Bài giảng Pháp chứng kỹ thuật số - Bài 4: Các kỹ thuật che giấu và tiêu hủy dữ liệu trên máy tính cung cấp cho người học các kiến thức: Chống điều tra kỹ thuật số, các thủ đoạn chống điều tra kỹ thuật số, mã hóa dữ liệu, mã hóa và giải mã dữ liệu,... Mời các bạn cùng tham khảo.
PHÁP CHỨNG KỸ THUẬT SỐ Bài 4: Các kỹ thuật che giấu và tiêu hủy dữ liệu trên máy tính Giảng viên: TS. Đàm Quang Hồng Hải Chống điều tra kỹ thuật số • • Anti Forensics – chống điều tra kỹ thuật số là các kỹ thuật được sử dụng để đối phó để việc tìm kiếm và thu thập các chứng cứ số trong điều tra Sử dụng các kỹ thuật làm ảnh hưởng đến sự tồn tại, số lượng và chất lượng của chứng cứ số thu được tại hiện trường vụ án, điều này làm cho việc phân tích và kiểm tra chứng cứ gặp khó khăn hoặc khơng thể thực hiện được. Mục đích của Anti forensics Các cơng cụ Anti Forensic khiến cơng việc truy hồi chứng cứ trong q trình điều tra trở nên khó khăn hơn hoặc thậm chí là khơng thể thực hiện được Các thủ đoạn chống điều tra kỹ thuật số • Người ta chia các thủ đoạn chống điều tra kỹ thuật số ra các loại như sau: • Che giấu các dữ liệu có chứng cứ số • Xóa các chứng cứ số • Làm sai lạc các dấu vết • Dùng phần mềm chống các quy trình và các cơng cụ điều tra kỹ thuật số Che giấu các dữ liệu có chứng cớ • Ẩn các dữ liệu có chứng cớ là q trình làm cho dữ liệu khó tìm với người lạ trong khi cũng giữ nó dễ tiếp cận với người chủ để còn sử dụng trong tương lai. • Mã hóa dữ liệu • Kỹ thuật giấu dữ liệu • Ẩn giấu các file dữ liệu Mã hóa dữ liệu • • • Mã hóa (Cryptography ) là một cách giấu dữ liệu thơng dụng. Khi dữ liệu được mã hóa, người ta có thể sử dụng các thuật tốn phức tạp để khiến dữ liệu khó có thể đọc được. Mã hóa có hai q trình ngược chiều nhau là mã hóa (Encrypt) và giải mã (Decrypt) dựa vào một chìa khóa bí mật (key). Các thuật tốn mã hóa càng phức tạp, càng mất thời gian giải mã nó mà khơng có mã số. Các thuật tốn mã hóa có thể bị phá nhưng phải tốn nhiều thời gian và cơng sức Mã hóa và giải mã dữ liệu Kỹ thuật mã hóa dữ liệu • • • Thơng thường khi mã hóa, người ta thiết lập mật khẩu cho tập tin hoặc thư mục, đây là cách an tồn nhất cho việc mã hóa và bảo vệ dữ liệu. Tập tin hoặc thư mục sẽ được mã hóa và chỉ có thể mở hoặc sử dụng bằng cách khai báo mật khẩu Người ta hay dùng mã hóa các file bằng các phần mềm nén file (zip) có dùng mật khẩu Nếu khơng có mã số, Pháp chứng viên sẽ phải sử dụng đến các chương trình chun dụng để có thể bẻ khóa. Mã hóa khi nén file zip Tạo một ổ đĩa logic mã hóa • • • Người ta có thể tạo ổ đĩa ảo được mã hóa hoặc mã hóa tồn bộ một ổ đĩa logic của mình (bao gồm cả ổ cài đặt Windows). Dữ liệu được lưu trữ trên ổ đĩa đã được mã hóa (encryption volume) khơng thể đọc được nếu người dùng khơng cung cấp đúng khóa mã Dữ liệu tự động được mã hóa hoặc giải mã ngay khi được ghi xuống ổ đĩa đã được mã hóa hoặc ngay khi dữ liệu được nạp lên mà khơng có bất kỳ sự can thiệp nào của người dùng Giấu file trong các file • • • Có thể giấu một file bên trong file khác. Executable files –là những file máy tính chạy được có thể giấu trong các file khác Những chương trình được gọi là packer có thể lồng các executable file vào các file loại khác, trong khi các cơng cụ binder có thể gắn kết rất nhiều executable file lại với nhau Xóa các chứng cứ số • • Sử dụng các phần mềm xóa sạch chứng cứ số qua đó loại bỏ vĩnh viễn các tập tin cụ thể hoặc tồn bộ File system. Việc xóa các chứng cứ số có thể được thực hiện thơng qua việc sử dụng các phần mềm như: • Phần mềm xóa sạch tập tin • Phần mềm làm sạch đĩa, • Cơng nghệ khử từ, xóa sạch ổ đĩa Phần mềm xóa sạch tập tin • • • File wiping utilities – Phần mềm xóa sạch tập tin được sử dụng để xóa các tập tin cá nhân từ một hệ điều hành. Ưu điểm của Phần mềm xóa sạch tập tin có thể hồn thành cơng việc nhanh chóng. Một số phần mềm: BCWipe, RWipe & Clean, Eraser, Aevita Wipe & Delete, PrivacySuite Phần mềm Privacy Suite của Cyberscrub Phần mềm làm sạch đĩa • • • Disk cleaning utilities Phần mềm làm sạch đĩa sử dụng nhiều phương pháp để ghi đè lên dữ liệu hiện có trên đĩa Phần mềm làm sạch đĩa sẽ vĩnh viễn xóa sạch các file bị xóa và đảm bảo khơng thể đọc lại các thơng tin Một số phần mềm thơng dụng: TuneUp Disk Cleaner, DBAN (Darik's Boot and Nuke), BCWipe, KillDisk, PC Inspector, cyberCide. TuneUp Disk Cleaner Cơng nghệ khử từ, xóa sạch ổ đĩa Làm sai lạc các dấu vết • • • Mục đích của làm sai lạc các dấu vết là để gây nhầm lẫn, nghi ngờ và làm chuyển hướng q trình điều tra số. Làm sai lạc các dấu vết bao gồm một loạt các kỹ thuật và các cơng cụ như làm thay đổi thơng tin đăng nhập, làm giả mạo và tạo thơng tin sai lạc Dùng phần mềm thay đổi Metadata (lý lịch dữ liệu) được đính kèm với file. Nếu Metadata đã bị hủy hoại, việc chứng minh bằng chứng trở nên khó khăn hơn Phần mềm thay đổi Header của file • • • • Dùng phần mềm đánh lừa bằng cách thay đổi thơng tin trong header của file. Header thường được ẩn với mọi người nhưng nó thực sự quan trọng khi nó thơng báo cho máy tính loại file mà nó đang được gắn với Pháp chứng viên đang tìm kiếm một định dạng file cụ thể có thể bỏ qua thơng tin quan trọng bởi Header của file đã bị thay đổi như khơng liên quan tới thơng tin cần tìm kiếm Phần mềm: Transmogrify File Header Metadata của file • Metadata bao gồm thơng tin giống như khi một file được tạo ra hoặc lần file được thay đổi cuối cùng Sử dụng các phần mềm bảo vệ hệ thống • • Nghi phạm có thể dủng phần mềm cài trên máy chống các quy trình và các cơng cụ điều tra kỹ thuật số Sử dụng ứng dụng tự động xóa dữ liệu khi có người khơng được quyền truy cập hệ thống vào Phần mềm tự xóa dữ liệu • • • Các phần mềm giúp người chủ máy tính, Laptop hay thiết bị di động có thể hủy dữ liệu khi máy bị mất hoặc bị thu giữ Chức năng tự xóa có thể là một chức năng của các phầm mềm chống mất cắp thiết bị Các phần mềm có thể dùng: Prey, LaptopLock, LoJack, McAfee AntiTheft, Adeona Phần mềm chống mất cắp thiết bị Hết bài 4 ...Chống điều tra kỹ thuật số • • Anti Forensics – chống điều tra kỹ thuật số là các kỹ thuật được sử dụng để đối phó để việc tìm kiếm và thu thập các chứng cứ số trong điều tra Sử dụng các kỹ thuật làm ảnh hưởng đến sự tồn ... StegSpychương trình phát hiện message (Hiderman, JPHideand Seek, Masker, JPegX…) Kỹ thuật giấu dữ liệu • Kỹ thuật che giấu còn được dùng trong cơng nghiệp giải trí và phần mềm như một kỹ thuật đánh dấu (watermarking) trên các hình ảnh, âm ... Che giấu các dữ liệu có chứng cứ số • Xóa các chứng cứ số • Làm sai lạc các dấu vết • Dùng phần mềm chống các quy trình và các cơng cụ điều tra kỹ thuật số Che giấu các dữ liệu có chứng cớ • Ẩn các dữ liệu có chứng cớ là q trình làm cho dữ