TỔNG QUAN VỀ THU THẬP VÀ PHÂN TÍCH THÔNG TIN
Giới thiệu về điều tra số
1.1.1 Tổng quan về điều tra số và bằng chứng số Điều tra số (Digital Forensics) là một nhánh của khoa học điều tra, với mục đích truy tìm và phân tích các tài liệu chứa trong các thiết bị số, thường gọi là “tài liệu số”, để tìm ra các bằng chứng số (Digital Evidence) nhằm tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép như cố ý xâm nhập, tấn công hoặc gây gián đoạn quá trình làm việc của hệ thống Rõ ràng, Digital Forensics liên quan đến tội phạm máy tính (Computer Crime) Digital Forensics bao gồm nhiều lĩnh vực: Computer Forensics, Network Forensics, Data Analytical Forensics và Mobile Device Forensics…
Mục đích chính của điều tra số là thu thập và phân tích chứng cứ thuyết phục nhằm làm sáng tỏ các vấn đề cần điều tra Điều tra số đóng vai trò quan trọng trong lĩnh vực khoa học điều tra, giúp nâng cao hiệu quả và độ chính xác của quá trình điều tra.
Bằng chứng số, hay còn gọi là bằng chứng điện tử, là thông tin có giá trị pháp lý được lưu trữ và truyền tải dưới dạng số Những bằng chứng này có thể được chấp nhận trước tòa và đóng vai trò quan trọng trong các vụ án pháp lý.
Page 7 chứng số, quan tòa phải xác định được là nó có liên quan đến vụ án đang xem xét, cho dù tính xác thực của nó đã được kiểm chứng
Bằng chứng số được hiểu là các bằng chứng ở dạng thức số, thường được khôi phục từ các thiết bị số như máy tính Để xác định giá trị pháp lý của bằng chứng, nhân viên điều tra cần khảo sát và phân tích dữ liệu ban đầu từ các ổ đĩa hoặc thiết bị lưu trữ khác Quá trình này bao gồm việc xâu chuỗi dữ liệu để tạo ra bằng chứng có thể sử dụng trước tòa Nhiệm vụ của tin học điều tra là áp dụng kiến thức khoa học và công nghệ để truy tìm, khôi phục, khảo sát và phân tích các bằng chứng số.
Bằng chứng số có đặc tính sau đây: – Admissible (tính thừa nhận) – Authentic (tính xác thực)- Reliable (tính tin cậy) – Believable (tính đáng tin)
Điều tra số có vai trò quan trọng trong việc xác định các sự kiện ảnh hưởng đến hệ thống, giúp phát hiện nguyên nhân xâm nhập và các hành vi vi phạm Qua đó, nó cung cấp cái nhìn rõ ràng về nguồn gốc của những vi phạm xảy ra trong hệ thống.
1.1.2 Lịch sử điều tra số
Tội phạm máy tính đầu tiên xuất hiện từ những năm 1960 và lịch sử của nó gắn liền với lịch sử điều tra số
Vào năm 1978, tội phạm máy tính lần đầu tiên được ghi nhận trong Luật Tội phạm máy tính Florida, với quy định nhằm ngăn chặn việc sửa đổi hoặc xóa dữ liệu trái phép trên các hệ thống máy tính.
Giai đoạn từ 1980 đến 1990 chứng kiến sự gia tăng tội phạm máy tính, dẫn đến việc các cơ quan thực thi pháp luật thành lập các nhóm chuyên ngành cấp quốc gia để giải quyết các vấn đề kỹ thuật trong điều tra Trong thời gian này, các kỹ thuật điều tra số đã phát triển mạnh mẽ, và thuật ngữ “Computer Forensics” bắt đầu được sử dụng rộng rãi trong các tài liệu học thuật.
Năm 1983, Canada trở thành quốc gia tiên phong trong việc áp dụng luật về tội phạm máy tính Đến năm 1986, Tổ chức Chống Gian lận và Lạm dụng Máy tính của Mỹ được thành lập Năm 1989, Úc tiến hành sửa đổi các quy định liên quan đến tội phạm máy tính, và sau đó, đạo luật của Anh cũng được ban hành.
1990 quy định về các hành vi lạm dụng máy tính
Kể từ năm 2000, nhiều tiêu chuẩn đã được xây dựng nhằm đáp ứng yêu cầu tiêu chuẩn hóa Các cơ quan và hội đồng khác nhau đã phát hành các tài liệu hướng dẫn kỹ thuật cho điều tra số.
Năm 2002, nhóm công tác khoa học về chứng cứ số đã công bố bài báo mang tên “Các bước thực thi điều tra tội phạm máy tính” nhằm hướng dẫn các phương pháp tốt nhất trong lĩnh vực điều tra tội phạm máy tính.
Năm 2004, 43 quốc gia đã ký kết Hiệp định về tội phạm máy tính, đánh dấu sự hợp tác quốc tế trong việc điều tra các tội phạm công nghệ cao.
Từ năm 2005, nhiều tiêu chuẩn của ISO đề cập đến các yêu cầu về thẩm quyền giám định, kiểm chuẩn được công bố
1.1.3 Lý do cần phải tiến hành điều tra số
Hệ thống mạng máy tính không thể đảm bảo hoàn toàn an toàn trước các nguy cơ, rủi ro và tấn công từ tội phạm mạng.
Page 9 trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác Một cuộc điều tra số được tiến hành nhằm:
Để nâng cao an toàn cho hệ thống công nghệ thông tin, cần xác định nguyên nhân gây ra các cuộc tấn công Từ đó, đưa ra các giải pháp khắc phục những điểm yếu trong hệ thống nhằm cải thiện tình trạng bảo mật hiện tại.
Giới thiệu kĩ thuật điều tra thiết bị lưu trữ
Điều tra phương tiện lưu trữ (Disk Forensics) là quá trình thu thập và phân tích dữ liệu từ các thiết bị lưu trữ vật lý Mục tiêu của điều tra này là trích xuất dữ liệu ẩn và khôi phục các tập tin đã bị xóa, từ đó xác định người đã thực hiện những thay đổi trên dữ liệu của thiết bị phân tích.
Kỹ thuật điều tra này được áp dụng trong trường hợp phân tích tĩnh từ các gói tin và nhật ký hệ thống, khi nguồn gốc và kỹ thuật tấn công chưa được xác định rõ ràng, hoặc thông tin thu thập được chưa đầy đủ và thuyết phục.
Phân tích điều tra bộ nhớ lưu trữ là một kỹ thuật quan trọng trong điều tra số, liên quan đến việc thu thập thông tin để cung cấp chứng cứ cho các vụ án hình sự Kỹ thuật này cho phép người điều tra sử dụng kiến trúc quản lý bộ nhớ của máy tính để ánh xạ và trích xuất các tập tin đang thực thi trong bộ nhớ vật lý Những tập tin này có thể chứng minh hành vi phạm tội đã xảy ra hoặc theo dõi diễn biến của nó Tính hữu ích của điều tra bộ nhớ lưu trữ rất cao, vì mọi thông tin tìm thấy đều có thể cho thấy hoạt động đã diễn ra trên hệ thống của nạn nhân.
Sự thành công của phân tích phụ thuộc vào giai đoạn thu thập dữ liệu trong cuộc điều tra, nơi điều tra viên quyết định loại dữ liệu cần thu thập và phương pháp tối ưu để thực hiện điều đó Việc thu thập bộ nhớ liên quan đến việc sao chép nội dung từ bộ nhớ vật lý sang thiết bị lưu trữ khác để bảo quản Các phương pháp và công cụ được sử dụng sẽ phụ thuộc vào mục tiêu của cuộc điều tra cũng như đặc điểm của hệ thống được nghiên cứu.
Một nhà điều tra kỹ thuật số cần bảo vệ trạng thái của môi trường kỹ thuật số để đạt được suy luận chính xác thông qua phân tích Dữ liệu lưu trữ trên đĩa và trong RAM là hai thành phần quan trọng nhất của môi trường này Quan điểm truyền thống về điều tra số nhấn mạnh rằng độ tin cậy của suy luận phụ thuộc vào việc thu thập bằng chứng mà không làm thay đổi trạng thái của nó Thủ tục xử lý bằng chứng thường liên quan đến việc tắt hệ thống và tạo bản sao dữ liệu trên thiết bị lưu trữ để phân tích ngoại tuyến, nhằm giảm thiểu sự thay đổi đối với các file dữ liệu hệ thống.
Khi kỹ thuật điều tra số phát triển, việc lưu trữ chọn lọc bằng chứng trở nên quan trọng, vì các chi phí khác có thể ảnh hưởng đến độ chính xác của suy luận Điều này đặc biệt cần thiết khi các tác nhân độc hại tìm cách khai thác hạn chế của kỹ thuật thu thập chứng cứ pháp y truyền thống Bằng cách so sánh dữ liệu từ nhiều nguồn như đĩa, mạng và bộ nhớ, chúng ta có cái nhìn sâu sắc hơn về sự kiện trên hệ thống, thay vì chỉ dựa vào dữ liệu từ một bộ nhớ đĩa Tuy nhiên, các phương pháp chuyển đổi, bao gồm cả thủ tục chuyển đổi đĩa truyền thống, có thể gây biến dạng cho môi trường kỹ thuật số Do đó, các nhà điều tra cần hiểu rõ cách mà những thay đổi này ảnh hưởng đến kết quả phân tích và thứ tự thu thập dữ liệu để giảm thiểu tác động.
GIẢI PHÁP ĐIỀU TRA SỐ VÀ PHÂN TÍCH BẰNG CHỨNG SỬ DỤNG ENCASE
Giới thiệu về Encase
Phần mềm điều tra kỹ thuật số EnCase Forensic, ra mắt vào năm 1998, đã khẳng định được danh tiếng vững chắc trong lĩnh vực điều tra tội phạm, được công nhận bởi nhiều tạp chí uy tín.
SC vinh danh là Giải pháp điều tra số tốt nhất trong tám năm liên tiếp
EnCase Forensic là công cụ thu thập bằng chứng hàng đầu trên thị trường, hỗ trợ nhiều hệ điều hành và hệ thống tệp, bao gồm hơn 25 loại thiết bị di động Nó phân tích cú pháp các ứng dụng di động phổ biến trên iOS, Android và Blackberry, đảm bảo không có bằng chứng nào bị bỏ sót Hiện tại, hơn 33 triệu endpoint đang sử dụng sản phẩm và giải pháp của Guidance Software, chiếm 78% doanh nghiệp trong danh sách Top Fortune 100.
EnCase được coi là công cụ tiêu chuẩn vàng trong lĩnh vực bảo mật pháp y, cung cấp khả năng hiển thị thông tin sâu rộng trên tất cả các điểm cuối trong quy trình pháp y kỹ thuật số Công cụ này có khả năng nhanh chóng khai thác bằng chứng và dữ liệu tiềm năng từ nhiều thiết bị khác nhau, đồng thời tạo ra các báo cáo chi tiết dựa trên những bằng chứng thu thập được.
EnCase là công cụ lý tưởng cho các nhà điều tra, cho phép họ kiểm tra các tệp bằng chứng kỹ thuật số dễ dàng qua giao diện Windows Ngoài ra, EnCase còn hỗ trợ việc kết hợp các tệp bằng chứng liên quan từ nhiều ổ đĩa khác nhau thành một tệp vụ án duy nhất.
Với phần mềm EnCase, các nhà điều tra bắt đầu quy trình bằng cách kết nối ổ cứng của nghi phạm vào máy tính đã cài đặt EnCase, cho phép xử lý ổ đĩa chạy trên nhiều hệ điều hành như Windows, Macintosh, Linux hoặc DOS EnCase tạo ra một bản sao hoàn toàn của ổ đĩa, đồng thời tích hợp các tính năng bảo mật để bảo vệ dữ liệu khỏi sự thay đổi, đảm bảo tính toàn vẹn của bằng chứng Để xác minh rằng dữ liệu ánh xạ giống hệt với dữ liệu gốc, EnCase sử dụng hàm băm MD5 Phần mềm này tiến hành quét các file để tìm kiếm bằng chứng về hành vi phạm pháp, khám phá cả những khu vực ẩn như không gian trống, không gian chưa phân vùng và các file đã bị xóa.
EnCase cho phép hiển thị và sắp xếp các tệp dựa trên nhiều tiêu chí như phần mở rộng và dấu thời gian Ngoài ra, phần mềm này còn so sánh các chữ ký tệp đã biết với phần mở rộng tệp, giúp các nhà điều tra xác định xem người dùng có cố gắng che giấu bằng chứng bằng cách thay đổi phần mở rộng hay không Đặc biệt, EnCase cung cấp ngôn ngữ macro EScript, cho phép người dùng chuyên nghiệp xây dựng các công cụ tùy chỉnh nhằm nâng cao chức năng của phần mềm.
2.2 Một số tính năng của EnCase
Khám phá bằng chứng quan trọng bằng cách sử dụng khả năng tìm kiếm nâng cao để xác định dữ liệu
Khôi phục tệp và phân vùng có thể được thực hiện thông qua việc phân tích cú pháp nhật ký sự kiện, chữ ký tệp và phân tích băm để phát hiện các tệp đã xóa.
Lưu giữ dữ liệu ở định dạng tệp bằng chứng với một bộ hồ sơ có thể dùng làm bằng chứng trước tòa
Xem hàng trăm định dạng tệp ở dạng gốc, trình xem Registry tích hợp, trình xem ảnh tích hợp
Thu thập dữ liệu từ nhiều nguồn khác nhau, bao gồm ổ cứng, RAM, USB, đám mây, thiết bị di động, Internet, email, lịch sử web, bộ đệm, tệp nén, tệp sao lưu, tệp được mã hóa, RAIDS, máy trạm và máy chủ, là một quá trình quan trọng trong quản lý thông tin.
Đặc điểm của EnCase
Tiết kiệm thời gian cho việc thu thập bằng chứng
Nhanh chóng tìm được các nguyên nhân trước khi cần hỗ trợ từ bên ngoài
Đảm bảo ‘trưng’ được bằng chứng pháp lý (nếu cần), là lợi thế và điểm cộng cho sự tuân thủ
Giao diện thân thiện, dễ sử dụng
Khả năng tùy chỉnh các xử lý mạnh mẽ
Khả năng tìm kiếm toàn diện
Tự động đánh giá từ bên ngoài
Tích hợp với các quy trình điều tra
Linh hoạt trong việc tạo báo cáo
Có giao diện đồ họa, dễ sử dụng, có thể thay đổi các cửa sổ hiển thị cho phù hợp với khung nhìn
Hỗ trợ phân tích dữ liệu trên nhiều nền tảng hệ điều hành: MAC OSX, Linux, Windows
Có tính năng nhận diện các thiết bị chống ghi ngược để đảm bảo tính toàn vẹn của dữ liệu khi phân tích bằng chứng
Có khả năng đọc dữ liệu từ ảnh ổ cứng được tạo bởi các công cụ chuẩn như dd, E01, L01, hoặc trực tiếp từ các thiết bị lưu trữ dữ liệu như USB và HDD.
Dễ dàng xem trước dữ liệu mà không cần phải thu thập về
Có khả năng phân tích, phục hồi và trích xuất các tệp dữ liệu có định dạng văn bản (như pdf )
Có khả năng phân tích, phục hồi và trích xuất các tệp dữ liệu có định dạng âm thanh, hình ảnh
Có khả năng phân tích và trích xuất lịch sử duyệt web
Có khả năng phân tích và trích xuất dữ liệu thư điện tử
Có khả năng tùy chọn dữ liệu và khung báo cáo
Hỗ trợ khả năng tìm kiếm dữ liệu theo nhiều cách
License phần mềm với thời gian cập nhật, hỗ trợ: 03 năm
Vòng đời điều tra của EnCase
EnCase Forensic cung cấp khả năng xem xét và tìm kiếm chứng cứ tiềm năng một cách nhanh chóng trong quá trình điều tra Bên cạnh đó, EnCase Portable cho phép người dùng xem xét các chứng cứ mà không làm thay đổi hay hư hỏng dữ liệu.
EnCase Forensic giúp thu thập được nhiều loại chứng cứ khác nhau, bao gồm các tệp tin hệ thống, kể cả thiết bị di động
EnCase Forensic is capable of decrypting any digital investigation solution, including products from Dell Data Protection, Symantec, and McAfee Users can enhance their decryption capabilities with Tableau Password Recovery, a hardware solution designed to identify and unlock password-protected files.
Bộ xử lý bằng chứng số Encase Forensic mang đến khả năng xử lý tự động, giúp chuẩn bị chứng cứ và hỗ trợ điều tra một cách dễ dàng Với công cụ đánh chỉ mục mở rộng và hiệu suất cao, Encase Forensic giúp người dùng tiết kiệm thời gian và nâng cao hiệu quả trong việc xử lý các vụ án phức tạp.
EnCase Forensic là công cụ điều tra mạnh mẽ, cho phép người dùng thực hiện phân tích sâu và nhanh chóng Với khả năng tìm kiếm bằng chứng hiệu quả, EnCase giúp đóng các trường hợp điều tra một cách tối ưu.
EnCase Forensic cung cấp các mẫu báo cáo đa dạng phù hợp với nhu cầu của người dùng và dễ dàng chia sẻ trong tổ chức.
Chi tiết một số chức năng phần mềm
2.5.1 Tính năng thu thập dữ liệu điều tra
2.5.1.1 Device Acquisition (Thu thập từ thiết bị)
Công cụ này không chỉ hỗ trợ lưu trữ mà còn thu thập và phân tích dữ liệu từ nhiều thiết bị di động, máy tính bảng và các thiết bị phi truyền thống như hệ thống GPS Garmin.
Các điều tra viên có thể kết hợp dữ liệu từ máy tính xách tay, máy tính bảng và hình ảnh điện thoại di động của người dùng nghi ngờ để phân tích một cách đồng bộ Việc tập hợp tất cả bằng chứng vào một trường hợp duy nhất giúp các nhà phân tích phát hiện mối tương quan giữa các bằng chứng, điều này có thể bị bỏ lỡ nếu sử dụng nhiều nền tảng phần mềm khác nhau.
Một tính năng quan trọng của EnCase Forensic là khả năng thu thập dữ liệu từ các dịch vụ đám mây, điều này đặc biệt cần thiết trong bối cảnh thiết bị di động, vì nhiều dữ liệu của người dùng nghi ngờ thường được lưu trữ trên đám mây thay vì trên thiết bị Hiện tại, EnCase Forensic hỗ trợ nhiều dịch vụ đám mây khác nhau.
Chức năng Xem trước mạng trực tiếp của EnCase Forensic giúp các tổ chức có ngân sách hạn chế thực hiện thu thập dữ liệu pháp y qua mạng mà không cần công cụ tốn kém Mặc dù Direct Network Preview chỉ cho phép kết nối một thiết bị tại một thời điểm, nhưng nó rất hữu ích cho việc phân loại máy tính nghi ngờ hoặc thực hiện các nhiệm vụ thu thập đặc biệt.
Hình 2 1 Cấu hình Direct Network Preview
Direct Network Preview hỗ trợ thu thập bộ nhớ vật lý và bộ nhớ xử lý, cùng với quyền truy cập vào các ổ đĩa kết nối với máy Mặc định, tác nhân di động chỉ nghe trên cổng TCP 4445, nhưng có thể được cấu hình để nghe trên bất kỳ cổng TCP nào, tạo điều kiện thuận lợi hơn cho việc hoạt động trên các cổng được phép theo danh sách kiểm soát truy cập nội bộ.
2.5.2 Các tính năng liên quan đến năng suất và quy trình làm việc
EnCase Forensic cung cấp nhiều tính năng và quy trình làm việc giúp nâng cao hiệu quả điều tra Bài đánh giá này tập trung vào các tính năng như Pathways, Indexing, Keyword Searching, EnScripts và App, nhằm tối ưu hóa quy trình thu thập và phân tích dữ liệu.
Tính năng EnCase Pathways giúp đơn giản hóa đáng kể các cuộc điều tra, đặc biệt hữu ích cho các nhà phân tích cơ sở Nhờ có Pathways, các nhà phân tích chỉ cần tuân theo quy trình làm việc đã được xác định trước.
Mặc dù tính năng Pathways ban đầu được thiết kế dành cho người mới bắt đầu, nhưng ngay cả các nhà điều tra cao cấp có kinh nghiệm với EnCase Forensic cũng có thể tận dụng lợi ích từ tính năng này.
Pathways để có hiệu quả truy cập nhanh vào các nhiệm vụ điều tra phổ biến
Hình 2 2 Full Investigation Pathway Processing Options and Analysis
EnCase Forensic được trang bị hai Pathways cài sẵn, trong đó Pathway đầu tiên là Điều tra đầy đủ Như tên gọi đã chỉ rõ, tính năng này dành cho các nhà phân tích khi họ có kế hoạch thực hiện một cuộc điều tra pháp y toàn diện trên một hệ thống.
Pathway được cài đặt sẵn là Preview /Triage, phù hợp để trả lời câu hỏi cụ thể mà không cần xử lý toàn bộ máy Nó cho phép ứng dụng các hash độc hại đã biết để nhanh chóng xác định xem có cần điều tra thêm hay không Ví dụ, việc tải các hash phần mềm độc hại đã biết giúp xác định liệu "phòng thủ Trojan" có thể được áp dụng trong trường hợp chấm dứt lỗi Nếu phần mềm độc hại được phát hiện trên hình ảnh nghi ngờ, tổ chức có thể chuyển vụ việc cho điều tra viên cao cấp hơn.
Một trong những giá trị lớn nhất của EnCase Forensic là khả năng hỗ trợ tìm kiếm văn bản với ngôn ngữ mở rộng Phần mềm này có khả năng lập chỉ mục cho nhiều ngôn ngữ và bộ ký tự khác nhau, bao gồm cả những ngôn ngữ sử dụng bộ ký tự multibyte như tiếng Ả Rập và Cyrillic Điều này cho phép các nhà phân tích kích hoạt các ngôn ngữ cụ thể khi họ nghi ngờ rằng hệ thống đang được điều tra có sử dụng các ngôn ngữ bổ sung.
Bộ xử lý bằng chứng EnCase
Việc tìm kiếm từ khóa trong EnCase Forensic đã trở nên đơn giản hơn bao giờ hết, giúp các nhà phân tích dễ dàng tìm ra các từ khóa cần thiết để sử dụng trong Bộ xử lý Bằng chứng.
EnCase Forensic cho phép các nhà điều tra thực hiện tìm kiếm từ khóa thô trong quá trình lập chỉ mục hoặc qua hình ảnh thô trong tab Bằng chứng Điều này giúp đánh giá dữ liệu trước khi tiến hành lập chỉ mục đầy đủ, nâng cao hiệu quả trong việc thu thập thông tin.
Hình 2 3 Kiểm tra từ khóa
Khi xây dựng danh sách từ khóa, việc hiểu rõ những gì bạn sẽ nhận được trước khi tìm kiếm là rất quan trọng để tiết kiệm thời gian Nhiều nhà phân tích đã trải qua tình huống tìm kiếm mà kết quả không như mong đợi do lỗi chính tả hoặc những sai sót khác Với công cụ Keyword Tester từ EnCase Forensic, các nhà phân tích có thể tránh được những lãng phí thời gian này, nâng cao hiệu quả công việc.
EnCase Forensic nổi bật với tính năng cho phép người dùng mở rộng nền tảng thông qua ngôn ngữ lập trình EnScript Khác với hầu hết các nhà cung cấp khác, vốn tích hợp tất cả tính năng vào nền tảng của họ, EnCase Forensic áp dụng một mô hình phát triển độc đáo hơn.
