Pháp chứng kỹ thuật số - Bài 9: Điều tra tội phạm trên Mạng không dây - Đàm Quang Hồng Hải

Bài 9: Điều tra tội phạm trên Mạng không dây Giảng viên: TS. Đàm Quang Hồng HảiPHÁP CHỨNG KỸ THUẬT SỐNgày nay, các thiết bị mạng và sử dụng mạng không dây có sự bùng nổ trong các thập niên vừa qua. Điển hình là các thiết bị di động, iPad, Laptop, các thiết bị GPSĐiều tra việc sử dụng các thiết bị không dây đang được chú trọng do việc dễ dàng sử dụng chúng của các nghi phạm Các thiết bị mạng không dây phổ biến bao gồm:Thiết bị WiFi, Wi-MaxĐiện thoại không dây, di độngTai nghe BluetoohCác thiết bị hồng ngoại (TV remotes )Nhu cầu điều tra số với mạng không dâyLý do điều tra mạng không dâyTìm kiếm một máy tính xách tay bị đánh cắp bằng cách theo dõi nó trên mạng không dây.Xác định các điểm truy cập giả mạoĐiều tra các hoạt động nguy hiểm hoặc trái phép xảy ra khi nghi pham sử dụng mạng không dây.Điều tra các cuộc tấn công trên mạng không dây, bao gồm tấn công từ chối dịch vụ (DoS), tấn công mã hóa, chứng thực...Các thiết bị không dây thông dụng Wireless Access PointWireless Access Point là thiết bị layer 2 quản lý, kết nối các máy tính đầu cuối trong mạng LAN.WAP có một loạt các tùy chọn cấu hình và khả năng ghi log. WAP thực hiện các chức năng tương tự như Hub, nhưng là các thiết bị thông minh hơn.Khả năng cấu hình và ghi log thường có sẵn trong giao diện quản lý web của WAPs cấp thấp. Các WAPs cao hơn ngoài khả năng logging cơ bản, lọc địa chỉ MAC còn có dịch vụ DHCP, chức năng như bộ định tuyến và hỗ trợ syslog và SNMP.Mạng không dây với WAPLý do cần điều tra các WAPWAPs có thể chứa các bản ghi lưu trữ cục bộ của các lần kết nối, chứng thực thành công và thất bại, và hoạt động của các WAP khác.WAPs log giúp các nhà điều tra theo dõi các hoạt động của wireless-client.Các cấu hình WAP có thể biết cách thức kẻ tấn công có thể truy cập vào mạng và đã lấy được thông tin gì.Cấu hình WAP có thể bị sửa đổi trái phép như một phần của một cuộc tấn công.WAP chính nó có thể bị tổn hạiCác giao thức mã hóa Mạng không dâyĐể bảo mật cho mạng không dây, người ta sử dụng các giao thức mã hóa mạng không dây để bảo vệ thông tin từ hệ thống Wifi Router và Access Point. Pháp chứng viên cần phải hiểu rõ các giao thức mã hóa mạng nào mà mạng không dây mình đang điều tra sử dụng. Hiện nay có các giao thức mã hóa mạng không dây sau: WEP (Wired Equivalent Privacy)WPA (Wi-Fi protected Access)WPA2Giao thức WEP (Wired Equivalent Privacy)Đây là giao thức mã hóa đầu tiên phát triển cho mạng không dây. Giao thức WEP phương thức mã hóa sử dụng thuật toán đối xứng RC4, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bitNgày nay WEP đã dần không còn dùng nhiều vì đã bộc lộ nhiều điểm yếu về an ninh, nhưng vẫn có trong các thiết bị không dây và một số tổ chức vẫn còn sử dụng. Giao thức WPA (Wi-Fi protected Access)Đó là thế hệ giao thức mã hóa tiếp theo của WEP, WPA sử dụng TKIP (Temporal Key Integrity Protocol) để thay đổi keys với mỗi gói dữ liệu và thông điệp kiểm tra toàn vẹn bảo vệ một lần nữa, chỉnh sửa và gửi lại các gói dữ liệu để xác định xem các gói tin được sửa đổi hay không. Đối với người dùng chứng thực WPA sử dụng EAP (Extensible Authentication Protocol) và trong 4 bước bắt tay với người dùng thì keys đã được băm. Giao thức WPA2Giao thức mã hóa được phát triển từ WPA và hiện WPA2 đang là một trong những giao thức bảo mật được sử dụng rộng rãi nhất. WPA2 sử dụng AES (Advanced Encryption Standard) để mã hóa và chúng an toàn hơn TKIP. WPA2 hỗ trợ ad-hoc network trong khi WPA được giới hạn chỉ trong mạng không dây thông thường. Đặc biệt, AES không dễ bị phá vỡ và đó là điều kiện cần và đủ để làm phức tạp mật khẩu của người dùng. Một số yêu cầu bảo mật mạng WiFiThay đổi tài khoản (username, password ) mặc định truy cập thiết bị Wi-Fi. Đặt mật khẩu phức tạp, kết hợp chữ hoa, chữ thường, số, ký tự đặc biệt và nên dài tối thiểu 8 ký tự.Thiết lập mã hóa mạng không dây WPA2 (AES).Ẩn tên mạng SSID.Sử dụng bộ lọc truy cập mạng Wi-Fi theo địa chỉ MAC.Thiết lập thời gian tự động thay đổi khóa mã hóa thành 1800 giây (30 phút).Bật chức năng tường lửa trên thiết bị Wi-Fi.Giao thức DHCPDHCP (Dynamic Host Configuration Protocol) là giao thức cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng.Phần lớn các hệ thống truy cập mạng không dây sử dụng DHCP để gán địa chỉ IP cho các máy tính người dùng. Đặc biệt là các hệ thống gia đình.DHCP ServerBản ghi DHCPNếu mạng mà Pháp chứng viên đang thực hiện điều tra sử dụng Dynamic Host Configuration Protocol (DHCP), thông tin vô cùng quan trọng là các hồ sơ tổ chức và các bản ghi DHCP cho khoảng thời gian được xem xét. Nếu không có các bản ghi DHCP, luật sư hiểu biết về CNTT có thể nghi ngờ liên kết giữa giao thức Internet (IP) và máy tính, và cuối cùng, ai là người sử dụng máy tính này. Nếu máy tính của nghi phạm vẫn là một phần của mạng, Pháp chứng viên có thể chạy ipconfig /all trên máy tính của nghi phạm.Bản ghi DHCP trên LINKSYS Access PointĐiều tra quá trình truy cập DHCPNếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy các tập tin ghi nhận của địa chỉ IP trong bản ghi sự kiện đăng nhập bảo mật và tường lửa. Trên máy tính cài Windows, Pháp chứng viên có thể chạy công cụ Event Viewer xem quá trình truy cập của DHCP client.Công cụ Event Viewer Event viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống.Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Công cụ này là một phương tiện hiệu quả giúp Pháp chứng viên khám phá những gì đang xảy ra ở "hậu trường" của hệ điều hành.Chọn xem Event theo DHCP ClientXem các Event DHCP ClientTấn công mạng không dâyWireless sniffing: đây là một trong những cuộc tấn công nguy hiểm nhất trên mạng không dây như là kẻ tấn công có thể bắt được các gói tin trong quá trình truyền và nhìn thấy chi tiết các hoạt động của mạng không dây. Nếu gói tin không mã hóa trong khi truyền, kẻ tấn công có thể có được đầy đủ thông tin chi tiết của gói tin.Mirror image access point: đây là một điểm truy cập giả mạo được tạo ra sau khi nhận được thông tin của một điểm truy cập công cộng. khi một kẻ tấn công tạo ra một điểm truy cập với một tín hiệu mạnh hơn so với điểm truy cập thực tế và phát sóng. người dùng sẽ kết nối tín hiệu mạnh nhất và do đó trở thành nạn nhân.Tấn công mạng không dâyAd-hoc network: đây là cuộc tấn công mạng không dây đơn giản nhất để thực hiện. một kẻ tấn công có thể kết nối với mạng ad-hoc của tổ chức và có thể truy cập vào các file nhạy cảm.Buffer overflow: đây là cuộc tấn công mạng không dây cho phép một kẻ tấn công sử dụng mã độc để khai thác lỗ hổng trong mã phần mềm của nhiều hệ điều hành và ứng dụng.Remote control software: đây là cuộc tấn công mạng không dây cho phép một kẻ tấn công cài đặt phần mềm điều khiển từ xa các máy tính.Tấn công mạng không dâyVirus/worm/spyware: đây là cuộc tấn công mạng không dây cho phép một kẻ tấn công cài đặt mã độc khai thác lỗ hổng hệ thống để đạt được đặc quyền truy hoặc để thao tác dữ liệu.Arp redirection/spoofing: đây là cuộc tấn công mạng không dây sử dụng là địa chỉ MAC giả mạo mà cho phép một kẻ tấn công chuyển hướng lưu lượng mạng đến máy tính của mình.Denial of service attack: đây là cuộc tấn công mạng không dây phá bỏ chứng thực vì nó sẽ ngắt kết nối một người dùng từ các điểm truy cập không dây đến hết thời hạn gói tin gửi. cuộc tấn công này sẽ ngắt kết nối các dịch vụ không dây.Ăn cắp thông tin trên mạng không dâySniffing là loại tấn công nghe trộm thông tin trên mạng không dây phổ biến nhất bới vì nó dễ dàng thực hiện, khó phát hiện nhưng thông tin thu được lại có giá trị.Kẻ tấn công có thể truy cập vào mạng, giám sát các lưu lượng mạng từ khoảng cách lớn hơn nhiều so với khoảng cách được quy định trong chuẩn 802.11 là 61m.Điều tra tấn công mạng không dâyPháp chứng viên cần kiểm tra xem các điểm truy cập không dây sử dụng giao thức bảo mật mạng không dây nào để qua đó xác định khả năng có các lỗ hổng.Thiết lập các thử nghiệm để kiểm tra quá trình xâm nhập: Pháp chứng viên có thể sử dụng các công cụ Backtrack để kiểm tra với các mật khẩu được cung cấp để kiểm tra việc mã hóa bảo mật cho mạng không dây. Dùng công cụ để kiểm tra pháp chứng: Pháp chứng viên có thể sử dụng các công cụ tìm kiếm phát hiện mạng không dây: daerosol, airfart, aphopper, apradar, karma, kismet, ministumbler, netstumbler, wellenreiter, wifi hopper, wirelessmon.Điều tra mạng không dây của doanh nghiệpMột số điểm truy cập mạng không dây của tổ chức, doanh nghiệp chọn giao thức mã hóa không được an toàn dành cho mạng không dây, rất đơn giản để có thể cài đặt cho hầu hết những thiết bị nhỏ, giúp cho mạng không dây liên kết nhanh hơn và giảm chi phí của người dùng. Trước khi kiễm tra giao tiếp mạng không dây của doanh nghiệp, Pháp chứng viên phải biết được làm thế nào điểm truy cập và máy tính tương tác với nhau. Pháp chứng viên cần kiểm tra xem có điểm truy cập không dây nào cung cấp cho kẻ tấn công truy cập vào một cách đơn giản, Pháp chứng viên có thể sử dụng các công cụ Fern-Wifi-cracker – GUI để kiểm tra mã hóa.Chuẩn IEEE 802.11Chuẩn IEEE 802.11 là đặc tả kỹ thuật liên quan đến hệ thống mạng không dây. Các chuẩn 802 đều có 2 thành phần chính là MAC (Media Access Control) và PHY (Physical). Trong đó MAC là một tập hợp các luật định nghĩa việc truy xuất và gửi dữ liệu, còn chi tiết của việc truyền dẫn và thu nhận dữ liệu là nhiệm vụ của PHY.Đối với mạng Wi-Fi , IEEE chia ra ba dải tần số: 2.4 GHz (802.11b/g/n), 3.6 GHz (802.11y),5 GHz (802.11a/h/j/n)Phân tích sóng không dâyMỗi dải tần số được chia thành các kênh riêng biệt. Hoa Kỳ chỉ cho phép các thiết bị WiFi để giao tiếp trên các kênh 1-11 trong phạm vi 2,4 GHz trong khi Nhật Bản cho phép truyền tải trên tất cả 14 kênh.Thiết bị WiFi sản xuất để sử dụng ở Hoa Kỳ sẽ không có khả năng truyền và nhận trên tất cả các kênh được sử dụng tại Nhật Bản. Ngược lại, kẻ tấn công mua thiết bị của Nhật Bản hỗ trợ 14 kênh sử dụng trong hệ thống tại Hoa Kỳ có thể sẽ không bị phát hiện.Dòng sản phẩm MetaGeek của Wi-Spy giúp phân tích các sóng vô tuyến phổ biến từ đó xác định loại, tên các thiết bị Bluetooth, điện thoại không dây 2.4G, lò vi sóng, analog video..... Bắt và phân tích thông lượng mạng không dâySản phẩm MetaGeek của Wi-Spy Bắt và phân tích lưu lượng mạng không dâyUSB AirPcap là card mạng không dây 802.11 có khả năng chạy ở chế đô monitor của hãng Riverbed Technology giúp bắt các lưu lượng mạng không dây.Phần mềm AirPcap chạy trên Windows và Linux tích hợp với Wireshark có khả năng năng giám sát lưu lượng truy cập lớp 2 802.11, từ đó có thể sử dụng các công cụ như tcpdump, Wireshark, và tshark để bắt và phân tích nóTìm vị trí thiết bị truy cập mạng không dâyĐây là một vấn đề phức tạp đối với các Pháp chứng viên, có thể dùng các phần mềm tính toán cường độ tín hiệu không dây.Pháp chứng viên có thể đo cường độ tín hiệu từ máy nghi ngờ tới các điểm WAPDùng các công cụ đo cường độ tín hiệu tìm đường đến điểm nghi ngờPhần mềm inSSIDer inSSIDer một công cụ với các nền tảng Windows, Mac và Android, được thiết kế để phát hiện ra các mạng 802.11.inSSIDer sẽ quét và hiển thị tất cả các thiết bị phát Wi-Fi được tìm thấy. Tại danh sách thiết bị phát Wi-Fi tìm thấy, có thể vào từng cột để sắp xếp theo các thông tin tương ứng hoặc sử dụng các bộ lọc tại thanh công cụ Filters phía trên như SSID or Vendor (tên mạng), Channel (kênh phát), Signal (cường độ tín hiệu),Security (phương thức bảo mật).Phần mềm inSSIDer Định vị thiết bị truy cập mạng không dâyMột máy tính xách tay có thể di chuyển trên toàn mạng của doanh nghiệp; một điểm truy cập giả mạo có thể ẩn giấu trong doanh nghiệp việc xác định vị trí của thiết bị này là một thách thức cho các Pháp chứng viên.Pháp chứng viên lắng nghe các kết nối mạng, thu thập và phân tích các gói tin sẽ cho địa chỉ nguồn và địa chỉ đích của các gói tin.WIDS: Wireless intrusion detection systemWIPS: Wireless Intrusion Prevention SystemNhà cung cấp như Aruba và Cisco cung cấp hệ thống WIDS/ wIPS chuyên theo dõi mạng không dây.Các phần mềm có thể hiển thị vị trí của thiết bị không dây trên bản đồ.Cung cấp cho người quản trị mạng một giao diện điều khiển trung tâm để theo dõi các thiết bị không dây trong toàn doanh nghiệp . Các hệ thống định vị phát hiện tấn công không dâyHết bài 9