Tính cấp thiết của đề tài
Công nghệ thông tin đang phát triển mạnh mẽ, mang lại nhiều lợi ích cho kinh tế, thương mại và dịch vụ Tuy nhiên, điều này cũng tạo điều kiện cho tội phạm công nghệ cao thực hiện các hành vi như đánh cắp thông tin, phát tán mã độc và các hành vi chuộc lợi khác Để xác định các hành vi của tội phạm công nghệ cao, cần dựa vào những bằng chứng mà chúng để lại.
Bảo quản, thu thập, xác nhận và phân tích thông tin từ các nguồn kỹ thuật số là những bước quan trọng trong ngành khoa học điều tra số Mục đích của các hoạt động này là tái hiện các sự kiện để phát hiện hành vi phạm tội và dự đoán các hoạt động trái phép có thể gây gián đoạn hệ thống Điều tra số không chỉ yêu cầu kỹ thuật mà còn cần kinh nghiệm và nhận thức đúng đắn về quy trình thực hiện.
Tình hình an toàn thông tin mạng toàn cầu và tại Việt Nam ngày càng phức tạp và khó dự đoán Trong bối cảnh này, UBND Tỉnh Quảng Ninh đã đặt công tác giám sát an toàn thông tin mạng lên hàng đầu Là cơ quan chủ chốt của Tỉnh, việc bảo vệ an toàn thông tin trở thành nhiệm vụ thiết yếu, nhằm đảm bảo an toàn cho mạng máy tính của Tỉnh.
Mục tiêu của luận văn là nghiên cứu quy trình điều tra số và bộ công cụ, cũng như các quy định pháp lý liên quan đến giá trị của bằng chứng số Nghiên cứu này nhằm áp dụng triển khai các biện pháp đảm bảo an toàn thông tin mạng máy tính cho UBND Tỉnh Quảng Ninh.
Đối tƣợng và phạm vi nghiên cứu
+ Vấn đề an ninh, an toàn mạng máy tính
+ Các công cụ, giải pháp giải quyết vấn đề an ninh cho mạng máy tính: Thâm nhập, truy cập trái phép, tấn công, phá hoại, lấy trộm dữ liệu…
+ Nghiên cứu một số công cụ để ứng dụng trong phát hiện các nguy cơ mất an ninh trong mạng máy tính
+ Triển khai thử nghiệm để giám sát an toàn thông tin mạng máy tính của UBND tỉnh Quảng Ninh.
Hướng nghiên cứu của đề tài
Điều tra CSDL máy tính liên quan đến việc thu thập bằng chứng pháp lý từ máy tính và các thiết bị lưu trữ kỹ thuật số Điều tra mạng tập trung vào việc phân tích lưu lượng dữ liệu để phát hiện các xâm nhập khả nghi vào hệ thống Trong khi đó, điều tra thiết bị di động nhằm thu thập bằng chứng kỹ thuật và dữ liệu từ các thiết bị di động.
Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điều tra và phương pháp nghiên cứu thực nghiệm.
Những nội dung và bố cục của luận văn
Chương 1: Tổng quan về điều tra số
Chương này sẽ giới thiệu khái niệm về điều tra số, phân loại các loại hình điều tra số, nêu rõ các đặc điểm nổi bật của chúng và cách xác định tính hợp lệ của bộ công cụ điều tra số.
Chương 2: Quy trình điều tra số và các công cụ
Chương này sẽ trình bày quy trình điều tra số, bao gồm các bước chuẩn bị, bảo vệ và giám định dữ liệu Nó cũng sẽ đề cập đến việc lập tài liệu, thu thập bằng chứng, đánh dấu, vận chuyển và lưu trữ thông tin, cũng như kiểm tra, phân tích và lập báo cáo kết quả điều tra.
Nghiên cứu này tập trung vào việc khám phá các công cụ phần cứng và phần mềm được áp dụng trong từng bước của quy trình Bên cạnh đó, bài viết cũng thực hiện việc so sánh, phân tích và đánh giá hiệu quả của một số công cụ cụ thể.
Chương 3: Áp dụng kĩ thuật điều tra số để giám sát an toàn mạng máy tính UBND Tỉnh Quảng Ninh
Chương này sẽ trình bày về hệ thống giám sát an ninh mạng, bao gồm các công nghệ, quy trình và kỹ thuật cần thiết, cùng với bộ công cụ hỗ trợ trong việc điều tra và phát hiện các manh mối nghi ngờ dựa trên dữ liệu đã được cung cấp.
Phương pháp nghiên cứu
Nghiên cứu và thu thập tài liệu là bước quan trọng trong quá trình nghiên cứu, bao gồm việc đọc và tìm hiểu các bài báo khoa học, tài liệu trên Internet, cũng như các ấn phẩm liên quan từ cả trong và ngoài nước Sau khi tổng hợp, người nghiên cứu cần chọn lọc và sắp xếp thông tin theo cách thức phù hợp với ý tưởng của mình.
Để đảm bảo an toàn mạng máy tính tại UBND tỉnh Quảng Ninh, cần thực hiện cài đặt và triển khai các giải pháp an toàn cụ thể Đồng thời, áp dụng quy trình điều tra số sẽ giúp giám sát hiệu quả tình hình an ninh mạng.
Ý nghĩa khoa học của đề tài
Nghiên cứu này nhằm xác định nguyên nhân gây ra các cuộc tấn công vào hệ thống công nghệ thông tin, từ đó đề xuất các giải pháp khắc phục những điểm yếu để cải thiện an toàn cho hệ thống.
Nghiên cứu này mang lại giá trị thực tiễn quan trọng cho việc đảm bảo an toàn mạng máy tính tại Ủy ban nhân dân Tỉnh Quảng Ninh, đồng thời cũng là tài liệu tham khảo hữu ích cho công tác nghiên cứu an ninh mạng ở các tổ chức khác.
TỔNG QUAN VỀ ĐIỀU TRA SỐ
Khái niệm về điều tra số
Điều tra số là một nhánh của Khoa học điều tra, tập trung vào việc phục hồi và điều tra tài liệu từ thiết bị kỹ thuật số, thường liên quan đến tội phạm máy tính Thuật ngữ này ban đầu chỉ đề cập đến điều tra máy tính, nhưng đã được mở rộng để bao gồm tất cả các thiết bị lưu trữ dữ liệu số Điều tra số sử dụng các phương pháp và công cụ khoa học để bảo quản, thu thập, xác nhận, phân tích và trình bày thông tin từ nguồn kỹ thuật số, nhằm tái hiện sự kiện, phát hiện hành vi phạm tội và dự đoán các hoạt động trái phép gây gián đoạn hệ thống.
1.1.2 Mục đích của điều tra số
Trong thời đại công nghệ phát triển mạnh mẽ, điều tra số đã đóng góp quan trọng trong việc ứng cứu nhanh các sự cố máy tính Nó giúp các chuyên gia phát hiện nhanh dấu hiệu xâm nhập hệ thống và xác định hành vi, nguồn gốc của các vi phạm xảy ra.
Điều tra số, bao gồm điều tra mạng, bộ nhớ và các thiết bị điện thoại, giúp tổ chức nhanh chóng nhận diện các vấn đề ảnh hưởng đến hệ thống, từ đó xác định và khắc phục những điểm yếu để nâng cao tính bảo mật.
Điều tra số đóng vai trò quan trọng trong việc cung cấp chứng cứ thuyết phục cho cơ quan điều tra, giúp xử lý các tội phạm công nghệ cao một cách hiệu quả và áp dụng các chế tài xử phạt phù hợp với hành vi phạm pháp.
Hệ thống mạng máy tính không thể đảm bảo an toàn tuyệt đối trước các mối đe dọa từ tội phạm mạng Do đó, việc xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần được thực hiện chuyên nghiệp để đảm bảo thu thập được chứng cứ chính xác.
Một cuộc điều tra số đƣợc tiến hành nhằm [3]:
Để nâng cao an toàn cho hệ thống công nghệ thông tin, cần xác định nguyên nhân gây ra các cuộc tấn công Từ đó, chúng ta có thể đề xuất các giải pháp khắc phục những điểm yếu, giúp cải thiện tình trạng bảo mật của hệ thống.
Xác định các hành vi tội phạm mạng máy tính là rất quan trọng để bảo vệ hệ thống mạng Thiệt hại từ các cuộc tấn công có thể bao gồm rò rỉ thông tin, mất tính sẵn sàng của hệ thống, kiểm soát trái phép, cài đặt phần mềm gián điệp, và xóa bỏ dữ liệu Những hành vi này không chỉ gây thiệt hại cho hệ thống mà còn biến nó thành công cụ tấn công cho các hệ thống khác Do đó, tiến hành điều tra số là cần thiết để xác định chính xác các hoạt động của tội phạm mạng và ngăn ngừa các rủi ro tiềm ẩn.
Khôi phục thiệt hại do cuộc tấn công vào hệ thống mạng máy tính gây ra là một quá trình quan trọng, bao gồm việc phục hồi dữ liệu và thông tin lưu trữ đã bị phá hoại có chủ đích.
Thực hiện điều tra tội phạm và tìm kiếm chứng cứ số là cần thiết để vạch trần các tội phạm công nghệ cao, bao gồm gian lận, gián điệp và các hành vi vi phạm pháp luật.
1.1.3 Các bước thực hiện điều tra
Một cuộc điều tra số thường trải qua bốn giai đoạn chính: chuẩn bị, tiếp nhận dữ liệu (hay còn gọi là ảnh hóa tang vật), phân tích và lập báo cáo Các bước thực hiện điều tra số bao gồm việc xác định mục tiêu, thu thập và xử lý dữ liệu, tiến hành phân tích để rút ra kết luận và cuối cùng là trình bày báo cáo kết quả.
Bước này liên quan đến việc mô tả thông tin hệ thống và các sự kiện đã xảy ra, nhằm xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết cho quá trình điều tra.
Tiếp nhận dữ liệu là bước quan trọng trong việc tạo ra bản sao chính xác của các chứng cứ số, hay còn gọi là nhân bản điều tra các phương tiện truyền thông Để đảm bảo tính toàn vẹn của chứng cứ, dữ liệu cần được mã hóa bằng kỹ thuật "băm" sử dụng SHA 128 Trong quá trình điều tra, việc xác minh độ chính xác của các bản sao thu được là cần thiết để đảm bảo tính tin cậy của thông tin.
Trong giai đoạn phân tích, các chuyên gia áp dụng các phương pháp nghiệp vụ, kỹ thuật và công cụ đa dạng nhằm trích xuất, thu thập và phân tích các bằng chứng đã được thu thập.
Sau khi thu thập chứng cứ có giá trị và thuyết phục, việc tài liệu hóa rõ ràng và chi tiết là rất quan trọng Tất cả các thông tin này cần được báo cáo cho bộ phận có trách nhiệm xử lý chứng cứ theo quy định.
1.1.4 Một số loại h nh điều tra phổ biến
Điều tra số được chia thành ba loại hình chính: điều tra máy tính, điều tra mạng và điều tra thiết bị di động Điều tra máy tính, hay còn gọi là Computer Forensics, tập trung vào việc phân tích các bằng chứng pháp lý từ máy tính và các phương tiện lưu trữ kỹ thuật số Trong khi đó, điều tra Registry Forensics liên quan đến việc trích xuất thông tin và ngữ cảnh từ dữ liệu chưa được khai thác, giúp phát hiện những thay đổi trong Register, bao gồm chỉnh sửa và bổ sung dữ liệu.
Công cụ thường dùng: MuiCacheView, ProcessMonitor, Regshot,
Đặc điểm của điều tra số
Tội phạm máy tính là hành vi vi phạm pháp luật hình sự, trong đó người có năng lực trách nhiệm hình sự sử dụng máy tính để thực hiện các hành vi phạm tội, lưu trữ thông tin liên quan đến tội phạm, hoặc xâm phạm đến hoạt động bình thường và an toàn của máy tính cũng như hệ thống mạng máy tính.
Các loại tội phạm máy tính gồm có:
+ Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm;
+ Phát tán tin rác, mã độc;
Tội đánh cắp định danh là hành vi thu thập thông tin cá nhân để giả danh người khác, thường nhằm mục đích lấy thẻ tín dụng của nạn nhân và gây ra nợ mà họ không hay biết Tại Mỹ, tội này được định nghĩa là các hành vi trộm cắp, lừa đảo và sử dụng trái phép dữ liệu cá nhân của người khác Có bốn phương thức chính để truy cập thông tin cá nhân: giả mạo, tấn công, sử dụng phần mềm gián điệp và truy cập trái phép vào dữ liệu.
Truy cập trái phép vào hệ thống máy tính và dữ liệu nhạy cảm là một hành vi khác biệt so với tội phạm đánh cắp danh tính.
Thủ phạm có thể nhắm đến việc đánh cắp dữ liệu nhạy cảm như thông tin tài chính và tài liệu bí mật của công ty Những thông tin này có thể được sử dụng để thu hút khách hàng từ đối thủ, làm giảm giá cổ phiếu hoặc thậm chí để tống tiền.
Trong mọi trường hợp, các yếu tố phổ biến gây ra việc truy cập dữ liệu trái phép bao gồm việc không được phép truy cập hoặc sử dụng dữ liệu Hành vi này có thể xảy ra thông qua hacking, phần mềm gián điệp, hoặc nhân viên truy cập dữ liệu một cách không hợp lệ Đặc biệt, trộm cắp dữ liệu là một vấn đề nghiêm trọng do khó khăn trong việc ngăn chặn nhân viên có quyền truy cập vào dữ liệu Thêm vào đó, việc phân biệt giữa truy cập trái phép và hợp lệ cũng thường gặp nhiều thách thức.
Thứ ba, là tội phạm lừa đảo, loại này khá phổ biến Một trong số các hành vi lừa đảo trực tuyến trên Internet bao gồm:
Lừa đảo đầu tư là hoạt động liên quan đến việc đầu tư và môi giới không hợp pháp, không chỉ đơn thuần là một trào lưu mà còn có thể gây ra những hệ lụy nghiêm trọng.
Lừa đảo trong giao dịch trực tuyến đang gia tăng khi mà đấu giá trực tuyến trở nên phổ biến Người tiêu dùng gặp khó khăn trong việc xác định giá trị thực của sản phẩm và phân biệt giữa các mặt hàng không còn nhu cầu Trong khi đó, tội phạm sử dụng nhiều chiêu trò để lừa đảo, như không giao hàng, giao hàng với giá trị thấp hơn, hoặc cung cấp hàng hóa không đúng hạn mà không tiết lộ thông tin cần thiết về sản phẩm.
Lừa đảo nhận và chuyển tiền là một hình thức gian lận phổ biến trên internet, trong đó kẻ lừa đảo sử dụng lệnh chuyển tiền giả hoặc séc tiền thật để chiếm đoạt tài sản của người khác.
Vi phạm bản quyền là hành vi trộm cắp tài sản trí tuệ, bao gồm việc sử dụng phần mềm, bài hát và đoạn phim mà không có sự đồng ý của tác giả Những trường hợp này thường thuộc về vấn đề dân sự, và khi xảy ra, vụ kiện sẽ được ngăn chặn và giải quyết bằng cách bồi thường thiệt hại bằng một khoản tiền đáng kể.
Phát tán tin rác và mã độc là một hình thức tội phạm phổ biến hiện nay, trong đó tội phạm thực hiện các hành vi gửi tin nhắn hoặc email không có nội dung quảng cáo, gây phiền toái cho người nhận Hành vi này không chỉ làm mất thời gian mà còn có thể dẫn dụ những người nhẹ dạ vào việc tiết lộ thông tin cá nhân và số thẻ tín dụng của họ.
Viết và phát tán mã độc là hình thức tấn công mạng ngày càng phổ biến, trong đó kẻ tấn công sử dụng chương trình mã độc để xâm nhập vào hệ thống và đánh cắp thông tin Phương thức tấn công thường bao gồm việc gửi email chứa mã độc hoặc đính kèm mã độc trong phần mềm phổ biến Chỉ cần người dùng kích hoạt chương trình, mã độc sẽ tự động lây nhiễm vào hệ thống, cho phép kẻ tấn công theo dõi hoạt động và sử dụng hệ thống bị lây nhiễm để tấn công các mục tiêu khác.
1.2.2 Bằng chứng số Định nghĩa
Bằng chứng số, hay còn gọi là bằng chứng điện tử, được định nghĩa là mọi thông tin có giá trị pháp lý được lưu trữ và truyền dẫn dưới dạng thức số Định nghĩa này phản ánh nhiều cách nhìn nhận khác nhau về bằng chứng số Để có được bằng chứng này, thông tin và thiết bị vật lý cần được thu thập và lưu trữ trong quá trình điều tra.
Vai trò của bằng chứng số tạo ra mối liên kết giữa kẻ tấn công, nạn nhân và hiện trường vụ án
Theo định nghĩa của Locard thì “bất cứ ai hoặc bất cứ thứ gì, mang đến hiện trường vụ án thì cũng để lại dấu vết khi rời đi”
Khi xảy ra tội phạm, mọi thông tin lưu trữ trên máy tính của nạn nhân, bao gồm cả máy chủ và hệ thống liên quan, có thể được theo dõi trong quá trình điều tra thông qua việc kiểm tra log files và lịch sử trình duyệt Điều này cho thấy đặc điểm quan trọng của bằng chứng số trong việc xác minh và thu thập thông tin.
Bằng chứng số cần có các đặc điểm cụ thể để được tòa án công nhận trong quá trình xét xử Đầu tiên, bằng chứng phải có sự liên quan chặt chẽ đến sự việc mà đang được chứng minh.
Bằng chứng trong một vụ án phải được xác thực, có nghĩa là nó cần phải có thật và liên quan đến sự việc cần chứng minh Độ tin cậy của bằng chứng cũng rất quan trọng; nó phải rõ ràng, dễ hiểu và đáng tin cậy đối với thẩm phán Thẩm phán cần phải có niềm tin vào tính xác thực của bằng chứng để đưa ra phán quyết Cuối cùng, bằng chứng cần phải hoàn chỉnh, có khả năng chứng minh hành động của kẻ tấn công là có tội hoặc vô tội.
Kết luận chương 1
Chương này cung cấp cái nhìn tổng quát về điều tra số, bao gồm khái niệm, phân loại và một số loại hình điều tra phổ biến Nó cũng đề cập đến nền tảng pháp lý theo quy định của luật pháp, các đặc điểm liên quan đến bằng chứng số, cũng như quy trình xác nhận tính hợp lệ của công cụ điều tra số.
KĨ THUẬT ĐIỀU TRA SỐ
Chuẩn bị
Trước khi tiến hành điều tra số, việc khảo sát cơ sở hạ tầng mạng nơi xảy ra sự cố an toàn là rất quan trọng Điều này đảm bảo rằng các công cụ an toàn mạng như hệ thống phát hiện xâm nhập, hệ thống phân tích gói tin, tường lửa và phần mềm đo đạc lưu lượng đã được triển khai tại các vị trí chiến lược.
Các hệ thống như Honeynets và network telescope được xây dựng để thu hút kẻ tấn công, giúp nghiên cứu hành vi và chiến thuật của chúng Đội ngũ chuyên gia quản lý các công cụ này cần được đào tạo để thu thập chứng cứ chất lượng, hỗ trợ điều tra và quy kết hành vi phạm tội Giai đoạn này cũng yêu cầu sự ủy quyền từ các bên liên quan để đảm bảo tuân thủ quyền bảo mật thông tin và chính sách an toàn của cá nhân, tổ chức trong hệ thống.
Để thực hiện một cuộc điều tra hiệu quả, cần xây dựng một kế hoạch hành động rõ ràng với sự hỗ trợ của nhân viên điều tra và trang thiết bị phù hợp Việc chuẩn bị lệnh thu giữ là cần thiết, giúp điều tra viên đối phó với các tình huống phát sinh Điều tra viên cũng cần trang bị các thiết bị chuyên dụng để thu thập, đóng gói và lưu trữ thiết bị số, nhằm bảo vệ bằng chứng khỏi sự thay đổi, hư hỏng hoặc phá hủy Cần tránh sử dụng bất kỳ công cụ hoặc vật liệu nào có khả năng gây tĩnh điện hoặc từ trường, vì chúng có thể làm hư hại hoặc tiêu hủy bằng chứng số.
Để thu thập chứng cứ hiệu quả, cần chuẩn bị các công cụ như máy ảnh, hộp các tông, sổ ghi chép, găng tay, túi bằng chứng, miếng dán, túi chống tĩnh điện, con dấu và công cụ không có tính từ tính.
Chuẩn bị thiết bị lưu trữ
Hình ảnh thu được từ quá trình “nhân bản pháp y” cần được lưu trữ an toàn, sử dụng các thiết bị như ổ đĩa cứng, đĩa quang và USB flash Những thiết bị này giúp các nhà điều tra lưu trữ hình ảnh nhân bản phục vụ cho việc điều tra và phân tích Đặc biệt, điều tra viên phải đảm bảo rằng thiết bị lưu trữ hoàn toàn “sạch”, không chứa dữ liệu nào có thể trở thành bằng chứng không mong muốn trong quá trình điều tra.
Chuẩn bị thiết bị chống ghi ngƣợc
Trong quá trình điều tra, việc bảo vệ chứng cứ số khỏi bị ghi đè hoặc thay đổi là rất quan trọng Dữ liệu trên các hệ thống máy tính được ghi và đọc thông qua lệnh từ máy tính đến thiết bị lưu trữ Để ngăn chặn việc ghi đè, cần thiết lập một bộ lọc giữa máy tính và thiết bị lưu trữ, bộ lọc này sẽ chặn tất cả các lệnh có khả năng gây ra sự thay đổi đối với dữ liệu gốc, chỉ cho phép các lệnh vào thiết bị mà không làm thay đổi nội dung của nó.
Thiết bị chống ghi đóng vai trò quan trọng trong việc kết nối giữa máy tính chủ và thiết bị lưu trữ, với khả năng hoạt động dưới dạng phần cứng hoặc phần mềm Hiện nay, có hai loại kỹ thuật bảo vệ ghi chính là phần cứng chống ghi và phần mềm chống ghi.
Phần cứng chống ghi là thiết bị vật lý hoặc cơ học được thiết kế để theo dõi các lệnh cho phép, đồng thời ngăn chặn dữ liệu từ bên ngoài ghi vào bằng chứng.
Phần mềm chống ghi: Đƣợc thực hiện thông qua ngắt lệnh và lệnh IRP
Bảng 2.1: Thiết bị chống ghi phần cứng, phần mềm
STT Tên công cụ Nhà cung cấp
Công cụ này cung cấp giải pháp write-block để ghi lại dữ liệu khi truy cập vào ổ cứng SATA và IDE Công nghệ write-block cho phép người dùng dễ dàng truy cập chế độ chỉ đọc từ các thiết bị ổ cứng nghi ngờ thông qua kết nối FireWire 800/400.
Phần mềm chống ghi ngược cung cấp khả năng thu thập dữ liệu nhanh chóng và an toàn, đồng thời cho phép phân tích bất kỳ ổ đĩa hoặc thiết bị lưu trữ nào trên hệ điều hành Windows.
Ultrakit Digital Intelligence là một công cụ cầm tay mạnh mẽ giúp ngăn chặn ghi ngược và kết nối với bộ chuyển đổi (adapter) để thu thập dữ liệu từ bất kỳ ổ đĩa hoặc thiết bị lưu trữ nào.
Sản phẩm này được thiết kế để xóa dữ liệu và làm sạch ổ đĩa với hiệu suất 3GB/phút, cho phép xóa và làm sạch các ổ đĩa có kích thước khác nhau lên đến 9 lần.
Công cụ này cho phép làm sạch tối đa 8 ổ đĩa SAS, SATA, IDE và e-SATA với tốc độ 18GB/phút, giúp điều tra viên thay đổi ổ một cách nhanh chóng và giảm thiểu thời gian cần thiết để xóa ổ.
Bảo vệ và giám định hiện trường
Đội điều tra cần ưu tiên hàng đầu là đảm bảo an toàn cho tất cả mọi người tại hiện trường vụ án Mọi hành động và hoạt động tại hiện trường phải tuân thủ nghiêm ngặt các quy định của pháp luật Việc thực hiện các chính sách pháp lý liên quan đến bảo vệ hiện trường là điều cần thiết.
Để xử lý một vụ án hiệu quả, cần thực hiện một danh sách kiểm tra bao gồm xác nhận kiểu sự cố, đảm bảo an toàn tại hiện trường, và cô lập những người không liên quan Điều quan trọng là xác định vị trí của nạn nhân và thu thập dữ liệu liên quan đến kẻ phạm tội, đồng thời yêu cầu hỗ trợ nếu cần Thiết lập vành đai an ninh để bảo vệ bằng chứng khỏi mất mát và bảo vệ dữ liệu dễ bị biến động là cần thiết Điều tra viên cũng nên chuẩn bị lệnh thu giữ để cho phép đội phản ứng đầu tiên thực hiện tìm kiếm và thu thập chứng cứ số, với các nội dung cụ thể được nêu trong lệnh này.
Lệnh thu giữ thiết bị lưu trữ số cho phép đội phản ứng đầu tiên tiến hành tìm kiếm và thu giữ các thành phần máy tính của nạn nhân, bao gồm phần cứng, phần mềm, thiết bị lưu trữ và tài liệu liên quan.
- Lệnh thu giữ đảm bảo đội phản ứng đầu tiên có đƣợc thông tin trong máy tính nạn nhân
Trong quá trình điều tra, việc thực hiện tìm kiếm ban đầu tại hiện trường là rất quan trọng Các điều tra viên cần cô lập hệ thống máy tính và các thiết bị có thể chứa bằng chứng, đồng thời tìm kiếm và thu giữ các tập tin logs chứa thông tin mô tả về máy tính và thiết bị Ghi lại những lưu ý trong khi phác thảo hiện trường là cần thiết, và việc chụp ảnh cùng với phác thảo chi tiết về tất cả bằng chứng máy tính cũng không kém phần quan trọng Đặc biệt, các vấn đề an toàn phải được xem xét kỹ lưỡng trong suốt quá trình điều tra Tất cả các điều tra viên nên đeo găng tay cao su để bảo vệ bản thân cũng như bảo vệ dấu vân tay trên bằng chứng, nhằm đảm bảo khả năng khôi phục lại thông tin.
Lập tài liệu hiện trường
Lập tài liệu hiện trường là cần thiết để duy trì vị trí không thay đổi trong hiện trường Việc ghi lại chính xác vị trí của hệ thống máy tính, thiết bị lưu trữ, thiết bị mạng không dây và điện thoại là rất quan trọng Tài liệu ban đầu cần chụp lại tất cả hoạt động và ghi chú nội dung hiển thị trên màn hình máy tính Tài liệu hiện trường phải bao gồm vị trí của máy tính và các thiết bị điện tử khác, cũng như các kết nối vật lý giữa chúng Ngoài ra, cần ghi lại bất kỳ mạng không dây và các điểm kết nối giữa máy tính và các thiết bị khác.
Để mô phỏng lại hiện trường một cách chính xác, cần chuẩn bị đầy đủ các khung cảnh và thiết bị trong khu vực Việc mô phỏng phải đảm bảo phản ánh đúng hiện trường, từ cảnh tổng thể cho đến những chi tiết nhỏ nhất của bằng chứng.
Thu thập bằng chứng
Thu thập là hành động tìm kiếm và thu nhập các thiết bị điện tử có thể chứa bằng chứng từ hiện trường vụ án
Xây dựng kế hoạch là bước quan trọng đầu tiên trong quá trình phân tích dữ liệu, vì có nhiều nguồn dữ liệu tiềm năng Các nhà phân tích cần ưu tiên các nguồn dữ liệu và thiết lập thứ tự thu thập Yếu tố quan trọng nhất trong việc ưu tiên bao gồm tính khả thi, độ tin cậy và giá trị thông tin của từng nguồn dữ liệu.
Giá trị có khả năng được xác định dựa trên sự hiểu biết của nhà phân tích về tình hình và tài liệu trước đó, cho phép họ ước lượng khả năng của từng nguồn dữ liệu tiềm năng.
Dữ liệu biến động (volatile) là loại dữ liệu trên hệ thống có thể bị mất khi tắt nguồn, do đó, việc thu thập dữ liệu này cần được ưu tiên hơn so với dữ liệu không biến động Tuy nhiên, dữ liệu không biến động cũng có thể trở nên dễ biến động, chẳng hạn như các file logs có thể bị ghi đè bởi các sự kiện mới xảy ra.
Bằng cách xem xét ba yếu tố chính cùng với các nguồn dữ liệu tiềm năng, các nhà điều tra có thể xác định ưu tiên trong việc thu thập dữ liệu và lựa chọn nguồn dữ liệu phù hợp Các tổ chức cần thận trọng khi đánh giá mức độ ưu tiên và độ phức tạp của các nguồn dữ liệu, đồng thời xây dựng các tài liệu hướng dẫn và quy trình để hỗ trợ các nhà phân tích thực hiện các ưu tiên một cách hiệu quả.
Thu thập là hành động tìm kiếm và thu nhận các thiết bị điện tử có thể chứa các bằng chứng từ hiện trường vụ án
Khi dữ liệu không thể được thu thập bằng các công cụ an toàn, quá trình tổng hợp dữ liệu thường sử dụng các công cụ pháp lý để đảm bảo tính chính xác và nguồn gốc không bị sửa đổi Việc thu thập dữ liệu có thể diễn ra tại chỗ hoặc qua mạng, với thu thập tại chỗ thường được ưu tiên hơn do kiểm soát tốt hơn Tuy nhiên, thu thập tại chỗ không phải lúc nào cũng khả thi, chẳng hạn như khi hệ thống bị khóa hoặc ở vị trí khác Khi thu thập dữ liệu qua mạng, cần có những quyết định hợp lý liên quan đến việc truy cập dữ liệu từ nhiều hệ thống thông qua các kết nối mạng khác nhau.
Thu thập tĩnh là quá trình thu thập dữ liệu không thay đổi khi hệ thống tắt, được gọi là non-volatile Dữ liệu này thường được khôi phục từ ổ cứng, bao gồm các loại log như firewall logs, antivirus logs, web access logs, và ids logs, cũng như các dữ liệu tồn tại trong slack space, file swap, và không gian ổ chưa được cấp Các nguồn dữ liệu không biến động khác bao gồm CD-ROMs, USB, smartphone và PDA Thông thường, thu thập tĩnh được thực hiện trên máy tính bị bắt giữ trong các cuộc đột kích của cảnh sát Tuy nhiên, nếu máy tính có ổ đĩa mã hóa hoặc bị đặt mật khẩu, phương pháp thu thập động sẽ được áp dụng Mặc dù thu thập tĩnh là phương pháp phổ biến trong việc thu thập bằng chứng số, nhưng nó có hạn chế trong một số tình huống như ổ đĩa gốc bị mã hóa và chỉ có thể đọc khi có nguồn điện hoặc các máy tính cần truy cập qua mạng.
Khi máy tính hoạt động, dữ liệu volatile được thu thập từ registry, cache và RAM, cùng với các kết nối mở Dữ liệu này được gọi là dynamic và có thể bị mất khi hệ thống tắt Do đó, việc thu thập thông tin cần được thực hiện theo thời gian thực để đảm bảo tính chính xác và đầy đủ.
Các dạng dữ liệu khác nhau yêu cầu sử dụng các công cụ và quy trình riêng biệt để truy xuất và thu thập Những dữ liệu này có thể được thu thập cả ở mức cục bộ lẫn từ xa thông qua môi trường mạng.
Khi thu giữ thiết bị vật lý tại hiện trường, cần đóng gói và có xác nhận của cơ quan điều tra viên thực hiện quá trình điều tra Thiết bị sau đó sẽ sẵn sàng để vận chuyển Nếu chỉ tạo ảnh tập tin từ dữ liệu thu giữ, ổ cứng lưu trữ file ảnh cũng cần được đóng gói tương tự như thiết bị vật lý.
Khi thu giữ ổ cứng, cần lấy giá trị hash của file ảnh và ghi vào bản đánh dấu, sau đó xác nhận với điều tra viên Ổ cứng phải được niêm phong trong túi chống tĩnh điện và có giấy đánh dấu ghi đầy đủ thông tin thiết bị ở mặt sau Đầu tiên, đặt ổ cứng vào túi chống tĩnh điện, sau đó gập lại với túi chống shock và sử dụng thiết bị chuyên dụng để vận chuyển Nếu đóng gói thiết bị di động, cần sử dụng hộp có chức năng chắn sóng điện tử.
Hình 9: Mô hình thu thập thông tin 2.4.2 Xác nhận tính toàn vẹn của dữ liệu
Sau khi dữ liệu được thu giữ, việc xác minh tính toàn vẹn là rất quan trọng để đảm bảo dữ liệu không bị giả mạo, điều này cần thiết cho tính pháp lý Quá trình xác minh thường sử dụng công cụ tính giá trị băm để so sánh giá trị băm của dữ liệu gốc với giá trị băm của bản sao, nhằm đảm bảo tính chính xác và độ tin cậy của dữ liệu.
Trước khi thu thập dữ liệu, người thu thập hoặc quản lý cần quyết định về sự cần thiết của việc này theo chính sách tổ chức và pháp luật Việc thu thập và bảo quản dữ liệu phải hỗ trợ cho thủ tục tố tụng pháp lý và quyền giám hộ, nhằm tránh xử lý sai hoặc giả mạo bằng chứng Điều này bao gồm việc tạo tài liệu quản lý chuỗi hành trình của dữ liệu, ghi lại thời điểm, cách thức lưu trữ và đảm bảo an toàn cho bằng chứng.
Bằng chứng số rất dễ bị thay đổi, do đó cần tuân thủ quy trình đặc biệt trong việc xử lý để tránh các vấn đề như bị tòa án từ chối hoặc bị kiện ngược lại Thay vì sử dụng trực tiếp dữ liệu thu thập được, cần phải thực hiện thủ tục "nhân bản" để chuyển đổi dữ liệu gốc thành các file logic, từ đó cho phép phân tích an toàn Nhân bản không chỉ duy trì tính vẹn toàn của chứng cứ mà còn ngăn chặn nguy cơ hỏng dữ liệu.
Nhân bản là 1 chuỗi các hành động để tạo ra 1 bản sao giống hệt bằng chứng gốc Đối với cả 2 trường hợp thu thập tĩnh và thu thập động
Xác định phương pháp nhân bản tốt nhất:
Sao chép disk-to-image là một phương pháp quan trọng trong điều tra pháp y, cho phép tạo ra file ảnh của bằng chứng gốc Phương pháp này giúp các nhà điều tra tạo ra nhiều bản sao cần thiết, với ảnh từ đĩa gốc và các đĩa khác, đảm bảo tính toàn vẹn của dữ liệu trong quá trình phân tích.
Disk-to-disk là phương pháp sao chép dữ liệu từ ổ đĩa gốc sang ổ đĩa khác khi không thể tạo bit-stream disk-to-image Điều này thường được thực hiện bằng cách sử dụng các công cụ như SafeBack, SnapCopy và Norton Ghost để đảm bảo dữ liệu được sao chép chính xác.
Đánh dấu, vận chuyển và lưu trữ
Đánh dấu là quá trình phân loại và sắp xếp các đối tượng thu thập được, giúp điều tra viên tạo ra bản thuyết trình Hành động này diễn ra song song với việc thu thập, tịch thu và nhân bản Nó bao gồm việc dán nhãn cho dây cáp và thiết bị, cũng như đánh số cho các thiết bị trong bước phản ứng đầu tiên Sau khi thu giữ, cần thực hiện đánh dấu bằng cách dán nhãn cho các thiết bị đã thu giữ, chụp ảnh và ghi tài liệu về những nhãn này.
Trước khi vận chuyển các thiết bị, cần có phương thức đóng gói phù hợp để đảm bảo an toàn Ví dụ, ổ cứng cần được đóng gói bằng túi chống tĩnh điện và túi chống sốc nhằm ngăn chặn hư hỏng do va chạm hoặc điện tĩnh Tránh sử dụng túi nhựa vì chúng có thể tạo ra tĩnh điện Nên vận chuyển toàn bộ thiết bị và các thành phần liên quan để đảm bảo tính toàn vẹn.
Việc bảo quản thiết bị đã thu giữ đúng cách là rất quan trọng để tránh mất mát và hỏng hóc Cần có một nơi lưu trữ phù hợp cho các thiết bị số nhằm bảo vệ chúng khỏi các yếu tố tiêu cực như sóng điện, từ trường, độ ẩm, bụi và va chạm Hệ thống an ninh cần được thiết lập để chỉ cho phép những người có thẩm quyền ra vào khu vực lưu trữ, đồng thời danh sách truy cập cũng phải được ghi lại và duy trì.
Kiểm tra
Quá trình kiểm tra thông tin từ bằng chứng là bước chuẩn bị quan trọng cho phân tích, đặc biệt trong kiểm tra bằng chứng số Đây là một trong những giai đoạn tốn thời gian nhất trong cuộc điều tra Để đạt được kết quả hữu ích và kịp thời, quá trình này được chia thành ba cấp độ, mỗi cấp độ đều có định nghĩa rõ ràng.
Khảo sát và phân loại là bước quan trọng trong việc xem xét lại mục đích của tất cả các phương tiện lưu trữ hiện có Qua đó, cần xác định mục đích chứa đựng các chứng cứ hữu ích nhất và yêu cầu xử lý bổ sung để đảm bảo hiệu quả trong việc quản lý thông tin.
Kiểm tra sơ bộ là quá trình đánh giá pháp y các mục đã được xác định trong khảo sát hoặc phân loại, nhằm tìm kiếm và thu thập các bằng chứng hữu ích Mục đích của việc này là cung cấp nhanh chóng thông tin điều tra có thể hỗ trợ trong quá trình tiến hành và tìm kiếm bằng chứng tiềm năng.
Kiểm tra chuyên sâu là quá trình thực hiện kiểm tra pháp y toàn diện nhằm điều tra sâu hơn các yêu cầu để hiểu rõ hơn về hành vi phạm tội.
Sau khi xác định được bằng chứng liên quan, quá trình kiểm tra cần tiến hành phục hồi dữ liệu để phục vụ cho phân tích Dữ liệu sẽ được chiết xuất từ các nguồn khác nhau, bao gồm tập tin đã xóa, ẩn hoặc ngụy trang, nhằm phục hồi tất cả thông tin không sẵn có Việc phục hồi dữ liệu không chỉ cung cấp thông tin tối đa cho điều tra viên mà còn giúp làm sáng tỏ động cơ của kẻ phạm tội Để thực hiện điều này, điều tra viên có thể sử dụng các công cụ chuyên dụng từ các hãng cung cấp để khôi phục dữ liệu cần thiết.
Phân tích
Phân tích dữ liệu là quá trình giải thích và xác định ý nghĩa của thông tin được trích xuất, đặc biệt trong lĩnh vực điều tra số Điều tra viên tìm kiếm bằng chứng có giá trị để chứng minh, mặc dù dữ liệu có thể đã bị xóa, ghi đè, ẩn hoặc phân mảnh Bằng chứng số có thể nằm ở nhiều vị trí khác nhau như bộ đệm Internet, lịch sử duyệt web, email và các tập tin đã bị xóa Do đó, quá trình phân tích có thể tốn nhiều thời gian, ngay cả khi điều tra viên đã xác định rõ loại bằng chứng cần tìm.
Sau khi thu thập chứng cứ, cần tìm phương pháp phù hợp để khai thác những dấu hiệu đặc trưng của tội phạm Dữ liệu từ chứng cứ phải được phân loại và phân tích tương quan để đưa ra những nhận định quan trọng trong quá trình điều tra.
Trong quá trình điều tra, việc ghi chép lại các hoạt động là rất quan trọng để đảm bảo thông tin cơ bản được lưu trữ chính xác Tài liệu này sẽ hỗ trợ trong quá trình kiểm tra và chuẩn bị báo cáo trình bày trước tòa án Báo cáo là bước cuối cùng và quyết định trong mỗi cuộc điều tra, đòi hỏi điều tra viên phải có khả năng phân tích và trình bày rõ ràng Việc viết báo cáo một cách hiệu quả là một kỹ năng khó, vì cần phải truyền đạt ý tưởng một cách dễ hiểu và mạch lạc.
Thuật toán lọc gói tin
Lọc gói là quá trình kiểm soát lưu lượng mạng bằng cách so sánh các gói tin với chính sách bảo mật đã thiết lập Quá trình này thường diễn ra ở cấp độ mạng trên các bộ định tuyến hoặc thiết bị chuyên dụng, nhưng cũng có thể thực hiện trong nhân hệ điều hành Các gói tin được đánh giá dựa trên nhiều tiêu chí như địa chỉ nguồn và đích, cổng nguồn và đích, giao diện mạng, hướng gói tin và loại giao thức (TCP, UDP, ICMP) Lọc gói có hai loại: lọc gói tĩnh (không trạng thái) và lọc gói động (trạng thái đầy đủ), trong đó lọc động phụ thuộc vào các gói tin trước đó trong cùng kết nối Môđun lọc gói tin trong Wireshark là một phần quan trọng, được xây dựng dựa trên kỹ thuật lọc tĩnh và động để kiểm tra thông tin tiêu đề của gói tin IP và các giao thức liên quan.
Lọc gói tĩnh, hay còn gọi là lọc gói không trạng thái, là phương pháp lọc nhanh chóng và hiệu quả cho từng gói dữ liệu, nhưng chỉ phù hợp với các hoạt động đơn giản Để thực hiện các yêu cầu phức tạp hơn, cần sử dụng lọc gói động, hay còn gọi là lọc gói trạng thái đầy đủ, vì phương pháp này yêu cầu kiến thức chi tiết về giao thức và khả năng theo dõi thông tin ngoài tiêu đề.
Thuật toán lọc gói tin tổng quát có thể được được miêu tả qua lưu đồ sau:
Hình 10: Lưu đồ thuật toán lọc gói tin
Bài viết phân tích lưu đồ thuật toán lọc gói tin với đầu vào là một gói tin IP hoàn chỉnh Kết quả đầu ra của quá trình này sẽ là thông báo cho biết gói tin đã được chuyển tiếp hay bị hủy bỏ.
Bước 1: Nhận gói tin IP hoàn chỉnh, tức gói tin không lỗi và đã ghép mảnh thành công
Bước 2: Đọc các thông tin trong phần header của gói
Bước 3: Trích các thông tin từ gói tin bao gồm: Địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức…
Bước 4: Tìm các quy tắc hay tập luật tương ứng
Bước 5: Kiểm tra xem gói tin có hợp với quy tắc hay luật không
Bước 6: Nếu phù hợp thực hiện chuyển tiếp gói tin STOP
Bước 7: Trái lại, kiểm tra xem gói tin có hợp với quy tắc hay luật nào khác không
Bước 8: Nếu có, quay lại Bước 4
Bước 9: Trái lại, thực hiện hủy bỏ gói tin STOP
1 Đọc các thông tin trong phần header của gói tin đầu vào
2 Trích các thông tin từ gói tin bao gồm: Địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức…
IF gói tin hợp với quy tắc hay luật THEN
5 Thực hiện chuyển tiếp gói tin
8 IF gói tin có hợp với quy tắc hay luật nào khác THEN
11 Thực hiện hủy bỏ gói tin
Để thực hiện việc lọc gói tin một cách đầy đủ và chính xác, việc tạo, duy trì, cập nhật và xóa các quy tắc trong bảng là rất quan trọng và phức tạp.
Kết luận chương 2
Điều tra mạng là một phần quan trọng trong mô hình an toàn mạng, nhằm chặn bắt và phân tích các gói tin cũng như sự kiện để cung cấp chứng cứ số cho tội phạm mạng Sự phát triển của công nghệ an toàn thông tin và sự phức tạp của các hình thức tấn công mạng đòi hỏi cần có những công cụ, quy trình, thủ tục và kỹ năng mới trong quá trình phân tích và thẩm định.
Điều tra mạng đang tạo ra thách thức mới cho hệ thống tư pháp và các nhà hoạch định pháp luật, yêu cầu xây dựng các quy định và chế tài phù hợp nhằm đối phó với sự phát triển của tội phạm công nghệ cao.