Bài giảng Pháp chứng kỹ thuật số - Bài 6: Điều tra tội phạm mạng-Pháp chứng Mạng máy tính - Đàm Quang Hồng Hải

Bài 6: Điều tra tội phạm Mạng - Pháp chứng Mạng máy tính 
Giảng viên: TS. Đàm Quang Hồng Hải 
PHÁP CHỨNG KỸ THUẬT SỐ 
Pháp chứng Mạng máy tính và pháp chứng kỹ thuật số 
Pháp chứng Mạng là gì? 
Pháp chứng mạng là một nhánh của pháp chứng kỹ thuật số liên quan : 
T heo dõi và phân tích lưu lượng trên mạng máy tính , d o lưu lượng trên đường truyền mạng sẽ mất sau khi truyền nên đây là một cuộc điều tra với thời gian chủ động. 
T heo dõi và p hát hiện xâm nhập cho mục đích thu thập hay phá hoại thông tin . 
Thu thập các bằng chứng trên Mạng như trên các Website, từ các dấu vết xâm nhập của Malware ... để tìm ra các chứng cứ pháp lý về hoạt động của các đối tượng trên mạng. 
Việc thực hiện pháp chứng mạng cũng cần thiết cho cả những người làm quản trị mạng. 
Nhiệm vụ bảo vệ không gian Mạng 
Một số khác biệt với Pháp chứng máy tính 
Khác biệt với Pháp chứng máy tính truyền thống 
Điều tra thông qua một quá trình xây dựng lại một sự kiện mạng 
Khi Mạng bị xâm nhập bởi một "Hack er ", hay có sự cố khác như một mạng không rõ nguyên nhân hoặc cơ sở hạ tầng xuống cấp hoặc bị cúp điện. 
Cung cấp các mảnh còn thiếu trong phân tích pháp chứng 
Dựa trên việc sử dụng các phần mềm chụp lại các tập tin khi có sự cố Mạng 
Một cách nhìn mới về phân tích dấu vết tập tin 
Tiếp tục cùng phương thức xử lý sự cố  truyền thống 
Các hướng điều tra của Pháp chứng mạng 
Hướng điều tra liên quan đến an toàn mạng : khi giám sát một mạng máy tính có lưu lượng truy cập bất thường và xác định sự xâm nhập. 
Một kẻ tấn công có thể có thể có khả năng xóa tất cả các tập tin đăng nhập trên một máy chủ bị tấn công , do vậy bằng chứng dựa trên lưu lượng mạng có thể là bằng chứng duy nhất để phân tích pháp chúng. 
Hướng điều tra liên quan đến thông tin tội phạm trên mạng : Trong trường hợp phân tích các gói tin thu được có thể bao gồm các nhiệm vụ như nối ghép tập tin chuyển giao, tìm kiếm cho các từ khóa và phân tích thông tin liên lạc như email hoặc các buổi trò chuyện. 
Các câu hỏi với Pháp chứng viên 
Ai là kẻ xâm nhập và làm thế nào họ thâm nhập vào các biện pháp phòng ngừa an ninh hiện hành? 
N hững gì t hiệt hại đã xảy ra ? 
N hững kẻ xâm nhập sau khi rời khỏi hệ thống mạng đ ã để lại điều gì trên hệ thống như một tài khoản người dùng mới, một Trojan hoặc Worm hoặc phần mềm Bot? 
Chúng ta đã nắm bắt được đầy đủ dữ liệu để phân tích và mô phỏng lại cuộc tấn công và minh xác cho việc sửa chữa? 
E-Detective 
C ác quá trình ứng phó sự cố mạng 
Việc sử dụng thông tin các bản ghi tường lửa, các bản ghi hệ thống, và các bản ghi trên các thiết bị mạng có liên quan đến một thời gian truy cập , địa điểm, và địa chỉ IP cho phép xác định sự kiện liên quan đến an toàn mạng. 
Pháp chứng viên có thể thông qua giám sát lưu lượng mạng để có thể cô lập số lượng máy chủ để đưa cho triển khai pháp chứng máy tính . 
Điều tra với các kỹ thuật thông thường 
Điều tra với phần mềm g iám sát lưu lượng mạng 
Phần mềm g iám sát lưu lượng và phân tích m ạng cho phép kiểm tra và đánh giá thực tế chuyển động các gói tin để hiểu các ứng dụng cụ thể giao dịch hoặc cho phép tái tạo lại một phiên làm việc. 
Phân tích pháp chứng các gói tin với các chức năng của nó nhằm phân tích được lịch sử thời gian để giải quyết các vấn đề có liên quan đến các ứng dụng và việc cung cấp dịch vụ . 
Phòng chống sự cố trong không gian số cho phép một sự hiểu biết về bối cảnh của một phiên làm việc để xác định điểm vào, đường dẫn và ứng dụng thực hiện và các thành phần mạng liên quan. 
Điều tra với các kỹ thuật phân tích mạng 
Pháp chứng Mạng và giao thức Mạng 
Người Pháp chứng viên khi tiến hành điều tra trên Mạng cần hiểu biết rõ giao thức của Mạng mà mình đang điều tra. 
Các thông tin cần hiểu biết: 
Cấu trúc các gói tin của các tầng giao thức 
Các giao thức của bộ giao thức trong mạng 
Các quy trình hoạt động 
 Người Pháp chứng viên cần sử dụng thành thạo các công cụ nhằm tìm được các bằng chứng số liên quan đến yêu cầu của mình. 
Giao thức TCP/IP 
TCP/IP là bộ giao thức với G iao thức kiểm soát truyền tải (Transmission Control Protocol - TCP) và Giao thức Internet (Internet Protocol - IP). 
Bộ giao thức TCP/IP quy định cụ thể các máy tính kết nối với Internet như thế nào và dữ liệu được truyền tải ra sao giữa chúng . 
Hiện nay giao thức TCP/IP có thể dùng trong mạng LAN, mạng WAN và mạng Internet. 
Số lượng tội phạm Công nghệ cao dùng máy tính với giao thức TCP/IP để truy cập Mạng là rất lớn đặc biệt là dùng để truy cập vào Internet 
Mạng với giao thức TCP/IP 
Địa chỉ IP 
Địa chỉ IP là một địa chỉ đơn nhất mà những máy tính sử dụng để nhận diện và liên lạc với nhau trên M ạng TCP/IP . 
Địa chỉ IP là một dấu vết số quan trọng trong điều tra trên M ạng TCP/IP mà Pháp chứng viên cần quan tâm. 
Địa chỉ IP có địa chỉ IP tĩnh và địa chỉ IP động 
Địa chỉ IP động cung cấp bằng giao thức DHCP thông qua Access Point: Tại c ác nơi công cộng , hay công ty có nhiều máy tính, nhưng chỉ dùng một đường truyền Internet, tất cả các máy tính dùng địa chỉ IP động chung một địa chỉ IP tĩnh khi kết nối với mạng Internet. 
Việc điều tra địa chỉ IP có thể có khó khăn do các máy tính dùng chung địa chỉ IP tĩnh và động. 
Cấu trúc gói IP 
DHCP Server 
Cấu trúc gói Ethernet 
Các công cụ dùng điều tra với các gói tin trong mạng TCP/IP 
Người Pháp chứng viên cần hiểu yêu cầu mình muốn, các thông số nào mình cần biết. 
Xác định mục đích khi thu thập thông tin làm gì như: thu thập chứng cứ pháp lý, hoặc phát hiện xâm nhập. 
Xác định yêu cầu phân tích dữ liệu dựa trên các gói tin TCP/IP thu thập được. 
Các công cụ pháp chứng mạng như: Tcpdump/windump, Wireshark 
TCP/IP Packet sniffer 
SPAN port 
Switched Port Analyzer port 
Cho phép cấu hình để  S witch tự động sao chép các gói tin qua lại giữa các cổng đến một cổng được gọi là cổng giám sát (SPAN port ). 
Các phần mềm sniffer hay các hệ thống phân tích sẽ cần phải được kết nối với một SPAN port để có thể xem xét đưọc lưu lượng qua Switch 
Switch với SPAN port 
Bắt gói tin bằng Sniffer 
Sniffer là một chương trình cho phép nghe các lưu lượng thông tin trên một hệ thống mạng . 
Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại.  
Việc bắt gói tin bằng Sniffer là thụ động và thường sẽ không tạo ra bất kỳ lưu lượng mạng nào . 
Mạng cho phép Sniffer thu thập thông tin 
Các phương thức sử dụng Sniffer 
Các phương thức "Catch-it-as-you-can" : Tất cả các gói chuyển qua một điểm traffic nào đó đều được bắt lại và rồi ghi vào thiết bị lưu trữ để sau đó tiến hành phân tích. 
Các h tiếp c ậ n này yêu cầu một lượng lớn thiết bị lưu trữ, thường sử dụng các hệ thống RAID. 
Các phương thức "Stop, look and listen" : Mỗi gói tin được phân tích sơ bộ ngay trong bộ nhớ, chỉ một vài thông tin nào đó là được lưu trữ cho quá trình phân tích sau này. 
Cách tiếp cận này yêu cầu thiết bị lưu trữ ít hơn nhưng lại cần các processor có tốc độ nhanh hơn để có thể xử lý hết các traffics đi vào. 
Phân tích gói tin trong điều tra 
Phân tích gói tin là việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và khôi phục định dạng thông tin nhằm hiểu rõ hơn điều gì đang diễn ra trên mạng. 
Phân tích gói tin có thể giúp Pháp chứng viên hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, 
Phân tích gói tin có thể giúp Pháp chứng viên chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật. 
Pháp chứng viên phân tích gói tin 
Điều tra viên tiến hành phân tích gói tin để xác định các gói tin liên quan và hiểu được cấu trúc và mối quan hệ của chúng để thu thập chứng cứ và tạo điều kiện phân tích sâu hơn. 
Kiểm tra nội dung siêu dữ liệu (thông tin mô tả nội dung của cơ sở dữ liệu) của một hoặc nhiều gói tin. 
Tiến hành xác định các gói tin liên quan và phát triển một chiến lược để phân tích lưu lượng và xây dựng lại nội dung của gói tin. 
Các kỹ thuật phân tích gói tin 
Có ba kỹ thuật cơ bản khi tiến hành phân tích gói tin: 
Pattern Matching (theo mô hình): xác định các gói tin liên quan bằng cách kết hợp các giá trị cụ thể trong các gói tin bắt được. 
Parsing Protocol Fields (phân tích các thành phần giao thức): rút trích ra nội dung của các giao thức trong các lĩnh vực. 
Packet Filtering (lọc gói tin)- lọc các gói riêng biệt dựa trên giá trị của các thành phần trong siêu dữ liệu. 
Pattern Matching - theo mô hình 
Giống như trong pháp chứng máy tính, các thông tin tìm kiếm nhậy cảm "dirty word search" được dùng để tìm kiếm các dữ liệu quan tâm. 
Thiết lập một danh sách các chuỗi nhậy cảm (“dirty word list") như tên, mô hình, vv, có thể liên quan đến các hoạt động đáng ngờ đang được điều tra. 
Các nhà điều tra có thể tận dụng các thông tin chung về một "dirty word list" để xác định các gói dữ liệu hoặc dữ liệu cần quan tâm trong một lưu lượng mạng bắt được. 
Ví dụ phân tích mã độc 
Phân tích các thành phần giao thức 
Phân tích các thành phần giao thức là tìm ra các nội dung công việc trong các gói tin liên quan. 
Ví dụ sử dụng tshark để trích xuất tất cả các thông điệp từ gói bắt được . 
Dùng Sniffer phát hiện việc download qua mạng MSBlaster Worm 
Dựa trên các gói tin ghi nhận, khôi phục định dạng MSBlaster Worm 
Phát hiện việc máy tính bị nhiễm worm tấn công các máy khác trong mạng 
Lọc gói tin 
Lọc gói là phương pháp tách gói dựa trên các giá trị của các trường trong giao thức siêu dữ liệu hoặc tải trọng. 
Thông thường, các Pháp chứng viên lọc các gói tin bằng cách sử dụng bộ lọc BPF hoặc bộ lọc hiển thị Wireshark 
Ví dụ: điều tra tấn công mật khẩu 
Tấn công mật khẩu là một kỹ thuật phá mã hoặc vượt qua một cơ chế xác thực bằng cách thử các khóa mã hay mật khẩu trong một từ điển rộng lớn . 
Kỹ thuật tấn công mật khẩu tấn công bằng cách thử tất cả các từ trong một danh sách dài gọi là từ điển (được chuẩn bị trước). 
Tấn công mật khẩu thử trong vùng có nhiều khả năng thành công nhất, thường xuất phát từ một danh sách các từ ví dụ như một từ điển 
Có thể dùng Sniffer để phân tích các gói tin và lưu lượng khi điều tra. 
Các giao thức dễ bị tấn công mật khẩu 
Hiện có những giao thức dễ bị tấn công do gửi mật khẩu không mã hóa qua mạng 
Internet - HTTP / NNTP 
File transfer - FTP / TFTP 
Email - POP3 / IMAP / SMTP 
Network Monitoring - SNMP / RMON 
Telnet 
VoIP – Signaling Set-up (SIP, Megaco, SCCP, H.323, and Others? 
Những mật khẩu thường dùng dễ bị đoán 
Gói tin có thông tin không mã hóa 
	 Một bộ lọc đơn giản cho các từ USER hoặc PASS vào đầu gói tin (byte 54 -59) tìm thấy các giao thức sử dụng mật khẩu dạng rõ ràng 
Phát hiện tấn công mật khẩu với FTP 
Chứng cớ số do Sniffer thu thập 
B ằng thông tin lưu lượng của hệ thống cho phép Pháp chứng viên có thể phân tích những vấn đề đ ang mắc phải trong hoạt động của hệ thống mạng. 
Sniffer có thể tự đ ộng phát hiện và cảnh báo các cuộc tấn công đ ang đ ược thực hiện vào hệ thống mạng mà nó đ ang hoạt đ ộng (Intrusion Detecte Service) qua đó Pháp chứng viên có thể triển khai việc thu thập chứng cứ số . 
Sniffer có thể g hi lại thông tin về các gói dữ liệu, các phiên truyền . T ương tự như hộp đ en của máy bay, giúp các Pháp chứng viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố 
Pháp chứng viên sử dụng công cụ Sniffer 
Pháp chứng viên cần các thông tin thống kế liên quan đến lưu lượng mạng và Sniffer là một trong những công cụ cần thiết. 
Pháp chứng viên có thể sử dụng Sniffer còn p hục vụ cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng. 
Có thể sử dụng các tính năng  Sniffer khi điều tra nhiều dạng sự cố mạng như phát hiện các gói tin chứa thông tin nguy hiểm 
Dùng Sniffer phát hiện các gói tin chứa thông tin nguy hiểm về Malware , qua đó phát hiện nguồn gốc tấn công 
Điều tra tấn công bằng botnet 
Botnet là từ chỉ một tập hợp các r obot phần mềm hoặc các bot hoạt động một cách tự chủ. 
Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. 
Mỗi bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). 
Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa 
Dùng Sniffer phát hiện các gói tin chứa thông tin liên quan đến Botnet 
Dựa trên các gói tin ghi nhận, khôi phục định dạng thông tin để phát hiện bot 
Các công cụ S niffer 
Sniffer đầu tiên là sản phẩm của Network Associates với tên là Sniffer Network Analyzer 
Có rất nhiều công cụ S niffer được phát triển như: 
tcpdump/windump: công cụ cụ viết trên linux/windows 
Wireshark (Ethereal): công cụ thông dụng và nhiều tính năng mạnh hỗ trợ việc phân tích. 
Kismet: hiệu quả để Sniffer gói tin trên mạng Wireless. 
Ettercap: hoạt động hiệu quả và bảo mật 
NetStumbler: thực hiện Sniffer trên chuẩn 802.11 
Ngrep: tính năng lọc tốt và thường dùng với tcpdump 
KisMAC: thực hiện Sniffer trên hệ điều hành Mac OS X. 
tcpdump/windump 
tcpdump (www.tcpdump.org) là một trong các phần mềm mã nguồn mở sniffer đầu tiên . Nó được viết vào năm 1987 bởi Van Jacobson, Craig Leres, và Steven McCanne tại Phòng thí nghiệm Lawrence Berkeley. 
tcpdump đã từng là công cụ được các chuyên gia trên khắp thế giới tín nhiệm về sự hữu dụng trong việc gỡ rối và kiểm tra vấn đề kết nối mạng và bảo mật . 
tcpdump là phần mềm trên các hệ thống có họ Unix bao gồm Linux, Solaris, AIX, Mac OS X, BSD, and HP UX, dùng để theo dõi các gói dữ liệu lưu thông qua Card mạng. 
W indump là phiên bản chạy trên Windows của tcpdump. 
Cú pháp của tcpdump 
Sử dụng tcpdump/windump 
tcpdump là phần mềm chạy bằng dòng lệnh, dùng để theo dõi băng thông mạng thông qua việc lưu trữ các gói tin ( packet) truyền tải mà máy có thể bắt được và ghi vào file để phục vụ công việc phân tích và điều tra . 
Tcpdump mặc định để nắm bắt được 68 bytes đầu tiên của tất cả lưu lượng truy cập cho một giao diện mạng. Điều n ày rất hữu ích để nắm bắt các ID người dùng và mật khẩu không được mã hóa hoặc ghi lại tất cả các kết nối, nhưng không hữu ích nếu ta đang quan tâm đến nội dung các gói tin trên mạng. 
Một số hạn chế của tcpdump/windump 
tcpdump /windump là phần mềm chạy bằng dòng lệnh . Người sử dụng cần phải biết tất cả các tùy chọn để sàng lọc các gói dữ liệu cụ thể, vì vậy không có giao diện thuận tiện cho người dùng. 
tcpdump /windump có thể không nhìn thấy được những g ói tin bị chặn bởi tường lửa gateway, router, hoặc Switch . 
Các Switch hiện đại có thể ngăn chặn các máy tính nhìn thấy tất cả lưu lượng không được dành cho nó ngay cả khi mạng ở chế độ hỗn tạp ( promiscuous mode) . 
Công cụ Wireshark 
W ireshark hiện là một trong những phần mềm phân tích giao thức mạng phổ biến nhất trên thế giới. 
W ireshark có một bộ tính năng phong phú và mạnh mẽ và chạy trên hầu hết các nền tảng máy tính bao gồm cả Windows, OS X, Linux, và UNIX. 
W ireshark là một bộ phân tích gói dữ liệu mạng có thể được sử dụng để bắt các gói tin mạng và hiển thị các thông số và dữ liệu của gói tin. 
Các giao thực được hỗ trợ bởi WireShark 
WireShark có ưu thế vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. 
Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được cộng đồng của Wireshark thêm vào. 
Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở. 
Lựa chọn phần cứng để thu thập thông tin 
Các gói tin được thu thập 
Mầu sắc các gói tin 
Các gói tin các màu sắc khác nhau như xanh lá cây, xanh da trời và đen .. , để giúp người dùng phân biệt được các loại traffic khác nhau. 
M àu xanh lá cây là traffic TCP, 
Mầu x anh da trời đậm là traffic DNS, 
Mầu xanh da trời nhạt là traffic UDP 
M àu đen là gói TCP có vấn đề. 
Lọc gói tin theo yêu cầu 
Pháp chứng viên có thể lọc các gói tin thu thập được theo các yêu cầu của mình. 
Ví dụ: 
	not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.1.104 
	ip.addr == 192.168.1.104 
Lọc gói tin theo ip.addr == 192.168.1.104 
Phân tích gói tin với địa chỉ IP 192.168.1.104 
Xem nội dung gói tin 
Hết bài 6