Pháp chứng kỹ thuật số - Bài 6: Điều tra tội phạm Mạng - Pháp chứng Mạng máy tính - Đàm Quang Hồng Hải

Bài 6: Điều tra tội phạm Mạng - Pháp chứng Mạng máy tínhGiảng viên: TS. Đàm Quang Hồng HảiPHÁP CHỨNG KỸ THUẬT SỐPháp chứng Mạng máy tính và pháp chứng kỹ thuật sốPháp chứng Mạng là gì?Pháp chứng mạng là một nhánh của pháp chứng kỹ thuật số liên quan: Theo dõi và phân tích lưu lượng trên mạng máy tính, do lưu lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây là một cuộc điều tra với thời gian chủ động.Theo dõi và phát hiện xâm nhập cho mục đích thu thập hay phá hoại thông tin.Thu thập các bằng chứng trên Mạng như trên các Website, từ các dấu vết xâm nhập của Malware ... để tìm ra các chứng cứ pháp lý về hoạt động của các đối tượng trên mạng.Việc thực hiện pháp chứng mạng cũng cần thiết cho cả những người làm quản trị mạng.Nhiệm vụ bảo vệ không gian MạngMột số khác biệt với Pháp chứng máy tínhKhác biệt với Pháp chứng máy tính truyền thốngĐiều tra thông qua một quá trình xây dựng lại một sự kiện mạng Khi Mạng bị xâm nhập bởi một "Hacker", hay có sự cố khác như một mạng không rõ nguyên nhân hoặc cơ sở hạ tầng xuống cấp hoặc bị cúp điện.Cung cấp các mảnh còn thiếu trong phân tích pháp chứngDựa trên việc sử dụng các phần mềm chụp lại các tập tin khi có sự cố MạngMột cách nhìn mới về phân tích dấu vết tập tinTiếp tục cùng phương thức xử lý sự cố truyền thốngCác hướng điều tra của Pháp chứng mạngHướng điều tra liên quan đến an toàn mạng: khi giám sát một mạng máy tính có lưu lượng truy cập bất thường và xác định sự xâm nhập. Một kẻ tấn công có thể có thể có khả năng xóa tất cả các tập tin đăng nhập trên một máy chủ bị tấn công, do vậy bằng chứng dựa trên lưu lượng mạng có thể là bằng chứng duy nhất để phân tích pháp chúng.Hướng điều tra liên quan đến thông tin tội phạm trên mạng: Trong trường hợp phân tích các gói tin thu được có thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao, tìm kiếm cho các từ khóa và phân tích thông tin liên lạc như email hoặc các buổi trò chuyện.Các câu hỏi với Pháp chứng viênAi là kẻ xâm nhập và làm thế nào họ thâm nhập vào các biện pháp phòng ngừa an ninh hiện hành?Những gì thiệt hại đã xảy ra? Những kẻ xâm nhập sau khi rời khỏi hệ thống mạng đã để lại điều gì trên hệ thống như một tài khoản người dùng mới, một Trojan hoặc Worm hoặc phần mềm Bot? Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân tích và mô phỏng lại cuộc tấn công và minh xác cho việc sửa chữa?E-DetectiveCác quá trình ứng phó sự cố mạngViệc sử dụng thông tin các bản ghi tường lửa, các bản ghi hệ thống, và các bản ghi trên các thiết bị mạng có liên quan đến một thời gian truy cập, địa điểm, và địa chỉ IP cho phép xác định sự kiện liên quan đến an toàn mạng.Pháp chứng viên có thể thông qua giám sát lưu lượng mạng để có thể cô lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính.Điều tra với các kỹ thuật thông thườngĐiều tra với phần mềm giám sát lưu lượng mạngPhần mềm giám sát lưu lượng và phân tích mạng cho phép kiểm tra và đánh giá thực tế chuyển động các gói tin để hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại một phiên làm việc.Phân tích pháp chứng các gói tin với các chức năng của nó nhằm phân tích được lịch sử thời gian để giải quyết các vấn đề có liên quan đến các ứng dụng và việc cung cấp dịch vụ.Phòng chống sự cố trong không gian số cho phép một sự hiểu biết về bối cảnh của một phiên làm việc để xác định điểm vào, đường dẫn và ứng dụng thực hiện và các thành phần mạng liên quan.Điều tra với các kỹ thuật phân tích mạngPháp chứng Mạng và giao thức MạngNgười Pháp chứng viên khi tiến hành điều tra trên Mạng cần hiểu biết rõ giao thức của Mạng mà mình đang điều tra.Các thông tin cần hiểu biết:Cấu trúc các gói tin của các tầng giao thứcCác giao thức của bộ giao thức trong mạngCác quy trình hoạt động Người Pháp chứng viên cần sử dụng thành thạo các công cụ nhằm tìm được các bằng chứng số liên quan đến yêu cầu của mình.Giao thức TCP/IPTCP/IP là bộ giao thức với Giao thức kiểm soát truyền tải (Transmission Control Protocol - TCP) và Giao thức Internet (Internet Protocol - IP). Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối với Internet như thế nào và dữ liệu được truyền tải ra sao giữa chúng.Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN, mạng WAN và mạng Internet.Số lượng tội phạm Công nghệ cao dùng máy tính với giao thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để truy cập vào InternetMạng với giao thức TCP/IPĐịa chỉ IP Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử dụng để nhận diện và liên lạc với nhau trên Mạng TCP/IP.Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên Mạng TCP/IP mà Pháp chứng viên cần quan tâm.Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP độngĐịa chỉ IP động cung cấp bằng giao thức DHCP thông qua Access Point: Tại các nơi công cộng, hay công ty có nhiều máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh khi kết nối với mạng Internet. Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính dùng chung địa chỉ IP tĩnh và động.Cấu trúc gói IPDHCP ServerCấu trúc gói EthernetCác công cụ dùng điều tra với các gói tin trong mạng TCP/IPNgười Pháp chứng viên cần hiểu yêu cầu mình muốn, các thông số nào mình cần biết.Xác định mục đích khi thu thập thông tin làm gì như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm nhập.Xác định yêu cầu phân tích dữ liệu dựa trên các gói tin TCP/IP thu thập được.Các công cụ pháp chứng mạng như: Tcpdump/windump, WiresharkTCP/IP Packet snifferSPAN port Switched Port Analyzer portCho phép cấu hình để Switch tự động sao chép các gói tin qua lại giữa các cổng đến một cổng được gọi là cổng giám sát (SPAN port ).Các phần mềm sniffer hay các hệ thống phân tích sẽ cần phải được kết nối với một SPAN port để có thể xem xét đưọc lưu lượng qua SwitchSwitch với SPAN port Bắt gói tin bằng Sniffer Sniffer là một chương trình cho phép nghe các lưu lượng thông tin trên một hệ thống mạng.Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại. Việc bắt gói tin bằng Sniffer là thụ động và thường sẽ không tạo ra bất kỳ lưu lượng mạng nào. Mạng cho phép Sniffer thu thập thông tinCác phương thức sử dụng Sniffer Các phương thức "Catch-it-as-you-can": Tất cả các gói chuyển qua một điểm traffic nào đó đều được bắt lại và rồi ghi vào thiết bị lưu trữ để sau đó tiến hành phân tích. Cách tiếp cận này yêu cầu một lượng lớn thiết bị lưu trữ, thường sử dụng các hệ thống RAID.Các phương thức "Stop, look and listen": Mỗi gói tin được phân tích sơ bộ ngay trong bộ nhớ, chỉ một vài thông tin nào đó là được lưu trữ cho quá trình phân tích sau này. Cách tiếp cận này yêu cầu thiết bị lưu trữ ít hơn nhưng lại cần các processor có tốc độ nhanh hơn để có thể xử lý hết các traffics đi vào.Phân tích gói tin trong điều traPhân tích gói tinlà việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và khôi phục định dạng thông tin nhằm hiểu rõ hơn điều gì đang diễn ra trên mạng. Phân tích gói tin có thể giúp Pháp chứng viên hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, Phân tích gói tin có thể giúp Pháp chứng viên chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật.Pháp chứng viên phân tích gói tinĐiều tra viên tiến hành phân tích gói tin để xác định các gói tin liên quan và hiểu được cấu trúc và mối quan hệ của chúng để thu thập chứng cứ và tạo điều kiện phân tích sâu hơn.Kiểm tra nội dung siêu dữ liệu (thông tin mô tả nội dung của cơ sở dữ liệu) của một hoặc nhiều gói tin.Tiến hành xác định các gói tin liên quan và phát triển một chiến lược để phân tích lưu lượng và xây dựng lại nội dung của gói tin.Các kỹ thuật phân tích gói tinCó ba kỹ thuật cơ bản khi tiến hành phân tích gói tin:Pattern Matching (theo mô hình): xác định các gói tin liên quan bằng cách kết hợp các giá trị cụ thể trong các gói tin bắt được.Parsing Protocol Fields (phân tích các thành phần giao thức): rút trích ra nội dung của các giao thức trong các lĩnh vực.Packet Filtering (lọc gói tin)- lọc các gói riêng biệt dựa trên giá trị của các thành phần trong siêu dữ liệu.Pattern Matching - theo mô hìnhGiống như trong pháp chứng máy tính, các thông tin tìm kiếm nhậy cảm "dirty word search" được dùng để tìm kiếm các dữ liệu quan tâm. Thiết lập một danh sách các chuỗi nhậy cảm (“dirty word list") như tên, mô hình, vv, có thể liên quan đến các hoạt động đáng ngờ đang được điều tra.Các nhà điều tra có thể tận dụng các thông tin chung về một "dirty word list" để xác định các gói dữ liệu hoặc dữ liệu cần quan tâm trong một lưu lượng mạng bắt được.Ví dụ phân tích mã độcPhân tích các thành phần giao thức Phân tích các thành phần giao thức là tìm ra các nội dung công việc trong các gói tin liên quan. Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp từ gói bắt được .Dùng Sniffer phát hiện việc download qua mạng MSBlaster WormDựa trên các gói tin ghi nhận, khôi phục định dạng MSBlaster Worm Phát hiện việc máy tính bị nhiễm worm tấn công các máy khác trong mạng Lọc gói tinLọc gói là phương pháp tách gói dựa trên các giá trị của các trường trong giao thức siêu dữ liệu hoặc tải trọng. Thông thường, các Pháp chứng viên lọc các gói tin bằng cách sử dụng bộ lọc BPF hoặc bộ lọc hiển thị WiresharkVí dụ: điều tra tấn công mật khẩuTấn công mật khẩu là một kỹ thuật phá mã hoặc vượt qua một cơ chế xác thực bằng cách thử các khóa mã hay mật khẩu trong một từ điển rộng lớn.Kỹ thuật tấn công mật khẩu tấn công bằng cách thử tất cả các từ trong một danh sách dài gọi là từ điển (được chuẩn bị trước). Tấn công mật khẩu thử trong vùng có nhiều khả năng thành công nhất, thường xuất phát từ một danh sách các từ ví dụ như một từ điểnCó thể dùng Sniffer để phân tích các gói tin và lưu lượng khi điều tra.Các giao thức dễ bị tấn công mật khẩuHiện có những giao thức dễ bị tấn công do gửi mật khẩu không mã hóa qua mạngInternet - HTTP / NNTP File transfer - FTP / TFTP Email - POP3 / IMAP / SMTPNetwork Monitoring - SNMP / RMONTelnetVoIP – Signaling Set-up (SIP, Megaco, SCCP, H.323, and Others?Những mật khẩu thường dùng dễ bị đoánGói tin có thông tin không mã hóa Một bộ lọc đơn giản cho các từ USER hoặc PASS vào đầu gói tin (byte 54 -59) tìm thấy các giao thức sử dụng mật khẩu dạng rõ ràngPhát hiện tấn công mật khẩu với FTPChứng cớ số do Sniffer thu thập Bằng thông tin lưu lượng của hệ thống cho phép Pháp chứng viên có thể phân tích những vấn đề đang mắc phải trong hoạt động của hệ thống mạng.Sniffer có thể tự động phát hiện và cảnh báo các cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service) qua đó Pháp chứng viên có thể triển khai việc thu thập chứng cứ số. Sniffer có thể ghi lại thông tin về các gói dữ liệu, các phiên truyền. Tương tự như hộp đen của máy bay, giúp các Pháp chứng viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cốPháp chứng viên sử dụng công cụ SnifferPháp chứng viên cần các thông tin thống kế liên quan đến lưu lượng mạng và Sniffer là một trong những công cụ cần thiết.Pháp chứng viên có thể sử dụng Sniffer còn phục vụ cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng.Có thể sử dụng các tính năng  Sniffer khi điều tra nhiều dạng sự cố mạng như phát hiện các gói tin chứa thông tin nguy hiểm Dùng Sniffer phát hiện các gói tin chứa thông tin nguy hiểm về Malware , qua đó phát hiện nguồn gốc tấn công Điều tra tấn công bằng botnetBotnet là từ chỉ một tập hợp các robot phần mềm hoặc các bot hoạt động một cách tự chủ.Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Mỗi bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC).Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xaDùng Sniffer phát hiện các gói tin chứa thông tin liên quan đến BotnetDựa trên các gói tin ghi nhận, khôi phục định dạng thông tin để phát hiện botCác công cụ Sniffer Sniffer đầu tiên là sản phẩm của Network Associates với tên là Sniffer Network AnalyzerCó rất nhiều công cụ Sniffer được phát triển như:tcpdump/windump: công cụ cụ viết trên linux/windowsWireshark (Ethereal): công cụ thông dụng và nhiều tính năng mạnh hỗ trợ việc phân tích.Kismet: hiệu quả để Sniffer gói tin trên mạng Wireless.Ettercap: hoạt động hiệu quả và bảo mậtNetStumbler: thực hiện Sniffer trên chuẩn 802.11Ngrep: tính năng lọc tốt và thường dùng với tcpdumpKisMAC: thực hiện Sniffer trên hệ điều hành Mac OS X.tcpdump/windumptcpdump (www.tcpdump.org) là một trong các phần mềm mã nguồn mở sniffer đầu tiên. Nó được viết vào năm 1987 bởi Van Jacobson, Craig Leres, và Steven McCanne tại Phòng thí nghiệm Lawrence Berkeley.tcpdump đã từng là công cụ được các chuyên gia trên khắp thế giới tín nhiệm về sự hữu dụng trong việc gỡ rối và kiểm tra vấn đề kết nối mạng và bảo mật .tcpdump là phần mềm trên các hệ thống có họ Unix bao gồm Linux, Solaris, AIX, Mac OS X, BSD, and HP UX, dùng để theo dõi các gói dữ liệu lưu thông qua Card mạng.Windump là phiên bản chạy trên Windows của tcpdump. Cú pháp của tcpdumpSử dụng tcpdump/windumptcpdump là phần mềm chạy bằng dòng lệnh, dùng để theo dõi băng thông mạng thông qua việc lưu trữ các gói tin (packet) truyền tải mà máy có thể bắt được và ghi vào file để phục vụ công việc phân tích và điều tra.Tcpdump mặc định để nắm bắt được 68 bytes đầu tiên của tất cả lưu lượng truy cập cho một giao diện mạng. Điều này rất hữu ích để nắm bắt các ID người dùng và mật khẩu không được mã hóa hoặc ghi lại tất cả các kết nối, nhưng không hữu ích nếu ta đang quan tâm đến nội dung các gói tin trên mạng.Một số hạn chế của tcpdump/windump tcpdump/windump là phần mềm chạy bằng dòng lệnh. Người sử dụng cần phải biết tất cả các tùy chọn để sàng lọc các gói dữ liệu cụ thể, vì vậy không có giao diện thuận tiện cho người dùng.tcpdump/windump có thể không nhìn thấy được những gói tin bị chặn bởi tường lửa gateway, router, hoặc Switch. Các Switch hiện đại có thể ngăn chặn các máy tính nhìn thấy tất cả lưu lượng không được dành cho nó ngay cả khi mạng ở chế độ hỗn tạp (promiscuous mode).Công cụ WiresharkWireshark hiện là một trong những phần mềm phân tích giao thức mạng phổ biến nhất trên thế giới. Wireshark có một bộ tính năng phong phú và mạnh mẽ và chạy trên hầu hết các nền tảng máy tính bao gồm cả Windows, OS X, Linux, và UNIX.Wireshark là một bộ phân tích gói dữ liệu mạng có thể được sử dụng để bắt các gói tin mạng và hiển thị các thông số và dữ liệu của gói tin.Các giao thực được hỗ trợ bởi WireSharkWireShark có ưu thế vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được cộng đồng của Wireshark thêm vào.Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.Lựa chọn phần cứng để thu thập thông tinCác gói tin được thu thậpMầu sắc các gói tin Các gói tin các màu sắc khác nhau như xanh lá cây, xanh da trời và đen.. , để giúp người dùng phân biệt được các loại traffic khác nhau. Màu xanh lá cây là traffic TCP, Mầu xanh da trời đậm là traffic DNS, Mầu xanh da trời nhạt là traffic UDP Màu đen là gói TCP có vấn đề.Lọc gói tin theo yêu cầu Pháp chứng viên có thể lọc các gói tin thu thập được theo các yêu cầu của mình.Ví dụ: not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.1.104 ip.addr == 192.168.1.104Lọc gói tin theo ip.addr == 192.168.1.104 Phân tích gói tin với địa chỉ IP 192.168.1.104 Xem nội dung gói tinHết bài 6