ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ BÁ SƠN NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP THU THẬP CHỨNG CỨ HỖ TRỢ XỬ LÝ SỰ CỐ AN TỒN THƠNG TIN LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN Hà Nội, tháng 11 /2019 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ BÁ SƠN NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP THU THẬP CHỨNG CỨ HỖ TRỢ XỬ LÝ SỰ CỐ AN TỒN THƠNG TIN Chuyên ngành: Hệ thống thông tin Mã số : 8480104.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HƢỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN NGỌC HÓA Hà Nội, tháng 11 /2019 Lời cảm ơn LỜI CẢM ƠN Sau hai năm học tập rèn luyện Trường Đại học Quốc gia Hà Nội, biết ơn kính trọng, tác giả xin chân thành cảm ơn Ban Giám hiệu, phòng, khoa thuộc Trường Đại học Quốc gia Hà Nội Giáo sư, Phó Giáo sư, Tiến sĩ nhiệt tình giảng dạy tạo điều kiện thuận lợi giúp đỡ tác giả trình học tập làm Luận văn Đặc biệt, tác giả xin bày tỏ lòng biết ơn lời cảm ơn sâu sắc tới Thầy giáo hướng dẫn PGS.TS Nguyễn Ngọc Hóa tận tình, chu đáo hướng dẫn tơi thực luận văn Nhờ có giúp đỡ hướng dẫn nhiệt tình thầy mà tơi có kiến thức quý báu trình nghiên cứu, từ tơi hồn thành tốt luận văn thạc sĩ Mặc dù có nhiều cố gắng cịn hạn chế thời gian trình độ, nên luận văn không tránh khỏi thiếu sót Tơi mong bảo, đóng góp thầy cô giáo khoa Công nghệ Thông tin để luận văn thạc sĩ tơi hồn thiện Tôi xin chân thành cảm ơn! Hà Nội, ngày 01 tháng 11 năm 2019 Học viên: Đỗ Bá Sơn I Mục lục MỤC LỤC LỜI CẢM ƠN I MỤC LỤC II DANH MỤC BẢNG BIỂU V DANH MỤC HÌNH VẼ VIII MỞ ĐẦU CHƢƠNG 1: QUY TRÌNH XỬ LÝ SỰ CỐ MẤT ATTT VÀ PHƢƠNG PHÁP THU THẬP CHỨNG CỨ 1.1 Quy trình điều tra số .3 1.2 Thu thập chứng 1.2.1 Khó khăn thu thập chứng 1.2.2 Tại thu thập chứng cứ? 1.2.3 Lựa chọn phương pháp thu thập 1.2.4 Các loại chứng 1.2.5 Các quy tắc thu thập chứng 1.2.6 Chứng khả biến 1.2.7 Quy trình thu thập chứng 10 1.2.8 Thu thập chứng cớ lưu trữ 10 1.2.9 Phương pháp thu thập chứng 11 1.2.10.Dữ liệu thu thập 13 1.2.11.Kiểm soát bảo vệ liệu 14 CHƢƠNG 2: GIẢI PHÁP THU THẬP CHỨNG CỨ BẰNG USB CHUYÊN DỤNG 16 2.1 Bài toán đặt 16 2.2 Phƣơng pháp giải toán 17 2.2.1 Hướng cho toán 17 2.2.2 Xây dựng USB thu thập chứng để giải toán 18 2.3 Các phân phối hệ điều hành Linux hỗ trợ thu thập chứng .20 2.3.1 DEFT Linux 20 2.3.2 CAINE Linux 21 2.3.3 Kali Linux 23 Học viên: Đỗ Bá Sơn II Mục lục 2.4 Công cụ thu thập chứng Windows Kali Linux 26 2.4.1 Công cụ thu thập chứng Windows 26 2.4.1.1 Giới thiệu công cụ thu thập chứng Ir-Rescue 26 2.4.1.2 Cấu trúc cách sử dụng công cụ thu thập chứng Ir-Rescue 27 2.4.2 Công cụ thu thập chứng Kali Linux 31 2.4.2.1 Công cụ thu thập chứng Dc3dd 31 2.4.2.2 Công cụ thu thập chứng Ir-Rescue 33 2.5 Một số phƣơng pháp bảo mật phân vùng USB 34 2.5.1 BitLocker 34 2.5.1.1 Giới thiệu BitLocker 34 2.5.1.2 Chức BitLocker 35 2.5.1.3 Kiến trúc BitLocker 35 2.5.1.4 Quản lý khóa BitLocker 36 2.5.2 Vera Crypt 44 2.5.2.1 Giới thiệu Vera Crypt 44 2.5.2.2 Thuật toán 44 2.5.2.3 Cơ chế hoạt động 44 2.5.3 Lựa chọn công cụ bảo mật cho USB thu thập chứng 45 CHƢƠNG 3: XÂY DỰNG USB THU THẬP CHỨNG CỨ VÀ KIỂM THỬ 47 3.1 Giới thiệu 47 3.2 Chia phân vùng cho USB thu thập chứng 47 3.2.1 Tổng quan 47 3.2.2 Chuẩn bị USB thu thập chứng 48 3.2.3 Thực chia phân vùng cho USB thu thập chứng 48 3.3 Tùy biến hệ điều hành Kali Linux phân vùng thứ 51 3.3.1 Giới thiệu 51 3.3.2 Cài đặt hệ điều hành Kali Linux lên phân vùng thứ 51 3.3.3 Tùy biến hệ điều hành Kali Linux 57 3.3.3.1 Tối ưu hệ điều hành Kali Linux 57 3.3.3.2 Cài đặt công cụ thu thập chứng hệ điều hành Kali Linux 60 3.4 Công cụ thu thập chứng phân vùng 62 3.5 Thiết lập chế bảo mật cho phân vùng USB 63 3.5.1 Cài đặt chế bảo mật cho phân vùng thứ 64 3.5.2 Cài đặt chế bảo mật cho phân vùng 67 Học viên: Đỗ Bá Sơn III Mục lục 3.6 Kiểm thử USB thu thập chứng 72 3.6.1 Đánh giá khả bảo mật USB thu thập chứng theo kịch 72 3.6.1.1 Kịch thử nghiệm bảo mật USB thu thập chứng Windows 72 3.6.1.2 Kịch kiểm thử bảo mật USB thu thập chứng Kali Linux 74 3.6.2 Kiểm thử khả thu thập chứng 77 3.6.2.1 Kịch thử nghiệm khả thu thập chứng Windows .77 3.6.2.2 Kịch thử nghiệm thu thập chứng Linux 79 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ĐỀ TÀI 84 TÀI LIỆU THAM KHẢO 86 Học viên: Đỗ Bá Sơn IV Danh mục bảng biểu DANH MỤC BẢNG BIỂU Bảng Bảng Bảng Bảng - Một số cách để mã hóa VMK 2- Bảng tham chiếu quy trình 3- Nhập mã khóa đầu 4– Bộ nhớ khóa Bảng 1- So sánh định dạng ổ đĩa tro Học viên: Đỗ Bá Sơn V Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1 - Các lớp quy trình điều tra số Hình – Cấu trúc USB thu thập chứng 19 Hình 2 - Mơ hình kiến trúc hệ thống hỗ trợ xử lý cố ATTT 19 Hình - Giao diện khởi động DEFT 20 Hình - Giao diện desktop DEFT 21 Hình - Giao diện khởi động CAINE 22 Hình - Giao diện desktop CAINE 22 Hình - Các ứng dụng hệ điều hành CAINE 23 Hình - Giao diện khởi động Kali Linux 24 Hình - Giao diện desktop Kali Linux 25 Hình 10 - Các ứng dụng Forensics Kali Linux 25 Hình 11 - Chế độ khác giao diện Kali Linux 26 Hình 12 - Nội dung hiển thị câu lệnh dc3dd help 31 Hình 13 - Tệp img tách thành nhiều tệp nhỏ khác 33 Hình 14 - Kiến trúc BitLocker 36 Hình 15 - Các kiến trúc quản lý khóa BitLocker 38 Hình 16 - Lưu đồ quản lý khóa 39 Hình - USB chuyên dụng dùng cho thu thập chứng 48 Hình - Phân chia ổ USB BOOTICE 49 Hình 3 - Thiết lập định dạng cho phân vùng 49 Hình - Phân chia phân vùng 50 Hình - Các Linux Distribution 52 Hình - Lựa chọn đường dẫn chứa cài Kali Linux iso 52 Hình - Chọn phân vùng định dạng phân vùng cài Kali Linux 53 Hình - Hồn thành tiến trình cài đặt Kali Linux lên phân vùng 53 Hình - Giao diện khởi động Boot Kali Linux 55 Hình 10 - Tạo ổ Persistency để lưu trữ cài Kali Linux 55 Hình 11 - Kết sau tạo Persistency 56 Hình 12 - Giao diện HĐH Kali Linux 58 Hình 13 - Nhóm cơng cụ tích hợp sẵn Kali Linux 58 Hình 14 - Danh sách ứng dụng tích hợp sẵn Kali Linux 59 Hình 15 - Tiến trình xóa ứng dụng cài sẵn Kali Linux 59 Học viên: Đỗ Bá Sơn VIII Danh mục hình vẽ Hình 16 - Hệ điều hành Kali Linux tối ưu sau gỡ bỏ ứng dụng 60 Hình 17 - Tiến trình chạy câu lệnh cài đặt DC3DD 61 Hình 18 - Cơng cụ DC3DD sau hồn tất cài đặt 61 Hình 19 - Folder chứa công cụ Ir-Rescue Windows 62 Hình 20 - Chương trình chạy Ir-Rescue 62 Hình 21 - Chạy chương trình Ir-Rescue 62 Hình 22 - Các lỗi chạy Ir-Rescue 63 Hình 23 - Test bảo mật phân vùng 65 Hình 24 - Chọn Properties 65 Hình 25 - Chọn Advanced 65 Hình 26 - Chọn Remove để bỏ quyền truy cập User 66 Hình 27 - Chỉnh sửa quyền truy cập 66 Hình 28 - Chọn quyền cấm truy cập chỉnh sửa 66 Hình 29 - Các bước thiết lập chế độ Read-only 67 Hình 30 - Kiểm tra chip TPM hỗ trợ máy tính 67 Hình 31 - BitLocker System and Security 68 Hình 32 - Kiểm tra trạng thái BitLocker 68 Hình 33 - Thiết lập mã khóa cho BitLocker 69 Hình 34 - Lưu mã khóa BitLocker 69 Hình 35 – Lựa chọn phương thức mã hóa ổ đĩa 70 Hình 36 - Lựa chọn loại mã khóa 70 Hình 37 - Bắt đầu mã hóa 71 Hình 38 - Kiểm tra lại trạng thái ổ đĩa sau mã hóa 71 Hình 39 - Các phân vùng thiết lập Read-only BitLocker 72 Hình 40 - Kiểm tra trạng thái phân vùng Disk management 73 Hình 41 - Bảng thơng báo lên 73 Hình 42 - Mở khóa BitLocker 74 Hình 43 - Thư mục BitLocker sau mở khóa 74 Hình 44 - Báo lỗi ―khơng thể mount ổ đĩa‖ 75 Hình 45 - Cảnh báo Virus 78 Hình 46 - Chương trình Ir-Rescue bắt đầu thu thập liệu 78 Hình 47 - Kết sau hoàn thành thu thập liệu 79 Hình 48 - Tiến trình thu thập mã hóa liệu dc3dd 81 Hình 49 - Kết sau tiến trình chạy cơng cụ dc3dd hồn tất 81 Hình 50 - Tiến trình phân tách liệu thu thập thành tệp nhỏ dc3dd 81 Hình 51 - Kết sau phân tách 82 Hình 52 - Chạy chương trình Ir-Rescue 82 Hình 53 - Thư mục data khởi tạo chương trình Ir-Rescue bắt đầu chạy .82 Hình 54 - Thơng báo hồn thành thu thập cơng cụ Ir-Rescue 83 Học viên: Đỗ Bá Sơn IX Mở đầu MỞ ĐẦU Hiện việc phát triển vượt bậc công nghệ Mạng Internet giúp thúc đẩy lĩnh vực sống khiến cho nhu cầu triển khai hệ thống ứng dụng lĩnh vực mạng máy tính truyền thơng tăng lên nhanh chóng Tuy nhiên với phát triển mạng Internet, tình hình an ninh mạng diễn biến phức tạp dẫn đến xuất nhiều nguy đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ kinh tế xã hội quốc phịng, an ninh Số vụ cơng mạng vụ xâm nhập hệ thống công nghệ thông tin nhằm thám, trục lợi, phá hoại liệu, tài sản, cạnh tranh không lành mạnh gia tăng mức báo động số lượng, đa dạng hình thức, tinh vi công nghệ Rất nhiều nguy an tồn thơng tin (ATTT) gặp phải theo nhiều cách khác bị hacker khai thác lỗ hổng bảo mật chưa kịp vá, bị tài khoản vô ý dùng mật thông dụng, không tuân theo quy trình an ninh, tổ chức,… Khi nguy trở thành thực, phải đối mặt với cố ATTT Khi cố xảy chứng cố yếu tố quan trọng, làm sở cho việc xử lý cố Tuy nhiên, chứng cố khơng xử lý cách, không chấp nhận làm chứng chứng khơng có sở để xử lý khắc phục hiệu cách đắn kể mặt kỹ thuật pháp lý Để quản lý cố hiệu quả, cần phải có biện pháp thu thập, điều tra, phát nguyên nhân cố; từ giảm thiểu tác động bất lợi thông qua việc khắc phục nhanh cố, cập nhật lại lỗ hổng chưa vá, cập nhật quy trình pháp lý, Trong hồn cảnh việc xây dựng công cụ hỗ trợ công tác thu thập chứng sau xảy cố ATTT vô cần thiết Với lý định chọn đề tài “Nghiên cứu, xây dựng giải pháp thu thập chứng hỗ trợ xử lý cố an tồn thơng tin” để giúp cho doanh nghiệp cá nhân ứng dụng việc đảm bảo ATTT công tác vận hành khai thác máy tính Mục tiêu đề tài luận văn hướng đến việc đề xuất xây dựng giải pháp thu thập chứng máy tính có cố an tồn thơng tin thơng qua việc sử dụng USB chuyên dụng Chúng xây dựng USB thông thường thành USB chuyên dụng cách chia thành phân vùng độc lập bảo mật, đồng thời tích hợp cơng để thu thập lưu trữ chứng máy tính ATTT trạng thái Online Offline Việc xây dựng công cụ thu thập nhiều mơi trường tính tốn khác cơng tác phân tích chứng cứ, hỗ trợ xử lý cố nằm phạm vi nghiên cứu luận văn Học viên: Đỗ Bá Sơn Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 40 - Kiểm tra trạng thái phân vùng Disk management Bƣớc 3: Kiểm tra chế bảo mật Phân vùng cách thực Click chuột phải ổ USB Drive (G) mở quyền Administrator, cách nhận thơng báo ―G:\ is not accessible”, ngồi kiểm tra thêm thông tin phần cứng Phân vùng mục ―properties‖ không nhận nội dung gì, Phân vùng đảm bảo chế bảo mật theo yêu cầu, tham khảo hình đây: Hình 41 - Bảng thông báo lên Bƣớc 4: Kiểm tra chế bảo mật Phân vùng 2, Chúng Click để mở Phân vùng 2, hộp thoại BitLocker lên yêu cầu nhập mã key để mở khóa, sau nhập khóa để biểu tượng bên cạnh Phân vùng 2,3 thay đổi, tham khảo hình Học viên: Đỗ Bá Sơn 73 Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 42 - Mở khóa BitLocker Bƣớc 5: Kiểm tra toàn vẹn liệu bên Phân vùng thiết lập BitLocker, sau thực mở khóa truy cập vào Phân vùng công cụ thu thập chứng Ir-Rescue đầy đủ tệp system Tham khảo hình Hình 43 - Thư mục BitLocker sau mở khóa - Nhận xét Qua bước kiểm tra bảo mật kịch chúng tơi đặt thấy Phân vùng USB chuyên dụng hoàn toàn bảo mật chúng kết nối với máy tính chạy hệ điều hành Windows 3.6.1.2 Kịch kiểm thử bảo mật USB thu thập chứng Kali Linux - Mục đích kịch Đánh giá khả bảo mật phân vùng USB thu thập chứng Boot hệ điều hành Kali Linux tích hợp phân vùng lên máy tính an tồn thơng tin - Kết mong muốn Phân vùng 1: Đã đưa chế độ Read-only ta boot hệ điều hành Kali Linux, khơng thể xóa tệp hệ thống phần mềm cài sẵn Phân vùng Phân vùng 2: Đã mã hóa BitLocker Phân vùng chứa cơng cụ thu thập Windows Phân vùng khóa kết nối máy tính chạy hệ điều hành khác Windows Phân vùng 3: Đã mã hóa BitLocker Phân vùng sử dụng để làm nơi lưu trữ liệu thu thập phải đảm bảo mở khóa hệ điều hành Windows Kali Linux Học viên: Đỗ Bá Sơn 74 Chương 3: Xây dựng USB thu thập chứng kiểm thử - Tiến hành đánh giá Bƣớc 1: Kết nối USB thu thập chứng với máy tính sau boot máy tính BIOS để khởi động hệ điều hành Kali Linux cài đặt Phân vùng 1, sau nhập user password giao diện Kali Linux hiển thị Bƣớc 2: Kiểm tra bảo mật phân vùng 3, nhận thấy hình “desktop” có dung lượng 4G 53G hiển thị tên “Encrypted”, sau thực mở hai phân vùng hình lên thơng báo ―Failed to mount‖ Cụ thể hình sau: Hình 44 - Báo lỗi ―không thể mount ổ đĩa‖ Như ba phân vùng thiết chế bảo mật theo yêu cầu toán đặt Bƣớc 3: Mở khóa phân vùng để lưu trữ chứng thu thập Cơng cụ mã hóa ổ đĩa Microsoft Windows gọi BitLocker, thông thường ổ đĩa giải mã BitLocker Tuy nhiên, đề tài không sử dụng công cụ USB thu thập chứng môi trường hệ điều hành Windows mà hệ điều hành Kali Linux Khi sử dụng USB thu thập chứng để boot, Phân vùng chưa hệ điều hành Kali Linux khởi động máy tính an tồn thơng tin, Phân vùng 2, ổ đĩa độc lập chạy tảng Linux, nhiên Kali Linux không hỗ trợ BitLocker để giải mã ổ đĩa cài BitLocker, chúng tơi sử dụng công cụ DisLocker để giải mã ổ đĩa cài BitLocker DisLocker công cụ để đọc phân vùng mã hóa BitLocker Linux macOS, có hỗ trợ đọc / ghi cho phân vùng mã hóa BitLocker Windows 10, 8.1, 8, Vista (AES-CBC, AES-XTS, 128 256 bit) Nó hỗ trợ phân vùng mã hóa BitLocker-To-Go (phân vùng USB / FAT32) Microsoft thêm khuếch tán để cung cấp số thuộc tính bảo mật bổ sung mong muốn cài đặt mã hóa ổ đĩa cho phiên Vista gỡ Học viên: Đỗ Bá Sơn 75 Chương 3: Xây dựng USB thu thập chứng kiểm thử bỏ khỏi DisLocker hỗ trợ phân vùng mã hóa BitLocker-To-Go (phân vùng USB / FAT32) o Cài đặt DisLocker câu lệnh thiết lập DisLocker  Bƣớc 1: Cài đặt DisLocker để mở ổ đĩa mã hóa BitLocker Kali Linux, câu lệnh sau: :-$ sudo apt-get install DisLocker  Bƣớc 2: Tạo folder để mount ổ đĩa BitLocker, câu lệnh sau: :-$ sudo mkdir /media/BitLocker :-$ sudo mkdir /media/mount  Bƣớc 3: Tìm Phân vùng cần giải mã Trong yêu cầu toán Phân vùng ổ đĩa hiển thị sử dụng hai hệ điều hành Windows Kali Linux, chúng tơi giải mã sử dụng DisLocker để giải mã cho Phân vùng 3, cụ thể câu lệnh tìm địa tên Partiton 3: :-$ sudo fdisk -l  Bƣớc 4: Mở khóa Phân vùng Chúng ta sử dụng câu lệnh sau: :-$ sudo DisLocker -r -V /dev/sdb5 -uYourPassword /media/BitLocker Giải thích: dislooker -r -v: câu lệnh chạy chương trình mở ổ đĩa DisLocker /dev/sdb5 : ổ đĩa giải mã -uYourPasswork: Thay dòng lệnh mã key sử dụng để khóa BitLocker - /media/BitLocker: Sau giải mã liệu Phân vùng chứa folder media  Bƣớc 5: Mount Phân vùng câu lệnh sau: :-$ sudo mount -r -o loop /media/BitLocker/DisLocker-file /media/mount o Tạo script để đơn giản hóa giải mã Phân vùng DisLocker Để thuận tiện cho việc giải mã để mở Phân vùng lần thay phải sử dụng câu lệnh phức tạp để mở, dây thiết lập script để đơn giản hóa việc sử dụng DisLocker để giải mã ổ đĩa bị mã hóa BitLocker  Bƣớc 1: Chúng tơi tạo tệp text có tên unlock.sh gedit địa “usr/local/bin/”, cụ thể câu lệnh sau: :-$ sudo gedit /usr/local/bin/unlock.sh  Bƣớc 2: Chúng tạo script bên tệp text, sau save as để lưu script, cụ thể sau: #!/bin/bash Học viên: Đỗ Bá Sơn 76 Chương 3: Xây dựng USB thu thập chứng kiểm thử sudo DisLocker -r -V /dev/sdb5 -u /media/BitLocker sudo mount -r -o loop /media/BitLocker/DisLocker-file /media/mount  Bƣớc 3: Lưu tệp text tạo quyền truy cập nhanh cho ổ đĩa câu lênh sau: sudo chmod +x /usr/local/bin/unlock.sh  Bƣớc 4: Khởi động lại USB boot vào lại hệ điều hành Kali Linux sau vào terminal, sử dụng câu lệnh ―unlock.sh‖ nhập password mở Phân vùng Vào lại thư mục home để kiểm tra, đặt tên Phân vùng Storage, cụ thể hình - Nhận xét Qua bước kiểm tra bảo mật kịch đặt thấy phân vùng USB chuyên dụng hoàn toàn bảo mật sử dụng USB để thiết lập 3.6.2 Kiểm thử khả thu thập chứng 3.6.2.1 Kịch thử nghiệm khả thu thập chứng Windows ₋ Mục đích kịch Đánh giá khả thu thập liệu công cụ IR-Rescue Windows chế độ Online (khi máy tính chế độ hoạt động bình thường) ₋ Kết mong muốn Dữ liệu Ir-Rescue thu thập phải đảm bảo đầy đủ liệu bất biến bao gồm: Thơng tin cấu hình mạng; Các tệp hệ thống Windows; Dữ liệu registry; Các truy vết người dùng (các tệp sử dụng gần đây, lịch sử trình duyệt ) cache trình duyệt ₋ Tiến hành đánh giá + Phƣơng pháp đánh giá Chúng giả định rằng, sau nhận thơng báo từ chương trình diệt Virus máy tính, khoanh vùng phạm vi khu vực nghi ngờ nơi ẩn náu Virus, sử dụng chương trình diệt Virus thơng thường hồn tồn loại bỏ khỏi máy tính Tuy nhiên chúng tơi sử dụng công cụ Ir-Rescue để thu thập liệu khu vực nghi ngờ có Virus xâm nhập để đảm bảo liệu mã hóa tồn vẹn so với liệu gốc nhằm phục vụ cho công tác điều tra số sau + Các bƣớc thực Sau bật trình duyệt Firefox máy tính cá nhân có kết nối tới mạng nội bộ, vơ tình chúng tơi click vào trang lạ Chương trình diệt Virus phát đưa cảnh báo nghi ngờ có Virus Học viên: Đỗ Bá Sơn 77 Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 45 - Cảnh báo Virus Do chưa nhận biết cụ thể loại Virus, mục đích để tránh Virus lây lan sang mục khác hay chí phá hoại máy tính, tạm thời ngưng số tác vụ sử dụng, thực theo bước sau: o Bƣớc 1: Kết nối USB thu thập chứng vào máy tính sau Unlock BitLocker Phân vùng chứa công cụ Ir-Rescue, unlock Phân vùng lưu trữ liệu thu thập o Bƣớc 2: Mở đường dẫn ―F:\ir-rescue-master\win‖ sau mở tệp chạy ―ir-rescuewin-v1.4.4.bat‖ quyền Admin Hình 46 - Chương trình Ir-Rescue bắt đầu thu thập liệu o Bƣớc 3: Khi chương trình bắt đầu chạy phần mềm sinh tệp “data”, tệp tạo sẵn thư mục để chứa liệu bất biến máy tính Học viên: Đỗ Bá Sơn 78 Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 47 - Kết sau hoàn thành thu thập liệu o Bƣớc 4: Các liệu thu thập tệp chương trình Ir-Rescue, để chuyển liệu thu thập tệp ―data‖ từ Phân vùng sang Phân vùng cách chạy tệp chương trình ―run-move.bat‖ o Bƣớc 5: Sau hồn tất chuyển liệu từ Phân vùng sang Phân vùng 3, ngắt kết nối USB khỏi máy tính chuyển đến nhà điều tra số để xác minh liệu ₋ Nhận xét Phần mềm Ir-Rescue hoạt động tốt, thu thập đầy đủ liệu liên quan đến hoạt động máy tính ―tệp hệ thống Windows; Dữ liệu registry; Các truy vết người dùng (các tệp sử dụng gần đây, lịch sử trình duyệt) Dữ liệu đảm bảo toàn vẹn chứa an toàn Phân vùng data USB thu thập chứng 3.6.2.2 Kịch thử nghiệm thu thập chứng Linux - Mục đích kịch Đánh giá USB thu thập chứng sử dụng phương pháp thu thập gián tiếp hệ điều hành Kali Linux, sử dụng công cụ dc3dd để thu thập liệu bất biến công cụ Ir-Rescue để thu thập liệu khả biến máy tính ATTT Học viên: Đỗ Bá Sơn 79 Chương 3: Xây dựng USB thu thập chứng kiểm thử - Kết mong muốn Khả thu thập bảo vệ toàn vẹn liệu chứng cơng cụ dc3dd hàm băm mật mã hóa chuyển liệu bit giữ nguyên toàn liệu thu thập nhằm bảo vệ liệu chép không thay đổi so với liệu gốc Dữ liệu Ir-Rescue thu thập phải đảm bảo đầy đủ liệu bất biến bao gồm: Thơng tin cấu hình mạng; Các tệp hệ thống Windows; Dữ liệu registry; Các truy vết người dùng (các tệp sử dụng gần đây, lịch sử trình duyệt ) cache trình duyệt - Tiến hành đánh giá + Phƣơng pháp đánh giá Tương tự kịch thu thập chứng Windows, giả định rằng, sau nhận thông báo từ chương trình diệt Virus máy tính, chúng tơi khoanh vùng phạm vi khu vực nghi ngờ nơi ẩn náu Virus Tuy nhiên, kịch thực thu thập chứng gián tiếp, tức ngắt tạm thời máy tính khỏi mạng Internet kết nối USB chun dụng vào máy tính sau khởi động lại máy tính để Boot hệ điều hành Kali Linux cài đặt Phân vùng Sau chúng tơi sử dụng cơng cụ cơng cụ dc3dd để thu thập liệu bất biến công cụ Ir-Rescue để thu thập liệu khả biến, chuyển liệu thu thập lên Phân vùng Các bƣớc thực o Thu thập liệu Bất biến công cụ dc3dd  Bƣớc 1: Boot hệ điều hành Kali Linux máy tính ATTT USB thu thập chứng cứ, sau mở terminal để khởi động chương trình Dc3dd, chúng tơi thu thập chứng ổ đĩa C:\ Windows (dữ liệu bất biến) Trước tiến hành phải kiểm tra lại tên đường dẫn ổ đĩa hệ điều hành Kali Linux: Mở terminal, gõ lệnh: fdisk -l +  Bƣớc 2: Tiến hành thu thập liệu ổ C:\ Windows có tên /dev/sda1 cơng cụ Dc3dd, cụ thể cậu lênh sau: :~# dc3dd if=/dev/sda1 hash=md5 log=evidence of=dataWindows.dd Giải thích: If: Input file, tên ổ C:\ Windows đĩa cần phải thu thập Hash: định loại thuật toán băm sử dụng để xác minh tính tồn vẹn Trong trường hợp này, chúng tơi sử dụng hàm băm MD5 Of: Chỉ định tên tệp đầu hình ảnh pháp y tạo DC3DD Học viên: Đỗ Bá Sơn 80 Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 48 - Tiến trình thu thập mã hóa liệu dc3dd  Bƣớc 3: Dữ liệu ổ C:\ chuyển sang dạng tệp có đinh dạng dataWindows.dd, hình sau: Hình 49 - Kết sau tiến trình chạy cơng cụ dc3dd hồn tất Bƣớc 4: Mở terminal gõ ―unlock.sh‖ nhập password để mở Phân vùng sau copy liệu thu thập công cụ dc3dd Ghi chú: Trong trường hợp Phân vùng không đủ nhớ tách liệu thu thập cơng cụ dc3dd thành nhiều tệp nhỏ hơn, cụ thể sau: Nhập câu lệnh: ~# dc3dd if=/dev/sda1 hash=sha1 log=dd_evidence_Windows ofsz=500MB ofs=split_data_Windows.img.000  Hình 50 - Tiến trình phân tách liệu thu thập thành tệp nhỏ dc3dd Dữ liệu ổ C:\ phân tách thành nhiều tệp liệu có kích thước nhỏ đảm bảo tính tồn vẹn, sau copy liệu vào Phân vùng Học viên: Đỗ Bá Sơn 81 Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 51 - Kết sau phân tách o Thu thập liệu khả biến công cụ Ir-Rescue Bƣớc 1: Truy cập vào thư mục ―Nix‖ chứa tệp Ir-Rescue sau mở terminal đường dẫn nhập lệnh sau để chạy chương trình: ~# chmod +x /ir-rescue-nix-v1.1.0.sh  ~# / /ir-rescue-nix-v1.1.0.sh  Hình 52 - Chạy chương trình Ir-Rescue Bƣớc 2: Cũng tương tự Windows, Khi chương trình bắt đầu chạy phần mềm sinh tệp ―data‖, tệp tạo sẵn thư mục để chứa liệu bất biến máy tính Hình 53 - Thư mục data khởi tạo chương trình Ir-Rescue bắt đầu chạy  Bƣớc 3: Sau tiến trình hồn tất kiểm tra liệu tệp ―data‖ thu thập cơng cụ Ir-Rescue, sau copy tệp data vào Phân vùng Học viên: Đỗ Bá Sơn 82 Chương 3: Xây dựng USB thu thập chứng kiểm thử Hình 54 - Thơng báo hồn thành thu thập cơng cụ Ir-Rescue  Bƣớc 4: Sau hoàn tất thu thập liệu “Bất biến‖ liệu ―Khả biến‖ chuyển liệu sang Phân vùng kết thúc tiến trình thu thập chuyển USB tới nhà điều tra số để xác minh liệu Lưu ý: Để mã hóa liệu “data” sử dụng cơng cụ dc3dd để mã hóa sau chuyển sang lưu trữ liệu phân vùng - Nhận xét Phần mềm Dc3dd hoạt động tốt ổn định Kali Linux, đảm bảo yếu tố sau: o Khả bảo vệ toàn vẹn liệu chứng cứ, dc3dd sử dụng hàm băm mật mã hóa chuyển liệu bit giữ nguyên toàn liệu thu thập nhằm bảo vệ liệu chép không thay đổi so với liệu gốc o Khả chia liệu đầu thành nhiều tệp khác Phần mềm Ir-Rescue hoạt động tốt, thu thập đầy đủ liệu liên quan đến hoạt động máy tính ―tệp hệ thống Windows, liệu registry, truy vết người dùng, tệp sử dụng gần đây, lịch sử trình duyệt‖ Học viên: Đỗ Bá Sơn 83 Kết luận hướng phát triển đề tài KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ĐỀ TÀI  Kết luận Trong khuôn khổ luận văn, nội dung trình bày bao gồm: Lý thuyết quy trình điều tra số phương pháp thu thập chứng máy tính xảy cố ATTT Từ sở lý thuyết dẫn đến toán đặt liên quan đến hệ thống hỗ trợ xử lý cố an tồn thơng tin, cụ thể việc tạo công cụ phục vụ thu thập chứng cho công tác điều tra số Để giải tốn chúng tơi tạo cơng cụ USB thu thập chứng đảm bảo yêu cầu tốn đặt Chƣơng I: Chúng tơi trình bày tổng quan quy trình điều tra số, quy trình phải tuân theo tiêu chuẩn ISO/IEC 27041, chúng tơi nêu rõ lớp quy trình để thực Ngồi ra, nội dung nhấn mạnh chương đến phương pháp thu thập chứng số để từ xây dựng tốn liên quan nhằm hỗ trợ cơng tác xử lý cố máy tính ATTT Chƣơng II: Trong chương chúng tơi đưa tốn yêu cầu liên quan tạo USB chuyên dụng với ba phân vùng với chức khác Phân vùng thứ tích hợp tùy biến hệ điều hành Linux khả bảo mật kèm, phân vùng thứ sử dụng để chứa công cụ thu thập chứng Windows, phân vùng thứ để lưu trữ liệu thu thập từ máy tính ATTT, đồng thời phân vùng 2, thiết lập chế độ mã hóa để đảm bảo chống xâm nhập trái phép Ngoải giới thiệu số công cụ thu thập chứng Windows, Linux công cụ bảo mật sử dụng phân vùng Chƣơng III: Trong chương cuối cùng, chúng tơi trình bày cụ thể bước để tạo USB chuyên dụng kiểm thử khả bảo mật thu thập chứng Chúng nêu chi tiết bước thiết lập USB với đầy đủ ba phân vùng với dung lượng khác nhau, phân vùng nêu chi tiết bước thiết lập theo u cầu tốn chúng tơi đặt chương Để đảm bảo thiết bị USB hoạt động tốt, xây dựng kịch thử nghiệm để chắn USB bảo mật tốt khả thu thập chứng thiết kế ban đầu Học viên: Đỗ Bá Sơn 84 Kết luận hướng phát triển đề tài  Hƣớng phát triển đề tài: - Nghiên cứu, xây dựng phần mềm trung tâm phục vụ phân tích chứng cứ, phát nguyên nhân cố, hỗ trợ công tác xử lý cố an tồn thơng tin - Xây dựng giải pháp đảm bảo an ninh cho toàn hệ thống hỗ trợ xử lý cố ATTT - Thử nghiệm cục hệ thống hỗ trợ công tác xử lý cố ATTT - Hoàn thiện hệ thống hỗ trợ công tác xử lý cố ATTT Học viên: Đỗ Bá Sơn 85 Tài liệu tham khảo TÀI LIỆU THAM KHẢO Tiếng Việt Tiêu chuẩn quốc gia TCVN 11239:2015 (ISO/IEC 27035:2011) Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý cố an tồn thơng tin Tìm hiểu "Honeypot" "honeynet‖, URL: https://quantrimang.com/tim-hieu-ve- honeypot-va-honeynet-37896 Tiếng Anh ISO/IEC 27041:2015 ―Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method‖ Kali Linux Cookbook Paperback – Publisher Packt Publishing (October 15, 2013) by Willie L Pritchett, David De Smet Cybersecurity and Business Vitality - Greater Houston Partnership Cyber Incident Management Planning Guide For IIROC Dealer Members Ir – Rescue, URL: https://github.com/diogo-fernan/ir-rescue Computer forensics: Computer crime scene investigation by John R Vacca Microsoft, BitLocker Drive Encryption: Technical Overview, URL: http://www.microsoft.com/technet/Windowsvista/security/bittech.msp, accessed 21 October 2019 10.Microsoft, Bit locker Drive encryption frequently asked questions, URL: http://www.microsoft.com/technet/Windowsvista/security/bitfaq.mspx, accessed 31 October 2019 11 VeraCrypt, URL: https://en.wikipedia.org/wiki/VeraCrypt Học viên: Đỗ Bá Sơn 86 ... pháp lý, Trong hồn cảnh việc xây dựng công cụ hỗ trợ công tác thu thập chứng sau xảy cố ATTT vô cần thiết Với lý định chọn đề tài ? ?Nghiên cứu, xây dựng giải pháp thu thập chứng hỗ trợ xử lý cố. .. pháp thu thập chứng cách thức thu thập chứng cử đảm bảo quy trình Chƣơng 2: Giải pháp thu thập chứng USB chuyên dụng Nêu yêu cầu toán việc xây dựng công cụ USB chuyên dụng thu thập chứng hỗ trợ. ..ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ BÁ SƠN NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP THU THẬP CHỨNG CỨ HỖ TRỢ XỬ LÝ SỰ CỐ AN TỒN THƠNG TIN Chun ngành: Hệ thống thơng tin Mã số : 8480104.01