Chương 1. Tìm hiểu tổng quan về điều tra số, quy trình thực hiện điều tra số. 3 1.1 Khái niệm về điều tra số 1.2 Mục tiêu và ý nghĩa của điều tra số 1.2.1 Mục tiêu của điều tra số. 1.2.2 Ý nghĩa của điều tra số 1.3 Các loại điều tra số 1.3.1 Điều tra số trên các thiết bị máy tính 1.3.2 Điều tra số trên mạng. 1.3.3 Điều tra số trên thiết bị di động 1.4 Quy trình điều tra số 1.4.1 Chuẩn bị 1.4.2 Tiếp nhận dữ liệu 1.4.3 Phân tích 1.4.4 Lập báo cáo 1.5 Tổng kết chương Chương 2. Tìm hiểu tổng quan về chứng cứ điện tử, quy trình và kỹ thuật thu thập chứng chứ điện tử. 2.1 Tổng quan về chứng cứ điện tử. 2.1.1 Sự ra đời 2.1.2 Hình thành các hành lang pháp lý 2.2 Quy trình thu thập chứng cứ điện tử. 2.2.1 Phân tích khái niệm chứng cứ điện tử. 2.2.2 Sự hình thành và quy trình thu thập. 2.3 Kĩ thuật thu thập chứng cứ điện tử. Chương 3. Thực hiện tình huống minh họa.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ THU THẬP PHÂN TÍCH THƠNG TIN AN NINH MẠNG TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ Ngành: Công nghệ thơng tin Chun ngành: An tồn thơng tin Hà Nội, 2019 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ THU THẬP PHÂN TÍCH AN NINH MẠNG TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ Sinh viên thực hiện: Nguyễn K T Mạc Đức N K Nguyễn Q K Trương Anh T Nguyễn Văn L Vương Đ B Người hướng dẫn: Khoa an tồn thơng tin– Học viện Kỹ thuật mật mã Hà Nội, 2019 Mục lục MỞ ĐẨU Ngày nay, khoa học công nghệ có bước phát triển mạnh mẽ chiều rộng lẫn chiều sâu Máy tính điện tử khơng coi thứ phương tiện quý mà trở thành công cụ làm việc, giải trí thơng dụng người khơng cơng sở mà chí gia đình Với bùng nổ cơng nghệ thơng tin việc bảo mật an tồn thơng tin đóng vai trò khơng thiếu ngành khoa học này, tổ chức doanh nghiệp lớn nhỏ tìm biện pháp để xây dựng củng cố cách hồn thiện hệ thống thơng tin nhằm tin học hóa hoạt động tác nghiệp đơn vị Hiện giới Việt Nam, quan, tổ chức trường học không ngừng đầu tư vào việc xây dựng cải thiện giải pháp củng cố an tồn thơng tin Chúng ta dễ dàng nhận tầm quan trọng tính tất yếu việc bảo vệ thơng tin nói chung ngành mật mã nói riêng quan người dung Với thiết bị điện tử có kết nối internet nào, từ điện thoại di động đến máy tính bảng, máy tính cá nhân, người dùng lúc nơi truy cập nắm bắt thông tin cần thiết quan hay mục đích việc bị cơng đánh cắp liệu tin tặc tránh khỏi Điều hoàn toàn giải đảm bảo hệ thơng an tồn… Chương Tìm hiểu tổng quan điều tra số, quy trình thực điều tra số 1.1 Khái niệm điều tra số Trong lĩnh vực an tồn thơng tin, Digital Forensics hay gọi điều tra số cơng việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo thiết bị số (máy tính, điện thoại, thiết bị thơng minh, ) nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng q trình điều tra Máy tính ngày cảng trở nên mạnh mẽ, vậy, Iĩnh vực điều tra số phải có phát triển tương xứng Trong ngày đầu có máy tính, dễ để nhân viên điều tra tìm file dung lượng lưu trữ thấp Ngày nay, với dung lượng lưu trữ ỗ đĩa lên tới gigabyte, chí terabyte liệu, cơng việc lại khó khăn Điều tra viên phải tìm phương pháp khác để tìm kiểm chứng mà dùng tới nhiều nguồn cho q trình điều tra, nâng cao tính hiệu cho trình điều tra Một điều tra số thông thường điều tra từ liệu lấy từ phần cứng máy tính hay thiết bị lưu trữ khác, việc điều tra thực thành thủ tục sách tiêu chuẩn hóa nhằm xác định liệu thiết bị mật có bị truy cập trái phép bay khơng Việc điều tra nhóm điều tra thực sử dụng phương pháp khác (như phân tích tĩnh hay động), công cụ khác Để điều tra thành cơng, nhóm điều tra phải có kiến thức chuyên môn nhiều lĩnh vực khác từ kiến thúc kiểu hệ điều hành (Windows, Linux, Mac OS), dạng mã độc, chế ghi nhận quản lý log thiết bị , mẫu hoạt động bất thường góc độ nhớ, mạng, đến mức có kiến thức điều luật tổ chức pháp Iý tương ứng Lĩnh vực điều tra số mẻ Những ngày đầu máy tính, tòa án coi chứng từ máy tính khơng khác so với loại chứng khác Khi máy tính ngày trở nên phát triển phức tạp hơn, suy nghĩ thay đổi, tòa án biết chứng tội phạm dễ dàng bị thay đổi, bị xóa bị phá hỏng Điều tra viên nhận cần thiết phải phát triển cơng cụ giúp việc điều tra chứng máy tính mà khơng làm ảnh hưởng tới thông tin Họ bắt tay làm việc với nhà khoa học máy tính, lập trình viên đề luận phương pháp công cụ phù hợp mà họ cần phải truy hỏi thông tin từ máy tính Từ đó, họ phát triển phương pháp đề hình thành nên lĩnh vực điều tra số Mục tiêu ý nghĩa điều tra số 1.2.1 Mục tiêu điều tra số Mục tiêu cốt lõi điều tra số phát hiện, bảo quản, khai thác, tài liệu hóa đưa kết luận liệu thu thập Dữ liệu thu phải đảm bảo tính xác thực, tính tồn vẹn khơng liệu lấy khơng ý nghĩa Giả sử, A quản trị viên website www.thuongmaidientu.com, ngày website A cách khôi phục lại website lúc đầu đồng thời củng cố để tránh việc công lại bị tái diễn, xác định kẻ công Đây lúc A cần phải dựa vào chứng từ tập tin nhật ký (log) chứng khác thu thập từ máy chủ để xác định việc diễn với hệ thống Đây ví dụ điển hình, ngồi trường hợp khác phát mã độc máy tính, kiểm tra bất trường mạng, phát xâm nhập,… Nói chung điều tra số giúp xác định nguyên nhân cố đưa biện pháp giải Điều tra số có ứng dụng quan trọng khoa học điều tra cụ thể Về mặt kỹ thuật: điều tra số giúp xác định xảy làm ảnh hưởng tới hệ thống đồng thời qua phát ngun nhân hệ thơng, bị xâm nhập, hành vi, nguồn gốc vi phạm xảy hệ thông Về mặ pháp lý: điều tra số giúp cho quan điều tra tố giác tội phạm công nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hanh vi vi phạm 1.2.2 Ý nghĩa điều tra số 1.2 Khơng có đảm bảo cho hệ thống mạng máy tính tuyệt đối an tồn trước nguy cơ, rủi ro, công ác ý tội phạm mạng Quy trình xử lý cố, phục hồi chứng truy tìm dấu vết tội phạm cần phải tiến hành cách chuyên nghiệp nhằm đem lại chứng xác Một điều tra số tiến hành nhằm: + Xác định nguyên nhân hệ thống công nghệ thông tin bị công, từ đưa giải pháp khắc phục điềm yếu nhằm nâng cao trạng an toàn hệ thống + Xác định hành vi tội phạm mạng máy tính đã, làm hệ thống mạng máy tính Trong thực tế, thiệt hại tiềm ẩn cơng gây rò rỉ thơng tin, hay làm tính sẵn sàng hệ thống việc hệ thống bị nằm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thơng tin, biến hệ thống mạng máy tính thành cơng cụ cơng hệ thống khác, Việc tiến hành điều tra số nhằm xác định xác hoạt động mà tội phạm mạng tác động vào hệ thống ngăn ngừa rủi ro khác xảy + Khôi phục thiệt hại mà công vào hệ thống mạng máy tính gây ra: phục hồi liệu, thông tin lưu trữ hệ thống bị phá hoại có chủ đích Thực điều tra tội phạm, tìm kiếm chứng số nhằm vạch trần tội phạm công nghệ cao, hoạt động gian lận, gián điệp, vi phạm phép luật 1.3 Các loại điều tra số 1.3.1 Điều tra số thiết bị máy tính Điều tra số máy tính nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý tìm thấy máy tính phương tiện lưu trữ kỹ thuật số Mục đích điều tra máy tính nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại việc ý kiến thông tin từ thiết bị kỹ thuật số tiến hành điều tra thành phần như: - Điều tra nhớ (Memory Forensics): phương thức điều tra máy tính việc ghi lại nhớ khả biển (bộ nhớ RAM) hệ thống sau tiền hành phân tích làm rõ hành vi xảy hệ thông Cụ thể hơn, cố gắng sử dụng kiến trúc quản lý nhớ máy tính để ánh xạ, trích xuất tập tin thực thi cư trú nhớ Những tập tin thực thí sử dụng để chứng minh hành vi tội phạm xảy để theo dõi diễn Cơng cụ sử dụng: Dumpit, Strings, The Sleuthkit Win32dd, ForemostL, Volaulity, Mandiant Redline, DFF Hình 1.1 Sử dụng Volaulity liệt kê tiến trình chạy hệ thống - Điều tra Registry: Đây loại hình điều tra liên quan đến việc trích xuất thơng tin ngữ cảnh từ nguồn liệu chưa khai thác qua biết thay đổi (chỉnh sửa, thêm bớt ) liệu Register Công cụ thường dùng: MuiCache View, Process Monitor, Regshot, USBDcvikev - Điều tra hệ hệ thống (File System Forensics): Đây loại hình điều tra liên quan đến file hệ thông hệ điều hành windows, linux - Điều tra ứng dụng (Application Forensics): Là loại hình điều tra phân tích file log ứng dụng Email, liệu trình duyệt Skype, Yahoo… Qua trích xuất ghi lưu trữ ứng dụng phục vụ cho việc điều tra tìm kiếm chứng Cơng cụ thường dùng: ChromeCacheView, MozillaCookiesView, MyLastSearch, PasswordFox, SkypeLogView… Hình 1.2 SkypeLogView xem liệu trao đổi qua đường truyền - Điều tra ổ đĩa (Disk Forensics): Là việc thu thập, phân tích liệu lưu trữ phương tiện lưu trữ vật tý, nhằm trích xuất liệu ẩn, khơi phục tập tin bị xóa qua xác định người tạo rê thay đôi đữ liệu thiết bị để phân tích Các cơng cụ thường dùng : ADS Locator, Disk Investigator, Disk Detector, FTK,P Passware Encryption Analyzec … Hình 1.3 Passware Encryption Analyzec xác định file bảo vệ mật 1.3.2 Điều tra số mạng Điều tra mạng nhánh khoa học điều tra số liên quan đến việc giám sát phân tích lưu lượng máy tính nhằm phục vụ cho thu nhập thơng tin, chứng pháp lí phát xâm nhập vào hệ thống máy tính Điều tra mạng thực điều tra độc lập kết hợp với điều tra máy tính, thường sử dụng để phát mối liên kết thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội Điều tra mạng bao gồm việc chặn bắt, ghi âm phân tích kiện mạng để khám phá nguồn gốc công cố vấn đề Khơng giống loại điều tra số khác, điều tra mạng xử lí thơng tin dễ thay đổi biến động Lưu lượng mạng truyền khơng lưu lại, đó, việc điều tra mạng phải linh hoạt chủ động Các công cụ sử dụng : WireShark, Tepdump, Networkminer, Wildpackets, Xplico, Snort, … Hình 1.4 Sử dụng WireShark phân tích cơng Teadrop 1.3.3 Điều tra số thiết bị di động Điều tra số thiết bị di động (Mobile Device Forensics): nhánh khoa học điều tra số liên quan đến việc thu hồi chứng kỹ thuật số liệu thiết bị di động Thiết bị di động không đề cập đến điện thoại di động mà thiết bị kỹ thuật số có nhớ khả giao tiếp, bao gồm thiết bị PDA, GPS máy tính bảng Việc sử dụng điện thoại với mục đích phạm tội phát triển mạnh năm gần đây, việc nghiên cứu điều tra thiết bị di động lĩnh vực tương đối Sư gia tăng loại hình điện thoại di động thị trường đòi hỏi nhu cầu giám định tính an tồn thiết bị mà đáp ứng kỹ thuật điều tra máy tính Cơng cụ thường dùng để điều tra số thiết bị di động: WPDevice Manager, Pwnage Tool, Oxygen, Apktool, Iphone,WireShark,… Hình 1.5 Sử dụng WPDevice để trích xuất SMS Quy trình điều tra số Điều tra số nhánh điều tra pháp y đòi hỏi việc điều tra phải tuân theo quy trình chặt chẽ để đảm bảo trình điều tra đạt hiệu tốt Quy trình điều tra số gồm có bước: chuẩn bị, tiếp nhận liệu, phân tích, báo cáo 1.4.1 Chuẩn bị 1.4 Bước thực việc mơ tả lại thơng tin hệ thống, xảy ra, dấu hiệu, để xác định phạm vi điều tra, mục đích tài nguyên cần thiết sử dụng suốt trình điều tra Kiểm tra xác minh: Khi bắt đầu trình điều tra nhiệm vụ Ở giai đoạn việc kiểm tra xác minh cung cấp nhìn bao qt thơng tin liên quan đến hệ thống bị công, thông tin hạ tầng mạng, chế bảo vệ thệ thống đó, ứng dụng ngăn chặn virus hệ thống, thiết bị mạng (tường lửa, IDS, router…) triển khai Mơ tả hệ thống: Sau hồn thành nhiệm vụ kiểm tra xác minh tiến hành mô tả chi tiết thông tin hệ thống thời gian hệ thống bị 10 tin biểu diễn dạng số, bao gồm: system logs, audit logs, application logs, network logs , file hệ thống Đồng thời file người dùng tạo có giá trị chứng minh hoạt động tội phạm, siêu liệu file thể rõ trình tạo, thay đổi nội dung file Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers)cho rằng: chứng điện tử ảnh vật lý logic thiết bị, ảnh logic chứa phần toàn liệu chụp tiếntrình chạy Điều tra viên phải dùng công cụ chụp ảnh pháp luật công nhận Trường hợp liệu cục mà liệu từ xa, điều cần thiết phải có người có thẩm quyền lấy liệu trao cho tòa án xác nhận, quan điều tra phép truy cập điều tra liệu Mặt khác quy trình phát hiện, thu thập, điều tra, bảo quản phải khách quan, tuân thủ đạo luật tòa án cơng nhận Và bên thứ ba lặp lại quy trình thu kết Để khách quan hơn, việc đánh giá mức độ rủi ro dựa yếu tố kỹ thuật phi kỹ thuật cần thiết Chẳng hạn chứng tiềm mà lưu thiết bị đặc biệt lịch sử công trước kẻ bị tình nghi Quan điểm Việt Nam Quá trình thực hành vi phạm tội tội phạm công nghệ cao để lại dấu vết điện tử Đây liệu tồn dạng tiến hiệu kỹ thuật số Nó tạo cách tự động, khách quan nhớ thiết bị điện tử Theo luật Tố tụng hình năm 2015 có quy định: Điều 99 Dữ liệu điện tử: Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền nhận phương tiện điện tử Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thơng, đường truyền nguồn điện tử khác Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo, lưu trữ truyền gửi liệu điện tử; cách thức bảo đảm trì tính tồn vẹn liệu điện tử; cách thức xác định người khởi tạo yếu tố phù hợp khác 18 Trong văn quy định Luật giao dịch điện tử làm rõ số khái niệm có liên quan như: Dữ liệu: thơng tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự Phương tiện điện tử: phương tiện hoạt động dựa công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ Trao đổi liệu điện tử (EDI - electronic data interchange): chuyển thơng tin từ máy tính sang máy tính khác phương tiện điện tử theo tiêu chuẩn thỏa thuận cấu trúc thông tin Thông điệp liệu: thông tin tạo ra, gửi đi, nhận lưu trữ phương tiện điện tử Thơng điệp liệu có giá trị văn thơng tin chứa thơng điệp truy cập, sử dụng để tham chiếu cần thiết nội dung thông điệp liệu bảo đảm tồn vẹn, khơng bị thay đổi Giá trị chứng thông điệp liệu xác định, vào độ tin cậy cách thức khởi tạo, lưu trữ truyền gửi, cách thức bảo đảm trì tính tồn vẹn, cách thức xác định người khởi tạo yếu tố phù hợp khác 2.2.2 Sự hình thành a Sự hình thành quy trình thu thập Một nguồn chứng quan trọng vụ án sử dụng công nghệ cao để phạm tội vật chứng (thường thiết bị kĩ thuật số) thu giữ nơi tội phạm xảy ra, mang dấu vết tội phạm: Những thơng tin máy tính tạo “cookies”, “URL”, web server logs, Email logs… ; thông tin điện tử người tạo lưu giữ máy tính thiết bị điện tử khác, văn bản, bảng biểu, hình ảnh, thơng tin lưu giữ dạng tín hiệu điện tử Tuy nhiên, hầu hết đối tượng sử dụng công nghệ cao để phạm tội có nhận thức pháp luật hiểu biết cơng nghệ cao, thực hành vi phạm tội có thủ đoạn tinh vi để che giấu thông tin phạm tội, phát nguy bại lộ chúng nhanh chóng xóa bỏ dấu vết để chối tội (như xóa liệu có liên quan) b Quy trình thu thập chứng điện tử B1: Tắt chương trình bảo vệ điều tra trường vụ án 19 Để thu thập chứng điện tử, đầu tiên, tắt chương trình bảo vệ khỏi trường vụ án để điều tra; cắt đứt liên lạc với giới bên ngoài; dừng thiết bị điện tử có liên quan; thu thập băng video thiết bị điện tử có liên quan trường, đưa tất thứ vào hồ sơ lúc B2: Bảo vệ thiết bị điện tử Kiểm tra thiết bị điện tử có liên quan thực biện pháp để bảo vệ thiết bị trước thiệt hại B3: Kiểm tra sơ thiết bị điện tử Các nhân viên có liên quan kiểm tra sơ thiết bị điện tử (như hệ thống, phần mềm & phần cứng thông số khác) thực chuẩn bị có liên quan, để thu thập chứng thuận lợi bước B4: Bằng chứng điện tử dự phòng Trước thu thập sửa chữa, chứng điện tử lưu để tránh thiệt hại chứng qua trinh điều tra sau B5: Lấy sửa chứng điện tử Sau bước chuẩn bị, nhân viên liên quan cho phép xử lý chứng điện tử với công nghệ công cụ pháp lý Bằng chứng điện tử thu phải khắc phục kịp thời để ngăn chặn hư hỏng mát trình thu thập Trong trình sửa lỗi, hư hỏng không phép liệu gốc thiết bị điện tử Ngoài ra, hình ảnh liên quan chụp quay video trình lấy sửa Đồng thời, chi tiết liên quan ghi lại tính tồn vẹn tính xác thực chứng điện tử B6: Bảo quản chứng tình bất ngờ Trong trường hợp có trường hợp bất ngờ khác (ví dụ, khơng có chứng liên quan có thiết bị cơng cụ để lấy chứng liên quan), thiết bị điện tử có liên quan bảo quản cách đưa 20 khỏi trường vụ án để lấy chứng Tuy nhiên, lý để đưa thiết bị khỏi trường phải giải thích hồ sơ liên quan B7: Ghi lại thông tin liên quan Bước cuối để thu thập chứng điện tử ghi lại chứng thu thập được, ghi nguồn nó, lấy thời gian & quy trình, tên người lấy số thơng tin khác, để đảm bảo tính xác thực hợp pháp việc thu thập chứng điện tử 2.3 Kĩ thuật thu thập chứng điện tử Các giai đoạn thu thập chứng điện tử Trên giới tội phạm máy tính (hay gọi tội phạm mạng) n phát triển mạnh Ở Việt Nam, tội phạm mạng phát triển chưa nhiều, có nhiều dấu hiệu cho thấy tính chấtnguy hiểm nó, ảnh hưởng lớn tới phát triển lĩnh vực cơng nghệ thơng tin nói riêng đờisống kinh tế - xã hội nói chung Tội phạm mạng loại tội phạm gây án thông qua phương tiện điện tử Do đó, để truy tìm tộiphạm mạng cần phải có chứng điện tử Theo điều 64 Bộ luật Tố tụng hình năm 2003của Quốc hội Việt Nam chứng có thật, thu thập theo trình tự, thủ tục dùng làmcăn để xác định có hay khơng có hành vi phạm tội, tình tiết cần thiết cho việc giải quyếtđúng đắn vụ án Vậy việc thu thập chứng điện tử diễn để đảm bảo yêu cầu pháplý? Bài viết xin giới thiệu giai đoạn q trình thu thập, xử lý chứng điện tử, là: - Chuẩn bị liệu chứng cứ; - Xác định chứng cứ; - Phân tích chứng cứ; Trước thực ba giai đoạn trên, người điều tra cần thành lập bảng số liệu báo cáo mànội dung tạo trước bổ sung thêm q trình thu thập chứng Các bảngđó bao gồm: 21 - Bảng 1: Bảng liệu dẫn tìm (Search Lead Table) chứa danh sách đối tượng cần thu thậptrong mơi trường mạng, mơi trường đĩa cứng Ví dụ: + Xác định liệt kê tất mục E-mail bị xóa+ Tìm kiếm file, tài liệu liên quan đến dấu hiệu khiêu dâm trẻ em+ Cấu hình thu giữ sở liệu cho việc khám phá liệu+ Khôi phục tất file bị xóa đường dẫn liên quan - Bảng 2: Bảng liệu cần chuẩn bị (Extracted Data Table) danh sách chứa mục đãđược chuẩn bị thu thập phép xác định liệu phù hợp với yêu cầu chứng Ví dụ: + Xử lý chụp ảnh ổ đĩa cứng để sử dụng xử lý nội dung+ Lưu trữ file registry cài đặt trình xem xét registry phép kiểm tra chứng trongdanh mục registry + Nắm bắt tập sở liệu để nạp vào máy chủ sẵn sàng cho khám phá liệu - Bảng 3: Bảng liệu thích đáng (Relevant Data Table) chứa danh sách liệu phù hợp vớiyêu cầu chứng Chẳng hạn, yêu cầu chứng tìm liên quan đến thẻ tín dụng số thẻ, ảnh thẻ, email trao đổi thẻ tín dụng, nhớ đệm web chứa đựng thông tin ngàytháng, thời gian cách thức tìm ra, sử dụng số thẻ thẻ tín dụng liệu thích đáng cho chứng Ngồi khơi phục lại thơng tin nạn nhân liệu thích đáng, đồng thời tạo điều kiện cho việc thông báo đến nạn nhân bị xâm hại Các giai đoạn kĩ thuật thu thập trứng điện từ 22 Giai đoạn 1: Chuẩn bị liệu chứng (Preparation /Extraction) 23 Giai đoạn 2: Xác định chứng (Identification) 24 Giai đoạn 3: Phân tích chứng (Analysis) Để đấu tranh phòng chống loại tội phạm mạng cần có giải pháp đồng từ hành lang pháp lý, chế hợp tác khả năng lực cán điều tra 25 Các văn pháp quy luật giao dịch điện tử, luật công nghệ thông tin cần phải quy định đầy đủ, chi tiết cụ thể cho hành vi phạm tội loại hình phạm tội mạng Cần có chế hợp tác, cộng tác với nhà cung cấp dịch vụ lớn mạng như: Yahoo, Google, Youtube, Fpt, VDC… Lực lượng cảnh sát chống tội phạm mạng cần phải trang bị thiết bị điện tử - tin học đại kể phần cứng phần mềm, cần đào tạo trình độ cao điện tử - tin học - viễn thông 26 Chương Thực tình minh họa Để phát kịp thời công mạng, cung cấp nguồn liệu điều tra xử lý cố an tồn thơng tin hệ thống giám sát an ninh mạng giải pháp tối ưu Bộ công cụ giám sát an ninh mạng mã nguồn mở AlienVault đáp ứng hầu hết yêu cầu hệ thống Do sử dụng học tập nghiên cứu Trong nội dung thực hành ứng dụng AlienVault để thu thập phát công cho máy chủ chạy hệ điều hành Windows Server Linux web server Mơ hình Trong mơ hình trên: máy chủ chạy hệ điều hành giám sát AlienVaul kết nối vào mạng nội Và kết nối với máy vật lý Windows để quản trị Máy Kali kết nối vào mạng để công Máy Server 2003 CentOS chạy dịch vụ Remote Desktop web Giao diện sau cài đặt thành công truy cập trình duyệt web từ máy quản lý 27 Thực công vào mật máy Server 2012 Sử dụng máy trạm Kali Linux để công từ điển mật vào tài khoản Administrator Server 2012 Trên máy Kali: Bật công cụ xhydra để công mật từ điển Trong Tab Target nhập địa IP máy Server 2003, nhập cổng dịch vụ Remote Desktop 3389, giao thức rdp: Trong Tab Passwords chọn tài khoản cần công: Administrator Với mật từ điển chứa tệp tin: /pass.txt 28 29 Chuyển sang Tab Start nhấn vào nút Start để bắt đầu công 30 Chuyển sang giao diện web quản trị AlienVault với chức giám sát thời gian thực, phát kiện công Từ kiện biết địa đích cơng nguồn bị công Với dấu hiệu nhiều kiện xác thực khơng thành cơng, kết luận máy Server 2012 bị công vào mật Thực công quét lỗ hổng mã nguồn website Lúc sử dụng thêm máy win 10 để cài đặt công cụ Acunetix Web Vulnerability Scanner quét lỗ hổng website máy Linux CentOS Sử dụng trình duyệt web để truy cập thử vào trang web có máy chủ CentOS 31 Cài đặt sử dụng công cụ Acunetix Web Vulnerability Scanner để quét lỗ hổng Chuyển sang website quản trị AlienVaul trạng thái phân tích thời gian thực phát dấu hiệu Cùng thời điểm có nhiều request vào webserver AlienVault hiểu lỗi 400 Như sử dụng công cụ giám sát an ninh mạng AlienVault giám sát hành vị thời gian thực tác động vào máy chủ, máy trạm cài phần mềm giám sát 32