PHÁP CHỨNG KỸ THUẬT SỐ Bài 4: Các kỹ thuật chống điều tra kỹ thuật số Giảng viên: TS. Đàm Quang Hồng Hải Chống điều tra kỹ thuật số • Anti Forensics – chống điều tra kỹ thuật số là các kỹ thuật được sử dụng để đối phó để việc tìm kiếm và thu thập các chứng cứ số trong điều tra. • Sử dụng các kỹ thuật làm ảnh hưởng đến sự tồn tại, số lượng và chất lượng của chứng cứ số thu được tại hiện trường vụ án, điều này làm cho việc phân tích và kiểm tra chứng cứ gặp khó khăn hoặc không thể thực hiện được. Mục đích của Anti forensics Các công cụ Anti Forensic khiến công việc truy hồi chứng cứ trong quá trình điều tra trở nên khó khăn hơn hoặc thậm chí là không thể thực hiện được. Các thủ đoạn chống điều tra kỹ thuật số • Người ta chia các thủ đoạn chống điều tra kỹ thuật số ra các loại như sau: • Che dấu các dữ liệu có chứng cứ số • Xóa các chứng cứ số • Làm sai lạc các dấu vết • Dùng phần mềm chống các quy trình và các công cụ điều tra kỹ thuật số Che dấu các dữ liệu có chứng cớ • Ẩn các dữ liệu có chứng cớ là quá trình làm cho dữ liệu khó tìm với người lạ trong khi cũng giữ nó dễ tiếp cận với người chủ để còn sử dụng trong tương lai. • Mã hóa dữ liệu • Kỹ thuật dấu dữ liệu • Ẩn dấu các file dữ liệu Mã hóa dữ liệu • Mã hóa (Cryptography ) là một cách giấu dữ liệu thông dụng. Khi dữ liệu được mã hóa, người ta có thể sử dụng các thuật toán phức tạp để khiến dữ liệu khó có thể đọc được. • Mã hóa có hai quá trình ngược chiều nhau là mã hóa (Encrypt) và giải mã (Decrypt) dựa vào một chìa khóa bí mật (key). • Các thuật toán mã hóa càng phức tạp, càng mất thời gian giải mã nó mà không có mã số. Các thuật toán mã hóa có thể bị phá nhưng phải tốn nhiều thời gian và công sức. Mã hóa và giải mã dữ liệu Kỹ thuật mã hóa dữ liệu • Thông thường khi mã hóa, người ta thiết lập mật khẩu cho tập tin hoặc thư mục, đây là cách an toàn nhất cho việc mã hóa và bảo vệ dữ liệu. Tập tin hoặc thư mục sẽ được mã hóa và chỉ có thể mở hoặc sử dụng bằng cách khai báo mật khẩu. • Người ta hay dùng mã hóa các file bằng các phần mềm nén file (zip) có dùng mật khẩu. • Nếu không có mã số, điều tra viên sẽ phải sử dụng đến các chương trình chuyên dụng để có thể bẻ khóa. Mã hóa khi nén file zip Tạo một ổ đĩa logic mã hóa • Người ta có thể tạo ổ đĩa ảo được mã hóa hoặc mã hóa toàn bộ một ổ đĩa logic của mình (bao gồm cả ổ cài đặt Windows). • Dữ liệu được lưu trữ trên ổ đĩa đã được mã hóa (encryption volume) không thể đọc được nếu người dùng không cung cấp đúng khóa mã • Dữ liệu tự động được mã hóa hoặc giải mã ngay khi được ghi xuống ổ đĩa đã được mã hóa hoặc ngay khi dữ liệu được nạp lên mà không có bất kỳ sự can thiệp nào của người dùng. [...]... của thông điệp bí mật Thuật toán LSB Các phần mềm dấu dữ liệu • Có rất nhiều phần mềm như: QuickStego, Steganography, OpenPuff • Kỹ thuật dấu dữ liệu • Kỹ thuật che dấu này còn được dùng trong công nghiệp giải trí và phần mềm như một kỹ thuật đánh dấu (watermarking) trên các hình ảnh, âm nhạc hay phần mềm để: • Bảo vệ bản quyền tác giả, • Ngăn chặn mạo nhận, chống sao chép, • Xác thực nội dung, •... xóa sạch các file bị xóa và đảm bảo không thể đọc lại các thông tin • Một số phần mềm thông dụng: TuneUp Disk Cleaner, DBAN (Darik's Boot and Nuke), BCWipe, KillDisk, PC Inspector, cyberCide TuneUp Disk Cleaner Công nghệ khử từ, xóa sạch ổ đĩa Làm sai lạc các dấu vết • Mục đích của làm sai lạc các dấu vết là để gây nhầm lẫn, nghi ngờ và làm chuyển hướng quá trình điều tra số • Làm sai lạc các dấu vết... phép giám sát hay lần ngược dấu vết các bản sao bất hợp pháp Ẩn dấu các file dữ liệu trên đĩa • Dùng phần mềm chia file chứa dữ liệu ra thành các mục nhỏ khác nhau và giấu mỗi mục ở một file khác nhau • Những phần đĩa dư do các file không sử dụng hết dung lượng được gọi là slack space Dùng phần mềm giấu file chứa dữ liệu bằng cách sử dụng slack space • Kỹ thuật ẩn dấu các file gây khó khăn rất lớn cho... file loại khác, trong khi các công cụ binder có thể gắn kết rất nhiều executable file lại với nhau Xóa các chứng cứ số • Sử dụng các phần mềm xóa sạch chứng cứ số qua đó loại bỏ vĩnh viễn các tập tin cụ thể hoặc toàn bộ File system • Việc xóa các chứng cứ số có thể được thực hiện thông qua việc sử dụng các phần mềm như: • Phần mềm xóa sạch tập tin • Phần mềm làm sạch đĩa, • Công nghệ khử từ, xóa sạch... file Kỹ thuật ẩn dấu dữ liệu trong File hình ảnh • Thay đổi các bit dữ liệu của hình ảnh bằng các bit của thông điệp bí mật sao cho mắt thường khó nhận ra sự thay đổi trên hình ảnh chứa thông điệp • Thuật toán cơ bản nhất là LSB (Least Significant Bit) để ẩn một thông điệp vào một tập tin ảnh bằng cách thay đổi Bit cuối cùng của các giá trị màu RGB trong bức ảnh bằng Bit của thông điệp bí mật Thuật. .. bao gồm thông tin giống như khi một file được tạo ra hoặc lần file được thay đổi cuối cùng Sử dụng các phần mềm bảo vệ hệ thống • Nghi phạm có thể dủng phần mềm cài trên máy chống các quy trình và các công cụ điều tra kỹ thuật số • Sử dụng ứng dụng tự động xóa dữ liệu khi có người không được quyền truy cập hệ thống vào Hết bài 4 ... giữa các khoảng trống trong một lá thư bình thường Yêu cầu về dấu dữ liệu kỹ thuật số • Viết và chuyển tải các thông điệp một cách bí mật trên một đối tượng, sao cho ngoại trừ người gửi và người nhận, không ai biết đến sự tồn tại của thông điệp • Steganography cũng sẽ xảy ra hai quá trình ngược nhau là mã hóa (Encode) và giải mã (Decode) nhưng không cần thông qua chìa khóa nào cả, ai nắm được thuật. ..Mã hóa phân vùng với TrueCrypt Kỹ thuật dấu dữ liệu • Steganography - việc viết và chuyển tải các thông điệp một cách bí mật, sao cho ngoại trừ người gửi và người nhận, không ai biết đến sự tồn tại của các thông điệp này, là một dạng của bảo mật như là che giấu file chứa dữ liệu • Trong kỹ thuật ẩn giấu thông thường, thông điệp xuất hiện dưới một dạng khác trong... cứng • • • • A Track B Geometric Sector C Track Sector D Cluster Dấu dữ liệu trong slack space Tìm thông tin trên slack space với EnCase Dấu file trong các file • Có thể dấu một file bên trong file khác • Executable files –là những file máy tính chạy được có thể dấu trong các file khác • Những chương trình được gọi là packer có thể lồng các executable file vào các file loại khác, trong khi các công cụ... Làm sai lạc các dấu vết bao gồm một loạt các kỹ thuật và các công cụ như làm thay đổi thông tin đăng nhập, làm giả mạo và tạo thông tin sai lạc • Dùng phần mềm thay đổi Metadata (lý lịch dữ liệu) được đính kèm với file Nếu Metadata đã bị hủy hoại, việc chứng minh bằng chứng trở nên khó khăn hơn Phần mềm thay đổi Header của file • Dùng phần mềm đánh lừa bằng cách thay đổi thông tin trong header của . PHÁP CHỨNG KỸ THUẬT SỐ Bài 4: Các kỹ thuật chống điều tra kỹ thuật số Giảng viên: TS. Đàm Quang Hồng Hải Chống điều tra kỹ