Pháp y mạng máy tính
Sự phát triển mạnh mẽ của công nghệ thông tin nói chung và mạng internet nói riêng đã tạo điều kiện thuận lợi cho việc cung cấp đa dạng các dịch vụ hữu ích đến với con người. Cuộc cách mạng công nghệ thông tin đã khiến cho nhiều ngành kinh tế, xã hội và văn hoá phụ thuộc vào các công nghệ mới của nó, trong đó đặc biệt phải kể đến vai trò của máy tính điện tử và internet. Tuy nhiên, nó cũng trở thành mục tiêu cho các cuộc tấn công trên không gian số. Chính vì thế, hệ thống máy tính cần phải được bảo vệ khỏi các cuộc tấn công và phản ứng một cách thích hợp để tạo ra những xử lý nhằm giảm thiểu thiệt hại do tội phạm gây ra. Quá trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm liên quan đến ngành khoa học pháp y số.
Thuật ngữ pháp y số ban đầu được sử dụng tương đương với điều tra máy tính nhưng sau đó được mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết bị có khả năng lưu trữ dữ liệu số. Pháp y số có thể được định nghĩa là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống. Song song với các ngành khoa học khác, pháp y số đã có những đóng góp rất quan trọng trong việc ứng cứu nhanh các sự cố xảy ra đối với máy tính, giúp các chuyên gia có thể phát hiện nhanh các dấu hiệu khi một hệ thống có nguy cơ bị xâm nhập, cũng như việc xác định được các hành vi, nguồn gốc của các vi phạm xảy ra đối với hệ thống.
Pháp y mạng máy tính là một nhánh của pháp y số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập. Pháp y mạng máy tính cũng được hiểu như pháp y số trong môi trường mạng. Về cơ bản, pháp y mạng máy tính là việc chặn bắt, ghi âm và phân tích các sự kiện mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự cố của một vấn đề nào đó. Không giống các mảng khác của pháp y số, pháp y mạng máy tính giải quyết những thông tin dễ thay đổi và biến động. Lưu lượng mạng được truyền đi và sau đó bị mất, do đó pháp y mạng máy tính thường là cuộc điều tra rất linh hoạt, chủ động. Trong môi trường hiện nay, pháp y mạng máy tính thường được thực hiện để phân tích sự xung đột diễn ra giữa những kẻ tấn công và người phòng thủ. Thông thường, các chuyên gia phân tích cố gắng ngăn chặn sự bùng phát sâu máy tính, điều tra hành vi vi phạm, thu thập chứng cứ cho tòa án.
Vai trò của pháp y mạng máy tính
Sự tăng trưởng của các kết nối mạng và sự phức tạp trong các hoạt động trên mạng đã đi kèm với sự gia tăng số lượng tội phạm mạng buộc cả doanh nghiệp cũng như cơ quan thực thi pháp luật phải vào cuộc để thực hiện các điều tra, phân tích. Công việc này có những khó khăn đặc biệt trong thế giới ảo, vấn đề lớn đối với một chuyên gia phân tích là hiểu được những dữ liệu số ở mức thấp nhất cũng như việc sắp xếp, tái tạo lại chúng.
Mục tiêu quan trọng nhất của phân tích pháp y mạng máy tính là cung cấp đầy đủ chứng cứ để có thể khởi tố một tội phạm hình sự. Ứng dụng thực tế của phân tích pháp y mạng máy tính có thể là trong các lĩnh vực như hacking, lừa đảo, các công ty bảo hiểm, trộm cắp thông tin nhạy cảm, xuyên tạc, sao chép thẻ tín dụng, vi phạm bản quyền phần mềm, can thiệp vào quá trình bầu cử, phát tán những văn hóa phẩm đồi trụy… Hay nói cụ thể hơn, mục đích của hoạt động điều tra tội phạm sử dụng công nghệ cao là tìm ra và chứng minh được hành vi phạm tội về sử dụng công nghệ cao để chiếm đoạt tài sản, ai là người phạm tội, tính chất mức độ của hành vi phạm tội, quá trình điều tra là quá trình chứng minh tội phạm. Đó chính là quá trình thu thập, đánh giá, xử lý chứng cứ theo đối tượng chứng minh bằng việc so sánh, đối chiếu những chứng cứ đã thu thập được với những vẩn đề cần phải chứng minh trong vụ án hình sự. Trên cơ sở đó, các cơ quan tiến hành tố tụng mới sử dụng chứng cứ để khởi tố, để tiếp tục các bước điều tra, truy tố và xét xử vụ án hình sự.
Quy trình thực hiện pháp y mạng máy tính
Trước đây, các mô hình pháp y số tập trung vào điều tra một máy tính độc lập và giải thích các dữ liệu được lưu trên nó. Chuyên gia phân tích trong điều tra máy tính có lợi thế nhờ các công cụ chuyên môn mà kẻ tấn công thiếu trong khi pháp y mạng máy tính thì kẻ tấn công và chuyên gia phân tích lại có cùng cấp độ kỹ năng. Sự khác biệt ở đây chỉ là mức độ đạo đức của chuyên gia phân tích khi thực hiện điều tra. Pháp y mạng máy tính được phát triển như một phản ứng tất yếu với cộng đồng hacker để khám phá ra nguồn gốc của các cuộc tấn công an ninh. Quy trình chung cho việc phân tích pháp y mạng máy tính gồm 9 giai đoạn:
Giai đoạn 1: chuẩn bị và ủy quyền
Pháp y mạng máy tính chỉ áp dụng cho các môi trường mà ở đó những công cụ an ninh mạng như hệ thống phát hiện xâm nhập IDS, hệ thống phân tích gói tin, tường lửa, phần mềm đo đạc lưu lượng... được triển khai tại những điểm chiến lược trên mạng. Đội ngũ quản lý những công cụ này phải được đào tạo để đảm bảo có thể thu thập số bằng chứng tối đa và chất lượng nhất nhằm tạo điều kiện thuận lợi cho việc quy kết hành vi phạm tội. Ngoài ra việc giám sát lưu lượng mạng còn có những chính sách an toàn được thiết lập nhằm hạn chế sự vi phạm đến yếu tố riêng tư của các cá nhân và tổ chức.
Giai đoạn 2: phát hiện sự cố hoặc hành vi phạm tội
Những cảnh báo được tạo ra bởi các công cụ bảo mật khác nhau chỉ ra các vi phạm về an ninh hay chính sách sẽ được theo dõi. Bất kỳ một sự việc trái phép hay hành động dị thường bị phát hiện sẽ được phân tích. Sự hiện diện và tính chất của cuộc tấn công được xác định dựa vào các thông số khác nhau. Một sự xác minh nhanh chóng được thực hiện để đánh giá và xác nhận tấn công khả nghi. Điều này tạo điều kiện thuận lợi cho việc quyết định quan trọng liệu có tiếp tục điều tra hay bỏ qua các cảnh báo như là báo động sai. Cần thực hiện các biện pháp phòng ngừa để chứng cứ không bị sửa đổi trong quá trình này. Việc xác nhận vụ việc chia ra làm 2 hướng: ứng phó sự cố và thu thập dữ liệu.
Giai đoạn 3: kiểm tra
Các dấu vết thu được từ các cảm biến an toàn khác nhau được tích hợp và kết hợp để tạo ra một tập dữ liệu lớn mà việc phân tích có thể thực hiện được. Việc sắp xếp và dán nhãn thời gian cũng được thực hiện đồng thời. Điều này nhằm đảm bảo thông tin quan trọng không bị mất hoặc lẫn lộn. Dữ liệu ẩn hoặc ngụy trang của kẻ tấn công cần phải được phục hồi. Dữ liệu thu thập được phân loại và nhóm thành các nhóm để dễ dàng trong khâu quản lý. Thông tin dự phòng và dữ liệu không liên quan bị loại bỏ còn các thuộc tính đại diện tối thiểu được xác định để phân tích các bằng chứng có khả năng nhất.
Giai đoạn 4: ứng phó sự cố
Việc đối phó với tội phạm hay các xâm nhập đã phát hiện bắt đầu dựa trên thông tin được thu thập nhằm xác nhận và đánh giá vụ việc. Các phản ứng ban đầu phụ thuộc vào các loại hình tấn công được xác định và hướng dẫn bởi chính sách tổ chức, pháp luật và thương mại. Một kế hoạch hành động về việc làm thế nào để ngăn chặn các cuộc tấn công trong tương lai và phục hồi từ các tổn thất tồn tại ban đầu. Đồng thời, quyết định liệu có tiếp tục điều tra và thu thập thêm thông tin hay không. Giai đoạn này được áp dụng đối với những trường hợp mà cuộc điều tra được khởi tạo trong khi tấn công đang thực hiện và không có thông báo phạm tội.
Giai đoạn 5: thu thập các dấu vết mạng
Dữ liệu thu được từ các bộ cảm biến được sử dụng để thu thập lưu lượng mạng. Các cảm biến sử dụng phải an toàn, có khả năng chịu lỗi, giới hạn quyền truy cập và phải có khả năng tránh sự thỏa hiệp. Một thủ tục được xác định rõ bằng cách sử dụng những công cụ tin cậy, phần cứng và phần mềm, phải được dùng để thu thập chứng cứ tối đa nhưng lại gây ra tác động tối thiểu đến nạn nhân. Mạng phải được giám sát để xác định các tấn công trong tương lai. Tính toàn vẹn của dữ liệu được ghi lại và các bản ghi sự kiện mạng phải được đảm bảo. Việc thu thập là khó khăn nhất đối với dữ liệu của lưu lượng mạng thay đổi một cách nhanh chóng và nó không có khả năng tạo ra cùng các dấu vết ở những lần sau. Số lượng dữ liệu được ghi lại sẽ rất lớn, yêu cầu một không gian bộ nhớ tương đương và hệ thống phải có khả năng để xử lý các định dạng khác nhau một cách thích hợp.
Giai đoạn 6: duy trì và bảo vệ
Các dữ liệu ban đầu lấy từ các dấu vết hay các bản ghi sẽ được lưu trữ trên một thiết bị sao lưu. Việc băm giá trị của dữ liệu thu được sẽ đảm bảo an toàn cho dữ liệu, nó đảm bảo tính chính xác và độ tin cậy của dữ liệu được bảo quản. Chuỗi giám sát được thực hiện chính xác để không xảy ra việc sử dụng trái phép hay giả mạo. Một bản sao lưu khác của dữ liệu sẽ được sử dụng cho phân tích và lưu lượng mạng ban đầu thu được sẽ được bảo quản. Việc này được thực hiện để quá trình điều tra có thể chứng minh một lần nữa trên dữ liệu gốc được bảo quản để đáp ứng các yêu cầu pháp lý.
Giai đoạn 7: phân tích
Chứng cứ sau khi thu thập được tìm kiếm cách thức phù hợp để khai thác dấu hiệu đặc biệt của tội phạm. Các dấu hiệu này được phân loại và bằng suy luận tương quan để đưa ra những nhận xét quan trọng thông qua các mẫu tấn công đã có. Tiếp cận bằng phương pháp thống kê và khai phá dữ liệu được dùng để tìm kiếm dữ liệu và kết hợp với mẫu tấn công phù hợp. Một vài thông số quan trọng có liên quan đến sự thiết lập các kết nối mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức và hệ điều hành, các tiến trình giả mạo, phần mềm hay rootkit được cài đặt. Các mẫu tấn công được xâu chuỗi với nhau và tấn công sẽ được xây dựng, thực hiện lại nhằm nắm được ý định và phương thức hành động của kẻ tấn công. Các kết quả của giai đoạn này là sự xác nhận các hoạt động đáng ngờ.
Giai đoạn 8: điều tra và quy kết trách nhiệm
Các thông tin có từ dấu vết bằng chứng được dùng để xác định ai? cái gì? ở đâu? khi nào? như thế nào? và tại sao gây ra sự cố? Việc này sẽ giúp cho việc xây dựng lại kịch bản tấn công và quy kết trách nhiệm. Phần khó khăn nhất của việc phân tích pháp y là xác định danh tính kẻ tấn công. 2 cách thức đơn giản của kẻ tấn công để che giấu bản thân là giả mạo IP và tấn công kiểu bàn đạp. Kẻ tấn công sử dụng bàn đạp tức là các hệ thống đã bị thỏa hiệp để thực hiện tấn công. Chúng có thể bị phát hiện sử dụng phương pháp tiếp cận dựa vào sự tương tự và bất thường trong số liệu thống kê gói tin. Cách tiếp cận của việc điều tra phụ thuộc vào dạng tấn công.
Giai đoạn 9: tổng kết đánh giá
Kết quả điều tra được tra được trình bày theo ngôn từ dễ hiểu để cán bộ quản lý tổ chức và cán bộ pháp chế thuận lợi trong khi cung cấp các giải thích của những thủ tục tiêu chuẩn khác nhau dùng để đi đến kết luận. Các tài liệu có hệ thống cũng được bao gồm để đáp ứng các yêu cầu. Những kết luận cũng được trình bày sử dụng trực quan để họ có thể dễ dàng nắm bắt. Các dữ liệu thống kê được giải thích với sự hỗ trợ của các kết luận đến. Một báo cáo toàn diện của vụ việc được thực hiện và các biện pháp được khuyến nghị để ngăn ngừa những sự cố tương tự xảy ra trong tương lai. Các kết quả được tài liệu hóa để sử dụng trong việc điều tra tương lai và cải thiện các sản phẩm bảo mật.
Kết luận
Pháp y số nói chung và pháp y mạng máy tính nói riêng là một loại hình phân tích, điều tra cần thiết với mô hình an ninh, an toàn mạng, tập trung vào việc chặn, bắt và phân tích các gói tin trên mạng cũng như các sự kiện cho mục đích phân tích, điều tra, cung cấp chứng cứ số về tội phạm sử dụng công nghệ cao. Bên cạnh sự phát triển của công nghệ và sự phức tạp của các hình thức tấn công mạng, pháp y mạng máy tính yêu cầu những công cụ hỗ trợ, tiến trình, thủ tục và các kỹ năng mới cho quá trình phân tích, thẩm định. Bên cạnh đó, pháp y mạng máy tính cũng đặt ra một thách thức mới đối với hệ thống tư pháp và các nhà hoạch định pháp luật xây dựng các quy định, chế tài phù hợp với sự phát triển của loại hình điều tra, phòng chống tội phạm công nghệ cao.
TÀI LIỆU THAM KHẢO
1. Nguyễn Mạnh Toàn (2002), “Đặc điểm và các hành vi cơ bản của tội phạm tin học”, Tạp chí Nhà nước và Pháp luật, 3, tr.29-33.
2. http://webtailieu.org/threads/243077-ung-dung-network-forensics-trong-dieu-tra-va-phan-tich-tan-cong-mang.html.
3. S. Davidoff, J. Ham (2012), Network forensics - Tracking Hackers through Cyberspace, Prentice Hall, 545p.
4. P. Shade (2011), Network forensics Analysis - A New Paradigm in Network Security, Forensic Engineer Merlion s Keep Consulting.