Ngày nay, trong thời đại số, tầm quan trọng của an toàn thông tin ngày càng lớn. Hầu hết các nước, các tổ chức đều đề ra quy định, pháp luật để bảo vệ bảo vệ dữ liệu và an toàn thông tin của mình. Với sự gia tăng đáng kể của tội phạm mạng thì vai trò của điều tra số ngày càng lớn. Thông qua tài liệu này, chúng tôi muốn giới thiệu về điều tra số và đặc biệt là điều tra số trên Linux.
Điều tra số (Digital Forensics) là một nhánh của khoa học điều tra, với mục đích truy tìm và phân tích các tài liệu chứa trong các thiết bị số, thường gọi là “tài liệu số”, để tìm ra các bằng chứng số (Digital Evidence). Rõ ràng, Digital Forensics liên quan đến tội phạm máy tính (Computer Crime). Digital Forensics bao gồm nhiều lĩnh vực: Computer Forensics, Network Forensics, Data Analytical Forensics và Mobile Device Forensics.
Bằng chứng số (Digital Evidence) hay còn gọi là bằng chứng điện tử (Electronic Evidence), là mọi thông tin có giá trị pháp lý được lưu trữ, được truyền dẫn trong dạng thức số và có giá trị pháp lý trước tòa. Trước khi chấp nhận bằng chứng số, quan tòa phải xác định được là nó có liên quan đến vụ án đang xem xét, cho dù tính xác thực của nó đã được kiểm chứng.
Có thể hiểu về bằng chứng số một cách ngắn gọn như sau: Bằng chứng số là các bằng chứng ở dạng thức số, nó được khôi phục, hay được tìm thấy, trong các thiết bị số – thường là các thiết bị liên quan với máy tính. Dữ liệu nhận được từ các ổ đĩa trên máy tính hoặc từ các thiết bị lưu trữ khác chưa thể là bằng chứng (số). Để có được bằng chứng, nhân viên điều tra phải thực hiện quá trình khảo sát và phân tích dữ liệu ban đầu. Thông thường, nếu tìm được dữ liệu họ phải xâu chuỗi chúng lại với nhau để đưa ra được bằng chứng. Nhiệm vụ của tin học điều tra (Forensic Computing) là: Áp dụng sự hiểu biết về khoa học và công nghệ để truy tìm – khôi phục, khảo sát và phân tích – các bằng chứng có nguồn gốc số. Bằng chứng tìm được phải có giá trị pháp lý trước tòa.
Đặc tính của bằng chứng số
Bằng chứng số có đặc tính sau đây: – Admissible (tính thừa nhận) – Authentic (tính xác thực)- Reliable (tính tin cậy) – Believable (tính đáng tin)
Ví trí có thể tìm thấy bằng chứng số
Vị trí có thể tìm thấy bằng chứng số: – Trong các tập tin lịch sử truy cập Internet – Trong các tập tin tạm sinh ra từ truy cập Internet – Tại không gian đĩa chưa cấp phát – Nơi lưu trữ các thiết lập tập tin, cấu trúc thư mục, tên tập tin – Giá trị thời gian của tập tin – Ẩn/nhúng trong phần mềm/phần cứng bổ sung – Trong các tập tin chia sẻ – Ẩn trong các e-mail
Đặc thù của Điều tra số
– Lượng dữ liệu cần phân tích thường rất lớn, nếu dữ liệu chỉ ở dạng text thôi thì với dung lượng vài MB, chúng ta cũng có một lượng thông tin rất lớn rồi. Trong thực tế thì còn khổng lồ hơn.
– Dữ liệu thường không còn nguyên vẹn, bị thay đổi, phân mảnh, và có thể bị lỗi. – Bảo quản dữ liệu khó khăn, dữ liệu thu được có thể có tính toàn vẹn cao, chỉ một thay đổi nhỏ cũng có thể làm ảnh hưởng đến tất cả.
– Dữ liệu phục vụ điều tra có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng, … – Chủ thể cần cần điều tra là khá trừu tượng: mã máy, dump file, network packet… – Dữ liệu dễ dàng bị giả mạo.
– Xác định tội phạm khó khăn, có thể bạn tìm ra được thông tin về tội phạm (địa chỉ IP, địa chỉ email, thong tin profile…) nhưng để xác định được được đối tượng thật ngoài đời thì cũng không hề đơn giản.
Các công việc cần tiến hành trong Điều tra số
– Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn. Điều này có nghĩa điều tra viên cần phải nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra. Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát được kết nối này.
– Tìm kiếm tất cả các tập tin có trong hệ thống máy tính, bao gồm các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè. Nhân viên điều tra nên sao chép lại tất cả các tập tin của hệ thống, bao gồm các tập tin có trong ổ đĩa của máy tính hay tập tin từ các ổ cứng cắm ngoài. Bởi khi truy cập các tập tin có thể thay đổi nó nên nhân viên điều tra chỉ nên làm việc với các bản copy của các tập tin khi tìm kiếm bằng chứng. Bản nguyên gốc cần được bảo quản và không được động đến.
– Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa.
– Tìm kiếm thông tin của tất cả các tập tin ẩn e. Giải mã và truy cập các tập tin được bảo vệ
– Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận.
– Ghi lại tất cả các bước của quá trình. Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thông tin của hệ thống máy tính mà không làm thay đổi hoặc làm hỏng chúng. Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu không có tài liệu xác thực, bằng chứng thậm chí còn không được chấp nhận. Những tài liệu xác thực này không chỉ bao gồm các tập tin và dữ liệu được khôi phục từ hệ thống mà còn bao gồm cả bản vẽ của hệ thống và nơi các tập tin được mã hóa hoặc được ẩn. h. Chuẩn bị là nhân chứng trước tòa trong Computer Forensics. Thậm chí, khi quá trình điều tra hoàn tất, công việc điều tra của điều tra viên vẫn chưa xong. Anh ta có thể vẫn phải chứng thực trước tòa. Tất cả các thao tác trên đều rất quan trọng, nhưng thao tác đầu tiên mới là quan trọng nhất. Nếu điều tra viên không thể kiểm soát toàn bộ hệ thống máy tính, bằng chứng mà anh ta tìm được sẽ không được công nhận.
Chrome Google vừa công bố chính sách bảo mật tiện ích mở rộng