Câu 1: Khái niCâu 1: Khái niCâu 1: Khái ni Câu 1: Khái niCâu 1: Khái niCâu 1: Khái ni ệm tm t ội phi ph ạm công nghm công ngh m công nghm công ngh ệ cao, t cao, tcao, t cao, tội phi ph ạm máy tínhm máy tính m máy tínhm máy tínhm máy tính m máy tính Tội phạm công nghệ cao: • Theo từ điển Bách khoa Công an nhân dân Việt Nam: o Tội phạm công nghệ cao là loại tội phạm sử dụng những thành tựu mới của khoa học kỹ thuật và công nghệ hiện đại làm công cụ, phương tiện để thực hiện hành vi phạm tội một cách cố ý hoặc vô ý, gây nguy hiểm cho xã hội. o Chủ thể là những người có trình độ học vấn, chuyên môn cao, có thủ đoạn rất tinh vi, khó phát hiện. o Hậu quả gây ra bởi tội phạm công nghệ cao không chỉ là thiệt hại lớn về mặt kinh tế, xã hội mà còn xâm hại tới an ninh quốc gia. • Theo tổ chức Cảnh sát hình sự quốc tế Interpol: o Tội phạm công nghệ cao là loại tội phạm sử dụng, lạm dụng những thiết bị kỹ thuật, dây chuyền công nghệ có trình độ công nghệ cao như một công cụ, phương tiện để thực hiện hành vi phạm tội. o Tội phạm công nghệ cao gồm hai dạng: tội phạm máy tính và tội phạm công nghệ thông tin – điều khiển học. • Theo bộ tư pháp Mỹ: o Tội phạm công nghệ cao là bất cứ hành vi vi phạm pháp luật hình sự nào có liên quan đến việc sử dụng những hiểu biết về công nghệ máy tính trong việc phạm tội. • Theo các chuyên gia về tội phạm học ở Việt Nam: o Nhóm thứ nhất: tội phạm công nghệ cao là các tội phạm mà khách thể của tội phạm xâm hại tới hoạt động bình thường của máy tính và mạng máy tính. (được quy định tại các điều 224, 225, 226 Bộ luật Hình sự nước CHXHCNVN năm 1999). o Nhóm thứ hai: tội phạm sử dụng công nghệ cao gồm các tội phạm truyền thống được quy định trong Bộ luật Hình sự nước 3 CHXHCNVN 1999, khi thực hiện hành vi phạm tội, người phạm tội sử dụng các công cụ làm công cụ, phương tiện thực hiện hành vi phạm tội. Tội phạm máy tính: • Dựa trên bộ Luật Hình sự 1999 sửa đổi 2009: tội phạm
ĐỀ CƯƠNG PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH MỤC LỤC Câu 1: Khái niệm tội phạm cơng nghệ cao, tội phạm máy tính Câu 2: Các dạng tội phạm máy tính Câu 3: Một số hành vi tội phạm máy tính Câu 4: Các bước thực điều tra Câu 5: Thu thập phân tích chứng từ mạng 12 Câu 6: Thu thập phân tích chứng từ hệ thống 13 Câu 7: Thu thập phần tích chứng từ nguồn khác 16 Câu 8: Kỹ thuật, cơng nghệ phòng chống tội phạm máy tính 18 Câu 9: Nâng cao nhận thức người sử dụng phòng chống tội phạm máy tính 22 Câu 1: Khái niệm tội phạm công nghệ cao, tội phạm máy tính Tội phạm cơng nghệ cao: • Theo từ điển Bách khoa Công an nhân dân Việt Nam: o Tội phạm công nghệ cao loại tội phạm sử dụng thành tựu khoa học kỹ thuật công nghệ đại làm công cụ, phương tiện để thực hành vi phạm tội cách cố ý vô ý, gây nguy hiểm cho xã hội o Chủ thể người có trình độ học vấn, chun mơn cao, có thủ đoạn tinh vi, khó phát o Hậu gây tội phạm công nghệ cao không thiệt hại lớn mặt kinh tế, xã hội mà xâm hại tới an ninh quốc gia • Theo tổ chức Cảnh sát hình quốc tế Interpol: o Tội phạm công nghệ cao loại tội phạm sử dụng, lạm dụng thiết bị kỹ thuật, dây chuyền cơng nghệ có trình độ cơng nghệ cao công cụ, phương tiện để thực hành vi phạm tội o Tội phạm công nghệ cao gồm hai dạng: tội phạm máy tính tội phạm cơng nghệ thơng tin – điều khiển học • Theo tư pháp Mỹ: o Tội phạm công nghệ cao hành vi vi phạm pháp luật hình có liên quan đến việc sử dụng hiểu biết cơng nghệ máy tính việc phạm tội • Theo chuyên gia tội phạm học Việt Nam: o Nhóm thứ nhất: tội phạm cơng nghệ cao tội phạm mà khách thể tội phạm xâm hại tới hoạt động bình thường máy tính mạng máy tính (được quy định điều 224, 225, 226 Bộ luật Hình nước CHXHCNVN năm 1999) o Nhóm thứ hai: tội phạm sử dụng cơng nghệ cao gồm tội phạm truyền thống quy định Bộ luật Hình nước CHXHCNVN 1999, thực hành vi phạm tội, người phạm tội sử dụng công cụ làm công cụ, phương tiện thực hành vi phạm tội Tội phạm máy tính: • Dựa Luật Hình 1999 sửa đổi 2009: tội phạm máy tình hành vi vi phạm pháp luật người có lực trách nhiệm hình sử dụng máy tính để thực hành vi phạm tội, lưu trữ thông tin phạm tội xâm phạm tới hoạt động bình thường an tồn máy tính, hệ thống máy tính • Mọi loại tội phạm máy tính tội phạm cơng nghệ cao Câu 2: Các dạng tội phạm máy tính Chia làm dạng chính: Đánh cắp định danh a Giả mạo b Tấn công sử dụng phần mềm gián điệp c Truy cập trái phép liệu d Dựa vào thơng tin rác Rình rập, quấy rối Truy cập bất hợp pháp tới hệ thống máy tính liệu nhạy cảm Lừa đảo trực tuyến a Lừa đảo đầu tư b Lừa đảo giao dịch trực tuyến c Lừa đảo nhận/chuyển tiền d Vi phạm quyền liệu Phát tán tin rác, mã độc Đánh cắp định danh: • Theo Mỹ xác định: “tội phạm trộm cắp lừa đảo danh tính thuật ngữ dùng để loại tội phạm ăn cắp, gian lận, lừa dối sử dụng trái phép liệu cá nhân người khác” • Mục đích loại tội phạm thường lợi ích kinh tế, động tài chính, để mạo danh người khác, hủy hoại danh tính • Việc truy cứu trách nhiệm hình tội phạm loại cần xem xét tới phương tiện mà hành vi trộm cắp định danh sử dụng • Giả mạo: trình ăn cắp liệu cá nhân từ nạn nhân mục tiêu, thường thực qua email, thủ thuật ngày trở nên phổ biến o Tội phạm giả mạo khó điều tra nhiều nguyên nhân: nạn nhân thường bị mắc lừa việc xảy lâu; tội phạm sử dụng có kỹ ẩn dấu vết; hoạt động lừa đảo tiến hành thời gian hạn chế; trang web giả mạo thường thiết lập máy chủ công cộng máy tính thứ ba, trang web tháo dỡ tội phạm có đủ thơng tin cá nhân cần thiết • Tấn cơng sử dụng phần mềm gián điệp: o Tấn công: một chuỗi hành động cố gắng vượt qua an toàn hệ thống để truy cập vào liệu khơng có chủ quyền Có nhiều cách để cơng, bao gồm tìm kiếm lỗ hổng hệ điều hành, khai thác, công từ xa hợp pháp truy cập vào hệ thoongs mục tiêu… Tấn công liên quan tới thuật ngữ hacker mũ trắng, xám, đen (tự trình bày) o Phần mềm gián điệp: phục vụ mục tiêu thu thập liệu cá nhân từ máy tính mục tiêu, thường liên quan đến số phần mềm tải máy tính mục tiêu ▪ Các khả phần mềm gián điệp: ghi lại tên, mật người dùng, tổ hợp phím, trang web truy cập, chụp hình định kỳ, ghi lại hoạt động hình… Tấn cơng phần mềm gián điệp dễ bị điều tra giả mạo để lại dấu vết rõ ràng, liệu thu phải truyền tới đích • Truy cập liệu trái phép: hành vi truy cập liệu mà không phép Hành vi phổ biến phổ biến người có quyền hợp pháp số nguồn liệu cụ thể để truy cập liệu không phép sử dụng liệu cách so với cách họ ủy quyền • Dựa vào thơng tin rác: tội phạm thu thập thơng tin liệu từ phương tiện truyền liệu giấy, đĩa mềm, ổ đĩa… bị loại bỏ từ thùng rác Từ thu thập liệu cá nhân phục vụ mục đích xấu Rình rập, quấy rối: • Là loại tội phạm ngày phát triển, thủ phạm sử dụng Internet để sách nhiễu, đe dọa người khác • Mối đe dọa, quấy rối dựa yếu tố sau: o Độ tin cậy: mối đe dọa cho đáng tin cậy, phải có dấu hiệu hợp lý thực o Tần suất: mối đe dọa cô lập mối quan tâm mơ hình quấy rối đe dọa o Đặc trưng: đề cập đến thủ phạm liên quan đến chất mối đe dọa, mục têu mối đe dọa, phương tiện thực mối đe dọa o Cường độ: đề cập tới giai điệu chung truyền thông, chất ngôn ngữ, cường độ mối đe dọa Bất mối đe dọa lớn lên vượt q mức người bình thường nói, tình thù địch, mối đe dọa trở thành mối quan tâm lớn Truy cập bất hợp pháp tới hệ thống máy tính liệu nhạy cảm: • Tương tự loại tội phạm đánh cắp định danh, nhiên mục đích khác Các phương pháp thực tương tự đánh cắp định danh: thông qua hacking, phần mềm gián điệp, nhân viên truy cập liệu, thông qua phương tiện truyền thông liệu bị loại bỏ • Trộm cắp liệu khó khăn việc ngăn chặn nhân viên phép truy cập tới liệu, khó phân biệt truy cập phép trái phép Lừa đảo trực tuyến: • Lừa đảo đầu tư: phần tư vấn, môi giới đầu tư không hợp pháp, trào lưu mà không hoạt động tội phạm Phổ biến hình thức lừa đảo mơi giới chứng khốn, lừa đảo qua email giả danh người tiếng yêu cầu giúp đỡ việc chuyển giao tiền nước… Tội phạm thường khó điều tra: phải truy tìm lại email, email thường gửi từ tài khoản vơ danh nên khó theo dõi • Lừa đảo giao dịch trực tuyến: o Không giao hàng hóa: người mua gửi tiền người bán khơng giao hàng (dễ điều tra, truy tố) o Giao hàng có giá trị thấp so với quảng cáo: khó điều tra truy tố o Cung cấp hàng hóa không thời hạn o Không tiết lộ thông tin liên quan sản phẩm điều khoản người bán • Lừa đảo nhận/chuyển tiền: liên quan tới việc trao đổi lệnh chuyển tiền giả ký séc tiền thật • Vi phạm quyền liệu: hành vi trộm cắp tài sản trí tuệ, quyền phần mềm, hát, đoạn phim…Vi phạm quyền liệu thường vấn đề dân sự, giải tiền Phát tán tin rác, mã độc hại: • Phát tán tin rác hành vi gửi tin nhắn email chứa nội dung quảng cáo, marketing gửi cách ạt gây phiền toái cho người nhận Phát tán mã độc hành vi kẻ cơng sử dụng chương trình mã độc để lây nhiễm vào hệ thống, phần mềm nhằm mục đích phá hoại hệ thống đánh cắp thông tin trái phép Câu 3: Một số hành vi tội phạm máy tính Các hành vi tội phạm máy tính phổ biến bao gồm: trộm cắp thông tin, phát tán mã độc, lừa đảo, công trái phép Trộm cắp thơng tin o Giả mạo: q trình gửi email hàng loạt, mục đích từ số nguồn hợp pháp lôi kéo người nhận cung cấp thông tin cá nhân nhấn vào liên kết email tới trang web cung cấp thông tin cá nhân Hình thức phổ biến giả mạo website ngân hàng o Sử dụng phần mềm gián điệp: cài đặt phần mềm gián điệp vào máy tính mục tiêu thu thập thông tin trực tiếp từ bàn phím, mèn hình, hoạt động máy tính nạn nhân ▪ Phổ biến keylogger ▪ Tải phần mềm từ website khơng thống ▪ Sử dụng crack ▪ Một số phần mềm gián điệp sử dụng cho công leo thang đặc quyền Phát tán mã độc hại o Gửi email có đính kèm mã độc o Chèn mã độc vào website hợp pháp o Cài đặt chương trình phần mềm Lừa đảo o Lừa đảo thông qua giao dịch: gồm hành vi khơng giao hàng hóa, giao hàng có giá trị thấp so với quảng cáo, không tiết lộ thông tin liên quan sản phẩm điều khoản người bán ▪ khu vực giann lận giao dịch phổ biến Internet theo Ủy ban điện tử FTC: cò mồi, chào giá, bòn rút (tự phân tích) o Lừa đảo thông qua lôi kéo đầu tư kinh doanh bất hợp pháp o Lừa đảo đầu tư o Tư vấn đầu tư Tấn công trái phép o Tấn cơng thăm dò: thủ phạm tìm hiểu hệ thống muốn đột nhập, bao gồm hệ thống báo động, an ninh, hoạt động, tìm kiếm lỗ hổng để đột nhập vào ▪ Quét lỗ hổng o Tấn công hệ thống thiết bị mạng: ▪ Tấn công brute-force: xảy công cụ phần mềm sử dụng đơn giản mã hóa chữ cái, số biểu tượng crack mật Nó xuất nhật ký máy chủ số lần đăng nhập thất bại thời gian ngắn ▪ Tấn công từ điển: tập tin từ điển cho tập tin văn đơn giản chứa mật thường sử dụng Nó mật cụ thể liên quan đến mục tiêu nạp vào ứng dụng crack, chạy với tài khoản người dùng đặt ứng dụng o Tấn công vào CSDL ứng dụng Web: ▪ SQL Injection: hình thức cơng mà hacker nhập mã SQL trực tiếp vào form web nhu mục đăng nhập hay địa trình duyệt, với mục đích bẫy trang web vào trình mã SQL truy cập vào CSDL thực mã ▪ Tấn công XSS: kẻ công nhúng mã Javascript vào hyperlinks trang web, điều cho phép kẻ xâm nhập quyền kiểm sốt thơng tin cá nhân, trang web quảng cáo, tồi tệ truy nhập vào thơng tin tài khoản có quyền tham gia toàn trang web ▪ Chiếm quyền điều khiển: hành động kiểm soát phiên người dùng sau có thành cơng hay tạo xác thực ID Là kiểu cơng đòi hỏi mức độ cao kỹ kỹ thuật thường sử dụng là: brute – force, calculate, steal… Câu 4: Các bước thực điều tra tội phạm máy tính Bao gồm bước: Quan sát, bảo vệ trường vụ án Ghi lập tài liệu trường Bảo quản chứng Tiến hành điều tra Lập báo cáo điều tra Bước 1: quan sát, bảo vệ trường • Đảm bảo trường vụ án: tắt thiết bị hoạt động, ngăn khơng cho truy cập • Xác định khu vực phạm tội • Hạn chế số lượng người tiếp cận với trường tất tài liệu tương tác với trường vụ án: số trường hợp, hệ thống liên quan cần thiết cho hoạt động nạn nhân cần theo dõi Ví dụ máy chủ CSDL cơng ty bị hack liệu bị đánh cắp, họ cần máy chủ để tiếp tục hoạt động kinh doanh: triển khai máy chủ tạm thời, chép liệu tới ổ đĩa mới, gắn ổ đĩa lên máy chủ tạm thời tiếp tục cho hoạt động Bước 2: ghi lập tài liệu trường • Khơng chạm vào bát bắt đầu thu thập chứng • Ghi lại chứng thu thập được: o Quay video: ▪ Ghi lại toàn khung cảnh trường ▪ Phải nêu đầu vieo người làm đoạn băng chắn thời gian xác ▪ Nếu có tình tiết bật phải có nhận xét nó: cách thức kết nối gắn vào máy tính hay thiết bị khác, mơ tả phòng ▪ Cẩn thận với lời nói video o Chụp ảnh: ▪ Trình bày cách rõ nét chi tiết: ngày tháng chụp, thời gian chụp, địa điểm chụp => đảm bảo thiết lập ▪ Với số loại máy ảnh (máy ảnh số máy film 35mm) cần sử dụng tài liệu để ghi lại thông tin ▪ Theo “Crime Scene and Evidence Photographer’s Guide”: • Xây dựng quy trình hoạt động chuẩn • Bảo vệ hình ảnh kỹ thuật số ban đầu: nên thực thử nghiệm với sao; không để tập tin ban đầu • Bảo tồn ảnh định dạng ban đầu o Các dây cáp gắn vào máy tính cần phải tô màu để tránh nhầm lẫn: ▪ Ghi lại thiết bị gắn vào dây cáp ▪ Khi hoàn tất, ngắt kết nối thiết bị với • Các thơng tin cần ghi lại thành bảng kiện – tài liệu trường: 10 o o o o Mô tả thời gian, ngày tháng Các hành vi phạm tội Các vật chứng bị tịch thu Người xác nhận => Ngăn chặn mát, thiệt hại vật chất, tiêu hủy chứng Bước 3: bảo vệ chứng • Tại trường: o Đặt hạng mục thu vào túi chứng cứ, đánh dấu o Đeo găng tay chống tĩnh thu thập đưa vào túi chứng o Giữ chứng nguyên vẹn mang đến khu vực an toàn phận điều tra • Khi vận chuyển: o Không để nhân viên, điều tra viên khơng có nghĩa vụ đặt chứng xe họ o Dùng tủ khóa để bảo vệ chứng Nếu lượng chứng lớn cần đến phòng để bảo vệ o Bằng chứng phải bảo vệ an toàn, lưu ý nơi đặt chúng Ví dụ máy tính khơng đặt bên cạnh loa hộp lớn máy tính bị ảnh hưởng nam châm loa Lưu ý: liệu bị thay đổi cách nào, khơng chấp nhận tòa án Bước 4: tiến hành điều tra • Các cơng việc cần thực hiện: o Thu thập phân tích chứng từ linh kiện phần cứng o Thu thập phân tích chứng từ hệ thống 11 o Thu thập phân tích chứng từ email, điện thoại, thiết bị mạng… • Nhiệm vụ: tìm chứng phạm tội hành vi phạm tội, để từ quy trách nhiệm trước tòa án Bước 5: lập báo cáo điều tra • Mơ tả toàn bước tiến hành điều tra từ lúc bắt đầu kết thúc • Là hồ sơ lưu trữ cho công tác xử lý sau Câu 5: Thu thập phân tích chứng từ mạng Q trình thu thập phân tích chứng từ mạng bao gồm phân tích gói tin phân tích thống kê lưu lượng mạng Phân tích gói tin o Lắng nghe gói tin hoạt động mạng (thông qua máy nghe – sniffer) o Phân tích: giao thức, q trình bắt tay, lng thơng tin lưu chuyển mạng Từ q trình phân tích được: o Cấu tạo mạng Ai mạng Ai sử dụng băng thơng Khả bị công hành vi phá hoại Các ứng dụng không bảo mật Cần lưu ý vị trí đặt máy nghe: đặt máy nghe vị trí vật lý mạng máy tính, nơi có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với o Có nhiều cơng cụ hỗ trợ phân tích gói tin, phổ biến Wireshark, Ettercap… 12 Phân tích thống kê lưu lượng mạng o Đo lượng thông lượng mạng: ▪ Dữ liệu tối đa giây liên kết thông tin liên lạc hay truy cập mạng ▪ Ví dụ: chuyển mội tập tin lớn từ hệ thống sang hệ thống khác đo thời gian cần thiết để hồn tất Chia kích thước tập tin theo thời gian để có kết theo megabit, kilobit, bit giây Phát công lên băng thông mạng (tấn công DDOS) công chặn bắt thông tin hệ thống (tấn công ARP) o Các công cụ sử dụng đo băng thông sử dụng để xác định băng thông tối đa mạng kết nối internet: NetScp, Spirent Test Center, JDSU… Câu 6: Thu thập phân tích chứng từ hệ thống Q trình thu thập phân tích chứng từ hệ thống bao gồm trình thu thập liệu từ trình duyệt, nhật ký trò chuyện thu thập liệu từ file log hệ thống Dữ liệu từ trình duyệt, nhật ký trò chuyện o Bất kỳ ứng dụng sử dụng để giao tiếp Internet có khả chứa chứng cứ: trình duyệt web, email khách hàng, ghi trò chuyện o Tìm kiếm chứng trình duyệt: ▪ Lịch sử duyệt web ▪ Kiểm tra địa chỉ: địa ghi lại địa web mà tội phạm gõ vào ▪ Tìm kiếm thơng qua phần hiển thị: trình duyệt thường lưu lại thuật ngữ tìm kiếm nhập trước 13 Các tội phạm chun nghiệp thường khơng dùng biểu tượng trình duyệt hình máy tính nên cần tìm kiếm tất trình duyệt máy tính o Tìm chứng thơng qua nhật ký trò chuyện: chat room sử dụng để trao đổi thông tin tội phạm Các phần mềm chat (Yahoo, MSN, Wechat, Zalo…) thường giữ ghi tạm thời hội thoại => tìm kiếm manh mối có giá trị Thu thập liệu từ file log hệ thống o Windows log: ▪ Log ứng dụng: kiện đăng nhập ứng dụng ▪ Log bảo mật: việc sử dụng tài nguyên, số lần đăng nhập thành công/thất bại ▪ Log setup: kiện liên quan đến cài đặt ứng dụng ▪ Log hệ thống: kiện liên quan thành phần hệ thống ▪ Log kiện chuyển tiếp: kiện thu thập từ máy tính từ xa o Linux log: ▪ /var/log/faillog: thơng tin đăng nhập người dùng không thành công ▪ /var/log/kern.log: thông điệp từ nhân hệ điều hành ▪ /var/log/lpr.log: nhật ký máy in ▪ /var/log/mail.*: nhật ký máy chủ email ▪ /var/log/mysql: nhật ký máy chủ CSDL MySQL ▪ /var/log/apache2/*: hoạt động liên quan tới máy chủ web apache ▪ /var/log/apport.log: nhật ký ứng dụng bị treo ▪ /var/log/user.log: chứa ghi hoạt động người dùng 14 Phục hồi liệu bị xóa o Phục hồi liệu từ hệ điều hành Windows: khôi phục liệu từ thùng rác, từ ổ đĩa o Phục hồi liệu từ hệ điều hành Linux: ▪ Thông báo cho người dùng hệ thống: lệnh wall System is going down to… please save your work Press CTRL+D to send message ▪ Khởi động lại máy vào chế độ single user ▪ Sử dụng cú pháp: grep -b ‘search-text /dev/partition > file.txt grep -a -B[size before] -A[size after] ‘text’/dev/[your_partition] > file.txt Ví dụ: # grep -i -a -B10 -A100 nixCraft’ /dev/sda1 > file.txt ▪ Xem file.txt Các vị trí quan trọng cần kiểm tra hệ thống o Trong Windows: ▪ C:\Program Files: nơi cài đặt hầu hết chương trình, nơi thường tìm kiếm phần mềm gián điệp, công cụ hack, phần mềm liên quan đến tội phạm máy tính ▪ C:\Windows: nơi lưu trữ hệ điều hành ▪ C:\Windows\System32: chứa file hệ thống quan trọng DLLs ▪ C:\Users\username\Documents: vị trí mặc định tài liệu ▪ C:\Users\username\Pictures: vị trí mặc định lưu hình ảnh Windows ▪ C:\Users\username\Favorites: nơi Internet Explorer lưu trữ thư mục yêu thích người dùng, nơi tìm trang web mà tội phạm đánh dấu 15 ▪ C:\Users\username\Desktop: hình máy tính người dùng ▪ C:\Users\username\Downloads: vị trí mặc định cho chương trình tải từ Internet o Trong Linux: ▪ /home: tương tự thư mục C:\Users Windows ▪ /root: thư mục cho người quản trị có quyền root ▪ /var: chứa mục quản trị ghi, cần kiểm tra kỹ lưỡng ▪ /temp: chứa tập tin tạm thời ▪ /etc: chứa tập tin cấu hình, tội phạm thường thay đổi file cấu hình => cần so sánh tập tin cấu hình máy tính bị nghi ngờ với phiên lưu Câu 7: Thu thập phần tích chứng từ nguồn khác Q trình thu thập phân tích chứng từ nguồn khác bao gồm cơng việc như: truy tìm địa IP, chứng từ Email, thiết bị mạng, điện thoại di động, tường lửa, hệ thống phát xâm nhập Truy tìm địa IP o Sử dụng lệnh truy vấn địa chỉ: tracert, traceroute o Sử dụng Whois o Sử dụng Visual Route Chứng từ Email o Các phương pháp áp dụng: ▪ Theo dõi nguồn gốc Email: dựa vào tiêu đề, dựa vào công cụ ▪ Thu thập thông tin từ máy chủ Email: email bị xóa lưu lại máy chủ, liệu liên quan đến bên thứ – nhà cung cấp dịch vụ Internet (liên quan đến quyền) 16 Chứng từ thiết bị mạng o Kiểm tra switch, router để tìm chứng cứ: ▪ Kết nối trực tiếp đến cổng Console thiết bị ▪ Thiết lập kết nối thông qua mạng: sử dụng SSH ▪ Một số lệnh kiểm tra: show version, show running-config, show startup-config, show ip route Chứng từ điện thoại di động o Các thơng tin thu thập như: hình ảnh, video, tin nhắn văn bản, tin SMS, thời gian gọi, gọi nhận, gọi nhỡ, thời gian gọi, tên danh bạ, số điện thoại o Các quy tắc cần lưu ý điều tra: ▪ Luôn ghi lại nơi sản xuất, model, chi tiết tình trạng điện thoại ▪ Chụp lại hình ảnh ban đầu điện thoại ▪ Xem xét thẻ sim điện thoại Chứng từ tường lửa o Kiểm tra file log tường lửa: nhật ký kết nối mạng ghi lại kết nối thành công hay thất bại, nhật ký ứng dụng o Xem xét hệ thống tường lửa bị thỏa hiệp kẻ công hay chưa, xác định phương thức kẻ công sử dụng để thỏa hiệp (thực cách ghi lại nhớ RAM, xem xét ứng dụng, giao thức sử dụng, cấu hình hệ thống) Chứng từ hệ thống xâm nhập o Tương tự hệ thống tường lửa 17 Câu 8: Kỹ thuật, công nghệ phòng chống tội phạm máy tính Bao gồm: tường lửa, hệ thống IDS/IPS, ngăn chặn mã độc, mã hóa, số kỹ thuật, công nghệ khác Tưởng lửa o Là thiết bị hệ thống dùng để điều khiển luồng lưu thông vùng mạng máy tính mạng Cũng hiểu chế để ngăn cách bảo vệ mạng tin tưởng khỏi mạng không tin tưởng o Cơ chế hoạt động: kiểm sốt tất lưu thơng truy cập vùng cần bảo vệ: ▪ Những dịch vụ (port) bên phép truy cập từ bên ngược lại ▪ Những node mạng (user, địa IP) từ bên phép truy cập đến dịch vụ bên ngược lại o Phân loại: lọc gói, kiểm tra trạng thái, ứng dụng ▪ Tường lửa kiểm tra trạng thái lọc có kết hợp chặt chẽ với thông lấy từ lớp mơ hình OSI Nó cho phép client kết nối trực tiếp với server, có khả thực kiểm tra phần gói tin 18 Lọc gói Ứng dụng Ưu điểm • Giá thành thấp • Hoạt động nhanh • Có khả chống lại công từ chối dịch vụ, công tầng thấp • • • • Nhược điểm • Chỉ giới hạn kiểm sốt gói tin header • Khơng kiểm sốt thơng tin tầng cao (network trở lên) • Khả ghi log • Xác thực người dùng khó khăn Hoạt động tới lớp • Hoạt động chậm Có khả xác thực • Khơng phù hợp với đường truyền đòi hỏi tốc độ cao Ít bị cơng spoofing ứng dụng đòi hỏi Có khả ghi lại thời gian thực nhiều thông tin nhật ký • Khả hỗ trợ cho ứng dụng giao thức • Hệ thống IDS/IPS o Phát xâm nhập: trình giám sát kiện xảy hệ thống máy tính mạng phân tích chúng để tìm dấu hiệu xâm nhập dấu hiệu khả hệ thống bị xâm nhập o Phòng chống xâm nhập: hành vi hệ thống tự động ngăn chặn xâm nhập trái phép, có khả gây hại cho hệ thống o Hệ thống phát xâm nhập: phần mềm hay thiết bị chuyên dụng làm nhiệm vụ tự động thực hành động phát xâm nhập o Hệ thống phòng chống xâm nhập: phần mềm hay thiết bị chuyên dụng có khả phát xâm nhập ngăn chựn nguy gây an ninh 19 o Phương pháp phát hiện: dựa dấu hiệu, dựa bất thường, dựa phân tích trạng thái Nội dung Ưu điểm Dựa Hệ thống thu • Nhanh chóng dấu hiệu thập thông tin phát truy cập công so sánh với xác định trước mẫu dấu hiệu đặc • Giúp người quản trưng cơng trị theo dõi lưu công hệ thống • Ít tạo cảnh báo sai Dựa Các hoạt động • Có khả phát bất bình thường cơng thường hệ thống ghi nhận lưu lại • Khơng cần dựa thành hồ sơ vào mẫu có sẵn để theo dõi Nếu có phát hành động cơng khơng bình • Có thể dựa vào thường, hệ thống để bổ sung theo dõi, phân cơng mẫu tích để cảnh báo cơng Dựa Phân tích • Có thể phát phân tích hành vi giao công trạng thái thức sử dụng dựa giao giao sở biết thức thức định nghĩa hoạt động hợp lệ giao thức để nhận hành vi công Nhược điểm • Cần phải thường xuyên cập nhật mẫu cơng • Khơng có khả nhớ u cầu trước xử lý yêu cầu • Yêu cầu người quản trị cần phải hiểu biết nhiều cơng • Tạo nhiều cảnh bảo nhầm • Khơng thể phát cơng mà khơng vi phạm giao thức, ví dụ thực nhiều hành động với giao thức phép: Dos • Có thể hiểu nhầm vài giao thức phép sử dụng ứng dụng hệ thống đặc biệt thành hành động công 20 o Phân loại: network – based, host – based Network-based Host-based • Giám sát lưu thơng qua • Giám sát hành động, kiện mạng nhằm bảo vệ thiết bị host nhằm phát kiện phân đoạn mạng đặc bất thường host đó: biệt lưu thơng qua mạng, hệ thống log, tiến trình/ứng dụng • Phân tích hành động lớp hoạt động, thay đổi cấu hình mạng lớp ứng dụng để phát hệ thống ứng dụng bất thường • Được triển khai host, server, • Được triển khai đường desktop, laptop… biên mạng, gần firewall hay router, VPN server, remote access server, mạng không dây Ngăn chặn mã độc o Xử lý malware theo bước: ▪ Công tác chuẩn bị ▪ Nhận dạng phân tích ▪ Ngăn chặn, tiêu diệt khôi phục ▪ Công tác sau cố o Triển khai từ xuống: ▪ Ngăn chặn virus cửa ngõ ▪ Ngăn chặn virus điểm có nhiều giao dịch ▪ Hạn chế việc nhiễm virus desktop o Nguyên tắc chúng để phòng tránh chống virus: ngăn chặn đường lây nhiễm ▪ Áp dụng sách ▪ Nâng cao nhận thức ▪ Khắc phục lỗ hổng bảo mật, cập nhật vá lỗi thường xuyên ▪ Sử dụng giải pháp kỹ thuật: hệ thống anti-virus… 21 Mã hóa o Hai phương pháp: mã hóa đối xứng mã hóa bất đối xứng o Mã hóa đối xứng: ▪ Sử dụng khóa để mã hóa giải mã ▪ Xử lý nhanh độ an tồn khơng cao o Mã hóa bất đối xứng: ▪ Sử dụng hai khóa khác để mã hóa giải mã ▪ Xử lý chậm hơn, độ an tồn tính thân thiện quản lý khóa cao o Mã hóa thường có vai trò giao dịch điện tử, chữ ký điện tử, hệ thống PKI Các giải pháp khác o Sử dụng giải pháp xác thực mạng o Mạng riêng ảo o Dò quét, đánh giá điểm yếu o Chống công mạng không dây… Câu 9: Nâng cao nhận thức người sử dụng phòng chống tội phạm máy tính • Cần thường xuyên cập nhật hệ điều hành phần mềm • Sử dụng tài khoản quản trị viên • Sử dụng mật đủ mạng để đặt cho tài khoản • Cần xem xét cẩn thận trước nhấp vào liên kết hay tải xuống • Cần kiểm tra trước mở tệp đính kèm email hay hình ảnh • Khơng tin tưởng cửa sổ bật lên yêu cầu tài xuống phần mềm • Cẩn thận chia sẻ file web • Sử dụng phần mềm diệt virus 22 ... thông tin phạm tội xâm phạm tới hoạt động bình thường an tồn máy tính, hệ thống máy tính • Mọi loại tội phạm máy tính tội phạm công nghệ cao Câu 2: Các dạng tội phạm máy tính Chia làm dạng chính:... Tội phạm máy tính: • Dựa Luật Hình 1999 sửa đổi 2009: tội phạm máy tình hành vi vi phạm pháp luật người có lực trách nhiệm hình sử dụng máy tính để thực hành vi phạm tội, lưu trữ thông tin phạm. .. tính việc phạm tội • Theo chun gia tội phạm học Việt Nam: o Nhóm thứ nhất: tội phạm công nghệ cao tội phạm mà khách thể tội phạm xâm hại tới hoạt động bình thường máy tính mạng máy tính (được