Tải bản đầy đủ (.docx) (99 trang)

Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin​

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.47 MB, 99 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

ĐỖ BÁ SƠN

NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP THU THẬP
CHỨNG CỨ HỖ TRỢ XỬ LÝ SỰ CỐ AN TỒN THƠNG TIN

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội, tháng 11 /2019


ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

ĐỖ BÁ SƠN

NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP THU THẬP
CHỨNG CỨ HỖ TRỢ XỬ LÝ SỰ CỐ AN TỒN THƠNG TIN

Chun ngành: Hệ thống thông tin
Mã số : 8480104.01

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
HƢỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN NGỌC HÓA

Hà Nội, tháng 11 /2019



Lời cảm ơn

LỜI CẢM ƠN
Sau hai năm học tập và rèn luyện tại Trường Đại học Quốc gia Hà Nội, bằng sự biết ơn
và kính trọng, tác giả xin chân thành cảm ơn Ban Giám hiệu, các phòng, khoa thuộc
Trường Đại học Quốc gia Hà Nội và các Giáo sư, Phó Giáo sư, Tiến sĩ đã nhiệt tình giảng
dạy và tạo điều kiện thuận lợi giúp đỡ tác giả trong quá trình học tập và làm Luận văn.
Đặc biệt, tác giả xin bày tỏ lòng biết ơn và lời cảm ơn sâu sắc tới Thầy giáo hướng dẫn
PGS.TS. Nguyễn Ngọc Hóa đã tận tình, chu đáo hướng dẫn tơi thực hiện luận văn này.
Nhờ có sự giúp đỡ hướng dẫn nhiệt tình của thầy mà tơi đã có được những kiến thức q
báu trong q trình nghiên cứu, từ đó tơi có thể hồn thành tốt luận văn thạc sĩ của mình.
Mặc dù có rất nhiều cố gắng nhưng do cịn hạn chế thời gian và trình độ, nên luận văn
của tơi khơng tránh khỏi những thiếu sót. Tơi rất mong được sự chỉ bảo, đóng góp của các
thầy cơ giáo trong khoa Công nghệ Thông tin để luận văn thạc sĩ của tơi hồn thiện hơn.
Tơi xin chân thành cảm ơn!
Hà Nội, ngày 01 tháng 11 năm 2019

Học viên: Đỗ Bá Sơn

I


Mục lục

MỤC LỤC
LỜI CẢM ƠN.................................................................................................................... I
MỤC LỤC........................................................................................................................ II
DANH MỤC BẢNG BIỂU..............................................................................................V
DANH MỤC HÌNH VẼ..............................................................................................VIII
MỞ ĐẦU........................................................................................................................... 1

CHƢƠNG 1: QUY TRÌNH XỬ LÝ SỰ CỐ MẤT ATTT VÀ PHƢƠNG PHÁP THU

THẬP CHỨNG CỨ..........................................................................................................3
1.1. Quy trình điều tra số.................................................................................................3
1.2. Thu thập chứng cứ....................................................................................................5
1.2.1. Khó khăn trong thu thập chứng cứ........................................................................5
1.2.2. Tại sao thu thập chứng cứ?....................................................................................5
1.2.3. Lựa chọn phương pháp thu thập............................................................................6
1.2.4. Các loại chứng cứ..................................................................................................6
1.2.5. Các quy tắc thu thập chứng cứ..............................................................................7
1.2.6. Chứng cứ khả biến................................................................................................9
1.2.7. Quy trình thu thập chứng cứ................................................................................ 10
1.2.8. Thu thập chứng cớ và lưu trữ.............................................................................. 10
1.2.9. Phương pháp thu thập chứng cứ.......................................................................... 11
1.2.10.Dữ liệu thu thập.................................................................................................. 13
1.2.11.Kiểm soát và bảo vệ dữ liệu................................................................................ 14
CHƢƠNG 2: GIẢI PHÁP THU THẬP CHỨNG CỨ BẰNG USB CHUYÊN DỤNG
16
2.1. Bài toán đặt ra.......................................................................................................... 16
2.2. Phƣơng pháp giải quyết bài toán........................................................................... 17
2.2.1 Hướng đi cho bài toán.......................................................................................... 17
2.2.2 Xây dựng USB thu thập chứng cứ để giải quyết bài toán..................................... 18
2.3. Các bản phân phối của hệ điều hành Linux hỗ trợ thu thập chứng cứ...............20
2.3.1 DEFT Linux......................................................................................................... 20
2.3.2 CAINE Linux....................................................................................................... 21
2.3.3 Kali Linux............................................................................................................ 23
Học viên: Đỗ Bá Sơn

II



Mục lục

2.4. Công cụ thu thập chứng cứ trên Windows và Kali Linux....................................26
2.4.1 Công cụ thu thập chứng cứ trên Windows............................................................ 26
2.4.1.1. Giới thiệu công cụ thu thập chứng cứ Ir-Rescue........................................... 26
2.4.1.2. Cấu trúc và cách sử dụng công cụ thu thập chứng cứ Ir-Rescue...................27
2.4.2. Công cụ thu thập chứng cứ trên Kali Linux......................................................... 31
2.4.2.1. Công cụ thu thập chứng cứ Dc3dd................................................................ 31
2.4.2.2. Công cụ thu thập chứng cứ Ir-Rescue........................................................... 33
2.5. Một số phƣơng pháp bảo mật phân vùng USB..................................................... 34
2.5.1. BitLocker............................................................................................................. 34
2.5.1.1. Giới thiệu về BitLocker................................................................................. 34
2.5.1.2. Chức năng chính của BitLocker.................................................................... 35
2.5.1.3. Kiến trúc BitLocker...................................................................................... 35
2.5.1.4. Quản lý khóa BitLocker................................................................................ 36
2.5.2. Vera Crypt........................................................................................................... 44
2.5.2.1. Giới thiệu về Vera Crypt............................................................................... 44
2.5.2.2. Thuật toán..................................................................................................... 44
2.5.2.3. Cơ chế hoạt động.......................................................................................... 44
2.5.3. Lựa chọn công cụ bảo mật cho USB thu thập chứng cứ...................................... 45
CHƢƠNG 3: XÂY DỰNG USB THU THẬP CHỨNG CỨ VÀ KIỂM THỬ...........47
3.1. Giới thiệu.................................................................................................................. 47
3.2. Chia các phân vùng cho USB thu thập chứng cứ.................................................. 47
3.2.1 Tổng quan............................................................................................................. 47
3.2.2 Chuẩn bị USB thu thập chứng cứ......................................................................... 48
3.2.3 Thực hiện chia các phân vùng cho USB thu thập chứng cứ.................................. 48
3.3. Tùy biến hệ điều hành Kali Linux trên phân vùng thứ nhất................................ 51
3.3.1. Giới thiệu............................................................................................................. 51
3.3.2. Cài đặt hệ điều hành Kali Linux lên phân vùng thứ nhất..................................... 51

3.3.3. Tùy biến hệ điều hành Kali Linux....................................................................... 57
3.3.3.1. Tối ưu hệ điều hành Kali Linux.................................................................... 57
3.3.3.2. Cài đặt công cụ thu thập chứng cứ trên hệ điều hành Kali Linux..................60
3.4. Công cụ thu thập chứng cứ phân vùng 2............................................................... 62
3.5. Thiết lập cơ chế bảo mật cho các phân vùng USB................................................. 63
3.5.1. Cài đặt cơ chế bảo mật cho phân vùng thứ nhất.................................................. 64
3.5.2. Cài đặt cơ chế bảo mật cho phân vùng 2 và 3...................................................... 67
Học viên: Đỗ Bá Sơn

III


Mục lục

3.6. Kiểm thử USB thu thập chứng cứ.......................................................................... 72
3.6.1. Đánh giá khả năng bảo mật của USB thu thập chứng cứ theo các kịch bản........72
3.6.1.1 Kịch bản thử nghiệm bảo mật của USB thu thập chứng cứ trên Windows....72
3.6.1.2 Kịch bản kiểm thử bảo mật USB thu thập chứng cứ trên Kali Linux............74
3.6.2. Kiểm thử khả năng thu thập chứng cứ................................................................. 77
3.6.2.1. Kịch bản thử nghiệm khả năng thu thập chứng cứ trên Windows.................77
3.6.2.2. Kịch bản thử nghiệm thu thập chứng cứ trên Linux...................................... 79
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ĐỀ TÀI...................................................... 84
TÀI LIỆU THAM KHẢO.............................................................................................. 86

Học viên: Đỗ Bá Sơn

IV


Danh mục bảng biểu


DANH MỤC BẢNG BIỂU

Bảng 2. 1
Bảng 2.
Bảng 2.
Bảng 2.

- Một số cách để mã hóa VMK .
2- Bảng tham chiếu các quy trình
3- Nhập mã khóa và đầu ra .........
4– Bộ nhớ khóa ...........................

Bảng 3.

1- So sánh các định dạng ổ đĩa tro

Học viên: Đỗ Bá Sơn

V


Danh mục hình vẽ

DANH MỤC HÌNH VẼ

Hình 1. 1 - Các lớp quy trình điều tra số............................................................................3
Hình 2. 1 – Cấu trúc USB thu thập chứng cứ................................................................... 19
Hình 2. 2 - Mơ hình kiến trúc hệ thống hỗ trợ xử lý sự cố ATTT.....................................19
Hình 2. 3 - Giao diện khởi động của DEFT...................................................................... 20

Hình 2. 4 - Giao diện desktop DEFT................................................................................ 21
Hình 2. 5 - Giao diện khởi động của CAINE.................................................................... 22
Hình 2. 6 - Giao diện desktop của CAINE....................................................................... 22
Hình 2. 7 - Các ứng dụng trên hệ điều hành CAINE........................................................ 23
Hình 2. 8 - Giao diện khởi động của Kali Linux............................................................... 24
Hình 2. 9 - Giao diện desktop của Kali Linux.................................................................. 25
Hình 2. 10 - Các ứng dụng Forensics trên Kali Linux...................................................... 25
Hình 2. 11 - Chế độ khác trong giao diện Kali Linux....................................................... 26
Hình 2. 12 - Nội dung hiển thị câu lệnh dc3dd -- help...................................................... 31
Hình 2. 13 - Tệp .img được tách thành nhiều tệp nhỏ khác nhau...................................... 33
Hình 2. 14 - Kiến trúc BitLocker...................................................................................... 36
Hình 2. 15 - Các kiến trúc quản lý khóa của BitLocker.................................................... 38
Hình 2. 16 - Lưu đồ quản lý khóa..................................................................................... 39

Hình 3. 1 - USB chun dụng dùng cho thu thập chứng cứ.............................................. 48
Hình 3. 2 - Phân chia ổ USB bằng BOOTICE.................................................................. 49
Hình 3. 3 - Thiết lập định dạng cho các phân vùng........................................................... 49
Hình 3. 4 - Phân chia phân vùng....................................................................................... 50
Hình 3. 5 - Các bản Linux Distribution............................................................................ 52
Hình 3. 6 - Lựa chọn đường dẫn chứa bộ cài Kali Linux .iso........................................... 52
Hình 3. 7 - Chọn phân vùng và định dạng phân vùng cài Kali Linux............................... 53
Hình 3. 8 - Hồn thành tiến trình cài đặt Kali Linux lên phân vùng 1..............................53
Hình 3. 9 - Giao diện khởi động Boot Kali Linux............................................................ 55
Hình 3. 10 - Tạo ổ Persistency để lưu trữ bộ cài trên Kali Linux...................................... 55
Hình 3. 11 - Kết quả sau khi tạo Persistency.................................................................... 56
Hình 3. 12 - Giao diện chính của HĐH Kali Linux.......................................................... 58
Hình 3. 13 - Nhóm cơng cụ tích hợp sẵn trong Kali Linux............................................... 58
Hình 3. 14 - Danh sách các ứng dụng đã được tích hợp sẵn trên Kali Linux....................59
Hình 3. 15 - Tiến trình xóa các ứng dụng cài sẵn trên Kali Linux....................................59
Học viên: Đỗ Bá Sơn


VIII


Danh mục hình vẽ

Hình 3. 16 - Hệ điều hành Kali Linux đã được tối ưu sau khi gỡ bỏ các ứng dụng..........60
Hình 3. 17 - Tiến trình chạy câu lệnh cài đặt DC3DD...................................................... 61
Hình 3. 18 - Cơng cụ DC3DD sau khi hồn tất cài đặt..................................................... 61
Hình 3. 19 - Folder chứa cơng cụ Ir-Rescue trên Windows.............................................. 62
Hình 3. 20 - Chương trình chạy Ir-Rescue........................................................................ 62
Hình 3. 21 - Chạy chương trình Ir-Rescue........................................................................ 62
Hình 3. 22 - Các lỗi khi chạy Ir-Rescue............................................................................ 63
Hình 3. 23 - Test bảo mật trên phân vùng 1...................................................................... 65
Hình 3. 24 - Chọn Properties............................................................................................ 65
Hình 3. 25 - Chọn Advanced............................................................................................ 65
Hình 3. 26 - Chọn Remove để bỏ quyền truy cập User..................................................... 66
Hình 3. 27 - Chỉnh sửa quyền truy cập............................................................................. 66
Hình 3. 28 - Chọn quyền cấm truy cập và chỉnh sửa........................................................ 66
Hình 3. 29 - Các bước thiết lập chế độ Read-only............................................................ 67
Hình 3. 30 - Kiểm tra chip TPM hỗ trợ trên máy tính....................................................... 67
Hình 3. 31 - BitLocker trong System and Security........................................................... 68
Hình 3. 32 - Kiểm tra trạng thái của BitLocker................................................................ 68
Hình 3. 33 - Thiết lập mã khóa cho BitLocker.................................................................. 69
Hình 3. 34 - Lưu mã khóa BitLocker................................................................................ 69
Hình 3. 35 – Lựa chọn phương thức mã hóa ổ đĩa............................................................ 70
Hình 3. 36 - Lựa chọn loại mã khóa mới nhất.................................................................. 70
Hình 3. 37 - Bắt đầu mã hóa............................................................................................. 71
Hình 3. 38 - Kiểm tra lại trạng thái ổ đĩa sau khi mã hóa................................................. 71
Hình 3. 39 - Các phân vùng đã được thiết lập Read-only và BitLocker........................... 72

Hình 3. 40 - Kiểm tra trạng thái phân vùng trên Disk management.................................. 73
Hình 3. 41 - Bảng thơng báo hiện lên............................................................................... 73
Hình 3. 42 - Mở khóa BitLocker...................................................................................... 74
Hình 3. 43 - Thư mục BitLocker sau khi được mở khóa................................................... 74
Hình 3. 44 - Báo lỗi ―khơng thể mount ổ đĩa‖................................................................. 75
Hình 3. 45 - Cảnh báo Virus............................................................................................. 78
Hình 3. 46 - Chương trình Ir-Rescue bắt đầu thu thập dữ liệu.......................................... 78
Hình 3. 47 - Kết quả sau khi hồn thành thu thập dữ liệu................................................. 79
Hình 3. 48 - Tiến trình thu thập và mã hóa dữ liệu của dc3dd.......................................... 81
Hình 3. 49 - Kết quả sau khi tiến trình chạy cơng cụ dc3dd hồn tất................................81
Hình 3. 50 - Tiến trình phân tách dữ liệu thu thập thành các tệp nhỏ bằng dc3dd............81
Hình 3. 51 - Kết quả sau khi phân tách............................................................................. 82
Hình 3. 52 - Chạy chương trình Ir-Rescue........................................................................ 82
Hình 3. 53 - Thư mục data được khởi tạo khi chương trình Ir-Rescue bắt đầu chạy.........82
Hình 3. 54 - Thơng báo hồn thành thu thập của cơng cụ Ir-Rescue................................. 83
Học viên: Đỗ Bá Sơn

IX


Mở đầu

MỞ ĐẦU
Hiện nay việc phát triển vượt bậc của công nghệ Mạng và Internet giúp thúc đẩy mọi
lĩnh vực của cuộc sống khiến cho nhu cầu triển khai các hệ thống ứng dụng trong lĩnh vực
mạng máy tính và truyền thơng tăng lên nhanh chóng. Tuy nhiên cùng với phát triển của
mạng Internet, tình hình mất an ninh mạng đang diễn biến phức tạp dẫn đến xuất hiện
nhiều nguy cơ đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ kinh
tế xã hội và quốc phịng, an ninh. Số vụ tấn cơng trên mạng và các vụ xâm nhập hệ thống
công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, tài sản, cạnh tranh không

lành mạnh đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi về
cơng nghệ. Rất nhiều nguy cơ mất an tồn thơng tin (ATTT) có thể gặp phải theo nhiều
cách khác nhau như bị hacker khai thác lỗ hổng bảo mật chưa kịp vá, bị mất tài khoản do
vô ý dùng mật khẩu thơng dụng, khơng tn theo quy trình an ninh, của tổ chức,… Khi
các nguy cơ trở thành hiện thực, chúng ta phải đối mặt với những sự cố mất ATTT. Khi sự
cố xảy ra thì bằng chứng sự cố sẽ là yếu tố quan trọng, làm cơ sở cho việc xử lý sự cố.
Tuy nhiên, nếu bằng chứng về một sự cố không được xử lý đúng cách, nó sẽ khơng được
chấp nhận làm bằng chứng và nếu khơng có bằng chứng thì khơng có cơ sở để xử lý và
khắc phục hiệu quả một cách đúng đắn kể về mặt kỹ thuật và pháp lý.
Để quản lý sự cố hiệu quả, cần phải có những biện pháp thu thập, điều tra, phát hiện
nguyên nhân sự cố; từ đó mới có thể giảm thiểu tác động bất lợi thông qua việc khắc phục
nhanh sự cố, cập nhật lại những lỗ hổng cịn chưa vá, cập nhật quy trình pháp lý,..Trong
hồn cảnh này việc xây dựng một cơng cụ hỗ trợ công tác thu thập chứng cứ sau khi xảy
ra sự cố ATTT vô cùng cần thiết. Với những lý do trên chúng tôi quyết định chọn đề tài
“Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an tồn thơng
tin” để giúp cho các doanh nghiệp và cá nhân có thể ứng dụng trong việc đảm bảo ATTT
trong công tác vận hành khai thác trên máy tính.
Mục tiêu của đề tài luận văn hướng đến việc đề xuất và xây dựng giải pháp thu thập
chứng cứ trên các máy tính có sự cố mất an tồn thơng tin thơng qua việc sử dụng USB
chuyên dụng. Chúng tôi xây dựng một USB thông thường thành một USB chuyên dụng
bằng cách được chia thành các phân vùng độc lập và bảo mật, đồng thời tích hợp các cơng
để thu thập và lưu trữ chứng cứ của máy tính mất ATTT trong trạng thái Online hoặc
Offline. Việc xây dựng công cụ thu thập trên nhiều mơi trường tính tốn khác nhau cũng
như cơng tác phân tích chứng cứ, hỗ trợ xử lý sự cố nằm ngoài phạm vi nghiên cứu của
luận văn này.
Học viên: Đỗ Bá Sơn

1



Mở đầu

Cấu trúc luận văn gồm 3 phần cụ thể như sau:
. Chƣơng 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ.
Tổng quan về các phương pháp điều tra số và quy trình điều tra số theo tiêu chuẩn
ISO/IEC 27035:2011 về Công nghệ thơng tin - Các kỹ thuật an tồn - Quản lý sự cố an
tồn thơng tin, ngồi ra sẽ giới thiệu các phương pháp thu thập chứng cứ và cách thức thu
thập chứng cử đảm bảo đúng quy trình.
Chƣơng 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng
Nêu ra u cầu bài tốn về việc xây dựng cơng cụ USB chuyên dụng thu thập chứng cứ
hỗ trợ công tác xử lý sự cố mất ATTT. Từ đó đưa ra phương pháp quyết bài toán bằng
cách xây dựng USB chuyên dụng với ba phân vùng độc lập và bảo mật, trong đó phân
vùng thứ 1 được sử dụng để cài hệ điều hành Linux và hệ điều hành sẽ được tùy biến cho
mục đích thu thập dữ liệu bất biến và khả biến ở chế độ máy tính Offline, phân vùng thứ 2
thu thập chứng cứ trên Windows khi máy tính trong chế độ Online, phân vùng 3 sử dụng
để lưu trữ dữ liệu thu thập. Trong phần này cũng sẽ giới thiệu qua về một vài bản phân
phối Linux và một số công cụ bảo mật cũng như thu thập chứng cứ.
Chƣơng 3: Xây dựng USB thu thập chứng cứ và kiểm thử.
Dựa trên nội dung trong Chương 2, trong Chương 3 sẽ trình bày cụ thể các bước để xây
dựng một USB thu thập chứng cứ chuyên dụng đảm bảo được yêu cầu của bài toán đặt ra.
Ngồi ra, chúng tơi cịn đánh giá về chức năng nhiệm vụ của từng phân vùng, khả năng
bảo mật cũng như khả năng thu thập chứng cứ thông qua việc kiểm thử thiết bị.
Hồn thành luận văn này giúp tơi hiểu rõ hơn về quy trình và phương pháp thu thập
chứng cứ trong điều tra số, dựa trên những kiến thức lí thuyết thu được cộng với tài liệu
tham khảo và sự hướng dẫn của thầy mà tôi đã xây dựng được USB chuyên dụng dành
cho công tác thu thập chứng cứ phục vụ các cuộc điều tra số. Do thời gian có hạn và trình
độ cịn hạn chế, nên luận văn của em khơng tránh khỏi những thiếu sót. Tơi rất mong
được sự chỉ bảo, đóng góp của các thầy, cô giáo để luận văn thạc sĩ của tôi hoàn thiện hơn

Học viên: Đỗ Bá Sơn


2


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

CHƢƠNG 1: QUY TRÌNH XỬ LÝ SỰ CỐ MẤT ATTT VÀ PHƢƠNG PHÁP
THU THẬP CHỨNG CỨ

1.1. Quy trình điều tra số
- Tổng quan về quy trình điều tra số

Quy trình điều tra số được trình bày ở mức độ tổng quan để có thể được sử dụng cho
các kiểu điều tra số và chứng cứ khác nhau. Việc sử dụng phương pháp luận này nhằm hỗ
trợ việc thiết kế và phát triển các quy trình ở mức cao với mục đích phân tách chúng
thành các quy trình khơng thể phân chia được (xem ISO/IEC 27041). Ngồi ra, mục đích
của quy trình này là tồn diện vì chúng đại diện cho sự phù hợp của tất cả các quy trình số
được cơng bố vào thời để điểm viết tiêu chuẩn này. Quy trình điều tra số được tổ chức
một cách ngắn gọn nhưng vẫn đảm bảo tuân thủ đúng quy trình [1].
- Các lớp quy trình điều tra số

Quy trình điều tra số tạo thành một danh sách. Để quy trình điều tra số tổng quát ở mức
độ cao hơn chúng có thể được phân loại thành các lớp quy trình điều tra hình 1.1.

Lớp quy trình chuẩn
bị sẵn sàng

Lớp quy trình điều
tra
Hình 1. 1 - Các lớp quy trình điều tra số

Học viên: Đỗ Bá Sơn

3


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

Quy trình chuẩn bị sẵn sàng: Lớp quy trình xử lý các quy trình điều tra trước khi
xảy ra sự cố. Lớp này đề cập đến các chiến lược xác định có thể được sử dụng để
đảm bảo hệ thống được đưa ra và nhân viên tham gia vào quy trình điều tra được
đào tạo kỹ lưỡng trước khi xử lý một sự việc xảy ra. Quy trình chuẩn bị sẵn sàng là
tùy chọn cho phần cịn lại của quy trình điều tra số. Lý do cho điều này được giải
thích chi tiết trong hình 1.1. Quy trình chuẩn bị sẵn sàng gồm có: Xác định kịch bản;
Xác định nguồn chứng cứ tiềm năng; Lập kế hoạch thu thập trước sự cố; Lưu trữ và
xử lý dữ liệu đại diện cho chứng cứ tiềm năng; Lập kế hoạch phân tích dữ liệu đại
diện cho chứng cứ tiềm năng trước khi xảy ra sự cố; Lập kế hoạch phát hiện sự cố;
Xác định kiến trúc hệ thống; Thực hiện kiến trúc hệ thống; Thực hiện việc thu thập,
lưu trữ và xử lý dữ liệu đại diện cho chứng cứ tiềm năng; Thực hiện phân tích dữ
liệu đại diện cho chứng cứ tiềm năng trước khi xảy ra sự cố; Thực hiện phát hiện sự
cố; Đánh giá việc thực hiện; Thực hiện đánh giá kết quả.
Quy trình khởi tạo: Lớp các quy trình xử lý cho việc khởi tạo cuộc điều tra số. Quy
trình khởi tạo bao gồm: Phát hiện sự cố; Phản ứng; Lập kế hoạch; Chuẩn bị.

Quy trình tiếp nhận: Lớp các quy trình xử lý đối với việc điều tra vật lý trong một
trường hợp xác định và xử lý chứng cứ tiềm năng. Quy trình tiếp nhận bao gồm: Xác
định chứng cứ tiền năng; Thu thập chứng cứ tiềm năng; Vận chuyển chứng cứ tiềm
năng; Lưu trữ chứng cứ tiềm năng.
Quy trình điều tra: Lớp các quy trình xử lý để phát hiện ra chứng cứ tiềm năng.
Quy trình điều tra bao gồm: Kiểm tra và phân tích chứng cứ tiềm năng; Giải thích
chứng cứ; Báo cáo; Trình bày; Kết thúc điều tra.

Quy trình đồng thời: Lớp các quy trình xảy ra đồng thời cùng với các quy trình khác.
Lớp các quy trình này khác với lớp quy trình trước nó xảy ra song song với các quy trình
khác thay vì nối tiếp. Thứ tự cụ thể trong quy trình đồng thời thực hiện là không liên quan
như trái với các quy trình khơng đồng thời khác. Mục đích của quy trình này cho phép các
quy trình trên được thực hiện như các quy trình đang diễn ra. Lý do để có quy trình đồng
thời nhằm đảm bảo sự chấp nhận chứng cứ trong hệ thống pháp luật vì trong trường hợp
khơng có các quy trình như vậy bất kỳ cuộc điều tra nào cũng có thể gây nguy cơ chứng
cứ tiềm năng đã được thừa nhận có thể khơng phù hợp với vụ việc do xử lý không đúng
cách và việc tài liệu hóa chứng cứ tiềm năng. Những nguyên tắc của quy trình đồng thời
này cần được theo dõi trong suốt quy trình điều tra số cùng với các lớp khác của quy
trình. Quy trình đồng thời bao gồm: Được ủy quyền; Tài liệu hóa; Quản lý luồng thơng
tin; Bảo quản chuỗi giám sát; Bảo quản chứng cứ; Tương tác với điều tra vật lý [3].
Học viên: Đỗ Bá Sơn

4


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

1.2. Thu thập chứng cứ
Một trong những thứ khiến các điều tra viên gặp rắc rối trong việc thu thập chứng cứ là
rất khó lựa chọn thời điểm tốt nhất để thu thập. Chứng cứ khơng có sự tồn tại lâu dài
giống như những loại chứng cứ thông thường, và hơn nữa chúng rất khó để có thể tạo
được sự liên kết liền mạch. Mục đích của chương này là chỉ ra những khó khăn và đưa ra
các phương pháp để giải quyết các vấn đề trong thu thập chứng cứ. Đây chỉ là những
phương pháp điển hình do đó chúng chỉ được sử dụng như là một hướng dẫn chung.
Phần này không hướng đến những chun gia phân tích chứng cứ, vì hầu hết những
kiến thức này đã quá rõ với họ. Ngoài ra những kiến thức của chương này đem lại cũng sẽ
khơng xử lý được tồn bộ các cuộc điều tra trên hệ thống máy tính bởi vì bản chất khơng
có hai cuộc điều tra nào giống nhau, do đó nó chỉ mang tính chất tham khảo [1].

1.2.1. Khó khăn trong thu thập chứng cứ
Tội phạm cơng nghệ cao rất khó để điều tra và truy tố. Các nhà điều tra phải dựng lại
hiện trường dựa trên các dữ liệu thu thập được sau khi một cuộc tấn công xảy ra. Các giao
dịch trên máy tính diễn ra rất nhanh, chúng có thể được thực hiện từ bất kì đâu và từ bất
kỳ thời điểm nào, có thể được mã hóa hoặc ẩn danh và khơng có các tính năng nhận dạng
như chữ viết tay và chữ ký để xác định những người chịu trách nhiệm. Bất kỳ truy vết
trang của bản ghi trên máy tính nạn nhân có thể dễ dàng sửa đổi hoặc phá hủy, hoặc có
thể chỉ tồn tại tạm thời. Tệ hơn nữa, các chương trình kiểm tra có thể tự động hủy các bản
ghi khi giao dịch máy tính kết thúc. Ngay cả khi các giao dịch được khơi phục thơng qua
ứng dụng, rất khó để đưa ra kết luận kẻ tình nghi thơng qua giao dịch, do không xác định
được thông tin như mật khẩu hoặc số PIN (hoặc bất kỳ số nhận dạng điện tử nào khác)
nên sẽ không ai chịu trách nhiệm cho giao dịch. Dẫn tới, các thông tin thu thập được từ
các giao dịch cũng không chỉ cho ta biết được đã có một ai đó đã đột nhập vào hệ thống.
Mặc dù, công nghệ không ngừng phát triển, việc điều tra tội phạm cơng nghệ cao ln
gặp nhiều khó khăn vì dễ thay đổi dữ liệu và thực tế là các giao dịch hầu hết được thực
hiện ẩn danh. Điều tốt nhất chúng ta có thể làm là tuân theo các quy tắc thu thập chứng cứ
để ngăn chặn kẻ tấn công [1].
1.2.2. Tại sao thu thập chứng cứ?
Thu thập chứng cứ có thể rất tốn kém, do nó phải tuân theo các quy trình rất nghiêm
ngặt và phải khảo sát toàn diện, ngoài ra các hệ thống bị ảnh hưởng không phải lúc nào
cũng sẵn sàng để phục vụ cho việc thu thập chứng cứ và phân tích dữ liệu trong một thời
gian dài. Vì vậy, tại sao phải thu thập chứng cứ? Có 2 lý do đơn giản: Trách nhiệm và
phòng ngừa cho tương lai [1].
Học viên: Đỗ Bá Sơn

5


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ
- Trách nhiệm


Kẻ tấn công chịu trách nhiệm về thiệt hại đã gây ra, và cách duy nhất để đưa kẻ tấn
công ra công lý là phải thu thập đầy đủ các chứng cứ.
Nạn nhân sẽ phải có trách nhiệm với cộng đồng. Họ có trách nhiệm phải thu thập
các thơng tin để làm chứng cứ buộc tội kẻ tấn công, và để ngăn chặn các cuộc tấn
cơng khác [1].
- Phịng ngừa cho tƣơng lai

Sẽ khơng biết chuyện gì sẽ xảy ra tiếp theo nếu như chúng ta không ngăn ngừa sau khi
một cuộc tấn cơng xảy ra, nó giống như việc chúng ta khơng thay khóa cửa nhà sau khi bị
một ai đó đột nhập. Mặc dù, chi phí bỏ ra cho ra cho việc thu thập chứng cứ, phân tích,
xây dựng giải pháp khơng hề nhỏ nhưng nó sẽ giúp ngăn ngừa các cuộc tấn công về sau
gây thiệt hại lớn hơn như: Hình ảnh cơng ty, mất an ninh về bảo mật thông tin… [1].
1.2.3. Lựa chọn phƣơng pháp thu thập
Khi một cuộc tấn cơng bị phát hiện, chúng ta có hai lựa chọn sau: Ngắt kết nối mạng ra
khỏi hệ thống (Offline) và bắt đầu thu thập chứng cứ hoặc để nó trực tuyến (Online) và cố
gắng giám sát kẻ xâm nhập.
₋ Trong trường hợp để hệ thống trực tuyến và giám sát kẻ xâm nhập chúng ta phải vô cùng cẩn

thận, bởi vì nếu để kẻ tấn cơng bị phát hiện họ sẽ hủy chứng cứ ngay lập tức khiến chúng ta
không thể truy vết. Hoặc nếu kẻ tấn cơng khơng xóa hồn tồn chứng cứ nhưng nếu bị phát
hiện trong lần tấn công tấn công tiếp theo chúng ta sẽ rất khó dự đốn hành vi để ngăn chặn.

₋ Trong trường hợp ngắt hệ thống ra khỏi mạng, chúng ta phải xem xét kỹ lưỡng thời

điểm để ngắt, bởi vì nếu chúng ta ngắt q sớm sẽ khơng đủ lượng thông tin chứng cứ
quan trọng để phục vụ cho công tác điều tra sau này, nếu ngắt quá muộn có thể khiến
cho chúng ta mất các thơng tin quan trọng vào tay của kẻ tấn công. Tệ hại hơn là kẻ tấn
công để lại mã độc khiến chúng ta dù có chọn đúng thời điểm để ngắt kết nối mạng ra
khỏi hệ thống thì kẻ tấn cơng cũng sẽ xóa sạch mọi dữ liệu [1].


1.2.4. Các loại chứng cứ
Trước khi bắt đầu thu thập chứng cứ, một trong những điều quan trọng nhất chúng ta
phải biết là loại chứng cứ chúng ta thu thập thuộc loại nào. Bởi vì nếu khơng xác định
đúng kiểu dữ liệu thu thập sẽ dẫn tới mất thời gian, tiền bạc để lấy một dữ liệu vơ ích,
thậm chí việc thu thập sai nên dẫn tới việc làm lỗng thơng tin điều tra gây sai lệch kết
quả. Do vậy, để phân tích chứng cứ một cách hiệu quả chúng ta cần thu thập đúng loại
chứng cứ. Dưới đây mô tả các loại chứng cứ được dùng tham khảo trước khi thu thập.
Học viên: Đỗ Bá Sơn

6


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ
- Chứng cứ dùng để chứng thực

Chứng cứ dùng để chứng thực là bất kỳ chứng cứ nào được cung cấp bởi một nhân
chứng. Loại chứng cứ này tùy thuộc vào độ tin cậy cảm nhận của nhân chứng, nhưng
miễn là nhân chứng có thể được coi là đáng tin cậy, chứng cứ dùng để chứng thực có thể
độ tin cậy cao như chứng cứ thực. Các tài liệu xử lý văn bản được viết bởi một nhân
chứng có thể được coi là lời chứng thực miễn là tác giả sẵn sàng tuyên bố rằng họ là
người cung cấp chúng.
- Tin đồn

Tin đồn, đây là loại chứng cứ được đưa ra bởi một người không phải nhân chứng trực
tiếp. Dữ liệu được cung cấp không phải từ một người liên quan trực tiếp tới vụ việc. Tin
đồn không được chấp nhận để chứng thực, do đó nên tránh sử dụng những thơng tin này.
1.2.5. Các quy tắc thu thập chứng cứ
Có 5 quy tắc thu thập chứng cứ phải tuân theo để đảm bảo rằng chứng cứ đó là hữu ích,
gồm có:

- Tính chấp nhận

Tính chấp nhận là quy tắc cơ bản nhất trong thu thập chứng cứ. Chứng cứ phải sử dụng
được tại tịa án. Việc khơng tn thủ quy tắc này gây ảnh hưởng đến thời gian, chi phí, và
thậm chí chậm q trình tìm ra kẻ tấn cơng.
- Tính xác thực

Nếu chúng ta không thể tự xác thực được các chứng cứ của chính mình thì chúng ta
cũng sẽ khơng thể sử dụng nó để chứng minh bất cứ điều gì. Do đó chúng ta phải chứng
minh rằng chứng cứ phải có liên quan đến vụ việc và thơng tin phải chính xác, ta gọi nó là
tính xác thực.
- Tính tồn vẹn

Nếu không đủ chứng cứ thu thập chúng ta sẽ khơng thể tái hiện lại tồn bộ hiện trường
vụ việc. Ngồi ra việc khơng đủ chứng cứ dẫn đến việc buộc tội sai kẻ tình nghi. Ví dụ, có
một người đăng nhập vào hệ thống và ngay thời điểm đó cũng có một kẻ đang tấn cơng vì
vậy nếu khơng thu thập đủ chứng cứ dẫn đến kết luận sai kẻ tình nghi.
- Tính tin cậy

Trong q trình thu thập chúng ta lựa chọn các chứng cứ đáng tin cậy, có nguồn gốc rõ
ràng và có liên quan tới cuộc tấn công.
Học viên: Đỗ Bá Sơn

7


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ
- Tính minh bạch

Chứng cứ chúng ta trình bày nên minh bạch rõ ràng và đáng tin. Khơng có điểm nào

trong trình bày gây ra cho người bồi thẩm đồn khó hiểu hoặc khơng biết ý nghĩa của nó
là gì. Khi trình bày các chứng cứ phải có sự liên kết và diễn giải mạch lạc dễ hiểu nhằm
khẳng định đây không phải chứng cứ giả mạo. Sử dụng năm quy tắc trước đó để đưa ra
một số cách làm cơ bản như sau:
Giảm thiểu sai lệch dữ liệu gốc: Sau khi đã tạo ra một bản sao của dữ liệu gốc thì
đừng nên có bất kỳ tác động nào vào bản dữ liệu gốc. Luôn phải xử lý dữ liệu trên
các bản sao thứ cấp, mọi thay đổi được thực hiện trên bản gốc sẽ ảnh hưởng tới kết
quả của phân tích của các bản sao khác sau đó. Do đó khơng nên chạy các chương
trình sửa đổi thời gian truy cập các tệp (ví dụ như Tar hoặc Xcopy).
Lƣu lại nhật ký tác động: Đôi khi thay đổi chứng cứ là không thể tránh khỏi.
Trong trường hợp này phải ghi lại toàn quá trình thay đổi trong nhật ký. Bất kỳ thay
đổi nào cũng cần được tính đến vì khơng chỉ thay đổi dữ liệu gốc phần mềm mà còn
thay đổi liên quan đến dữ liệu gốc trong phần cứng.
Tuân thủ năm quy tắc thu thập chứng cứ: Việc tuân thủ năm quy tắc trong thu
thập chứng cứ sẽ giúp chúng ta tiết kiệm thời gian, tiền bạc và đồng thời cũng giúp
chúng ta đảm bảo thu thập đúng loại chứng cứ cần thiết cho cơng việc điều tra số.
Đừng làm gì vƣợt quá hiểu biết của bản thân: Nếu không hiểu những gì mình
đang làm, khơng có đủ kiến thức để tính tốn trước ảnh hưởng sau khi thay đổi dữ
liệu. Tốt nhất nên tìm hiểu thêm các kiến thức liên quan trước hoặc tìm một người
nào đó hiểu rõ và nền tảng kiến thức sâu rộng để dẫn dắt. Không nên cố gắng thử bất
cứ điều gì khi chưa trang bị đủ kiến thức.
Thực hiện theo chính sách bảo mật của tổ chức: Nếu khơng tn thủ chính sách
bảo mật của công ty, dẫn đến gặp một số rắc rối như: Kỷ luật, bị phạt hoặc sa thải.
Do đó trước khi tiến hành thu thập chứng cứ hãy trao đổi trước với người phụ trách
về vấn đề an ninh mạng của tổ chức.
Thu giữ dữ liệu hệ thống càng chính xác càng tốt: Thu giữ chính xác dữ liệu có
liên quan đến vụ việc trên hệ thống để giảm thiểu thời gian xử lý sau này hoặc gây
ảnh hưởng tới dữ liệu gốc.
Chuẩn bị nhân chứng: Sẵn sàng làm chứng cho các chứng cứ đã thu thập. Nếu
khơng có bên thứ ba xác nhận thì các chứng cứ được thu thập coi là vơ căn cứ và nó

sẽ trở thành dạng chứng cứ tin đồn. Hãy nhớ rằng chúng ta cần phải bên thứ ba làm
chứng đối với các chứng cứ đó bởi vì sẽ khơng ai tin chúng ta nếu họ cũng có thể tự
tạo ra chứng cứ để đạt được kết quả tương tự.
Học viên: Đỗ Bá Sơn

8


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

Thu thập chứng cứ nhanh: Thu thập chứng cứ càng nhanh càng tốt, bởi vì như vậy
dữ liệu sẽ ít bị thay đổi. Chứng cứ rất dễ bay hơi và có thể biến mất hồn tồn nếu
khơng thu thập kịp thời. Điều này khơng có nghĩa là phải vội vàng mà phải giữ bình
tĩnh để thu thập dữ liệu một cách chính xác nhất. Nếu có nhiều người tham gia thu
thập chứng cứ và làm việc song song là tốt nhất, nhưng điều quan trọng nhất tất cả
họ đều phải tuân thủ theo nguyên tắc. Ngồi ra cịn có thể áp dụng chương trình tự
động khác hỗ trợ để đẩy nhanh tiến độ thu thập chứng cứ.
Tiến hành thu thập từ chứng cứ khả biến và các chứng cứ bất biến: Một số
chứng cứ rất dễ biến mất do đó ln phải cố gắng thu thập các chứng cứ khả biến
trước tiên sau đó mới đến các chứng cứ bất biến tồn tại lâu dài trên máy tính.
Đừng tắt máy tính trƣớc khi hồn thành thu thập chứng cứ: Chúng ta không
bao giờ được tắt hệ thống máy tính trước khi hồn thành thu thập chứng cứ. Vì làm
như vậy khơng những chúng ta làm bốc hơi các chứng cứ khả biến mà còn đánh
động đến kẻ tấn cơng, gây khó khăn trong việc điều tra và phịng tránh các cuộc tấn
cơng khác. Ngun tắc chung là khơng được phép tắt máy tính sau một cuộc tấn
công và không dùng ổ đĩa đang bị tấn công làm ổ đĩa khởi động.
Không chạy bất kỳ chƣơng trình nào trên máy tính nạn nhân: Vì kẻ tấn cơng có
thể để lại các chương trình và thư viện Trojan trên hệ thống, chúng ta có thể vơ tình
kích hoạt thứ gì đó có thể thay đổi hoặc phá hủy các chứng cứ chúng ta đang tìm
kiếm. Bất kỳ chương trình nào chúng ta sử dụng phải ở dạng chỉ đọc(Read-only) ví

dụ đĩa CD-ROM hoặc USB đã được cài phần mềm chống ghi ngược và phải được
liên kết tĩnh.
1.2.6. Chứng cứ khả biến
Mỗi loại chứng cứ đòi hỏi kỹ thuật tìm kiếm và thu thập khác nhau, các chứng cứ trên
hệ thống máy tính có thể bất biến hoặc khả biến, tuy nhiên chúng ta nên cố gắng tiến hành
thu thập các chứng cứ khả biến trước vì chúng rất dễ bay hơi sau đó mới đến các chứng
cứ bất biến vì chúng tồn tại trong thời gian dài trên hệ thống máy tính. Tất nhiên chúng ta
khơng nên áp dụng quy tắc này một cách cứng nhắc. Ngồi ra chúng ta cũng khơng nên
lãng phí thời gian để trích xuất các thơng tin khơng quan trọng hoặc không bị ảnh hưởng
bởi cuộc tấn công.
Để xác định chứng cứ nào cần thu thập trước, chúng ta nên lập một danh sách các
chứng cứ khả biến và sắp xếp chúng theo mức độ quan trọng. Dưới đây sắp xếp theo thứ
tự quan trọng của từng loại chứng cứ khả biến thường có trong hệ thống máy tính.


Thanh ghi và bộ nhớ đệm (Register and cache)

Học viên: Đỗ Bá Sơn

9


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ
₋ Bảng định tuyến (Routing tables).









Bộ đệm Arp (Arp cache).

Bảng quy trình (Process table).

Thống kê Kernel và Mô đun (Kernal statistics and Modules).
Bộ nhớ chính (Main memory).

Hệ thống tập tin tạm thời (Temporary file systems).
Bộ nhớ thứ cấp (Secondary memory).

Cấu hình bộ định tuyến (Router configuration).
Cấu trúc liên kết mạng (Network topology).

1.2.7. Quy trình thu thập chứng cứ
Khi thu thập và phân tích chứng cứ, phải tn theo quy trình 4 bước, gồm có:


Bƣớc 1: Xác định chứng cứ

Cần phải có khả năng phân biệt giữa các chứng cứ và dữ liệu rác. Hiểu rõ mục đích
chúng ta cần làm gì, dữ liệu cần lấy là loại gì? vị trí của nó và cách lưu trữ. Khi mà chúng
ta thực hiện tốt điều này sẽ giúp dễ dàng tìm kiếm và thu thập chính xác chứng cứ.


Bƣớc 2: Bảo quản chứng cứ

Chứng cứ tìm thấy phải được lưu trữ càng lâu càng tốt và gần với trạng thái ban đầu
của nó. Mọi thay đổi trong giai đoạn này phải thược hiện trên bản sao thứ cấp hoặc phải

ghi lại để chứng minh.


Bƣớc 3: Phân tích chứng cứ

Phân tích các chứng cứ để trích xuất thông tin liên quan và tạo lại chuỗi sự kiện. Phân
tích địi hỏi kiến thức chun sâu về những gì chúng ta đang tìm kiếm và làm thế nào để
trích xuất thơng tin hữu ích. Ln chắc chắn rằng người hoặc những người đang phân tích
chứng cứ có đủ điều kiện thuận lợi để làm điều đó.


Bƣớc 4: Trình bày chứng cứ

Truyền đạt ý nghĩa của chứng cứ vô cùng quan trọng nếu không dẫn đến việc điều tra
trở nên kém hiệu quả. Ngồi ra tăng tính tin cậy chúng ta nên chọn một người am hiểu
vấn đề dẫn dắt chúng ta trình bày các chứng cứ.
1.2.8. Thu thập chứng cớ và lƣu trữ
Khi đã hoàn thành lập kế hoạch và xác định cụ thể các chứng cứ mà chúng ta phải thu
thập, hãy bắt tay ngay vào công việc điều tra. Lưu trữ dữ liệu cũng vô cùng quan trọng.

Học viên: Đỗ Bá Sơn

10


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ
- Logs và Logging

Nên chạy các tính năng ghi lại hoạt động của hệ thống. Điều quan trọng là làm thế nào
để giữ cho các bản ghi này an toàn và sao lưu chúng định kỳ, vì trong các bản ghi thường

tự động lưu lại các mốc thời gian. Hãy lưu ý rằng các bản ghi này được lưu trữ cục bộ
trên máy tính bị xâm nhập, chúng dễ bị thay đổi hoặc bị xóa bởi kẻ tấn cơng. Nếu chúng
ta có một máy chủ từ xa để lưu lại các bản ghi hệ thống sẽ làm giảm thiểu rủi ro khi một
cuộc tấn cơng xảy ra mặc dù kẻ tấn cơng có thể tạo thêm các mục giải mã hoặc các mục
rác làm ảnh hưởng tới bản ghi gốc.
Việc kiểm tra thường xuyên bản ghi hệ thống rất hữu ích bởi vì khơng chỉ phát hiện ra
những kẻ xâm nhập mà còn là cách để tạo ra thêm chứng cứ. Tin nhắn, bản ghi từ các
chương trình có thể được sử dụng để cho thấy thiệt hại mà kẻ tấn công đã gây ra. Tất
nhiên, chúng ta cần phải bắt nhanh được các bản ghi này trước khi chúng biến mất hoặc
bị thay đổi.
- Giám sát

Theo dõi lưu lượng truy cập mạng rất hữu ích để có thể thu thập số liệu thống kê, coi
chừng hoạt động bất thường để có thể ngăn chặn sự xâm nhập trước khi nó xảy ra và đồng
thời theo dõi kẻ tấn công đến từ đâu và anh ta đang làm gì. Theo dõi bản ghi nhật ký khi
chúng được tạo, nó có thể hiển thị cho chúng ta thơng tin quan trọng mà chúng ta có thể
đã bỏ lỡ. Điều này khơng có nghĩa là phải bỏ qua các bản ghi sau này, bởi nó có thể là thứ
mà thiếu trong các bản ghi đáng ngờ.
Thông tin được thu thập trong khi giám sát lưu lượng mạng có thể được tổng hợp thành
số liệu thống kê để xác định hành vi bình thường cho hệ thống. Những thống kê này có
thể được sử dụng như một cảnh báo sớm về các hành động của kẻ tấn cơng. Chúng cũng
có thể theo dõi hành động của người dùng, điều này tạo ra như một hệ thống cảnh báo
sớm. Hoạt động bất thường hoặc sự xuất hiện đột ngột của người dùng không xác định
nên được coi là nguyên nhân rõ ràng để kiểm tra chặt chẽ hơn. Nói chung, nên giới hạn
phạm vi giám sát lưu lượng truy cập hoặc thơng tin người dùng tránh lãng phí thời gian và
cũng nên tạo nội dung bản cam kết để người dùng có thể tùy ý lựa chọn giữa việc đồng ý
bị giám sát hoặc từ chối khi người dùng đăng nhập, bởi vì sau này tránh được vấn đề liên
quan đến pháp lý [7].
1.2.9. Phƣơng pháp thu thập chứng cứ
Có hai hình thức thu thập cơ bản: Đóng băng hiện trường (Freezing the scene) và Mắt

ong (Honeypottting). Có thể sử dụng linh hoạt một trong hai cách này hoặc dùng cả hai
cách cùng lúc tùy vào trường hợp cụ thể.
Học viên: Đỗ Bá Sơn

11


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

Đóng băng hiện trường: Là một hình thức sao lưu dữ liệu tạm thời sử dụng cho nhiều
mục đích. Trước khi bắt đầu thu thập chúng ta nên thông báo trước cho các cơ quan, tổ
chức liên quan đến vụ việc như cảnh sát và đội phản ứng sự cố và đội pháp lý. Sau đó mới
bắt đầu thu thập dữ liệu và phân loại dữ quan trọng và chúng phải được lưu trữ trong một
định dạng tiêu chuẩn. Đảm bảo rằng các chương trình và tiện ích được sử dụng để thu
thập dữ liệu cũng được thu thập trên cùng phương tiện. Tất cả dữ liệu sau khi thu thập
phải tạo một bản tóm tắt thơng điệp mật mã và những bản tóm tắt đó phải được so sánh
với bản gốc để xác minh tính tồn vẹn.
Honeypotting là một hệ thống tài ngun thơng tin được xây dựng với mục đích giả
dạng, đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý, ngăn
không cho chúng tiếp xúc với hệ thống thật. Honeypotting có thể giả dạng bất cứ loại máy
chủ tài nguyên nào như Mail Server, Domain Name Server, Web Server... Honeypotting
sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thơng tin về tin tặc như hình thức
tấn cơng, cơng cụ tấn công hay cách thức tiến hành tấn công. Honeypotting gồm hai loại
chính:
₋ Honeypotting tương tác thấp: Mơ phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
₋ Honeypotting tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao.
Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng Các Honeypotting tương tác thấp bao gồm:

+ Back Officer Friendly (BOF): Là một loại hình Honeypotting rất dễ vận hành và cấu


hình của nó có thể hoạt động trên bất kỳ phiên bản nào của Windows và Unix,
nhưng nhược điểm của nó là chỉ tương tác được với một số dịch vụ đơn giản như
FTP, Telnet, SMTP.
+ Specter: Đây cũng là loại hình Honeypotting tương tác thấp nhưng có khả năng

tương tác tốt hơn so với Back Officer, loại Honeypotting này có thể giả lập trên 14
cổng (Port), và có thể cảnh báo, quản lý từ xa. Tuy nhiên, cũng giống như Back
Officer thì Specter có nhược điểm là bị giới hạn số dịch vụ và không linh hoạt.
+ Honeyd: Loại Honeypotting này có thể ―lắng nghe‖ trên tất cả các cổng TCP và

UDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lại
những cuộc tấn công, tương tác với kẻ tấn cơng trong vai trị là một hệ thống nạn
nhân. Hiện nay, Honeyd có nhiều phiên bản và có thể mơ phỏng được khoảng 473
hệ điều hành. Honeyd là loại hình Honeypotting tương tác thấp có nhiều ưu điểm,
tuy nhiên nó có nhược điểm là khơng thể cung cấp một hệ điều hành thật để tương

Học viên: Đỗ Bá Sơn

12


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

tác với tin tặc và khơng có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hoặc
gặp phải nguy hiểm.
+ Honeypotting tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức

độ thông tin thu thập được cao nhưng rủi ro cao và tốn thời gian để vận hành và bảo
dưỡng. Honeynet là hình thức honeypotting tương tác cao [2].
1.2.10. Dữ liệu thu thập

Bất cứ khi nào một hệ thống bị xâm nhập, hầu như ln có thứ gì đó bị kẻ tấn cơng bỏ
lại, đó là các đoạn mã, chương trình trojan, quy trình đang chạy hoặc tệp nhật ký Sniffer,
chúng được gọi là hiện vật. Chúng là một trong những thứ quan trọng chúng ta nên thu
thập, nhưng chúng ta phải cẩn thận. Không nên cố gắng phân tích một vật phẩm trên hệ
thống bị xâm nhập. Hiện vật để lại hiện trường có khả năng cho chúng ta biết thêm nhiều
thơng tin hữu ích, và chúng ta muốn chắc chắn rằng hiệu ứng của chúng được kiểm sốt.
Có một số hiện vật rất khó để có thể tìm thấy bởi vì các Trojan có thể tạo ra các
chương trình giống hệt bản gốc (kích thước tệp, kiểm sốt truy cập trung bình [MAC] lần,
v.v.). Vì vậy chúng ta tổng kiểm tra ―Checksum‖ tệp tin gốc để xác định được rằng hiện
vật nào là do Trojan tạo ra. Phân tích các hiện vật giúp chúng ta tìm kiếm truy ngược lại
các hệ thống, cơng cụ của kẻ tấn công sử dụng.
Từ các thông tin ở trên, bây giờ bây giờ sẽ xây dựng từng bước thu thập chứng cứ.
Nhắc lại một lần nữa rằng đây chỉ là một hướng dẫn do đó nó tùy tình huống cụ thể để sử
dụng một cách hiệu quả. Dưới đây các bước thu thập chứng cứ:
- Bƣớc 1: Tìm kiếm chứng cứ

Xác định nơi chứng cứ đang tìm kiếm được lưu trữ, phải có một danh sách kiểm tra, nó
khơng chỉ giúp xác định được đúng loại chứng cứ để thu thập mà cịn để kiểm sốt khơng
bỏ sót mọi khu vực ổ đĩa lữu trữ có chứa các chứng cứ.
- Bƣớc 2: Tìm dữ liệu liên quan

Sau khi tìm thấy chứng cứ, chúng ta phải tìm ra phần nào trong đó có liên quan đến vụ
án. Nói chung khơng nên thu thập tất cả các dữ liệu nhìn thấy mặc dù phải làm việc này
rất nhanh.
- Bƣớc 3: Tạo phân bậc mức độ quan trọng cho các dữ liệu khả biến.

Bây giờ chúng ta đã biết chính xác những dữ liệu nào cần thu thập, dựa trên kiến thức
của bản thân để sắp xếp dữ liệu khả biến theo mức độ ưu tiên để thu thập nó. Lưu ý rằng
chúng ta nên ưu tiên thu thập các dữ liệu khả biến dễ biến mất trong thời gian ngắn.


Học viên: Đỗ Bá Sơn

13


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ
- Bƣớc 4: Ngăn chặn sự thay đổi dữ liệu từ bên ngoài

Điều cần thiết là nên tránh để dữ liệu gốc bị thay đổi hay nói cách khác phịng bệnh
ln tốt hơn chữa bệnh. Ngăn chặn bất cứ ai can thiệp vào chứng cứ nhằm tạo ra một dữ
liệu chính xác nhất có thể. Tuy nhiên, phải cẩn thận, kẻ tấn cơng có để lại bẫy để thay đổi
dữ liệu khi bị phát hiện trước khi dời đi. Cuối cùng, phải cố gắng ngăn chặn những thay
đổi dữ liệu từ bên ngoài.
- Bƣớc 5: Thu thập chứng cứ

Bây giờ chúng ta có thể bắt đầu thu thập chứng cứ bằng cách sử dụng các cơng cụ
thích hợp cho cơng việc sau đó đánh giá lại chứng cứ chúng ta đã thu thập được. Cố gắng
rà soát kỹ dữ liệu thu thập để tránh bỏ lỡ một cái gì đó quan trọng. Cuối cùng chúng ta
phải đảm bảo đã thu thập đầy đủ dữ liệu cần thiết cho vụ điều tra mà không bỏ sót bất cứ
thứ gì.
Bƣớc 6: Xây dựng tài liệu
Các thủ tục thu thập dữ liệu phải được lưu lại để dùng trong cơng việc điều tra sau này.
Do đó sau khi lưu lại dấu thời gian, lịch sử, chữ ký số, các bước thu thập. Đừng xóa bất
cứ thứ gì.
1.2.11. Kiểm soát và bảo vệ dữ liệu
Một khi dữ liệu đã được thu thập, nó phải được bảo vệ khỏi sự lây nhiễm. Không bao
giờ sử dụng bản dữ liệu gốc trong điều tra số. Điều này không chỉ đảm bảo rằng dữ liệu
gốc vẫn sạch, không bị lây nhiễm mà còn hạn chế các khả năng làm hỏng dữ liệu. Tất
nhiên, bất kỳ thử nghiệm nào cũng phải được thực hiện trên một máy chủ sạch và bị cô
lập. Để kiểm sốt và bảo vệ dữ liệu an tồn nhất, đảm bảo những yêu cầu dưới đây:



Phân tích

Khi dữ liệu đã được thu thập thành cơng, nó phải được phân tích để trích xuất chứng cứ
mà mình muốn trình bày và xây dựng lại hiện trường. Phải chắc chắn rằng đã ghi chép
đầy đủ mọi thứ mà mình làm. Mục tiêu cơng việc là phải phân tích chứng cứ nhằm đưa ra
kết luận cuối cùng để phục vụ cho cuộc điều tra số.


Thời gian

Để dựng lại các sự kiện dẫn đến việc hệ thống bị hỏng, do đó phải có thể tạo một dịng
thời gian để liên kết các sự kiện lại với nhau. Tuy nhiên, để làm được điều này thì khơng
bao giờ được phép thay đổi thời gian trên hệ thống bị ảnh hưởng. Cần phải lưu ý rằng đơi
lúc có những dữ liệu thiếu đồng bộ thời gian (lệch nhau múi giờ hoặc lệch thời điểm) do
đó phải cẩn thận trong việc sắp xếp thời gian cho đúng trình tự các sự kiện. Các tệp nhật
ký thường sử dụng dấu thời gian để cho biết khi nào một mục nhập được thêm vào và
Học viên: Đỗ Bá Sơn

14


Chương 1: Quy trình xử lý sự cố mất ATTT và phương pháp thu thập chứng cứ

chúng phải được đồng bộ hóa để dữ liệu mới liên kết chặt với dữ liệu khác, cũng nên sử
dụng dấu thời gian, không những tái cấu trúc các sự kiện mà còn xây dựng các chuỗi sự
kiện đi đúng hướng, tốt nhất là phải sử dụng múi giờ GMT khi tạo dấu thời gian chuẩn.



Sao lƣu kết quả phân tích cuộc điều tra số

Cần phải có một máy chủ lưu trữ dành riêng cho cơng việc sao lưu kết quả phân tích
cuộc điều tra số. Máy chủ kiểm tra này phải được bảo mật, sạch sẽ (cài một hệ điều hành
mới và đóng băng nó để cách ly với bất kỳ mạng khác). Khi hệ thống này có sẵn, bạn có
thể bắt đầu phân tích các bản sao lưu. Làm sai ở thời điểm này khơng nên là một vấn đề.
Bạn chỉ có thể khôi phục lại các bản sao lưu nếu cần. Hãy nhớ câu thần chú: Tài liệu mọi
thứ bạn làm. Đảm bảo rằng những gì bạn làm là lặp lại và có khả năng ln cho kết quả
tương tự [7].

Học viên: Đỗ Bá Sơn

15


Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng

CHƢƠNG 2: GIẢI PHÁP THU THẬP CHỨNG CỨ BẰNG USB CHUYÊN DỤNG

2.1. Bài toán đặt ra
Đối với bài toán liên quan đến hệ thống hỗ trợ xử lý sự cố mất an tồn thơng tin
(ATTT), cách tiếp cận chính để xây dựng hệ thống này được xuất phát từ quy trình chung
về pháp lý số đã được đặc tả trong các chuẩn TCVN 11239:2015 và ISO/IEC 27035 và
các yêu cầu thực tế tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCert). Ngày
nay an ninh mạng đã là một hiểm họa lớn đối với tất cả các công ty, tổ chức ở Việt Nam.
Nhiều cuộc tấn công chớp nhống, thậm chí diễn ra dai dẳng. Để đối phó với các sự cố
mất ATTT trên máy tính, cần phải có một cụ chuyên dụng để thu thập dữ liệu hiện trường
khi xảy ra sự cố. Chính vì vậy chúng tơi đã đặt ra bài tốn xây dựng giải pháp thu thập
chứng cứ sử dụng USB chuyên dụng để nhằm mục đích thu thập dữ liệu máy tính mất
ATTT một cách nhanh chóng hiệu quả mà vẫn giữ tính bảo mật. Cụ thể USB thu thập

chứng cứ chúng tôi tổ chức theo mơ tả trong Hình 2. 1 dưới đây.

Hình 2.1. Cấu trúc USB thu thập chứng cứ
Học viên: Đỗ Bá Sơn

16


×