Tính cấp thiết của đề tài
Công nghệ thông tin ngày càng phát triển, mang lại nhiều lợi ích cho các lĩnh vực kinh tế, thương mại và dịch vụ Tuy nhiên, sự phát triển này cũng tạo điều kiện cho tội phạm công nghệ cao như đánh cắp thông tin và phát tán mã độc Để xác định hành vi của các tội phạm này, cần phải dựa vào những bằng chứng mà chúng để lại.
Bảo quản, thu thập, xác nhận và phân tích thông tin từ các nguồn kỹ thuật số là những bước quan trọng trong điều tra số, nhằm tái hiện sự kiện và phát hiện hành vi phạm tội Quá trình này không chỉ yêu cầu kỹ thuật mà còn cần kinh nghiệm để nhận thức đúng đắn về những hành động cần thực hiện.
Tình hình an toàn thông tin mạng trên thế giới và Việt Nam đang ngày càng phức tạp và khó dự đoán Để đối phó với xu hướng này, UBND Tỉnh Quảng Ninh đã đặt công tác giám sát an toàn thông tin mạng lên hàng đầu Là cơ quan đầu não của Tỉnh, vấn đề an toàn thông tin được ưu tiên bảo vệ cao, với nhiệm vụ thiết yếu là đảm bảo giám sát an toàn cho mạng máy tính của Tỉnh.
Mục tiêu của luận văn là nghiên cứu quy trình điều tra số và bộ công cụ liên quan, cùng với các quy định pháp lý về giá trị của bằng chứng số Điều này nhằm áp dụng và triển khai các biện pháp đảm bảo an toàn thông tin mạng máy tính cho UBND Tỉnh Quảng Ninh.
Đối tƣợng và phạm vi nghiên cứu
+ Vấn đề an ninh, an toàn mạng máy tính
+ Các công cụ, giải pháp giải quyết vấn đề an ninh cho mạng máy tính: Thâm nhập, truy cập trái phép, tấn công, phá hoại, lấy trộm dữ liệu…
+ Nghiên cứu một số công cụ để ứng dụng trong phát hiện các nguy cơ mất an ninh trong mạng máy tính
+ Triển khai thử nghiệm để giám sát an toàn thông tin mạng máy tính của UBND tỉnh Quảng Ninh.
Hướng nghiên cứu của đề tài
Điều tra CSDL máy tính liên quan đến việc thu thập các bằng chứng pháp lý từ máy tính và các phương tiện lưu trữ kỹ thuật số Điều tra mạng tập trung vào việc phân tích lưu lượng dữ liệu trên mạng máy tính để phát hiện các xâm nhập khả nghi vào hệ thống Ngoài ra, điều tra thiết bị di động cũng rất quan trọng, khi thu thập bằng chứng về tài nguyên kỹ thuật và dữ liệu từ các thiết bị di động.
Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điều tra và phương pháp nghiên cứu thực nghiệm.
Những nội dung và bố cục của luận văn
Chương 1: Tổng quan về điều tra số
Chương này sẽ giới thiệu khái niệm về điều tra số, phân loại các loại hình điều tra số, đặc điểm nổi bật của điều tra số và cách xác định tính hợp lệ của bộ công cụ điều tra số.
Chương 2: Quy trình điều tra số và các công cụ
Chương này sẽ trình bày quy trình điều tra số, bao gồm các bước chuẩn bị cần thiết, bảo vệ và giám định dữ liệu, lập tài liệu, thu thập và đánh dấu bằng chứng, vận chuyển và lưu trữ chúng Ngoài ra, chương cũng đề cập đến việc kiểm tra, phân tích, lập tài liệu và báo cáo kết quả điều tra.
Nghiên cứu này tập trung vào việc tìm hiểu các công cụ phần cứng và phần mềm được sử dụng trong từng bước của quy trình Bài viết sẽ so sánh, phân tích và đánh giá hiệu quả của một số công cụ khác nhau để cung cấp cái nhìn tổng quan và sâu sắc về sự phù hợp của chúng trong quy trình làm việc.
Chương 3: Áp dụng kĩ thuật điều tra số để giám sát an toàn mạng máy tính UBND Tỉnh Quảng Ninh
Chương này sẽ trình bày về hệ thống giám sát an ninh mạng, bao gồm các công nghệ, quy trình và kỹ thuật cần thiết, cùng với bộ công cụ để tiến hành điều tra và phát hiện những manh mối nghi ngờ từ dữ liệu đã được cung cấp.
Phương pháp nghiên cứu
Nghiên cứu và thu thập tài liệu từ các bài báo khoa học, tạp chí và nguồn thông tin trên Internet liên quan đến vấn đề nghiên cứu là rất quan trọng Qua đó, tác giả cần lựa chọn và sắp xếp thông tin theo cách hiểu của riêng mình để tạo ra một cái nhìn sâu sắc và mới mẻ về chủ đề đang được nghiên cứu.
Để đảm bảo an toàn mạng máy tính tại UBND tỉnh Quảng Ninh, cần thực hiện cài đặt và triển khai các giải pháp an toàn cụ thể Đồng thời, áp dụng quy trình điều tra số nhằm giám sát và nâng cao hiệu quả bảo mật hệ thống.
Ý nghĩa khoa học của đề tài
Nghiên cứu này nhằm xác định nguyên nhân dẫn đến sự tấn công vào hệ thống công nghệ thông tin, từ đó đề xuất các giải pháp khắc phục những điểm yếu để nâng cao mức độ an toàn cho hệ thống.
Kết quả nghiên cứu của đề tài mang lại giá trị thực tiễn trong việc đảm bảo an toàn mạng máy tính tại Ủy ban nhân dân Tỉnh Quảng Ninh, đồng thời có thể được sử dụng làm tài liệu tham khảo cho nghiên cứu các mạng khác.
TỔNG QUAN VỀ ĐIỀU TRA SỐ
Khái niệm về điều tra số
Điều tra số, hay còn gọi là Khoa học điều tra số, là một nhánh của Khoa học điều tra tập trung vào việc phục hồi và điều tra tài liệu từ các thiết bị kỹ thuật số, thường liên quan đến tội phạm máy tính Thuật ngữ này ban đầu chỉ đề cập đến điều tra máy tính, nhưng đã được mở rộng để bao quát tất cả các thiết bị lưu trữ dữ liệu số Điều tra số được định nghĩa là việc sử dụng các phương pháp và công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, phân tích và trình bày thông tin từ các nguồn kỹ thuật số, nhằm tái hiện các sự kiện, phát hiện hành vi phạm tội, và hỗ trợ dự đoán các hoạt động trái phép gây gián đoạn hệ thống.
1.1.2 Mục đích của điều tra số
Trong thời đại công nghệ phát triển mạnh mẽ hiện nay, điều tra số đóng vai trò quan trọng trong việc ứng cứu nhanh các sự cố máy tính Nó giúp các chuyên gia phát hiện kịp thời dấu hiệu xâm nhập hệ thống và xác định hành vi cùng nguồn gốc của các vi phạm xảy ra.
Điều tra số, bao gồm điều tra mạng, điều tra bộ nhớ và điều tra thiết bị điện thoại, giúp tổ chức nhanh chóng xác định các sự cố ảnh hưởng đến hệ thống Qua đó, tổ chức có thể nhận diện những điểm yếu cần khắc phục và cải thiện an ninh.
Điều tra số cung cấp cho cơ quan chức năng những chứng cứ số thuyết phục trong việc tố giác tội phạm công nghệ cao, từ đó giúp áp dụng các chế tài xử phạt đối với các hành vi vi phạm pháp luật.
Hệ thống mạng máy tính không thể đảm bảo an toàn tuyệt đối trước các nguy cơ tấn công từ tội phạm mạng Do đó, việc xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần được thực hiện chuyên nghiệp để đảm bảo tính chính xác của chứng cứ.
Một cuộc điều tra số đƣợc tiến hành nhằm [3]:
Xác định nguyên nhân tấn công vào hệ thống công nghệ thông tin là bước quan trọng để phát hiện và khắc phục các điểm yếu Từ đó, cần đề xuất các giải pháp hiệu quả nhằm nâng cao mức độ an toàn và bảo mật cho hệ thống Việc cải thiện hiện trạng an toàn không chỉ giúp ngăn chặn các mối đe dọa mà còn bảo vệ thông tin quan trọng của tổ chức.
Xác định các hành vi tội phạm mạng máy tính là rất quan trọng để bảo vệ hệ thống mạng Những cuộc tấn công có thể gây ra thiệt hại nghiêm trọng, như rò rỉ thông tin, mất tính sẵn sàng của hệ thống, hay việc bị kiểm soát và cài đặt phần mềm độc hại Điều này không chỉ làm suy yếu hệ thống mà còn biến nó thành công cụ tấn công cho các hệ thống khác Do đó, việc tiến hành điều tra số để xác định chính xác các hoạt động của tội phạm mạng và ngăn ngừa các rủi ro tiềm ẩn là cần thiết.
Khôi phục thiệt hại do cuộc tấn công vào hệ thống mạng máy tính gây ra là một nhiệm vụ quan trọng, bao gồm việc phục hồi dữ liệu và thông tin lưu trữ đã bị phá hoại có chủ đích.
Thực hiện điều tra tội phạm và tìm kiếm chứng cứ số là cần thiết để vạch trần các tội phạm công nghệ cao, bao gồm gian lận, gián điệp và các hành vi vi phạm pháp luật.
1.1.3 Các bước thực hiện điều tra
Một cuộc điều tra số thường trải qua bốn giai đoạn chính: chuẩn bị, tiếp nhận dữ liệu (hay còn gọi là ảnh hóa tang vật), phân tích và lập báo cáo Các bước thực hiện điều tra số là rất quan trọng để đảm bảo tính chính xác và hiệu quả trong việc thu thập và xử lý thông tin.
Bước này bao gồm việc mô tả thông tin hệ thống, ghi lại những sự kiện đã xảy ra và các dấu hiệu liên quan, nhằm xác định phạm vi điều tra, mục đích và các tài nguyên cần thiết cho quá trình điều tra.
Tiếp nhận dữ liệu là bước quan trọng trong việc tạo ra bản sao chính xác của các chứng cứ số, còn được gọi là nhân bản điều tra các phương tiện truyền thông Để đảm bảo tính toàn vẹn của chứng cứ, dữ liệu phải được mã hóa bằng kỹ thuật "băm" (sử dụng SHA 128), và trong quá trình điều tra, cần xác minh độ chính xác của các bản sao thu được.
Trong giai đoạn phân tích, các chuyên gia áp dụng các phương pháp nghiệp vụ, kỹ thuật và công cụ đa dạng nhằm trích xuất, thu thập và phân tích các bằng chứng đã được thu thập.
Sau khi thu thập chứng cứ có giá trị và thuyết phục, việc tài liệu hóa chúng một cách rõ ràng và chi tiết là rất quan trọng Tất cả thông tin này cần được báo cáo cho bộ phận có trách nhiệm xử lý chứng cứ theo quy định.
1.1.4 Một số loại h nh điều tra phổ biến
Điều tra số được chia thành ba loại hình chính: điều tra máy tính, điều tra mạng và điều tra thiết bị di động Điều tra máy tính (Computer Forensics) tập trung vào việc phân tích các bằng chứng pháp lý từ máy tính và các phương tiện lưu trữ kỹ thuật số Trong khi đó, điều tra Registry Forensics liên quan đến việc trích xuất thông tin và ngữ cảnh từ dữ liệu chưa được khai thác, giúp xác định các thay đổi trong Register như chỉnh sửa, thêm bớt dữ liệu.
Công cụ thường dùng: MuiCacheView, ProcessMonitor, Regshot,
Đặc điểm của điều tra số
Tội phạm máy tính là hành vi vi phạm pháp luật hình sự, trong đó cá nhân có năng lực trách nhiệm hình sự sử dụng máy tính để thực hiện các hành vi phạm tội, lưu trữ thông tin phạm tội hoặc xâm phạm đến hoạt động bình thường và an toàn của máy tính cũng như hệ thống mạng máy tính.
Các loại tội phạm máy tính gồm có:
+ Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm;
+ Phát tán tin rác, mã độc;
Tội đánh cắp định danh là hành vi thu thập thông tin cá nhân nhằm giả danh người khác, thường để chiếm đoạt thẻ tín dụng của nạn nhân mà họ không hay biết Tại Mỹ, tội này được định nghĩa là các hành vi trộm cắp, lừa đảo và sử dụng trái phép dữ liệu cá nhân Có bốn phương thức chính để thực hiện hành vi này: giả mạo, tấn công, sử dụng phần mềm gián điệp và truy cập trái phép vào dữ liệu.
Truy cập trái phép vào hệ thống máy tính và dữ liệu nhạy cảm là một mục đích khác biệt so với tội phạm đánh cắp danh tính.
Thủ phạm có thể nhắm đến việc đánh cắp dữ liệu nhạy cảm của công ty, bao gồm tài liệu tài chính và thông tin bí mật Những dữ liệu này có thể được lợi dụng để thu hút khách hàng từ đối thủ, làm giảm giá cổ phiếu của công ty, hoặc thậm chí để thực hiện các hành vi tống tiền.
Trong mọi trường hợp, các yếu tố phổ biến gây ra việc truy cập dữ liệu trái phép bao gồm việc không được phép truy cập hoặc sử dụng dữ liệu một cách cố ý Các phương pháp truy cập trái phép có thể được thực hiện thông qua hacking, phần mềm gián điệp, hoặc thông qua nhân viên có quyền truy cập Hành vi trộm cắp dữ liệu là một vấn đề nghiêm trọng, chủ yếu do khó khăn trong việc ngăn chặn nhân viên có quyền truy cập vào dữ liệu Đôi khi, việc phân biệt giữa truy cập trái phép và hợp pháp cũng rất khó khăn.
Thứ ba, là tội phạm lừa đảo, loại này khá phổ biến Một trong số các hành vi lừa đảo trực tuyến trên Internet bao gồm:
Lừa đảo đầu tư là hoạt động liên quan đến việc đầu tư và môi giới không hợp pháp, không chỉ đơn thuần là một trào lưu mà còn có thể bị coi là hành vi phạm tội.
Lừa đảo giao dịch trực tuyến đang gia tăng trong bối cảnh đấu giá trực tuyến ngày càng phổ biến Người tiêu dùng gặp khó khăn trong việc tìm kiếm mức giá hợp lý và loại bỏ các mặt hàng không còn nhu cầu Trong khi đó, tội phạm mạng lợi dụng tình huống này để lừa đảo, bao gồm việc không giao hàng, giao hàng với giá trị thấp hơn, cung cấp hàng hóa không đúng hạn, và không tiết lộ thông tin cần thiết về sản phẩm.
Lừa đảo nhận và chuyển tiền là một hình thức gian lận trực tuyến phổ biến, trong đó kẻ lừa đảo sử dụng lệnh chuyển tiền giả hoặc séc tiền thật để lừa đảo nạn nhân Những trò lừa đảo này thường gây thiệt hại lớn cho người dùng, vì họ có thể mất tiền mà không hề hay biết Việc nhận diện và phòng tránh những hình thức lừa đảo này là rất quan trọng để bảo vệ tài chính cá nhân.
Vi phạm bản quyền là hành vi đánh cắp tài sản trí tuệ, bao gồm phần mềm, bài hát và đoạn phim, khi chưa có sự đồng ý của tác giả Những trường hợp này thường thuộc về vấn đề dân sự, và các vụ kiện sẽ được xử lý nhằm ngăn chặn hành vi vi phạm và bồi thường thiệt hại bằng một khoản tiền đáng kể.
Phát tán tin rác và mã độc là một hình thức tội phạm phổ biến hiện nay, với hành vi gửi tin nhắn hoặc email quảng cáo không mong muốn gây phiền toái cho người nhận Những tin nhắn này có thể dẫn dụ người nhẹ dạ, khiến họ tiết lộ thông tin cá nhân và số thẻ tín dụng.
Viết mã độc và phát tán mã độc đang trở thành hình thức tấn công mạng phổ biến Kẻ tấn công sử dụng chương trình mã độc để xâm nhập vào hệ thống và phần mềm, với mục tiêu phá hoại hoặc đánh cắp thông tin trái phép Thông thường, họ gửi email chứa mã độc hoặc đính kèm trong phần mềm phổ biến; chỉ cần người dùng kích hoạt, mã độc sẽ lây nhiễm vào hệ thống Điều này cho phép kẻ tấn công theo dõi hoạt động trên hệ thống lây nhiễm hoặc sử dụng nó để tấn công các mục tiêu khác.
1.2.2 Bằng chứng số Định nghĩa
Bằng chứng số, hay còn gọi là bằng chứng điện tử, được định nghĩa là mọi thông tin có giá trị pháp lý được lưu trữ và truyền dẫn dưới dạng số Định nghĩa này phản ánh sự đa dạng trong cách nhìn nhận về bằng chứng số Những bằng chứng này được thu thập và lưu trữ từ thông tin và thiết bị vật lý trong quá trình điều tra.
Vai trò của bằng chứng số tạo ra mối liên kết giữa kẻ tấn công, nạn nhân và hiện trường vụ án
Theo định nghĩa của Locard thì “bất cứ ai hoặc bất cứ thứ gì, mang đến hiện trường vụ án thì cũng để lại dấu vết khi rời đi”
Tại thời điểm xảy ra tội phạm, mọi thông tin lưu trữ trên máy tính của nạn nhân, bao gồm cả dữ liệu trên Sever và hệ thống, có thể được theo dõi trong quá trình điều tra thông qua việc kiểm tra log files và lịch sử trình duyệt Điều này cho thấy đặc điểm quan trọng của bằng chứng số trong việc hỗ trợ điều tra tội phạm.
Bằng chứng số cần phải đáp ứng những tiêu chí nhất định để được tòa án công nhận trong quá trình xét xử Đặc biệt, bằng chứng phải có sự liên quan trực tiếp đến sự kiện mà đang được chứng minh.
Bằng chứng trong một vụ án cần phải được xác thực, có nghĩa là nó phải thật và liên quan trực tiếp đến sự việc đang được chứng minh Để được coi là đáng tin, bằng chứng cần rõ ràng, dễ hiểu và tạo được niềm tin cho thẩm phán Hơn nữa, thẩm phán phải có sự tin tưởng vào tính xác thực của bằng chứng Cuối cùng, bằng chứng phải hoàn chỉnh, có khả năng chứng minh hành động của kẻ tấn công là có tội hoặc vô tội.
Kết luận chương 1
Chương này cung cấp cái nhìn tổng quát về điều tra số, bao gồm khái niệm, phân loại và các loại hình điều tra phổ biến Nó cũng đề cập đến nền tảng pháp lý do luật pháp quy định, cùng với các đặc điểm liên quan đến bằng chứng số và quy trình xác nhận tính hợp lệ của công cụ điều tra số.
KĨ THUẬT ĐIỀU TRA SỐ
Chuẩn bị
Trước khi tiến hành điều tra số, việc khảo sát cơ sở hạ tầng mạng tại hiện trường sự cố an toàn là rất quan trọng Điều tra số chỉ hiệu quả trong các môi trường đã triển khai các công cụ an toàn mạng như hệ thống phát hiện xâm nhập, hệ thống phân tích gói tin, tường lửa và phần mềm đo đạc lưu lượng tại những vị trí chiến lược.
Các hệ thống như Honeynets và network telescope được thiết lập để thu hút kẻ tấn công, giúp nghiên cứu hành vi và chiến thuật của chúng Đội ngũ chuyên gia quản lý các công cụ này cần được đào tạo để thu thập chứng cứ tối đa và chất lượng, hỗ trợ điều tra và quy kết hành vi phạm tội Giai đoạn này cũng yêu cầu sự ủy quyền từ các bên liên quan để hạn chế vi phạm quyền bảo mật thông tin và các chính sách an toàn của cá nhân hay tổ chức trong hệ thống.
Để thực hiện một cuộc điều tra hiệu quả, cần xây dựng một kế hoạch hành động với sự tham gia của nhân viên điều tra và trang thiết bị đầy đủ Việc chuẩn bị lệnh thu giữ là rất quan trọng, giúp điều tra viên phát triển kế hoạch ứng phó với các tình huống phát sinh Ngoài ra, điều tra viên cần sử dụng các thiết bị chuyên dụng để thu thập, đóng gói và lưu trữ thiết bị số, nhằm bảo vệ chứng cứ khỏi sự thay đổi, hư hỏng hoặc phá hủy Cần tránh sử dụng bất kỳ công cụ hoặc vật liệu nào có thể tạo ra tĩnh điện hoặc từ trường, vì chúng có thể gây hại cho chứng cứ số.
Để thu thập thông tin hiệu quả, cần chuẩn bị đầy đủ các công cụ như máy ảnh, hộp các tông, sổ ghi chép, găng tay, túi bằng chứng, miếng dán, túi chống tĩnh điện, con dấu và các công cụ không có tính từ tính.
Chuẩn bị thiết bị lưu trữ
Hình ảnh từ quá trình “nhân bản pháp y” cần được lưu trữ an toàn bằng các thiết bị phù hợp Ba loại thiết bị lưu trữ phổ biến hiện nay bao gồm ổ đĩa cứng, đĩa quang và USB flash Các nhà điều tra sử dụng những thiết bị này để lưu trữ hình ảnh nhân bản phục vụ cho việc điều tra và phân tích sau này Quan trọng nhất, điều tra viên phải đảm bảo rằng thiết bị lưu trữ hoàn toàn “sạch”, không chứa dữ liệu nào có thể trở thành bằng chứng không mong muốn trong quá trình điều tra.
Chuẩn bị thiết bị chống ghi ngƣợc
Trong quá trình điều tra, việc bảo vệ chứng cứ số lưu trữ trong hệ thống hoạt động và thiết bị lưu trữ là rất quan trọng để tránh bị ghi đè hoặc thay đổi Dữ liệu trong các hệ thống máy tính được ghi và đọc qua lệnh của máy tính, tạo ra cổng kết nối giữa máy tính và thiết bị lưu trữ Để thực hiện việc chống ghi hiệu quả, một chiến lược cơ bản là sử dụng bộ lọc giữa máy tính và thiết bị cấp thấp, nhằm chặn tất cả lệnh trực tiếp có thể gây ra sự thay đổi dữ liệu gốc và chỉ cho phép các lệnh không làm thay đổi thiết bị.
Thiết bị chống ghi đóng vai trò quan trọng trong việc kết nối máy tính chủ với thiết bị lưu trữ, hoạt động qua cả phần cứng và phần mềm Hai loại kỹ thuật bảo vệ ghi chính là phần cứng chống ghi và phần mềm chống ghi.
Phần cứng chống ghi là thiết bị vật lý hoặc cơ học được thiết kế để theo dõi và kiểm soát các lệnh, nhằm ngăn chặn việc ghi dữ liệu từ bên ngoài vào bằng chứng.
Phần mềm chống ghi: Đƣợc thực hiện thông qua ngắt lệnh và lệnh IRP
Bảng 2.1: Thiết bị chống ghi phần cứng, phần mềm
STT Tên công cụ Nhà cung cấp
Công cụ này cung cấp giải pháp write-block để ghi lại dữ liệu khi truy cập ổ cứng SATA và IDE Công nghệ write-block cho phép truy cập chế độ chỉ đọc từ thiết bị ổ cứng nghi ngờ thông qua kết nối FireWire 800/400 một cách dễ dàng.
Phần mềm chống ghi ngược cho phép thu thập dữ liệu nhanh chóng và an toàn, đồng thời hỗ trợ phân tích bất kỳ ổ đĩa hoặc phương tiện lưu trữ nào trên hệ điều hành Windows.
Ultrakit Digital Intelligence là một công cụ cầm tay mạnh mẽ, giúp chống ghi ngược và kết nối với bộ chuyển đổi (adapter) để thu thập dữ liệu từ bất kỳ ổ đĩa hoặc thiết bị lưu trữ nào.
Sản phẩm này được thiết kế để xóa dữ liệu và làm sạch ổ đĩa với hiệu suất 3GB/phút, hỗ trợ nhiều kích cỡ ổ đĩa khác nhau.
Công cụ này giúp làm sạch tối đa 8 ổ đĩa SAS, SATA, IDE và e-SATA với tốc độ lên đến 18GB/phút, cho phép điều tra viên thay đổi ổ đĩa nhanh chóng và giảm thiểu thời gian cần thiết để xóa dữ liệu.
Bảo vệ và giám định hiện trường
Đội điều tra cần ưu tiên hàng đầu là đảm bảo an toàn cho tất cả mọi người tại hiện trường vụ án Mọi hành động và hoạt động tại hiện trường phải tuân thủ các quy định pháp luật và chính sách bảo vệ hiện trường.
Thực hiện một danh sách kiểm tra khi xảy ra sự cố bao gồm việc xác nhận kiểu sự cố, đảm bảo an toàn hiện trường, cô lập những người không liên quan, xác định vị trí nạn nhân và thu thập dữ liệu liên quan đến kẻ phạm tội Cần thiết lập vành đai an ninh để bảo vệ và bảo quản bằng chứng khỏi nguy cơ mất mát, đồng thời bảo vệ các dữ liệu dễ bị biến động Điều tra viên nên chuẩn bị lệnh thu giữ, cho phép đội phản ứng đầu tiên thực hiện việc tìm kiếm và thu thập bằng chứng số Lệnh thu giữ này tập trung vào việc xác định các chứng cứ quan trọng liên quan đến vụ án.
Lệnh thu giữ thiết bị lưu trữ số cho phép đội phản ứng đầu tiên tiến hành tìm kiếm và thu giữ các thành phần máy tính của nạn nhân, bao gồm phần cứng, phần mềm, thiết bị lưu trữ và tài liệu liên quan.
- Lệnh thu giữ đảm bảo đội phản ứng đầu tiên có đƣợc thông tin trong máy tính nạn nhân
Trong quá trình điều tra hiện trường, cần thực hiện tìm kiếm ban đầu và cô lập hệ thống máy tính cùng các thiết bị có khả năng chứa bằng chứng Việc tìm kiếm và thu giữ các tập tin logs là rất quan trọng, vì chúng chứa thông tin mô tả về máy tính và thiết bị liên quan Các điều tra viên cần ghi lại những lưu ý trong quá trình phác thảo hiện trường, đồng thời chụp ảnh và phác thảo chi tiết tất cả bằng chứng máy tính An toàn là yếu tố quan trọng trong từng giai đoạn điều tra; do đó, đội ngũ điều tra viên nên đeo găng tay cao su để bảo vệ cả bản thân và dấu vân tay trên bằng chứng, nhằm đảm bảo khả năng khôi phục lại sau này.
Lập tài liệu hiện trường
Lập tài liệu hiện trường là rất quan trọng để duy trì vị trí chính xác trong hiện trường Cần ghi lại trạng thái của hệ thống máy tính, thiết bị lưu trữ, thiết bị mạng không dây và điện thoại Tài liệu ban đầu phải chụp lại tất cả các hoạt động và ghi chú những nội dung hiển thị trên màn hình máy tính Ngoài ra, tài liệu hiện trường cần bao gồm vị trí của máy tính, các thiết bị điện tử khác và các kết nối vật lý đến và đi từ các thiết bị Cuối cùng, cần ghi lại bất kỳ mạng không dây nào và các điểm kết nối giữa máy tính và các thiết bị khác.
Để mô phỏng lại hiện trường, cần chuẩn bị đầy đủ các khung cảnh và thiết bị trong khu vực Việc mô phỏng phải chính xác, từ cảnh tổng thể cho đến từng chi tiết nhỏ nhất của bằng chứng.
Thu thập bằng chứng
Thu thập là hành động tìm kiếm và thu nhập các thiết bị điện tử có thể chứa bằng chứng từ hiện trường vụ án
Xây dựng kế hoạch là bước đầu tiên quan trọng trong việc khai thác nguồn dữ liệu tiềm năng Các nhà phân tích cần ưu tiên các nguồn dữ liệu và thiết lập thứ tự cho việc thu thập thông tin Yếu tố quan trọng nhất trong việc ưu tiên này bao gồm hiệu quả và độ tin cậy của dữ liệu.
Giá trị có khả năng được xác định dựa trên sự hiểu biết của nhà phân tích về tình hình và tài liệu trước đó Qua đó, nhà phân tích có thể ước lượng khả năng của từng nguồn dữ liệu tiềm năng trong các tình huống cụ thể.
Dữ liệu biến động (volatile) là loại dữ liệu có thể bị mất khi tắt nguồn, do đó, việc thu thập và xử lý dữ liệu biến động cần được ưu tiên hơn so với dữ liệu không biến động Mặc dù dữ liệu không biến động thường được coi là ổn định, nhưng chúng vẫn có khả năng trở nên biến động, chẳng hạn như các file logs có thể bị ghi đè bởi các sự kiện mới xảy ra.
Bằng cách xem xét ba yếu tố chính và nguồn dữ liệu tiềm năng, các nhà điều tra có thể quyết định ưu tiên trong việc thu thập dữ liệu và xác định nguồn dữ liệu phù hợp Các tổ chức cần thận trọng khi đánh giá ưu tiên và độ phức tạp của nguồn dữ liệu, đồng thời xây dựng các tài liệu hướng dẫn và quy trình rõ ràng để hỗ trợ nhà phân tích trong việc thực hiện ưu tiên một cách hiệu quả.
Thu thập là hành động tìm kiếm và thu nhận các thiết bị điện tử có thể chứa các bằng chứng từ hiện trường vụ án
Khi dữ liệu không thể được thu thập qua các công cụ an toàn hoặc phân tích, việc sử dụng các công cụ pháp lý để thu thập dữ liệu trở nên cần thiết, nhưng có thể gặp khó khăn trong việc đảm bảo tính ổn định và nguồn gốc của dữ liệu Việc thu thập dữ liệu thường diễn ra tại chỗ, vì điều này cho phép kiểm soát tốt hơn, tuy nhiên, không phải lúc nào cũng khả thi do các hạn chế về vị trí Khi thu thập dữ liệu qua mạng, cần phải xem xét cẩn thận các quyết định liên quan đến nguồn dữ liệu, bao gồm khả năng lấy dữ liệu từ nhiều hệ thống thông qua các kết nối mạng khác nhau.
Thu thập tĩnh là phương pháp thu thập dữ liệu không thay đổi khi hệ thống tắt, được gọi là non-volatile Dữ liệu này thường được khôi phục từ ổ cứng và các dạng log như firewall logs, antivirus logs, và web access logs Ngoài ra, các nguồn dữ liệu không biến động khác bao gồm CD-ROMs, USB, smartphone và PDA Việc thu thập tĩnh thường diễn ra trên máy tính bị bắt giữ trong các cuộc đột kích của cảnh sát Tuy nhiên, nếu máy tính có ổ đĩa mã hóa hoặc mật khẩu, phương pháp thu thập động sẽ được áp dụng Mặc dù thu thập tĩnh là phương pháp phổ biến trong việc thu thập bằng chứng số, nó có hạn chế trong các tình huống như ổ đĩa gốc bị mã hóa hoặc khi cần truy cập qua mạng.
Khi máy tính hoạt động, dữ liệu thu thập được thường là dữ liệu biến động (volatile), bao gồm thông tin lưu trữ trong registry, cache và RAM cùng với các kết nối mở Dữ liệu trong RAM và các thông tin biến động này được gọi là dynamic (động), do đó, việc thu thập thông tin nên được thực hiện theo thời gian thực để đảm bảo tính chính xác và đầy đủ.
Các loại dữ liệu khác nhau yêu cầu sử dụng các công cụ và quy trình riêng biệt để truy xuất và thu thập Những dữ liệu này có thể được thu thập từ cả địa phương lẫn từ xa thông qua mạng.
Khi thu giữ thiết bị vật lý tại hiện trường, thiết bị cần được đóng gói cẩn thận và có xác nhận của điều tra viên đã thực hiện việc thu giữ Sau đó, thiết bị sẽ được chuẩn bị để vận chuyển Nếu chỉ tạo ảnh tập tin từ dữ liệu thu giữ, ổ cứng lưu trữ file ảnh cũng cần được đóng gói tương tự như thiết bị vật lý.
Khi thu giữ ổ cứng, cần lấy giá trị hash của file ảnh và ghi vào bản đánh dấu, sau đó xác nhận với điều tra viên Ổ cứng phải được niêm phong trong túi chống tĩnh điện và có giấy đánh dấu thông tin thiết bị ở mặt sau Đầu tiên, đặt ổ cứng vào túi chống tĩnh điện, rồi gập lại với túi chống sốc Sử dụng thiết bị chuyên dụng để vận chuyển ổ cứng, và nếu đóng gói thiết bị di động, cần dùng hộp có chức năng chắn sóng điện tử.
Hình 9: Mô hình thu thập thông tin 2.4.2 Xác nhận tính toàn vẹn của dữ liệu
Sau khi thu giữ dữ liệu, việc xác minh tính toàn vẹn là rất quan trọng, đặc biệt đối với các điều tra viên nhằm chứng minh rằng dữ liệu không bị giả mạo, điều này cần thiết cho tính pháp lý Quá trình xác minh này thường bao gồm việc sử dụng công cụ tính giá trị băm của dữ liệu gốc và so sánh với giá trị băm của bản sao để đảm bảo sự khớp nhau.
Trước khi thu thập dữ liệu, người thu thập hoặc quản lý cần quyết định về sự cần thiết của việc này theo chính sách tổ chức và pháp luật, nhằm hỗ trợ cho thủ tục tố tụng pháp lý và quyền giám hộ Việc này giúp tránh xử lý sai hoặc giả mạo bằng chứng Cần tạo tài liệu quản lý chuỗi hành trình của tất cả mọi người, làm bằng chứng cho thời điểm thu thập và cách lưu trữ, đảm bảo an toàn cho bằng chứng.
Bằng chứng số rất dễ bị thay đổi, do đó cần tuân thủ quy trình đặc biệt khi xử lý để tránh các vấn đề pháp lý, như bị tòa án từ chối hoặc bị kiện ngược Thay vì sử dụng trực tiếp dữ liệu thu thập được, cần thực hiện thủ tục "nhân bản" để chuyển đổi dữ liệu gốc thành các file logic, từ đó có thể tiến hành phân tích Nhân bản không chỉ duy trì tính toàn vẹn của chứng cứ mà còn ngăn chặn dữ liệu bị hỏng.
Nhân bản là 1 chuỗi các hành động để tạo ra 1 bản sao giống hệt bằng chứng gốc Đối với cả 2 trường hợp thu thập tĩnh và thu thập động
Xác định phương pháp nhân bản tốt nhất:
Sao chép disk-to-image là một phương pháp phổ biến trong điều tra pháp y, cho phép tạo ra file ảnh của bằng chứng gốc Bằng cách sử dụng phương pháp này, các nhà điều tra có thể tạo ra nhiều bản sao cần thiết, đảm bảo rằng họ có cả ảnh từ đĩa gốc và các bản sao khác để phục vụ cho quá trình điều tra.
Disk-to-disk là phương pháp sao chép dữ liệu từ ổ đĩa gốc này sang ổ đĩa gốc khác khi không thể tạo bit-stream disk-to-image Để thực hiện điều này, các điều tra viên có thể sử dụng các công cụ như SafeBack, SnapCopy và Norton Ghost.
Đánh dấu, vận chuyển và lưu trữ
Đánh dấu là quá trình phân loại và sắp xếp các đối tượng thu thập được, giúp điều tra viên tạo ra bản thuyết trình Hành động này diễn ra đồng thời với việc thu thập, tịch thu và nhân bản Nó bao gồm việc dán nhãn cho dây cáp, thiết bị và đánh số cho các thiết bị trong bước phản ứng đầu tiên Sau khi thu giữ, cần thực hiện đánh dấu bằng cách dán nhãn cho các thiết bị đã thu giữ, chụp ảnh và ghi tài liệu về những nhãn này.
Trước khi vận chuyển thiết bị, việc đóng gói đúng cách là rất quan trọng Các ổ cứng cần được bảo vệ bằng túi chống tĩnh điện và túi chống sốc để tránh hư hỏng do va chạm hoặc điện tĩnh Cần tránh sử dụng túi nhựa vì chúng có thể tạo ra tĩnh điện Ngoài ra, nên vận chuyển toàn bộ thiết bị và các thành phần liên quan để đảm bảo an toàn và hiệu quả.
Việc bảo quản thiết bị đã thu giữ một cách không đúng cách có thể dẫn đến mất mát và hỏng hóc nghiêm trọng Do đó, cần thiết lập một nơi lưu trữ phù hợp cho các thiết bị số nhằm ngăn ngừa ảnh hưởng từ các yếu tố tiêu cực như sóng điện, từ trường, độ ẩm, bụi và va chạm Hơn nữa, cần có một hệ thống an ninh chặt chẽ, chỉ cho phép những người có thẩm quyền ra vào khu vực này, đồng thời duy trì danh sách những người truy cập để đảm bảo tính an toàn.
Kiểm tra
Quá trình kiểm tra là bước quan trọng trong việc chiết xuất và hiển thị thông tin từ bằng chứng, chuẩn bị cho phân tích Kiểm tra bằng chứng số không chỉ tốn thời gian mà còn quyết định đến kết quả điều tra Để đạt được kết quả hữu ích và kịp thời, quá trình này được chia thành ba cấp độ, mỗi cấp độ sẽ được định nghĩa rõ ràng.
Khảo sát và phân loại là bước quan trọng trong việc xem xét mục đích của tất cả các phương tiện lưu trữ hiện có Điều này giúp xác định những mục đích chứa đựng chứng cứ hữu ích nhất và yêu cầu xử lý bổ sung để nâng cao hiệu quả sử dụng.
Kiểm tra sơ bộ là quá trình quan trọng trong pháp y, giúp xác định các mục có thể chứa bằng chứng hữu ích Mục đích của việc này là cung cấp thông tin điều tra nhanh chóng, hỗ trợ trong việc tiến hành và tìm kiếm bằng chứng tiềm năng.
Kiểm tra pháp y toàn diện là quá trình điều tra sâu hơn nhằm hiểu rõ các khía cạnh liên quan đến hành vi phạm tội.
Sau khi kiểm tra và xác định bằng chứng liên quan, quá trình phục hồi dữ liệu là bước quan trọng để chuẩn bị cho phân tích Dữ liệu cần phục hồi có thể bao gồm các tập tin đã xóa, ẩn hoặc ngụy trang, với mục tiêu khôi phục toàn bộ thông tin không sẵn có Việc phục hồi dữ liệu giúp điều tra viên thu thập nội dung tối đa, từ đó cung cấp cái nhìn sâu sắc về động cơ của kẻ phạm tội Để thực hiện việc này, điều tra viên có thể sử dụng các công cụ chuyên dụng từ các hãng cung cấp.
Phân tích
Phân tích dữ liệu là quá trình giải thích nhằm xác định ý nghĩa của thông tin thu thập được Trong lĩnh vực điều tra số, nhiệm vụ của điều tra viên là tìm ra bằng chứng có giá trị để chứng minh, mặc dù các dữ liệu này có thể đã bị xóa, ghi đè, ẩn hoặc phân mảnh Bằng chứng số có thể nằm ở nhiều vị trí khác nhau như bộ đệm Internet, lịch sử duyệt web, email và các tập tin đã bị xóa Do đó, quá trình phân tích có thể tốn nhiều thời gian, ngay cả khi điều tra viên đã xác định được loại bằng chứng cần tìm.
Sau khi thu thập chứng cứ, cần tìm phương pháp phù hợp để khai thác các dấu hiệu đặc trưng của tội phạm Dữ liệu từ chứng cứ cần được phân loại và phân tích tương quan để đưa ra những nhận định quan trọng trong quá trình điều tra.
Trong quá trình điều tra, việc ghi chép lại các hoạt động là rất quan trọng để đảm bảo thông tin cơ bản được lưu trữ Tài liệu này sẽ hữu ích trong quá trình kiểm tra và chuẩn bị báo cáo trình bày trước tòa án Báo cáo là bước cuối cùng và quan trọng nhất của cuộc điều tra, yêu cầu điều tra viên phải có kỹ năng trình bày phân tích một cách rõ ràng Việc viết báo cáo một cách hiệu quả là một thử thách lớn, đòi hỏi khả năng truyền đạt ý tưởng một cách dễ hiểu.
Thuật toán lọc gói tin
Lọc gói là quá trình kiểm soát các gói tin trên máy tính hoặc mạng bằng cách so sánh với chính sách bảo mật đã được thiết lập Quá trình này thường diễn ra ở cấp độ mạng trên các bộ định tuyến hoặc thiết bị chuyên dụng, nhưng cũng có thể thực hiện trong nhân của hệ điều hành Các gói tin được xem xét dựa trên nhiều tiêu chí như địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao diện mạng, hướng gói tin và loại giao thức Lọc gói tin bao gồm hai loại: lọc gói tĩnh (không trạng thái) và lọc gói động (trạng thái đầy đủ), trong đó lọc gói động phụ thuộc vào các gói tin trước đó trong cùng kết nối Môđun quan trọng nhất trong Wireshark là môđun lọc gói tin, được xây dựng dựa trên kỹ thuật lọc gói, bao gồm cả kỹ thuật lọc tĩnh và động.
Lọc gói tĩnh, hay lọc gói không trạng thái, là phương pháp lọc nhanh chóng và hiệu quả cho từng gói dữ liệu, nhưng chỉ áp dụng cho các hoạt động đơn giản Đối với những yêu cầu cần kiến thức chi tiết về giao thức hoặc khả năng theo dõi thông tin ngoài tiêu đề, cần sử dụng lọc gói động, hay còn gọi là lọc gói trạng thái đầy đủ.
Thuật toán lọc gói tin tổng quát có thể được được miêu tả qua lưu đồ sau:
Hình 10: Lưu đồ thuật toán lọc gói tin
Lưu đồ thuật toán lọc gói tin bắt đầu với đầu vào là một gói tin IP hoàn chỉnh Sau khi phân tích, thuật toán sẽ quyết định thông báo đã chuyển tiếp gói tin hoặc hủy bỏ gói tin dựa trên các tiêu chí đã định Quy trình này đảm bảo rằng chỉ những gói tin hợp lệ và an toàn mới được phép đi qua, góp phần bảo vệ mạng và tối ưu hóa hiệu suất truyền tải dữ liệu.
Bước 1: Nhận gói tin IP hoàn chỉnh, tức gói tin không lỗi và đã ghép mảnh thành công
Bước 2: Đọc các thông tin trong phần header của gói
Bước 3: Trích các thông tin từ gói tin bao gồm: Địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức…
Bước 4: Tìm các quy tắc hay tập luật tương ứng
Bước 5: Kiểm tra xem gói tin có hợp với quy tắc hay luật không
Bước 6: Nếu phù hợp thực hiện chuyển tiếp gói tin STOP
Bước 7: Trái lại, kiểm tra xem gói tin có hợp với quy tắc hay luật nào khác không
Bước 8: Nếu có, quay lại Bước 4
Bước 9: Trái lại, thực hiện hủy bỏ gói tin STOP
1 Đọc các thông tin trong phần header của gói tin đầu vào
2 Trích các thông tin từ gói tin bao gồm: Địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức…
IF gói tin hợp với quy tắc hay luật THEN
5 Thực hiện chuyển tiếp gói tin
8 IF gói tin có hợp với quy tắc hay luật nào khác THEN
11 Thực hiện hủy bỏ gói tin
Để thực hiện việc lọc gói tin một cách chính xác và đầy đủ, việc tạo, duy trì, cập nhật và xóa các quy tắc trong bảng là rất quan trọng và phức tạp.
Kết luận chương 2
Điều tra mạng là một yếu tố quan trọng trong an ninh mạng, nhằm chặn bắt và phân tích các gói tin cũng như sự kiện để thu thập chứng cứ số liên quan đến tội phạm mạng Với sự phát triển nhanh chóng của công nghệ thông tin và sự phức tạp của các cuộc tấn công mạng, việc điều tra mạng đòi hỏi các công cụ, quy trình, thủ tục và kỹ năng mới để phục vụ cho công tác phân tích và thẩm định hiệu quả.
Điều tra mạng đang tạo ra thách thức mới cho hệ thống tư pháp và các nhà hoạch định pháp luật trong việc xây dựng quy định và chế tài phù hợp nhằm đối phó với sự phát triển của tội phạm công nghệ cao.