Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 44 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
44
Dung lượng
695,43 KB
Nội dung
CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH ĐIỀU TRA SỐ Giới thiệu điều tra số Điều tra số (đôi gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu sử dụng tương đương với điều tra máy tính sau mở rộng để bao quát toàn việc điều tra tất thiết bị có khả lưu trữ liệu số Điều tra số định nghĩa việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thơng tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống 1.2 Lịch sử điều tra số Trước năm 1980, tội phạm liên quan đến máy tính xử lý pháp luật hành Tội phạm máy tính lần ghi nhận Luật Tội phạm Máy tính Florida vào năm 1978, có bao gồm luật quy định việc chống sửa đổi trái phép hay xóa liệu hệ thống máy tính Trong năm tiếp theo, phạm vi hoạt động tội phạm máy tính tăng lên đáng kể, pháp luật thông qua để đối phó với vấn đề quyền tác giả, quyền riêng tư, hành vi quấy rối (như đe dọa, rình rập mạng hay kẻ thù trực tuyến) khiêu dâm trẻ em Mãi năm 1980, luật liên bang bắt đầu kết hợp chặt chẽ với hành vi phạm tội liên quan máy tính Canada quốc gia thực thi luật tội phạm máy tính vào năm 1983 Sau tổ chức chống Gian lận Lạm dụng Máy tính liên bang Mỹ vào năm 1986, Úc sửa đổi luật tội phạm máy tính vào 1989 Đạo luật Anh vào 1990 quy định hành vi lạm dụng máy tính Giai đoạn năm 1980 – Đến 1990: 1.1 -1- Sự phát triển gia tăng tội phạm máy tính năm 1980 1990 nguyên nhân để quan thực thi pháp luật bắt đầu thành lập nhóm chuyên ngành cấp quốc gia để xử lý khía cạnh kỹ thuật điều tra Ví dụ năm 1984, FBI thành lập nhóm ứng phó phân tích cố máy tính, sau năm cục tội phạm máy tính thành lập trực thuộc đội cảnh sát chống gian lận Anh Trong suốt năm 1990 yêu cầu nguồn lực điều tra để đáp ứng với gia tăng tội phạm máy tính Các đơn vị điều tra tội phạm công nghệ cao thành lập Anh vào năm 2001 để cung cấp sở hạ tầng quốc gia tội phạm máy tính, bao gồm nhân viên trung tâm London với lực lượng cảnh sát nhiều vùng khác Trong thời gian kỹ thuật điều tra số phát triển, thuật ngữ “Computer Forensics” sử dụng tài liệu học thuật Việc thu giữ, bảo quản phân tích chứng lưu trữ máy tính thách thức việc điều tra phải đối mặt với việc đưa để làm chứng phục vụ việc thực thi pháp luật năm 1990 Mặc dù hầu hết phân tích pháp y chẳng hạn dấu vân tay, xét nghiệm ADN, thực chuyên gia có nhiệm vụ thu thập phân tích chứng máy tính thường chuyển đến cho nhân viên điều tra thám tử Năm 2000: Phát triển tiêu chuẩn Từ năm 2000 để đáp ứng yêu cầu tiêu chuẩn hóa, quan hội đồng khác công bố hướng dẫn kỹ thuật điều tra số Nhóm cơng tác khoa học chứng số xuất báo năm 2002 với tiêu đề “Best practices for Computer Forensics” Đến năm 2005 công bố tiêu chuẩ ISO 17025 – đề cập đến yêu cầu chung thẩm quyền giám định phịng thí nghiệm kiểm chuẩn Năm 2004 hiệp định tội phạm máy tính có hiệu lực, nhằm liên kết quốc gia với việc điều tra tội phạm liên quan đến công nghệ cao Hiệp định ký kết 43 quốc gia 1.3 Ứng dụng điều tra số Trong thời đại công nghệ phát triển mạnh Song song với ngành khoa học khác, điều tra số có đóng góp quan trọng việc ứng cứu nhanh cố xảy máy tính, giúp chun -2- gia phát nhanh dấu hiệu hệ thống có nguy bị xâm nhập, việc xác định hành vi, nguồn gốc vi phạm xảy hết thống Về mặt kỹ thuật điều tra số như: Điều tra mạng, điều tra nhớ, điều tra thiết bị điện thoại giúp cho tổ chức xác định nhanh xảy làm ảnh hưởng tới hệ thống, qua xác định điểm yếu để khắc phục, kiện tồn Về mặt pháp lý điều tra số giúp cho quan điều tra tố giác tội phạm cơng nghệ cao có chứng số thuyết phục để áp dụng chế tài xử phạt với hành vi phạm pháp Một điều tra số thường bao gồm giai đoạn: Tiếp nhận liệu ảnh hóa tang vật, sau tiến hành phân tích cuối báo cáo lại kết điều tra Việc tiếp nhận liệu đòi hỏi tạo copy xác sector hay gọi nhân điều tra, phương tiện truyền thơng, để đảm bảo tính tồn vẹn chứng thu có phải băm sử dụng SHA1 MD5, điều tra cần phải xác minh độ xác thu nhờ giá trị băm trước Trong giai đoạn phân tích, chuyên gia sử dụng phương pháp nghiệp vụ, kỹ thuật công cụ khác để hỗ trợ điều tra, kỹ thuật đề cập chi tiết chương đồ án Sau thu thập chứng có giá trị có tính thuyết phục tất phải tài liệu hóa lại rõ ràng, chi tiếp báo cáo lại cho phận có trách nhiệm xử lý chứng thu 1.4 Quy trình thực điều tra số Một điều tra số thường bao gồm ba giai đoạn: tiếp nhận (hoặc chụp ảnh) tang vật, phân tích, lập báo cáo - Tiếp nhận tang vật liên quan đến việc tạo xác phương tiện truyền thơng, thường sử dụng thiết bị cấm ghi đè để ngăn -3- - - ngừa thay đổi so với gốc Cả lẫn gốc băm (sử dụng SHA-1 MD5) để so sánh với nhằm xác minh xác Trong giai đoạn phân tích, điều tra viên sử dụng phương pháp công cụ khác Năm 2002, báo Tạp chí Quốc tế tang chứng kỹ thuật số gọi bước “một hệ thống tìm kiếm chuyên sâu chứng liên quan đến kẻ tình nghi” Năm 2006, nhà nghiên cứu pháp y Brian Carrie mô tả “thủ tục trực quan” chứng rõ ràng xác định sau “tìm kiếm tồn diện tiến hành để bắt đầu làm đầy chỗ trống” Q trình thực tế phân tích khác điều tra, phương pháp thơng thường bao gồm tiến hành tìm kiếm từ khóa phương tiện truyền thông số (trong tập tin không gian lỏng chưa phân bổ), phục hồi tập tin xóa khai thác thơng tin đăng kí (ví dụ để liệt kê danh sách tài khoản người dùng, thiết bị USB kèm theo ) Các chứng sau phục hồi phân tích để tái dựng lại trường hành động đưa kết luận, công việc thực số nhân viên chuyên ngành Khi điều tra hoàn tất, liệu để trình bày thường thể hình thức văn báo cáo 1.5 Các loại hình điều tra số phổ biến 1.5.1 Điều tra máy tính Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp lý tìm thấy máy tính phương tiện lưu trữ kỹ thuật số Mục đích điều tra máy tính nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại việc ý kiến thông tin thu từ thiết bị kỹ thuật số Mặc dù thường kết hợp với việc điều tra loạt tội phạm máy tính, điều tra máy tính sử dụng tố tụng dân Bằng chứng thu từ điều tra máy tính thường phải tuân theo nguyên tắc thông lệ chứng kỹ thuật số khác Nó sử dụng số trường hợp có hồ sơ cao cấp chấp nhận rộng rãi hệ thống tòa án Mỹ Châu Âu -4- 1.5.2 Điều tra mạng Điều tra mạng (Network Forensics) nhánh khoa học điều tra số liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập Network Forensics hiểu Digital Forensics môitrường-mạng Network Forensics lĩnh vực tương đối khoa học pháp y Sự phát triển ngày Internet đồng nghĩa với việc máy tính trở thành mạng lưới trung tâm liệu khả dụng chứng số nằm đĩa Network Forensics thực điều tra độc lập kết hợp với việc phân tích pháp y máy tính (computer forensics) – thường sử dụng để phát mối liên kết thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội 1.5.3 Điều tra thiết bị di động Điều tra thiết bị di động (Mobile device Forensics) nhánh khoa học điều tra số liên quan đến việc thu hồi chứng kỹ thuật số liệu từ thiết bị di động Thiết bị di động không đề cập đến điện thoại di động mà thiết bị kỹ thuật số có nhớ khả giao tiếp, bao gồm thiết bị PDA, GPS máy tính bảng Việc sử dụng điện thoại với mục đích phạm tội phát triển rộng rãi năm gần đây, nghiên cứu điều tra thiết bị di động lĩnh vực tương đối mới, có niên đại từ năm 2000 Sự gia tăng loại hình điện thoại di động thị trường (đặc biệt điện thoại thơng minh) địi hỏi nhu cầu giám định thiết bị mà đáp ứng kỹ thuật điều tra máy tính -5- CHƯƠNG II: PHÂN TÍCH ĐIỀU TRA MẠNG VÀ NỀN TẢNG KỸ THUẬT PHÂN TÍCH ĐIỀU TRA MẠNG 2.1 Giới thiệu phân tích điều tra mạng (Network Forensics) Hình 1.1 Network Forensics Forensics Sciences Thuật ngữ Network Forensics (điều tra mạng) đưa chuyên gia bảo mật máy tính Marcus Ranum vào đầu năm 90, vay mượn từ lĩnh vực pháp luật tội phạm nơi mà “forensics” gắn liền với việc điều tra hành vi phạm tội Network Forensics nhánh digital forensics (điều tra số) liên quan đến việc giám sát phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng pháp lý hay phát xâm nhập Network Forensics hiểu Digital Forensics môi trường mạng Về bản, Network Forensics việc chặn bắt, ghi âm phân tích kiện mạng để khám phá nguồn gốc công cố vấn đề Khơng giống mảng khác digital forensics, điều tra mạng giải thông tin dễ thay đổi biến động Lưu lượng mạng truyền sau bị mất, network forensics thường điều tra linh hoạt, chủ động -6- • Trong mơi trường nay, network forensics thường thực để phân tích xung đột diễn kẻ công người phịng thủ Thơng thường, điều tra viên cố gắng ngăn chặn bùng phát sâu máy tính, điều tra hành vi vi phạm, thu thập chứng cho tòa án Các kỹ năng, kỹ thuật cần thiết cho việc phân tích pháp y mạng sâu rộng nâng cao, nhà điều tra kêu gọi để khai thác nhớ cache từ web proxy hay sniff thụ động lưu lượng truy cập mạng xác định hoạt động đáng ngờ Hầu hết kỹ thuật giám sát thụ động, chủ yếu dựa lưu lượng mạng, hiệu CPU trình nhập/ xuất (Input/Output) với can thiệp người Trong đa số trường hợp, dấu hiệu công phát thủ cơng số trường hợp khơng bị phát vụ việc báo cáo Trọng tâm lĩnh vực pháp y mạng để tự động hóa q trình phát tất cơng thêm vào ngăn chặn thiệt hại vi phạm an ninh Ý tưởng network forensics xác định tất vi phạm an ninh xảy xây dựng dấu hiệu vào chế phát ngăn chặn để hạn chế mát sau Một số điểm lưu ý nói đến Network Forensics Nó khơng phải sản phẩm (product) mà tiến trình (process) phức • • tạp (bao gồm cơng cụ kỹ thuật, trí tuệ người, luật pháp ) Nó khơng thay cho tường lửa, IDS, IPS Nó sử dụng cảnh báo IDS, nhật ký tường lửa, gói tin 2.2 Vai trị ứng dụng phân tích điều tra mạng Sự tăng trưởng kết nối mạng phức tạp hoạt động mạng kèm với gia tăng số lượng tội phạm mạng buộc doanh nghiệp quan thực thi pháp luật phải vào để thực điều tra, phân tích Cơng việc có khó khăn đặc biệt giới ảo, vấn đề lớn điều tra viên hiểu liệu số mức thấp việc xếp, tái tạo lại chúng Mục tiêu quan trọng phân tích điều tra mạng cung cấp đầy đủ chứng để khởi tố tội phạm hình Ứng dụng thực tế phân tích điều tra mạng lĩnh vực hacking, lừa đảo, công ty bảo hiểm, trộm cắp thông tin nhạy cảm, xuyên tạc, chép thẻ tín dụng, vi -7- phạm quyền phần mềm, can thiệp vào trình bầu cử, phát tán văn hóa phẩm đồi trụy, khai man, quấy rối tình dục, phân biệt chủng tộc chí giết người 2.3 Nền tảng kỹ thuật cho phân tích điều tra mạng 2.3.1 Hệ điều hành dịch vụ mạng phổ biến 2.3.1.1 Các dạng hệ điều hành Hệ điều hành phần mềm chạy máy tính, dùng để điều hành, quản lý thiết bị phần cứng tài nguyên phần mềm máy tính Hệ điều hành đóng vai trị trung gian việc giao tiếp người sử dụng phần cứng máy tính, cung cấp mơi trường cho phép người sử dụng phát triển thực ứng dụng họ cách dễ dàng Hệ điều hành theo hình thức xử lý chia làm loại chính: • Hệ đa xử lý (Multiprocessor Systems), CPU dùng chung nhớ thiết bị, gồm: Hệ xử lý đối xứng - Các CPU ngang hàng chức (OS: Solaris, Linux, • Microsoft Windows NT trở lên, OS/2) Hệ xử lý phi đối xứng - Các CPU ấn định chức riêng, có CPU • master điều khiển CPU phụ (Slaves) (OS: SunOS 4.x) Hệ phân tán (Distributed Systems) Kết nối với qua giao tiếp mạng Phân loại theo khoảng cách (LAN, WAN, MAN) Phân loại theo phương thứ phục vụ (File-Server, Peer-to-peer, Client-Server) Hệ gom cụm (Clustered Systems), nhiều máy nối mạng để làm chung công việc, phân loại: Gom cụm đối xứng (Symmetric Clustering) - Các máy ngang hàng chức • Gom cụm phi đối xứng (Asymmetric Clustering) - Có máy chạy Hot • Standby Mode giám sát máy khác Hệ thời gian thực (Real-Time Systems) Thời gian thực chặt (Hard Real-Time) - Có thời gian giới tuyến Deadline • định, thời gian hư hỏng Thời gian thực lỏng (Soft Real-Time) - Trung bình đáp ứng thời gian, • • • số trường hợp đặc biệt bị chậm chút, ko bị hư hỏng ảnh hưởng đến toàn hệ -8- Hệ cầm tay (Handheld Systems) - Các OS cho điện thoại, PDA (OS: Palm, Sysbian, iOS, Windows Pocket PC, Windows Mobile, Windows Mobile, Android, ) 2.3.1.2 Các định dạng file hệ điều hành Mỗi hệ điều hành có quy định riêng định dạng file, thường dựa vào phần mở rộng tên file Phần mở rộng tên file coi loại siêu liệu (metadata) Chúng thường dùng để bao hàm thông tin cách thức liệu lưu trữ tệp tin Việc định nghĩa xác đưa tiêu chí định phần tên file phần mở rộng; thường phần mở rộng phần xuất sau (nếu có) tên tệp tin (ví dụ txt phần mở rộng tệp tin readme.txt, html phần mở rộng mysite.index.html) Trên hệ thống tệp tin máy tính lớn (mainframe) MVS, VMS hay CP/M, MS-DOS, phần mở rộng chuỗi kí tự tính từ sau khoảng trống phân tách từ tên tệp tin Đối với hệ điều hành Windows, phần mở rộng exe, com bat tệp tin chương trình thực thi Các hệ thống tệp tin thuộc họ Unix sử dụng mơ hình khác mà khơng có kiểu siêu liệu với phần mở rộng tách biệt Dấu chấm kí tự tên tệp tin tên tệp tin có nhiều phần mở rộng, thường đại diện cho chuyển đổi lồng nhau, chẳng hạn files.tar.gz Mơ hình thường đòi hỏi tên tệp tin phải đầy đủ để cung cấp dòng lệnh, nơi mà siêu liệu thường cho phép bỏ qua phần mở rộng Những phiên OS X trước hệ điều hành MacOS bỏ hoàn toàn việc sử dụng phần mở rộng dựa vào tên tệp tin siêu liệu, thay vào sử dụng mã tệp tin riêng để xác định định dạng tệp tin Thêm vào đó, mã khởi tạo định để xác định ứng dụng gọi nhấp đúp vào tệp tin Tuy nhiên Mac OS X sử dụng hậu tố tên tệp tin, mã tệp tin mã khởi tạo, có nguồn gốc từ Unix – tương tự hệ điều hành NeXTSTEP 2.3.1.3 Các dịch vụ mạng phổ biến Dịch vụ xác thực: cung cấp chế xác thực cho người sử dụng -9- hệ thống thông qua mạng Người sử dụng máy chủ nhận vé mã hóa, vé sau trao đổi với để xác minh danh tính Dịch vụ thư mục: hệ thống phần mềm lưu trữ, tổ chức cung cấp quyền truy cập vào thông tin thư mục Trong công nghệ phần mềm, thư mục ánh xạ tên với giá trị Nó cho phép tra cứu giá trị cho tên, tương tự từ điển Dynamic Host Configuration Protocol (DHCP): giao thức cấu hình tự động địa IP Máy tính cấu hình cách tự động giảm việc can thiệp vào hệ thống mạng Nó cung cấp database trung tâm để theo dõi tất máy tính hệ thống mạng Mục đích quan trọng tránh trường hợp hai máy tính khác lại có địa IP Nếu khơng có DHCP, máy cấu hình IP thủ cơng Ngồi việc cung cấp địa IP, DHCP cịn cung cấp thơng tin cấu hình khác, cụ thể DNS Hiện DHCP có version: cho IPv4 IPv6 DNS (Domain Name System - Hệ thống tên miền) phát minh vào năm 1984 cho Internet, hệ thống cho phép thiết lập tương ứng địa IP tên miền Hệ thống tên miền (DNS) hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, nguồn lực tham gia vào Internet Nó liên kết nhiều thơng tin đa dạng với tên miền gán cho người tham gia Quan trọng chuyển tên miền có ý nghĩa cho người vào số định danh (nhị phân), liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị khắp giới DNS phục vụ “Danh bạ điện thoại” để tìm Internet cách dịch tên máy chủ máy tính thành địa IP Ví dụ, www.example.com dịch thành 208.77.188.166 Mọi người tận dụng lợi họ sử dụng URL có nghĩa địa email mà không cần phải biết làm máy thực tìm chúng Hệ thống tên miền lưu trữ loại thông tin khác, chẳng hạn danh sách máy chủ email chấp nhận thư điện tử cho tên miền - 10 - điều tra network forensics chuẩn mực để tham chiếu đến computer forensics Phần trình bày quy trình chung cho việc phân tích điều tra mạng nhằm xác định cách cụ thể bước thực từ mơ hình đề xuất cho điều tra số 3.1.1 Giai đoạn 1: Chuẩn bị ủy quyền Network Forensics áp dụng cho mơi trường mà cơng cụ an ninh mạng hệ thống phát xâm nhập IDS, hệ thống phân tích gói tin, tường lửa, phần mềm đo đạc lưu lượng, triển khai điểm chiến lược mạng Đội ngũ quản lý công cụ phải đào tạo để đảm bảo thu thập số chứng tối đa chất lượng nhằm tạo điều kiện thuận lợi cho việc quy kết hành vi phạm tội Ngoài việc giám sát lưu lượng mạng cịn có sách an toàn thiết lập nhằm hạn chế vi phạm đến yếu tố riêng tư cá nhân tổ chức Honeynets network telescope triển khai để thu hút kẻ công, nghiên cứu hành vi tìm hiểu chiến thuật chúng 3.1.2 Giai đoạn 2: Phát cố hành vi phạm tội Những cảnh báo tạo công cụ bảo mật khác vi phạm an ninh hay sách theo dõi Bất kì việc trái phép hay hành động dị thường bị phát phân tích Sự diện tính chất công xác định dựa vào thông số khác Một xác minh nhanh chóng thực để đánh giá xác nhận công khả nghi Điều tạo điều kiện thuận lợi cho việc định quan trọng liệu có tiếp tục điều tra hay bỏ qua cảnh báo báo động sai Cần thực biện pháp phòng ngừa để chứng khơng bị sửa đổi q trình Việc xác nhận vụ việc chia làm hai hướng - ứng phó cố thu thập liệu 3.1.3 Giai đoạn 3: Ứng phó cố Việc đối phó với tội phạm hay xâm nhập phát bắt đầu dựa thông tin thu thập nhằm xác nhận đánh giá vụ việc Các phản ứng ban đầu phụ thuộc vào loại hình công xác định hướng - 30 - dẫn sách tổ chức, pháp luật thương mại Một kế hoạch hành động việc làm để ngăn chặn công tương lai phục hồi từ tổn thất tồn ban đầu Đồng thời, định liệu có tiếp tục điều tra thu thập thêm thông tin hay không Giai đoạn áp dụng trường hợp mà điều tra khởi tạo cơng thực khơng có thơng báo phạm tội 3.1.4 Giai đoạn 4: Thu thập vết tích mạng Dữ liệu thu từ cảm biến (sensor) sử dụng để thu thập lưu lượng mạng Các cảm biến sử dụng phải an tồn, có khả chịu lỗi, giới hạn quyền truy cập phải có khả tránh thỏa hiệp Một thủ tục xác định rõ cách sử dụng công cụ tin cậy, phần cứng phần mềm, phải dùng để thu thập chứng tối đa lại gây tác động tối thiểu đến nạn nhân Mạng phải giám sát để xác định công tương lai Tính tồn vẹn liệu ghi lại ghi kiện mạng phải đảm bảo Việc thu thập khó khăn liệu lưu lượng mạng thay đổi cách nhanh chóng khơng có khả tạo dấu vết lần sau Số lượng liệu ghi lại lớn, yêu cầu không gian nhớ tương đương hệ thống phải có khả để xử lý định dạng khác cách thích hợp 3.1.5 Giai đoạn 5: Duy trì bảo vệ Các liệu ban đầu lấy từ dấu vết (traces) hay ghi (records) lưu trữ thiết bị lưu Việc băm giá trị liệu thu đảm bảo an toàn cho liệu, đảm bảo tính xác độ tin cậy liệu bảo quản Chuỗi giám sát thực xác để khơng xảy việc sử dụng trái phép hay giả mạo Một lưu khác liệu sử dụng cho phân tích lưu lượng mạng ban đầu thu bảo quản Việc thực để trình điều tra chứng minh lẫn liệu gốc bảo quản để đáp ứng yêu cầu pháp lý 3.1.6 Giai đoạn 6: Kiểm tra Các dấu vết thu từ cảm biến an tồn khác tích hợp kết hợp để tạo tập liệu lớn mà việc phân tích thực Việc xếp dán nhãn thời gian thực đồng thời - 31 - Điều nhằm đảm bảo thông tin quan trọng không bị lẫn lộn Dữ liệu ẩn ngụy trang kẻ công cần phải phục hồi Dữ liệu thu thập phân loại nhóm thành nhóm để dễ dàng khâu quản lý Thơng tin dự phịng liệu khơng liên quan bị loại bỏ cịn thuộc tính đại diện tối thiểu xác định để hạn chế lượng thơng tin nhằm phân tích chứng có khả 3.1.7 Giai đoạn 7: Phân tích Chứng sau thu thập tìm kiếm cách thức phù hợp để khai thác dấu hiệu đặc biệt tội phạm Các dấu hiệu phân loại suy luận tương quan để đưa nhận xét quan trọng thông qua mẫu công có Tiếp cận phương pháp thống kê khai phá liệu dùng để tìm kiếm liệu kết hợp với mẫu công phù hợp Một vài thơng số quan trọng có liên quan đến thiết lập kết nối mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức hệ điều hành, tiến trình giả mạo, phần mềm hay rootkit cài đặt Các mẫu công xâu chuỗi với công xây dựng thực lại nhằm nắm ý định phương thức hành động kẻ công Các kết giai đoạn xác nhận hoạt động đáng ngờ 3.1.8 Giai đoạn 8: Điều tra quy kết trách nhiệm Các thơng tin có từ dấu vết chứng dùng để xác định ai? gì? đâu? nào? nào? gây cố Việc giúp cho việc xây dựng lại kịch công quy kết trách nhiệm Phần khó khăn việc phân tích pháp y xác định danh tính kẻ công Hai cách thức đơn giản kẻ công để che giấu thân giả mạo IP công kiểu bàn đạp Các nhà nghiên cứu đề xuất nhiều giải pháp xác định IP để tìm kiếm địa xác kẻ cơng cịn vấn đề mở Kẻ công sử dụng bàn đạp tức hệ thống bị thỏa hiệp để thực cơng Chúng bị phát sử dụng phương pháp tiếp cận dựa vào tương tự bất thường số liệu thống kê gói tin Cách tiếp cận việc điều tra phụ thuộc vào dạng công 3.1.9 Giai đoạn 9: Tổng kết đánh giá - 32 - Kết điều tra tra trình bày theo ngôn từ dễ hiểu để cán quản lý tổ chức cán pháp chế thuận lợi cung cấp giải thích thủ tục tiêu chuẩn khác dùng để đến kết luận Các tài liệu có hệ thống bao gồm để đáp ứng yêu cầu Những kết luận trình bày sử dụng trực quan để họ dễ dàng nắm bắt Các liệu thống kê giải thích với hỗ trợ kết luận đến Một báo cáo toàn diện vụ việc thực biện pháp khuyến nghị để ngăn ngừa cố tương tự xảy tương lai Các kết tài liệu hóa để sử dụng việc điều tra tương lai cải thiện sản phẩm bảo mật 3.2 Kỹ thuật phân tích 3.2.1 Phân tích gói tin Phân tích gói tin thơng thường quy vào việc nghe gói tin phân tích giao thức, mơ tả q trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp hiểu cấu tạo mạng, mạng, xác định sử dụng băng thơng, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng không bảo mật Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin không đơn giản cắm máy xách tay vào mạng bắt gói Thực tế, nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức việc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý loại thiết bị (hub, switch, router) có ngun lý hoạt động khác Và điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích - 33 - 3.2.2 Phân tích thống kê lưu lượng Thơng lượng mạng đo cơng cụ có sẵn tảng khác Lý để đo thông lượng mạng người thường quan tâm đến liệu tối đa giây liên kết thông tin liên lạc hay truy cập mạng Một phương pháp điển hình thực việc đo đạc chuyển tập tin lớn từ hệ thống sang hệ thống khác đo thời gian cần thiết để hoàn tất việc chuyển giao hay chép tập tin Thơng lượng sau tính cách chia kích thước tập tin theo thời gian để có kết theo megabit, kilobit hay bit giây Tuy nhiên, kết lần tính dẫn đến việc thơng lượng thực tế thơng lượng liệu tối đa lý thuyết, làm người ta tin liên kết thông tin liên lạc họ không xác Trên thực tế, có nhiều chi phí chiếm thơng lượng ngồi chi phí truyền tải, bao gồm độ trẽ, kích thước cửa sổ hạn chế hệ thống, có nghĩa kết không phản ánh thông lượng tối đa đạt Phần mềm kiểm tra băng thông sử dụng để xác định băng thông tối đa mạng kết nối internet Nó thường thực cách cố gắng tải tải lên số liệu tối đa thời gian ngắn Vì lý này, kiểm tra băng thơng trì hoãn tốc độ truyền mạng gây chi phí liệu tăng cao Một phương pháp xác sử dụng phần mềm chuyên dụng Netcps, JDSU QT600, Spirent Test Center, IxChariot, Iperf, Ttcp, netperf hay bwping để đo thông lượng tối đa cho truy cập mạng 3.2.3 Phân tích nhật ký, kiện Một tệp tin nhật ký ghi kiện xảy hệ thống hay mạng Tệp tin nhật ký bao gồm mục nhập vào, mục chứa thông tin liên quan đến kiện cụ thể xảy hệ thống Ban đầu, tệp tin nhật ký sử dụng chủ yếu cho vấn đề xử lý cố phục vụ cho nhiều chức bên tổ chức tối ưu hóa hệ thống hiệu mạng, cung cấp liệu hữu ích việc điều tra hoạt động phạm tội - 34 - Các tệp tin nhật ký phát triển để chứa thêm thông tin liên quan đến nhiều loại kiện khác xảy mạng hay hệ thống Trong tổ chức, tệp tin nhật ký chứa ghi liên quan đến an ninh máy tính, ví dụ phổ biến ghi ghi kiểm toán, theo dõi nỗ lực xác thực người dùng nhật ký thiết bị an toàn ghi lại công vào hệ thống Việc triển khai rộng rãi máy chủ, máy trạm, thiết bị máy tính mạng lưới internet làm gia tăng mối đe dọa mạng hệ thống, số lượng, khối lượng đa dạng tệp tin nhật ký làm ghi bảo mật tăng lên nhiều Điều tạo cần thiết việc phân tích tệp tin nhật ký dùng cho mục đích riêng, đặc biệt điều tra công mạng Tệp tin nhật ký chứa nhiều thơng tin kiện xảy hệ thống, phân loại thành dạng đặc biệt sau: - Nhật ký phần mềm bảo mật (security software logs) chủ yếu chứa thơng tin liên quan đến an ninh máy tính thiết bị an toàn Nhật ký hệ điều hành (operating system logs) liên quan đến kiện xảy trình vận hành Nhật ký ứng dụng (application logs) chứa nhiều thông tin liệu hệ thống 3.2.3.1 Nhật ký phần mềm bảo mật o Hầu hết tổ chức sử dụng nhiều loại phần mềm bảo mật dựa mạng (network-based) dựa máy chủ (host-based) để phát hoạt động nguy hiểm, bảo vệ hệ thống liệu, hỗ trợ cho nỗ lực ứng phó cố Theo đó, phần mềm bảo mật nguồn liệu nhật ký an toàn Các loại phổ biến phần mềm bảo mật bao gồm: Phần mềm chống malware (Antimalware software): Hình thức phổ biến phần mềm chống virus, ghi nhật ký thường ghi lại tất trường hợp phát phần mềm độc hại, nỗ lực khử độc tệp tin hệ thống, bảo vệ tệp tin Ngoài loại nhật ký ghi lại trình qt phần mềm độc hại, phát có dấu hiệu virus hay trạng - 35 - o thái cập nhật Phần mềm chống spyware hay dạng khác nguồn phổ biến thông tin bảo mật Hệ thống phát ngăn chặn xâm nhập (IDS – Intrusion Detection o System /IPS – Intrusion Prevention System): Các ghi nhật ký ghi lại thông tin chi tiết hành vi đáng ngờ giúp phát công Một số hệ thống phát xâm nhập chẳng hạn phần mềm kiểm tra tính tồn vẹn tệp tin chạy định kỳ thay chạy liên tục, chúng tạo nhật ký theo lơ thay tạo liên tục Phần mềm truy cập từ xa (Remote Access Software): Việc truy cập từ xa o thường cung cấp đảm bảo thông qua mạng riêng ảo (VPN – Vitual Private Network) Hệ thống VPN thường ghi lại nỗ lực đăng nhập (thành công hay thất bại), ngày người dùng kết nối ngắt kết nối, số lượng liệu gửi nhận lấn sử dụng Hệ thống VPN hỗ trợ điều khiển truy cập chi tiết nhiều SSL VPN (Secure Socket Layer VPN) ghi lại thông tin chi tiết việc sử dụng nguồn tài nguyên hệ thống Web Proxy: máy chủ trung gian mà qua q trình truy cập trang o web bị kiểm soát Web proxy thực thay cho người dùng yêu cầu trang web họ muốn truy cập tạo cache web nhằm việc truy cập hiệu Web proxy sử dụng để hạn chế truy cập web thêm lớp bảo vệ client với server Web proxy lưu trữ ghi tất URL truy cập Phần mềm quản lý lỗ hổng (Vulnerability Management Software) o bao gồm phần mềm quản lý vá phần mềm đánh giá lỗ hổng, ghi thường lưu lại lịch sử cài đặt vá trạng thái lỗ hổng máy chủ, bao gồm lỗ hổng biết cập nhật bị thiếu Ngồi ghi lại cấu hình máy chủ Phần mềm quản lý lỗ hổng thường chạy định kỳ không liên tục có khả tạo lơ lớn nhật ký đầu vào Máy chủ xác thực (Authentication Server) bao gồm máy chủ thư mục máy chủ đăng nhập lần, ghi nhật ký thường lưu lại trình đăng nhập gồm nguồn gốc, tên người dùng, thành công hay thất bại kèm theo thời gian (ngày/tháng/năm) - 36 - o Thiết bị định tuyến (Router): cấu hình phép chặn o số dạng lưu lượng mạng dựa vào sách Router ghi lại đặc điểm hoạt động bị chặn Tường lửa (Firewall): tương tự router, tường lửa cho phép ngăn o chặn hoạt động dựa sách, nhiên tường lửa sử dụng phương pháp phức tạp nhiều để kiểm soát lưu lượng mạng Tường lửa theo dõi trạng thái mạng thực việc kiểm tra theo nội dung Tường lửa có xu hướng tạo sách phức tạp ghi chi tiết hoạt động kiểm sốt Máy chủ kiểm định mạng (Network Quarantine Server): số tổ chức kiểm tra tình trạng an ninh máy chủ từ xa trước cho phép tham gia vào mạng lưới chung Điều thường thực thông qua mạng lưới máy chủ kiểm định tác nhân đặt host Các máy chủ không đáp ứng trình kiểm tra thất bại kiểm tra cách ly mạng lưới VLAN riêng biệt Hình 3.2: Ví dụ ghi nhật ký phần mềm bảo mật 3.2.3.2 Nhật ký hệ điều hành Hệ điều hành dùng cho máy chủ, máy trạm thiết bị mạng (như router, switch ) thường ghi lại nhiều thông tin liên quan đến an ninh - 37 - Dưới dạng phổ biến liệu hệ điều hành liên quan đến bảo mật: - Sự kiện hệ thống (System Events): hoạt động thực thành phần hệ điều hành chẳng hạn tắt hệ thống hay khởi động dịch vụ Thông thường, tất kiện thất bại hay thành công ghi lại, nhiều nhà quản trị cho phép thiết lập dạng kiện đặc biệt ghi lại Các ghi nhật ký chi tiết cho kiện khác nhau, kiện thường ghi lại ngày tháng thông tin hỗ trợ khác trạng thái, hoạt động, mã lỗi, tên dịch vụ, tên người dùng hay tài khoản hệ thống - Bản ghi kiểm toán (Audit Record) chứa thơng tin kiện an tồn nỗ lực đăng nhập (thành công/ thất bại), trình truy cập vào tệp tin, thay đổi sách bảo mật, thay đổi tài khoản (ví dụ tạo/ xóa tài khoản, chuyển nhượng đặc quyền tài khoản), Hệ điều hành thường cho phép quản trị xác định loại kiện cần kiểm tra hành động nỗ lực ghi lại Nhật ký hệ điều hành chứa thơng tin từ phần mềm bảo mật ứng dụng chạy hệ thống Nó hữu ích việc xác định điều tra hoạt động đáng ngờ liên quan đến máy chủ cụ thể Sau hoạt động đáng ngờ xác định phần mềm bảo mật, nhật ký hệ điều hành thường đưa thông tin nhằm tham khảo thêm hoạt động Ví dụ, thiết bị an ninh mạng phát công chống lại máy chủ cụ thể, ghi nhật ký có người dùng đăng nhập vào máy chủ thời điểm xảy công Nhiều ghi nhật ký tạo theo định dạng syslog Bản ghi hệ điều hành khác chẳng hạn hệ thống Windows, lưu trữ định dạng độc quyền - 38 - Hình 3.3: Ví dụ ghi nhật ký hệ điều hành 3.2.3.3 Nhật ký ứng dụng Hệ điều hành phần mềm bảo mật cung cấp tảng bảo vệ cho ứng dụng dùng để lưu trữ, truy cập thao tác liệu sử dụng cho tiến trình kinh doanh tổ chức Một số ứng dụng tạo tệp tin nhật ký riêng chúng, ứng dụng khác sử dụng tính ghi nhật ký hệ điều hành mà chúng cài đặt Các ứng dụng khác biệt đáng kể dạng thông tin chúng ghi lại Dưới số loại nhật ký phổ biến kèm theo thông tin lợi ích loại: - Yêu cầu từ máy khách phản hồi từ máy chủ (Client requests/ server responses): hữu ích việc xây dựng lại trình tự kiện xác định kết rõ ràng chúng Nếu nhật ký ứng dụng xác thực người dùng thành cơng, thường xác định yêu cầu từ phía người dùng Một số ứng dụng ghi lại nhật ký mức chi tiết hơn, chẳng hạn máy chủ email ghi lại người gửi, người nhận, tên chủ đề tên tệp tin đính kèm cho email, máy chủ web ghi lại yêu cầu URL dạng phản hồi cung cấp từ server, ứng dụng doanh nghiệp ghi lại hồ sơ tài truy cập người dùng Thơng tin sử dụng để xác định hoạt động bất thường điều tra cố, giám sát việc sử dụng ứng dụng cho phù hợp thực kiểm toán an tồn - Thơng tin tài khoản (Account information): nỗ lực xác thực thành công thất bại, thay đổi tài khoản hay sử dụng đặc quyền Ngoài việc xác định kiện bảo mật đốn mật khẩu, leo thang đặc quyền, cịn xác định sử dụng ứng dụng thời gian sử dụng ứng dụng - 39 - - Thông tin sử dụng (Usage information): số lượng giao dịch xảy thời gian định kích cỡ giao dịch (ví dụ kích cỡ tin nhắn, độ lớn tệp tin truyền tải ) Điều hữu ích cho số loại giám sát an ninh (ví dụ, gia tăng cấp số mười hoạt động email mối đe dọa phần mềm độc hại hay bom thư ) - Hoạt động vận hành quan trọng (Significant operational actions) việc khởi động hay tắt máy, lỗi ứng dụng thay đổi cấu hình ứng dụng Việc ghi lại nhật ký hoạt động xác định thỏa hiệp an ninh hay lỗi vận hành Những thông tin này, đặc biệt ứng dụng khơng sử dụng mã hóa truyền thơng mạng, ghi lại ứng dụng, làm cho nhật ký đặc biệt có giá trị việc xử lý cố liên quan đến an ninh, kiểm toán nỗ lực thỏa hiệp Tuy nhiên ghi thường nằm định dạng độc quyền làm cho việc sử dụng khó khăn, liệu thường nằm nhiều bối cảnh phụ thuộc, đòi hỏi nhiều nguồn lực để xem xét nội dung chúng Hình 3.4: Ví dụ nhật ký máy chủ web Trong hầu hết tổ chức, nhà quản trị mạng hệ thống có trách nhiệm thực phân tích nhật ký để xác định kiện cần quan tâm Nó thường coi nhiệm vụ ưu tiên thấp nhà quản trị phải xử lý vấn đề hoạt động hay giải lỗ hổng bảo mật cách nhanh chóng Quản trị viên chịu trách nhiệm thực phân tích nhật ký thường khơng đào tạo cách hiệu không nhận cơng cụ cần thiết việc tự động hóa q trình phân tích, chẳng hạn script hay phần mềm bảo mật (ví dụ sản phẩm phát xâm nhập, phần mềm quản lí kiện an tồn thơng tin) Nhiều số cơng cụ đặc biệt hữu ích q trình tìm kiếm dấu hiệu lạ mà người không dễ dàng nhìn thấy, chẳng hạn mối tương quan mục ghi có liên quan đến kiện Một vấn đề khác nhiều nhà quản lý xem phân tích nhật ký nhàm chán cung cấp lợi ích so với thời gian địi hỏi phải bỏ Phân tích nhật ký thường coi phản ứng, hành động thực sau vấn đề xảy Theo truyền thống, hầu - 40 - hết ghi nhật ký khơng phân tích theo thời gian thực hay gần thời gian thực 3.3 Công cụ sử dụng phân tích điều tra mạng 3.3.1 Wireshark WireShark có bề dày lịch sử, Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ơng khơng thể đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chun nghiệp lẫn nghiệp dư đưa nhiều tính để thu hút đối tượng khác 3.3.2 NetworkMiner NetworkMiner công cụ phân tích điều tra mạng (Network Forensics Analysis Tool – NFAT) cho Windows NetworkMiner sử dụng cơng cụ chặn bắt gói tin thụ động nhằm nhận biết hệ điều hành, phiên làm việc, tên host, port mở mà không cần đặt luồng liệu lên mạng NetworkMiner phân tích tệp tin pcap trường hợp ngoại tuyến tái tạo tập tin truyền tải, cấu trúc thư mục hay chứng từ tệp tin pcap Mục đích NetworkMiner thu thập liệu (chẳng hạn chứng pháp lý) host mạng thu thập liệu lưu lượng truy cập, quan tâm đến trung tâm máy chủ (nhóm thơng tin - 41 - máy) khơng phải trung tâm gói tin (thơng tin danh sách gói tin, khung nhìn ) NetworkMiner tiện dụng phân tích mã độc C&C (command & control – lệnh điều khiển) kiểm soát lưu lượng truy cập từ mạng lưới botnet 3.3.3 Snort Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS), sử dụng để giám sát liệu di chuyển mạng Cũng hệ thống phát xâm nhập Host-based, cài đặt Host cụ thể để phát cơng nhắm đến Host Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt Snort chủ yếu IDS dựa luật, nhiên Input plug-in tồn để phát bất thường Header giao thức Snort sử dụng luật lưu trữ File Text, chỉnh sửa người quản trị Các luật thuộc loại lưu File khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu cung cấp nhằm phân tích liệu thu Tìm dấu hiệu sử dụng chúng luật vấn đề đòi hỏi tinh tế, sử dụng nhiều luật lực xử lý đòi hỏi để thu thập liệu thực tế Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập thêm vào luật Cũng xóa vài luật tạo trước để tránh việc báo động sai 3.3.4 Tcpxtract & TCPflow Tcpxtract công cụ dùng để giải nén tệp tin từ lưu lượng mạng dựa dấu hiệu, dạng tiêu đề phụ đề (hay gọi “carving” – chạm khắc), kỹ thuật khôi phục liệu kiểu cũ Những công cụ Foremost sử dụng kỹ thuật để khơi phục tệp tin từ luồng liệu Tcpxtract đặc biệt sử dụng kỹ thuật vào việc chặn bắt tệp tin truyền qua mạng Các công cụ khác với chức tương tự driftnet EtherPEG, công cụ dùng để theo dõi giải nén tệp tin hình ảnh - 42 - mạng thường sử dụng nhà quản trị để giám sát hoạt động trực tuyến người dùng Hạn chế lớn driftnet EtherPEG chúng hỗ trợ ba định dạng tệp tin mà khơng có cách để bổ sung thêm Các kỹ thuật tìm kiếm chúng sử dụng khơng có khả mở rộng khơng thể tìm giới hạn gói tin Tcpxtract có tính bật sau: - Hỗ trợ 26 định dạng tệp tin phổ biến Những định dạng thêm việc chỉnh sửa tệp tin cấu hình Có thể sử dụng tệp tin cấu hình Foremost cho Tcpxtract Thuật tốn tìm kiếm tùy chỉnh với phạm vi rộng tốc độ nhanh Sử dụng libpcap, thư viện di động phổ biến ổn định cho mạng lưới thu thập liệu Có thể dùng mạng trực tuyến tệp tin tcpdump capture 3.3.5 Foremost Foremost chương trình điều khiển (console) dùng để khơi phục tệp tin dựa vào tiêu đề, phụ đề cấu trúc liệu bên Quá trình thường gọi chạm khắc liệu (data carving) Foremost làm việc tệp tin ảnh, chẳng hạn tạo dd, Safeback, Encase, trực tiếp từ ổ cứng Tiêu đề phụ đề xác định tệp tin cấu hình sử dụng switch dịng lệnh dựa dạng tệp tin tích hợp Các dạng tích hợp tra cứu cấu trúc liệu định dạng tệp tin cung cấp nhằm đảm bảo việc phục hồi nhanh đáng tin cậy 3.3.6 Scapy Scapy công cụ thao tác với gói tin dùng cho mạng máy tính, viết Python Philippe Biondi Nó giả mạo giải mã gói tin, gửi lại đường truyền, chặn bắt làm khớp yêu cầu với phản hồi Nó xử lý tác vụ khác quét, truy vết, thăm dò, kiểm thử đơn vị, công phát mạng Scapy cung cấp giao diện Python vào libpcap (WinPCap Windows) theo cách tương tự cung cấp Wireshark, với giao diện capture trực quan Nó giao tiếp với số chương trình khác - 43 - để cung cấp tính trực quan kể Wireshark nhằm giải mã gói tin, GnuPlot cho việc tạo đồ thị, graphviz Vpython cho việc hiển thị - 44 - ... PHÂN TÍCH ĐIỀU TRA MẠNG 3.1 Quy trình tổng quan phân tích điều tra mạng Hình 3.1 Quy trình chung phân tích điều tra mạng Trước đây, mơ hình điều tra số tập trung vào điều tra máy tính độc lập giải... hệ điều hành máy tính hỗ trợ giao thức FTP Điều cho phép tất máy tính kết nối với mạng lưới có TCP/IP, xử lý tập tin - 14 - • máy tính khác mạng lưới với mình, máy tính dùng hệ điều hành (nếu máy. .. việc thực số nhân viên chuyên ngành Khi điều tra hồn tất, liệu để trình bày thường thể hình thức văn báo cáo 1.5 Các loại hình điều tra số phổ biến 1.5.1 Điều tra máy tính Điều tra máy tính (Computer