Điện toán đám mây là mô hình máy tính mới cho phép sử dụng các dịch vụ từ xa thông qua mạng Internet cung cấp tối đa tài nguyên với nguồn lực tối thiểu để phục vụ cho việc sử dụng các nguồn lực khác nhau. Hầu hết dữ liệu quan trọng được chuyển đến các nhà cung cấp dịch vụ đám mây, một trong những mối quan tâm chính là xử lý các vấn đề bảo mật. Điều tra số truyền thống liên quan đến việc thu thập phương tiện tại hiện trường vụ án hoặc ít nhất là vị trí nơi phương tiện bị thu giữ, những nỗ lực để bảo quản phương tiện đó, và xác nhận, phân tích, giải thích, tài liệu và trình bày tại tòa án về kết quả kiểm tra. Đối với hầu hết các tình huống, ngoài điều tra nội bộ, mọi bằng chứng có trong phương tiện truyền thông sẽ được kiểm soát bởi cơ quan thực thi pháp luật kể từ thời điểm bị bắt giữ. Giờ đây, trong kịch bản đám mây, thông tin có thể ở bất kỳ đâu trên toàn cầu, thậm chí bên ngoài ranh giới quốc gia, vậy nên vấn đề trở nên phức tạp hơn. Điều tra số trên đám mây là một thành phần quan trọng để bảo mật đám mây và là sự kết hợp giữa điều tra máy tính và điều tra mạng. Nói một cách đơn giản, điều tra số trên đám mây là chủ yếu tập trung vào việc thu thập thông tin dữ liệu từ cơ sở hạ tầng đám mây. Điều này có nghĩa là làm việc với một bộ tài nguyên máy tính, chẳng hạn như tài sản mạng, máy chủ (cả vật lý và ảo), kho lưu trữ, ứng dụng và bất kỳ dịch vụ nào được cung cấp. Hiện nay, tình hình nghiên cứu tìm hiểu lĩnh vực điều tra số đang phát triển mạnh mẽ, tập trung vào điều tra máy tính, điều tra mạng, điều tra di động. Đối với điều tra số trên đám mây là lĩnh vực mới đối với trong và ngoài nước, không nhiều đề tài nghiên cứu vì là một mô hình điện toán mới nổi những năm gần đây. Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài Tìm hiểu về lĩnh vực điều tra số trên đám mây (Cloud forensics) nhằm đưa ra những hiểu biết chung về điều tra số, quy trình điều tra số trên đám mây và giới thiệu công cụ, kỹ thuật điều tra số trên đám mây giúp môi trường đám mây được an toàn, uy tín cũng như đảm bảo sự tin tưởng đối với người sử dụng cần sử dụng đám mây. Đồ án trình bày bao gồm 3 chương như sau: Chương 1: Tổng quan về điều tra số: Trình bày các khái niệm, các loại hình điều tra số, mục tiêu và ý nghĩa và quy trình điều tra số Chương 2: Nền tảng kỹ thuật điều tra số trên đám mây: Chương này trình bày tổng quan về điện toán đám mây, mô hình, quy trình điều tra trên đám mây. Đưa ra các kỹ thuật, công cụ và một số khó khăn khi điều tra trên đám mây. Chương 3: Kịch bản mô phỏng điều tra số trên đám mây: Trình bày kịch bản mô phỏng điều tra số trên đám mây dựa vào điều tra Dropbox. Từ đó phân tích và đưa ra kết luận đã đạt được trong quá trình điều tra số trên Dropbox
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VỀ LĨNH VỰC ĐIỀU TRA SỐ TRÊN ĐÁM MÂY (CLOUD FORENSICS) Ngành: An tồn thơng tin Mã s ố: 7.48.02.02 Sinh viên thực hiện: Vương Đình Bắc Lớp: AT12C Giảng viên hướng dẫn: ThS Phạm Sỹ Nguyên Đại học Kỹ thuật – Hậu cần CAND, Bộ Công An Hà Nội - 2020 2 MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT Từ viết tắt API Từ tiếng anh Application Programming Interface CFTT Computer Forensics Tool Testing CMOS Complementary Metal-Oxide-Semiconductor CSP Cloud Service Provider DNS Domain Name Servers IP Internet Protocol LEA Law Enforcement Agency NIST National Institute of Standards and Technology PC Personal Computer RAM Random Access Memory SLAs Service-level agreement VOIP Voice Over Internet Protocol SSID Service Set Identifier MAC Media Access Control URL Uniform Resource Locator LỜI CẢM ƠN Thời gian trôi qua thật nhanh, em có năm th ật đ ẹp v ới trường Học viện Kỹ thuật Mật mã với thầy cô bạn bè V ới lòng biết ơn, em xin gửi lời cảm ơn chân thành đến thầy cô tr ực thuộc khoa trường Học viện Kỹ thuật Mật mã v ới tâm huy ết s ự g ắn bó giúp đỡ, truyền đạt kiến thức quý giá cho chúng em Đ ặc bi ệt em xin g ửi lời cảm ơn sâu sắc đến ThS Phạm Sỹ Nguyên, tr ường đại h ọc Kỹ thu ật – Hậu cần CAND, Bộ Cơng an trực tiếp hướng dẫn, tận tình ch ỉ bảo, giúp đỡ em hoàn thành đồ án Với trình độ cịn nhiều hạn chế chắn khơng th ể tránh kh ỏi sai sót, em mong nhận góp ý th ầy đ ể em đ ược hoàn thiện Sau em xin chúc thầy Phạm Sỹ Nguyên th ầy cô trường dồi sức khỏe, mang tâm huyết cao đẹp nhà giáo đ ể truyền lại cho em mai sau Một lần nữa, em xin chân thành cảm ơn! Hà Nội, ngày tháng năm 2020 SINH VIÊN THỰC HIỆN Vương Đình Bắc LỜI CAM ĐOAN Tơi Vương Đình Bắc xin cam đoan: Đồ án "Tìm hiểu lĩnh vực điều tra số đám mây (Cloud forensics) " cơng trình nghiên cứu độc lập s ự h ướng dẫn ThS Phạm Sỹ Nguyên Những phần sử dụng tài liệu tham khảo đồ án nêu rõ mục tài liệu tham khảo, ngồi khơng sử dụng bất c ứ tài li ệu li ệu khác mà khơng ghi Nếu sai tơi xin chịu hồn tồn trách nhiệm chịu hình th ức kỷ luật học viện Hà Nội, ngày tháng năm 2020 SINH VIÊN THỰC HIỆN Vương Đình Bắc LỜI NĨI ĐẦU Điện tốn đám mây mơ hình máy tính cho phép s d ụng dịch vụ từ xa thông qua mạng Internet cung cấp tối đa tài nguyên v ới nguồn lực tối thiểu để phục vụ cho việc sử dụng nguồn lực khác Hầu hết liệu quan trọng chuyển đến nhà cung cấp dịch vụ đám mây, mối quan tâm xử lý vấn đề bảo mật Điều tra số truyền thống liên quan đến việc thu thập phương tiện trường vụ án vị trí nơi ph ương tiện bị thu gi ữ, nh ững nỗ lực để bảo quản phương tiện đó, xác nhận, phân tích, giải thích, tài liệu trình bày tịa án kết kiểm tra Đối với hầu hết tình huống, điều tra nội bộ, m ọi b ằng chứng có phương tiện truyền thơng kiểm soát c quan thực thi pháp luật kể từ thời điểm bị bắt giữ Giờ đây, kịch đám mây, thơng tin đâu tồn cầu, chí bên ngồi ranh giới quốc gia, nên vấn đề trở nên phức tạp Điều tra số đám mây thành phần quan trọng để bảo mật đám mây s ự k ết h ợp điều tra máy tính điều tra mạng Nói cách đ ơn gi ản, ều tra số đám mây chủ yếu tập trung vào việc thu th ập thông tin d ữ liệu từ sở hạ tầng đám mây Điều có nghĩa làm việc với tài nguyên máy tính, chẳng hạn tài sản mạng, máy chủ (cả vật lý ảo), kho lưu trữ, ứng dụng dịch vụ cung cấp Hiện nay, tình hình nghiên cứu tìm hiểu lĩnh vực điều tra số phát triển mạnh mẽ, tập trung vào điều tra máy tính, điều tra mạng, điều tra di đ ộng Đ ối v ới điều tra số đám mây lĩnh vực ngồi n ước, khơng nhiều đề tài nghiên cứu mơ hình điện tốn m ới n ổi nh ững năm gần Mục tiêu việc nghiên cứu thực đồ án tốt nghiệp với đề tài "Tìm hiểu lĩnh vực điều tra số đám mây (Cloud forensics) " nhằm đưa hiểu biết chung điều tra số, quy trình ều tra số đám mây giới thiệu công cụ, kỹ thuật điều tra số đám mây giúp mơi trường đám mây an tồn, uy tín đảm bảo tin tưởng người sử dụng cần sử dụng đám mây Đồ án trình bày bao gồm chương sau: Chương 1: Tổng quan điều tra số: Trình bày khái niệm, loại hình điều tra số, mục tiêu ý nghĩa quy trình điều tra s ố Chương 2: Nền tảng kỹ thuật điều tra số đám mây: Ch ương trình bày tổng quan điện tốn đám mây, mơ hình, quy trình điều tra đám mây Đưa kỹ thuật, công cụ số khó khăn điều tra đám mây Chương 3: Kịch mô điều tra số đám mây: Trình bày k ịch mơ điều tra số đám mây dựa vào điều tra Dropbox T phân tích đưa kết luận đạt trình điều tra số Dropbox 10 3.2.5.2 Hình 3.4 Khơi phục xóa tập tin vĩnh viễn Phần mềm máy khách Dropbox Trong máy ảo tải lên, thấy Dropbox đ ược cài đặt Windows không cài đặt vào th mục “C:\Program Files\” thay vào cài đặt vào thư mục Users “C:\Users\ [username]\AppData\Roaming\” Các tệp thư mục sample Dropbox phát ổ c ứng, vị trí thư mục mặc định (“C:\Users\[username]\Dropbox”) Nh ững tệp bao gồm tệp “Getting Started.pdf”, “How to use” sample picture Các tệp, vị trí giá trị MD5 cho phần mềm tệp m ẫu đ ược li ệt kê bảng 3.2 cho phép điều tra viên xác đ ịnh t ệp bi ết d ựa giá trị MD5 Khi phát hành phần mềm máy khách Dropbox Windows phát hành, giá trị băm c t ệp tiêu chu ẩn tệp mẫu cần phải tính tốn lại có th ể thay đ ổi Hình 3.5 Thư mục cài đặt dropbox Bảng 3.2 Các tệp Dropbox Windows có giá trị MD5 Tập tin Giá trị MD5 71 Dropbox Windows client software: Dropbox 1.2.52.exe File: \Dropbox\Getting Started.pdf File: \Dropbox\Photos\How to use the Photos folder.txt File: \Dropbox\Photos\Sample Album\Boston City Flow.jpg c05a03f72386b7c9d5cc7dcefa8555d a d0a31650c916d07316458ad11e409 3c3 e6655fb94380d9afa943c5d1397f625 5fcd8abc87de2629a3e75598999944 da File: \Dropbox\Photos\Sample 30bf1fadcfc52c796d143563a9d4484 Album\Costa Rican Frog.jpg f File: \Dropbox\Photos\Sample b44d238643412e46d5ec7a6fe95d5e Album\Pensive Parakeet.jpg 8f File: \Dropbox\Public\How to use the Public folder.txt File: \AppData\Roaming\Dropbox\bi n\ Dropbox.exe File: \AppData\Roaming\Dropbox\bi n\ DropboxExt.14.dll File: \AppData\Roaming\Dropbox\bi n\ msvcp71.dll File: \AppData\Roaming\Dropbox\bi n\ msvcr71.dll 12313c2e338ee010a8ddc97ed33d91 58 9ed3cfe54cd2e797dc9a04397c001e8 6d74290856347cf8682277a54b433 d4b 561fa2abb31dfa8fab762145f81667c 86f1895ae8c5e8b17d99ece768a707 32 72 File: \AppData\Roaming\Dropbox\bi n\ Uninstall.exe 6420486a64af043b5b0e0a11b15c3e 23 Các tệp Dropbox Windows không chứa giá trị MD5 thay đ ổi trình sử dụng : File: \AppData\Roaming\Dropbox\bin\ Dropbox.exe.log File: \AppData\Roaming\Dropbox\bin\itag File: \AppData\Roaming\Dropbox\config.db File: \AppData\Roaming\Dropbox\config.dbx File: \AppData\Roaming\Dropbox\filecache.dbx File: \AppData\Roaming\Dropbox\host.db File: \AppData\Roaming\Dropbox\host.dbx File: \AppData\Roaming\Dropbox\sigstore.dbx Gỡ cài đặt phần mềm máy khách Dropbox 3.2.5.3 Phân tích Uninstall-VMs cho thấy có tệp Dropbox.exe cấu trúc thư mục AppData bị đánh dấu bị xóa t ệp ph ần m ềm máy khách khác còn, bao gồm tập tin “dll”, “bat” “exe” Đáng ý nội dung tệp thư mục đồng hóa Dropbox “Users\ [username]\Dropbox\” ổ cứng không bị ảnh h ưởng việc gỡ cài đặt Tất phần lại phần mềm máy khách cịn khơng bị ảnh hưởng Hình 3.6 Sau gỡ cài đặt Dropbox Tìm kiếm từ khóa 3.2.5.4 Tìm kiếm từ khóa, thuật ngữ xác định từ tên tệp quan sát, phát văn tệp liệu Enron Bao g ồm: • www.dropbox.com, “dropbox” 73 • • • “Getting Started.pdf”, “Boston City”, “Costa Rican Frog”, “Pensive Parakeet” Tên người dùng mật tài khoản Dropbox tạo Phần mềm filecache.db, tập liệu chương trình liệu “dataset.zip,” “Enron”, “3111.txt”, “enron 3111” “Enron Wholesale 3.2.5.5 Services” Các file liên kết Hình 3.7 Hoạt động tải tập tin liên kết từ sở liệu trình ệt Khơng có tệp liên kết Dropbox tìm th Base-VM Các tệp liên kết liên quan đến Dropbox tệp liệu m ẫu Enron quan sát cho tất ổ đĩa cứng Upload-VM, Download-VM, Eraser-VM CCleaner-VM Các tệp liên kết phát liên quan đ ến tên tệp tên thư mục cho tệp sample Dropbox, tệp th ực thi Dropbox, ví dụ “Boston City Flow.lnk,” “Photos.lnk”, “Dropbox.lnk” d ữ liệu kiểm tra Enron Các thư mục đặt “Windows\Recent” “Windows\Start” Users “AppData” 3.2.5.6 Registry Các file registry phân tích AccessData Registry Viewer RegRipper Phân tích cho thấy khơng có tài liệu tham khảo Dropbox tệp sample Enron bốn ổ cứng điều khiển Base-VM Trong tệp registry Upload-VM, Access-VM Download-VM,có tham chi ếu đến URL Dropbox, tệp thư mục phần mềm Dropbox, tệp sample Dropbox tệp kiểm tra Enron Ví dụ: từ khóa “RecentDocs” tệp đăng ký NTUSER.dat cung cấp danh sách tệp th mục liên quan đến Dropbox Enron đầu RegRipper mẫu liệt kê nh sau 74 Hình 3.8 Kết tìm kiếm từ khóa RecentDocs Khơng có tham chiếu đến tên người dùng Dropbox file registry máy ảo Thơng tin Dropbox xóa đ ược đặt file registry “NTUSER dat” Chrome IE CCleaner-VM, ví d ụ nh tên tệp tham chiếu URL, khơng có Firefox CCleaner-VM Tham chiếu tệp phần mềm Dropbox đặt SOFTWARE SYSTEM registry phần mềm Dropbox client cài đặt, nh ưng khơng phải trình duyệt sử dụng để truy cập tải xuống d ữ li ệu t Dropbox Các tham chiếu tìm thấy tệp registry “UsrClass.dat” phần mềm máy khách Dropbox s dụng, nh ưng khơng phải trình duyệt sử dụng để truy cập Dropbox 3.2.5.7 Event logs Các file log ghi nhật ký kiện kiểm tra với trình xem Windows sẵn có phần mềm bên ngoài: nhật ký ki ện Explorer Event Parser Q trình phân tích bao gồm việc đọc mục th ời gian c 75 kiện cụ thể máy ảo việc tìm kiếm từ khóa tiến hành Tuy nhiên, có mục liên quan đến hoạt đ ộng Dropbox Thu ật ngữ, từ khóa “dropbox” tìm thấy file log ghi nhật ký s ự ki ện Windows “Windows Firewall.evtx” phần mềm máy khách đ ược cài đặt chạy Ví dụ, văn bản, quy tắc đ ược thêm vào Windows Firewall nằm tệp nhật ký Ngồi cịn có tài li ệu tham kh ảo tập tin Group Policy Operational nhóm liên quan đ ến tệp liệu sample Dropbox Enron Internet Explorer đ ược s d ụng để tải xuống liệu từ tài khoản web Dropbox Các m ục tương t ự khơng nhìn thấy trình duyệt Google Chrome, Apple Safari ho ặc Mozilla Firefox sử dụng 3.2.5.8 Phân tích lưu lượng mạng Phân tích tệp thu thập lưu lượng mạng th ực Networkminer Wireshark để xác định phần cịn lại d ữ liệu có sẵn Dropbox sử dụng trường hợp nghiên cứu Lưu lượng truy cập mạng phát cổng TCP 80(HTTP) 443 (HTTPS) Các địa IP truy cập nằm phạm vi 74.125.0.074.125.255.255( đăng ký Google) cho biết dịch v ụ Google Analytics Số lượng IP phân bổ cho AmazonAWS, dịch v ụ Amazon Web Services EC2 Khi phần mềm Dropbox Windows client tải xuống, tên URL tham chiếu đến Amazon Cloudfront Amazon Web Services EC2 liệt kê cho nhiều URL, với thông tin tham kh ảo b ổ sung Dropbox, ví dụ “photos1.dropbox”, “photos2.dropbox” “photos3.dropbox” Số lượng địa IP tìm th gói nắm bắt đăng ký với SoftLayer Technologies Westhost Inc dựa theo tên URL có liên quan đến số liệu thống kê khách hàng Dropbox.com ocsp.digicert OCSP Online Certificate Status Protocol (Giao thức Trạng thái Chứng Trực tuyến), dùng b ởi VeriSign/Thawte 76 Hình 3.9 Kết nối mạng Dropbox thu Khi xem liệu mạng, có tên URL khác sử dụng ph ần mềm Dropbox client so với sử dụng trình duyệt web, c ả s dụng địa IP Khi phần mềm máy khách sử dụng, tên URL phát Network capture bắt đầu “v-client” ho ặc “client” Khi trình duyệt sử dụng, URL bắt đ ầu v ới “v-www” “dl-web” Đây dường thông báo cho th tài khoản đám mây Dropbox truy cập phần mềm máy khách, URL hi ển thị “client”, trình duyệt sử dụng xuất “www” ho ặc “web” Tuy nhiên, khơng tìm thấy file sample Enron sample Dropbox lưu lượng truy cập mạng Khơng có tên tệp nh thông tin xác thực người dùng Dropbox tìm th l ưu l ượng truy cập mạng Khi kiểm tra liệu bị bắt, dường mã hóa, khơng có tài liệu đọc sau tài khoản Dropbox đăng nhập 3.2.5.9 Phân tích nhớ Phân tích tệp VMEM (memory capture) th ực Encase AccessData FTK Thuật ngữ “dropbox” đặt vị trí memory capture Internet Explorer tệp điều khiển Base-VM Google Khơng có nằm tệp điều khiển Mozilla Firefox ho ặc Apple Safari Các mục nhớ Chrome Explorer xu ất hi ện danh sách website, ví dụ “drugstore.com” 77 Hình 3.10 Dữ liệu nhớ phần mềm máy khách (VMEM) Khi quan sát memory capture, phần mềm bên máy khách sử dụng Dropbox tên người dùng gần với “email”: đ ược li ệt kê hình 3.2 Đoạn văn sử dụng để tìm kiếm định vị tên ng ười dùng cho tài khoản Dropbox Ngồi cịn có “ul displayname”, tên c máy tính ảo Thơng tin quan tâm tìm cách xác định d ữ liệu liên quan đến máy tính cụ thể, chẳng hạn nh file log có sẵn từ nhà cung cấp dịch vụ Khi trình ệt đ ược s d ụng đ ể truy cập vào tài khoản Dropbox, tệp “login email” dùng tr ước tên ng ười dùng Tuy nhiên, trình duyệt Safari sử dụng tên người dùng ch ỉ đ ược khôi phục lại Upload-VM Mật Cleartext tài khoản người dùng có th ể đ ược đặt nhớ cài đặt phần mềm máy khách , nhằm làm bật tầm quan trọng việc ghi lại nhớ (memory capture), thay unplugging làm thơng tin Thơng tin mật đ ược đặt file Upload-VM, trích xuất dạng văn bản: 78 • • Hình 3.11 Mật nhớ Upload-VM văn 2GB “ $0.00 free name periods $0.00 ” (Safari), “ name GB j periods $99.00 Free ” (Chrome) Chi tiết website, ví dụ “www.dropbox.com” khơi phục phần Upload-VM, phần lớn Access-VMs, Download-VMs CCleaner-VMs Toàn phần văn tệp liệu Enron tệp Dropbox sample khôi phục memory capture c Upload-VM, Access-VM Download-VM Việc trích xuất d ữ liệu đ ược thực kết phần hình ảnh, tệp Dropbox sample Enron sample khôi phục memory capture c tệp Access-VM, Upload-VM Download-VM 3.2.6 Trình bày Kết thu được, nhiều loại liệu cịn sót lại tìm th người dùng sử dụng Dropbox để lưu trữ truy cập liệu Phần mềm Dropbox client, tệp liệu sample, tệp common v ị trí ph ổ bi ến biểu thị Khi việc phân tích thực hiện, nhiệm vụ xác định xem tài khoản Dropbox truy cập phần mềm máy client hay trình ệt web xác định theo nhiều cách Các thông tin nh tên ng ười dùng Dropbox, URL lưu lượng mạng, tên tệp file prefetch file liên kết, tên tệp danh sách thư mục, RecentDocs URL nh ập vào file registry, lịch sử trình duyệt thơng tin khôi phục t tệp nh liệu thực tế từ tệp quan tâm bảng 3.3 Bảng 3.3 Kết thu thập máy ảo Máy ảo Thông tin Dữ liệu tìm thấy Username, Khơng có Password Software, URL Khơng có Control(Base“dropbox” “index.dat” files, VM) “msjint40.dll.mui,” “pagefile.sys,” Điều khoản KWS unallocated clusters, memory captures Client Software Username Memory capture files gần: “u’email” (Upload-VM) Password Nằm RAM Soffware File dropbox.exe tải xuống 79 Cài đặt dropbox quyền C:\ [User]\AppData\Roaming\Dropbox Các tập tin thư mục mẫu vị trí C:\ Users \ [username] \ Dropbox URL Tên tệp Enron Access-VM Download-VM Eraser-VM Ccleaner-VM www.dropbox.com mẫu nhiều vị trí, ví dụ tệp tải trước, tệp liên kết, Registry thư mục Sync User\ Tệp mẫu Enron Dropbox FF &GC history: “formhistory.sqlite” Username and “Autofill” Password Khơng có Software Khơng có URL Cookie, lịch sử,icons Tệp mẫu Enron Văn nằm RAM Kết khớp với điều khoản Điều khoản KWS KWS FF and GC History: Username “formhistory.sqlite” and “Autofill.” Password Khơng có Software Khơng có Cookie, history, icons, pagefile.sys URL and unallocated Tệp mẫu Enron Được nén file Documents.zip Tài liệu tham khảo nhật ký Điều khoản KWS kiện FF and GC History: Username “formhistory.sqlite” “Autofil Password Khơng có Software Khơng có URL cookie, history, icons, pagefile.sys Điều khoản KWS Khớp với điều khoản KWS Username Khơng có password Khơng có Software Khơng có URL Google Chrome FavIcon history Tệp mẫu Enron Khơng có Phân tích RAM thu tập tin đầy đủ, tên tệp, tên người dùng, mật Dropbox liệu khác Phân tích mạng xác đ ịnh h ầu h ết 80 lưu lượng mã hóa thông tin tệp không đ ược khôi ph ục M ột s ố lưu lượng truy cập mạng không mã hóa, đó, kh ả d ụng hữu ích để xác định quyền truy cập Dropbox để xác đ ịnh xem phần mềm Dropbox client trình duyệt s dụng đ ể truy c ập l ưu trữ đám mây Điều lưu lượng mạng việc ghi lại nh quan trọng nên thực điều tra 3.3 Kết luận đánh giá Khi điều tra việc lưu trữ liệu nhà cung cấp dịch v ụ đám mây, ban đầu giai đoạn điều tra xác định nhà cung cấp dịch vụ chi tiết tài khoản người dùng cụ thể Điều cho phép điều tra viên xác định vị trí quan trọng liệu hành động để bảo mật liệu cách kịp thời Trong kịch trên, điều tra viên sử dụng Dropbox cách th ực phân tích băm ki ểm tra vị trí tập tin phổ biến để xác định vị trí phần m ềm t ập tin Kết xác định vị trí liệu tập tin để xác định chi tiết người dùng thông tin lưu trữ đám mây liên quan đến việc s d ụng Dropbox thông qua số đường danh sách th mục, tập tin t ải trước đó, tập tin liên kết, lịch sử trình ệt ghi l ại nh Các k ết qu ả chưa chứng minh sử dụng Dropbox để thực hoạt động cơng mạng với chứng hình ảnh d ữ li ệu th ực hi ện đầy đủ quy trình điều tra, nhiên d ữ liệu thu th ập đ ược ch ưa xác định rõ hành vi công m ạng Ưu điểm q trình phân tích điều tra Dropbox là: - Xác định liệu sót lại để điều tra, phân tích d ữ liệu Xem xét liệu có liên quan đến thực cơng mạng - Có thể xác minh tệp không bị thay đổi nội dung trình tải lên, l ưu trữ tải xuống - Sử dụng quy trình điều tra đám mây (ở Ch ương 2) đ ảm b ảo t ất c ả khía cạnh điều tra theo dõi, t xác đ ịnh ph ạm vi, xác định tiêu chuẩn, bảo quản, phân tích báo cáo, với khả quay tr lại bước trước phân tích b ước khác tiến tri ển giúp điều tra nhanh chóng 81 - Đảm bảo tính pháp lý tính quán cho trình điều tra sau Quy trình điều tra đủ linh hoạt cho tình khác Tuy nhiên, trình điều tra có m ột s ố nh ược ểm c ần lưu ý: - Tính mở rộng chi tiết trình điều tra chưa cao - Thiếu hợp tác nhà cung cấp đám mây có th ể tr nên khó khăn khơng kịp thời, người dùng truy cập vào tài khoản xóa ho ặc thay đổi tập tin trước thông tin lưu tr ữ 82 KẾT LUẬN Cơng nghệ điện tốn đám mây phát triển nhanh chóng sử dụng rộng rãi cho ứng dụng tính tốn ph ức tạp hình thành nơi lưu trữ liệu nên trở thành mục tiêu cho nh ững kẻ công mạng để lấy liệu đám mây Nên vấn đề điều tra số đám mây điều thu hút nhiều nghiên cứu nhà khoa h ọc Sau trình tìm hiểu, nghiên cứu tài liệu làm đồ án d ưới s ự hướng dẫn thầy Th.s Phạm Sỹ Nguyên, đạt m ột số m ục tiêu thực đồ án Cụ thể: • Hệ thống lại kiến thức khái niệm điều tra số, loại hình, ý nghĩa,quy trình thực điều tra số tổng quan điện toán đám mây • Đưa khái niệm, quy mơ sở pháp lý điều tra số đám mây Ngồi cịn quy trình điều tra, kỹ thuật ều tra, công c ụ ều • tra khó khăn gặp phải điều tra số đám mây Đưa kịch mô điều tra số đám mây: điều tra máy tính có sử dụng Dropbox để xác định liệu cịn sót lại việc sử dụng l ưu trữ đám mây Đã thực theo quy trình chương T thu th ập phân tích tập tin liên kết, phân tích nh ớ, phân tích l ưu l ượng m ạng Tuy nhiên, thời gian kiến thức nhiều hạn chế nên nhiều vấn đề mà đồ án chưa giải được: chưa nghiên cứu sâu vào kỹ thuật điều tra số đám mây công c ụ Vi ệc mô điều tra số đám mây dựa mô điều tra nghiên cứu trước Chưa đưa hệ thống cho việc điều tra đám mây Việc giải vấn đề cịn sai sót giải quy ết cho nghiên cứu tương lai Em xin chân thành cảm ơn! 83 TÀI LIỆU THAM KHẢO [1] Keyun Ruan, Joe Carthy, Tahar Kechadi and Mark Crosbie IFIPAICT 361 – Cloud Forensics, 2011 [2] J Oberheide, E Cooke and F Jahanian CloudAV: N-version antivirus in the network cloud Proceedings of the Seventeenth USENIX Security Conference, pp 91–106, 2008 [3] Huỳnh Quyết Thắng Điện toán đám mây Nhà xuất bách khoa Hà Nội, 2014 [4] Phạm Duy Trung, Hồng Thanh Nam, Giáo trình Thu thập phân tích an ninh thơng tin mạng Học viện Kỹ thuật mật mã, 2013 [5] Trần Đức Sự, Phạm Minh Thuấn Giáo trình Phịng chống điều tra tội phạm máy tính Học viện Kỹ thuật Mật mã, 2013 [6] Darren Quick, Ben Martini Cloud Storage Forensics Syngress is an imprint of Elsevie,2014 [7] Lei Chen, Hasan Takabi Security, Privacy, and Digital Forensics in the Cloud Higher Education Press,2019 [8] D.Birk Technical Challenges of Forensic Investigations in Cloud Computing Environments Paper presented at the Workshop on Cryptography and Security in Clouds, IBM Forum Switzerland, Zurich,2011 [9] McClain, Dropbox Forensics, http://www.forensicfocus.com/dropboxforensics, 2013 [10] D Quick and K R Choo, Dropbox analysis: Data remnants on user machines, https://www.researchgate.net/publication/271635523_Dropbox_anal ysis_Data_remnants_on_user_machines [11] Miss Pallavi D.Katkule, B.B Meshram A Survey on SaaS-Attacks and Digital Forensic https://www.irjet.net/archives/V6/i6/IRJET- V6I6732.pdf 84 [12].Cloud-forensics-in-a-saas-model https://cloudforensics.wordpress.com/cloud-forensics-in-a-saasmodel/ 85 ... "Tìm hiểu lĩnh vực điều tra số đám mây (Cloud forensics) " nhằm đưa hiểu biết chung điều tra số, quy trình ều tra số đám mây giới thiệu công cụ, kỹ thuật điều tra số đám mây giúp môi trường đám. .. mây Chương 3: Kịch mô điều tra số đám mây: Trình bày k ịch mô điều tra số đám mây dựa vào điều tra Dropbox T phân tích đưa kết luận đạt trình điều tra số Dropbox 10 CHƯƠNG TỔNG QUAN VỀ ĐIỀU TRA. .. thành nên lĩnh vực điều tra số 1.2 Các loại hình điều tra số 1.2.1 Điều tra số thiết bị máy tính Điều tra số máy tính nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý tìm th