gửi người nhận, ngày email phân tích tất thực thể liên quan Pháp y email cải cách pháp y hệ thống máy khách máy chủ bị nghi ngờ giả mạo email 6.1 Phân tích Email Header Điều tra email bắt đầu với việc nghiên cứu tiêu đề email header chứa lượng lớn thơng tin email Phân tích bao gồm nghiên cứu nội dung tiêu đề email chứa thông tin email cho Phân tích tiêu đề email giúp xác định hầu hết tội phạm liên quan đến email lừa đảo trực tuyến, gửi thư rác, giả mạo email, v.v Giả mạo (spoofing) kỹ thuật sử dụng người giả làm người khác người dùng bình thường nghĩ giây lát bạn số người mà anh biết Chỉ gửi email từ địa email giả mạo bạn bè họ, tài khoản họ bị hack Bằng cách phân tích tiêu đề email, người ta biết liệu email nhận từ địa email giả mạo địa thật Đây cách tiêu đề email trông nào: 6.2 Điều tra máy chủ mail Trong loại điều tra này, thông điệp truyền tải nhật ký nhân viên khám phá để phân biệt nguồn email Ngay khách hàng (người gửi người thụ hưởng) xóa tin nhắn email họ mà khôi phục được, tin nhắn máy chủ (Proxy Nhà cung cấp dịch vụ) ghi lại thành nhiều phần Những proxy lưu trữ tất thông điệp sau chúng truyền tải Hơn nữa, nhật ký nhân viên lưu giữ tập trung để theo dõi vị trí máy tính trả lời để thực trao đổi email Trong trường hợp, Proxy ISP lưu trữ nhật ký email máy chủ khoảng thời gian số không hợp tác với nhà điều tra pháp y Hơn nữa, nhân viên SMTP lưu trữ thông tin số Visa thông tin khác liên quan đến chủ sở hữu hộp thư sử dụng để phân biệt cá nhân đằng sau địa email 6.3 Điều tra thiết bị mạng hệ thống Mail Các thiết bị mạng tường lửa, định tuyến, chuyển mạch, modem, v.v chứa nhật ký sử dụng để theo dõi nguồn email Trong loại điều tra này, nhật ký sử dụng để điều tra nguồn gốc email Đây loại điều tra phức tạp sử dụng Nó thường sử dụng nhật ký nhà cung cấp Proxy ISP khơng khả dụng số lý thiếu bảo trì, lười biếng thiếu hỗ trợ từ nhà cung cấp ISP 6.4 Điều tra tệp đính kèm Mail Trong số loại vi-rút phần mềm độc hại, hầu hết chúng gửi qua kết nối email Việc kiểm tra tệp đính kèm email cấp thiết quan trọng kiểm tra liên quan đến email Sự cố tràn liệu cá nhân lĩnh vực quan trọng khác cần kiểm tra Có phần mềm cơng cụ truy cập để lấy lại thơng tin liên quan đến email, ví dụ, tệp đính kèm từ ổ cứng hệ thống máy tính Để kiểm tra kết nối không rõ ràng, nhà điều tra tải tệp đính kèm lên hộp cát trực tuyến, chẳng hạn VirusTotal để kiểm tra xem tài liệu có phải phần mềm độc hại hay khơng Tuy nhiên, điều quan trọng phải quản lý đầu danh sách ưu tiên ghi có trải qua đánh giá hay khơng, chẳng hạn VirusTotal, khơng phải đảm bảo bảo vệ hồn tồn Nếu điều xảy ra, suy nghĩ thơng minh để nghiên cứu thêm ghi tình hộp cát, chẳng hạn Cuckoo 6.5 Các công cụ điều tra Email EmailTrackerPro, Xtraxtor, Advik, Systools MailXaminer, Adcomplain 6.6 Ứng dụng Ví dụ : Điều tra Email (Email Forensics) Giả sử [email protected] gửi email tới [email protected] Các kiện sau xảy người dùng gửi mail : • • MUA người gửi khởi tạo kết nối tới mail server mail.exampleA.tst giao thức SMTP (thường TCP Port 25) Mail server mail.exampleA.tst nhận email biết domain đích cần gửi email tới exampleB.tst Server mail.exampleA.tst tạo truy vấn đến máy chủ DNS để hỏi thông tin record MX domain exampleB.tst Giả sử khơng có thơng tin domain exampleB.tst nhớ cache máy chủ DNS • • • • Máy chủ DNS tạo truy vấn đệ quy máy chủ DNS có thẩm quyền tìm hiểu chi tiết record MX domain exampleB.tst Thông tin trả cho server mail.exampleA.tst Bây server mail.exampleA.tst có địa IP mail server đích, gửi email trực tiếp tới mail server mail.exampleB.tst thông qua Internet SMTP sử dụng để liên lạc mail server nguồn đích Email đến nhận SMTP (MTA) cục server mail.exampleB.tst Sau nhận email, chuyển cho MDA, sau gửi thư đến hộp thư người nhận lưu trữ máy chủ Máy chủ có hộp thư riêng biệt cho người dùng Khi người nhận kiểm tra email qua giao thức POP IMAP, email MUA lấy từ máy chủ máy tính user Tùy thuộc vào cấu hình MUA, email tải xuống máy trạm, lưu giữ máy chủ máy trạm, email máy chủ MUA đồng hóa, tuỳ thuộc vào bạn chọn giao thức POP hay IMAP Ngoài người ta cịn có mail gate đứng trước mail server đảm nhận vai trò giống firewall với khả chống phishing , DLP(data loss prevention), lọc mail cao cấp hơn… Điều tra thiết bị di động (Mobile Forensics) Thiết bị di động trở thành phần thiếu sống hàng ngày người, đó, chúng có xu hướng tạo điều kiện cho hoạt động tội phạm bị can dự tội phạm xảy Trong máy tính, máy tính xách tay, máy chủ thiết bị chơi game có nhiều người dùng, phần lớn trường hợp, thiết bị di động thường thuộc cá nhân Mobile Forensics nhánh điều tra kỹ thuật số liên quan đến việc mua lại phân tích thiết bị di động để khôi phục chứng kỹ thuật số mà điều tra quan tâm Tất giai đoạn, từ thu nhận đến phân tích điều tra thiết bị di động, phải hoàn toàn tránh việc khơng thay đổi thiết bị kiểm tra Q trình không dễ dàng chút nào, đặc biệt thiết bị di động 7.1 Các giai đoạn điều tra thiết bị di động Giai đoạn - thu giữ thiết bị Giai đoạn liên quan đến việc thu giữ thực tế thiết bị để nằm kiểm soát giám sát người điều tra / giám định Cơ quan pháp luật phải xem xét đồng ý văn để thu giữ, trích xuất tìm kiếm liệu Tình trạng vật lý thiết bị thời điểm thu giữ cần lưu ý, lý tưởng thông qua tài liệu ảnh kỹ thuật số ghi văn bản, chẳng hạn như: • Thiết bị có bị hư hỏng khơng? Nếu, có, sau ghi lại loại thiệt hại • Thiết bị bật hay tắt? • Ngày thiết bị thiết bị bật? • Nếu thiết bị bật, ứng dụng chạy quan sát hình thiết bị? • Nếu thiết bị bật, hình thiết bị truy cập để kiểm tra mật mã cài đặt bảo mật không? Giai đoạn - thu thập liệu Giai đoạn đề cập đến phương pháp khác để trích xuất liệu từ thiết bị Các phương pháp trích xuất liệu sử dụng chịu ảnh hưởng điều sau: • Loại thiết bị di động: Kiểu dáng, kiểu máy, phần cứng, phần mềm cấu hình nhà cung cấp • Sự sẵn có đa dạng cơng cụ trích xuất / phân tích phần cứng phần mềm theo ý người giám định: Khơng có công cụ làm tất cả; người giám định cần có quyền truy cập vào số cơng cụ hỗ trợ việc trích xuất liệu • Tình trạng vật lý thiết bị: Thiết bị có bị tiếp xúc với hư hỏng, chẳng hạn chất lỏng vật lý, nước sinh học máu không? Thơng thường, loại thiệt hại quy định biện pháp trích xuất liệu sử dụng thiết bị Giai đoạn - phân tích liệu Giai đoạn pháp y thiết bị di động yêu cầu phân tích liệu thu từ thiết bị thành phần thiết bị (thẻ SIM thẻ nhớ có) Hầu hết cơng cụ thu thập pháp y di động lấy liệu từ nhớ thiết bị phân tích cú pháp liệu trích xuất cung cấp chức giám định công cụ để thực phân tích Điều địi hỏi phải xem xét liệu chưa xóa xóa Khi xem xét liệu chưa bị xóa, bạn nên thực xem xét thủ công thiết bị để đảm bảo liệu trích xuất phân tích cú pháp khớp với hiển thị thiết bị Do dung lượng lưu trữ thiết bị di động tăng lên, nên xem xét số lượng nhỏ ghi liệu từ khu vực liên quan Vì vậy, ví dụ: thiết bị di động có 200 ghi gọi, việc xem lại số ghi gọi từ gọi nhỡ, gọi đến gọi kiểm tra thiết bị liên quan đến ghi tương tự liệu trích xuất Bằng cách thực đánh giá thủ cơng này, sau phát khác biệt liệu trích xuất Việc xem xét thiết bị thủ cơng hồn thành thiết bị quyền giám định người giám định Có tình huống, sau hồn thành việc trích xuất liệu, thiết bị trả lại cho người điều tra chủ sở hữu Trong tình vậy, giám định viên phải ghi lại hạn chế thực xác minh thủ công trường hợp Cuối cùng, người đọc cần lưu ý sử dụng nhiều cơng cụ phân tích để phân tích liệu thu Nhiều cơng cụ phân tích nên xem xét, đặc biệt loại liệu cụ thể khơng thể phân tích cú pháp cơng cụ này, phân tích cơng cụ khác Ứng dụng Đặt tình điện thoại nạn nhân bị công Khi forensics mobile sử dụng cơng cụ Autopsy ta xem thông tin tin nhắn nhận, số điện thoại thời gian kẻ công vào điện thoại nạn nhân Các wifi kết nối: Hoặc tài khoản nạn nhân: ... hồn thành đề tài mơn Cơ sở an tồn thơng tin này! SINH VIÊN THỰC HIỆN Mục lục I Tổng quan điều tra số • Khái niệm điều tra số Digital Forensics (điều tra số) nhánh ngành Khoa học điều tra đề cập... hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số Thuật ngữ điều tra số ban đầu sử dụng tương đương với thuật ngữ điều tra máy tính Sau đó, khái niệm mở rộng để bao quát toàn việc điều tra. .. thường hay liên quan đến tội phạm máy tính Cũng điều tra hình sự, trước thực điều tra số, cần có sở pháp lý để phân định rõ quyền hạn, trách nhiệm quan điều tra • Lịch sử điều tra số Tội phạm máy