Forensic Roadmap

By admin, April 27, 2021

Khái niệm

Digital Forensics (điều tra số) là một nhánh của ngành khoa học điều tra đề cập đến việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để thu thập, bảo quản và phân tích dữ liệu trong các thiết bị kỹ thuật số với mục tiêu tìm kiếm các chứng cứ thuyết phục để tái hiện lại các sự kiện đã và đang diễn ra nhằm xác định các hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép như cố ý xâm nhập, tấn công hoặc gây gián đoạn quá trình hoạt động của hệ thống.

Khi nào thì thực sự cần thiết thực hiện một cuộc điều tra số?

  • Khi hệ thống bị tấn công mà chưa xác định được nguyên nhân.
  • Khi cần thiết khôi phục dữ liệu trên thiết bị, hệ thống đã bị xóa đi
  • Khi thực hiện điều tra tội phạm có liên quan đến công nghệ cao
  • Điều tra sự gian lận trong tổ chức
  • Điều tra các hoạt động gián điệp công nghiệp

Một số loại hình điều tra số phổ biến

Ngày nay dữ liệu số có mặt ở khắp mọi nơi, từ máy tính cho đến các thiết bị di động, thiết bị PDA, GPS, máy tính bảng. Tuy nhiên trong phạm vi bài viết này, mình chỉ giới thiệu một số loại hình điều tra số trên máy tính bao gồm:

  • Phân tích điều tra dữ liệu trên ổ cứng: Là việc thu thập, phân tích dữ liệu được lưu trữ trên phương tiện lưu trữ vật lý, từ đó trích xuất các dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ liệu trên thiết bị được phân tích, cũng như tìm kiếm những bằng chứng liên quan đến hoạt động xâm nhập, gian lận…
  • Phân tích điều tra dữ liệu mạng: Là một nhánh của điều tra số liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, sự kiện liên quan,để phát hiện sự bất thường, các dấu hiệu xâm nhập trên môi trường mạng.
  • Phân tích điều tra dữ liệu trên RAMLà phương thức điều tra máy tính bằng việc sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ RAM tại thời điểm hệ thống đang hoạt động, sau đó tiến hành phân tích làm rõ các hành vi đang xảy ra trên hệ thống.

Tiếp cận lĩnh vực này như thế nào?

Sau khi giới thiệu qua về khái niệm và một số loại hình điều tra số phổ biến, chắc mọi người đã có được những hình dung ban đầu về lĩnh vực này. Vậy bây giờ chúng ta nên tiếp cận như thế nào? Sau đây mình đưa ra một số gợi ý mà các bạn có thể tham khảo để xây dựng cho mình một lộ trình tốt.

  • Nắm bắt được quy trình thực hiện bao gồm các bước:
    • Chuẩn bị: Thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra. Giai đoạn này cung cấp một cái nhìn bao quát về các thông tin liên quan đến hệ thống bị tấn công, thông tin về hạ tầng mạng, các cơ chế bảo vệ hệ thống đó, các ứng dụng ngăn chặn xâm nhập… đang được triển khai.
    • Thu thập dữ liệu: Đây là giai đoạn quan trọng quyết định sự tin cậy của kết quả khi điều tra một hệ thống máy tính bị tấn công. Tất cả dữ liệu liên quan đến hệ thống của máy tính cần được thu thập và đảm bảo được tính toàn vẹn trong suốt quá trình điều tra. Tùy vào đặc điểm, nghiệp vụ của hệ thống, người phân tích phải lựa chọn cách thu thập phù hợp. Người phân tích cần phải xác định kỹ thuật sẽ điều tra, để lựa chọn cách thu thập dữ liệu phù hợp, phải biết được khi nào thì cần thực hiện Dead Forensics, khi nào thì phải thực hiện Live Forensics để tránh vô tình phá hủy đi những dữ liệu quan trọng như dữ liệu RAM, dữ liệu mạng.
    • Điều tra phân tích: Sử dụng các phương pháp nghiệp vụ, các kỹ thuật và công cụ khác nhau để trích xuất, phân tích các dữ liệu thu được để tìm kiếm các chứng cứ liên quan đến hoạt động bất hợp pháp trên hệ thống máy tính.
    • Lập báo cáo: Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ phận có trách nhiệm xử lý chứng cứ thu được, đội ngũ điều tra phải đưa ra các kỹ thuật điều tra, các công nghệ, phương thức được sử dụng, cũng như các chứng cứ thu được, tất cả phải được giải thích rõ ràng. Báo cáo phải đảm bảo tính trung lập và minh bạch).
  • Xây dựng một hệ thống Lab để thực hành: Có nhiều cách để bạn dựng 1 Lab phục vụ việc nghiên cứu điều tra số, tuy nhiên mình ở đây mình đề xuất mọi người cài đặt SANS SIFT – Một môi trường điều tra số tuyệt vời, tập trung và chọn lọc lại các công cụ điều tra sau đó tích hợp sẵn trong một hệ thống, nó chứng minh rằng điều tra chuyên sâu và ứng phó với sự cố xâm nhập có thể được thực hiện bằng việc sử dụng các công cụ mã nguồn mở và cập nhật thường xuyên, bộ công cụ chọn lọc này tích hợp những công cụ chuyên dụng như Thesleuth Kit, DFF, Wireshark, Foremost, volatility, Hexeditor… Bạn có thể tải SANS SIFT tại đây. Bên cạnh công cụ có sẵn trong SANS SIFT bạn cũng cần làm quen dần các công cụ khác như FTK, OSForensics, GRR, Network Miner, PowerForensics…
  • Bắt tay vào giải quyết 14 challenges của HoneyNet: Trong quá trình giải quyết challenge bạn sẽ được làm quen với nhiều kỹ thuật phân tích và các công cụ chuyên dụng khi điều tra số. Cũng trong quá trình điều tra, bạn sẽ phải tìm kiếm các nguồn thông tin hỗ trợ qua đó củng cố được nhiều kiến thức từ phân tích dữ liệu mạng, phân tích memory, phân tích file system, phân tích mã độc, khôi phục dữ liệu… Nếu bí quá thì bạn có thể tham khảo cách người khác giải quyết challenge của mình và áp dụng 1 kỹ thuật tương đương để thực hiện.

Xong 14 challenge của HoneyNet thì các bạn có thể tự đi trên đôi chân của mình, lúc này bạn đã có một nền tảng tốt về điều tra số và nhiều kỹ năng được củng cố và có thể thực chiến được, bạn có thể xuống núi đề mài dũa thêm trong giang hồ.

  • Tiếp tục tham gia các cuộc thi CTF để rèn luyện thêm khả năng tư duy khi gặp challenges mới. Thường trong các cuộc thi CTF đều có một phần dành cho Forensics, với những challenge thú vị trải đều trong các mảng liên quan đến điều tra số để bạn được thử sức.
  • Tiếp tục đọc sách: Đừng đọc nhiều quá, nhưng không thế không đọc. Thường thì khi tiếp cận bất kỳ lĩnh vực nào thì chúng ta hay có thói quen đọc trước thực hành sau, tuy nhiên mình muốn mọi người thực hành để kích thích sự tìm tòi, từ đó biết mình đang hổng đâu và quay sang hệ thống lại kiến thức của mình qua sách. Thực hành nhiều sẽ rèn luyện kỹ năng, khả năng tư duy còn đọc sách giúp mình có được nền tảng vững chắc. Tương ứng với các loại hình điều tra phổ biến, mình giới thiệu một số cuốn sách đại diện cho 3 loại hình trên:
    • The Art of Memory Forensics: Sách cung cấp kiến thức nền tảng giúp bạn nghiên cứu chuyên sâu về phân tích điều tra số trên bộ nhớ RAM. Cuốn sách này thích hợp khi bạn vừa đọc vừa thực hành với Volatility
    • File System Forensic Analysis: Sách mô tả chi tiết ở low-level về file System và Volume System qua đó giới thiệu các kỹ thuật tìm kiếm các chứng cứ từ dữ liệu ẩn, khôi phục các tập tin bị xóa và những cân nhắc trong quá trình thực hiện điều tra. Sách này thích hợp khi bạn vừa đọc vừa thực hành với bộ công cụ “The sleuth kit”.
    • Network Forensics: Tracking Hackers through Cyberspace: Sách tập trung vào việc mô tả cách các giao thức hoạt động và làm thế nào để thu thập và phân tích dữ liệu mạng để tìm kiếm các dấu hiệu đáng ngờ đang được “lưu thông” trên mạng. Sách này thích hợp khi bàn vừa đọc vừa thực hành với Wireshark.
  • Kiếm một công ty làm về bảo mật để được làm việc thường xuyên: Văn ôn, võ luyện, nếu chỉ làm Lab không thì bạn sẽ dễ chán, cho nên phải tìm một công ty có bộ phận liên quan đến điều tra số để được cọ xát và luyện tập thường xuyên. Cách đây 10 năm ở Việt Nam không nhiều công ty có bộ phận này, tuy nhiên trong 2 năm trở lại đây thì phần lớn các công ty hoạt động trong lĩnh vực an toàn thông tin, hay các hệ thống nhà băng đều có đội ngũ chuyên trách về mảng này sẽ mở ra rất nhiều cơ hội để các bạn chinh chiến.
  • Một số nguồn tài nguyên tham khảo
    • Forensics Wiki: Wiki liên quan đến các thông tin về điều tra số, trên đó giới thiệu các công cụ, kỹ thuật thường được sử dụng bởi người điều tra cũng như một số papers, tổ chức và con người liên quan đến lĩnh vực này.
    • NIST Forensics Tool Catalog: Nơi bạn có thể tìm kiếm các công cụ chuyên dụng từ nguồn mở đễn thương mại liên quan đến điều tra số.
    • Đọc White paper: Thường được viết ngắn gọn, được cập nhật và dễ “tiêu hóa” hơn so với sách. Đối với lĩnh vực điều tra số thì mọi người có thể follow Whitepaper của SANS. Đây là nơi luôn update các kỹ thuật mới liên quan đến điều tra số.

Tổng Kết

Khi viết bài này mình tính làm 1 cái roadmap dài hơi nhưng thiết nghĩ đưa vào nhiều quá người đọc lại thêm rối, vì vậy mình cố gắng hạn chế thông tin đầu vào nhưng hi vọng vẫn đủ để 1 bạn mới bắt đầu làm quen với lĩnh vực này, với khả năng tự học đều có thể theo được lâu dài và thực chiến tốt. Chúc các bạn có những trải nghiệm thú vị với lĩnh vực này.

What do you think?

Leave a Reply

Your email address will not be published. Required fields are marked *

-->