Điều tra mạng: Quy trình và công cụ

09:21 | 09/06/2015

Điều tra số là một lĩnh vực liên quan đến việc phục hồi và điều tra các chứng cứ số được tìm thấy trong các thiết bị kỹ thuật số, được phân chia thành 3 loại là: điều tra máy tính, điều tra mạng và điều tra thiết bị di động. Trong đó, điều tra mạng (Network Forensics) tập trung vào việc chặn bắt, sao lưu và phân tích lưu lượng mạng nhằm phục vụ điều tra trong công tác phòng chống tội phạm mạng. Bài báo này trình bày tổng quan về điều tra mạng, giới thiệu quy trình và một số công cụ hỗ trợ trong việc thực hiện điều tra.

Thuật ngữ điều tra mạng được đưa ra bởi chuyên gia bảo mật máy tính Marcus Ranum vào đầu những năm 90 thế kỷ XX. Điều tra mạng là một loại hình của điều tra số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập. 

Không giống các loại hình khác của điều tra số, điều tra mạng xử lý những thông tin dễ thay đổi và biến động, khó dự đoán. Lưu lượng mạng được truyền đi và sau đó bị mất, do đó việc điều tra được diễn ra rất linh hoạt, chủ động. Các điều tra viên chỉ có thể dựa vào thông tin từ các thiết bị an toàn như bộ lọc gói, tường lửa, hệ thống phát hiện xâm nhập đã được triển khai để dự đoán hành vi vi phạm.

Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức tạp và chuyên sâu, sử dụng thông tin được khai thác từ bộ nhớ đệm (cache) của web, proxy hay chặn bắt thụ động lưu lượng truy cập mạng và xác định các hành vi bất thường.

Tại Việt Nam, vấn đề khắc phục sự cố về ATTT cũng như điều tra tìm hiểu nguồn gốc tấn công đang ở giai đoạn bắt đầu phát triển. Các nghiên cứu về điều tra mạng ở Việt Nam vẫn còn nhiều hạn chế, chưa tiếp cận được trình độ khoa học - kỹ thuật của các nước phát triển cũng như chưa xây dựng được bộ công cụ riêng phục vụ công tác điều tra mạng.

Quy trình thực hiện điều tra mạng 

Điều tra mạng được phát triển như một phản ứng tất yếu với xu hướng gia tăng tội phạm mạng, để khám phá ra nguồn gốc của các cuộc tấn công mạng. Vì vậy, cần phải xây dựng một quy trình cụ thể cho việc điều tra mạng. Quy trình chung cho việc phân tích điều tra mạng nhằm xác định các bước thực hiện được xây dựng từ mô hình điều tra số, được chia thành 9 giai đoạn như sau:

Giai đoạn 1. Chuẩn bị và ủy quyền

Trước khi bắt đầu một cuộc điều tra mạng, cần tiến hành khảo sát cơ sở hạ tầng mạng nơi xảy ra sự cố về an toàn. Điều tra mạng chỉ có thể áp dụng cho các môi trường mà ở đó những công cụ an toàn mạng như hệ thống phát hiện xâm nhập, hệ thống phân tích gói tin, tường lửa, phần mềm đo đạc lưu lượng đã được triển khai tại những điểm chiến lược. Các hệ thống như Honeynets, network telescope... cũng có thể được xây dựng để thu hút kẻ tấn công, nhằm nghiên cứu các hành vi và tìm hiểu chiến thuật của chúng. Đội ngũ chuyên gia quản lý những công cụ và hệ thống này cần phải được đào tạo, huấn luyện để có thể thu thập số bằng chứng tối đa và chất lượng nhất, nhằm tạo điều kiện thuận lợi cho việc điều tra, quy kết hành vi phạm tội. Giai đoạn này còn đòi hỏi một sự ủy quyền từ các bên liên quan nhằm hạn chế những vi phạm liên quan đến quyền bảo mật thông tin hay các chính sách an toàn của cá nhân hay tổ chức bên trong hệ thống. 



Giai đoạn 2. Phát hiện sự cố hoặc hành vi phạm tội

Sau khi có được sự ủy quyền, điều tra viên cần tiến hành nghiên cứu các cảnh báo được tạo ra bởi các công cụ an toàn đã được triển khai. Thông thường, những cảnh báo này sẽ chỉ ra các hành vi vi phạm chính sách an toàn được thiết lập bởi tổ chức. Mọi hành động bất thường xuất hiện trong các cảnh báo đều sẽ được phân tích dựa trên những kiến thức về mạng máy tính hay kinh nghiệm nhận dạng các tấn công mạng thường gặp của điều tra viên. Sự hiện diện và tính chất của cuộc tấn công được xác định một cách sơ bộ dựa vào các thông số khác nhau như: lưu lượng mạng, thời gian hay tần suất xuất hiện các dấu hiệu bất thường. Lúc này cần nhanh chóng đưa ra nhận định về hình thức tấn công khả nghi. Đây là căn cứ cho việc quyết định tiếp tục điều tra hay bỏ qua các cảnh báo (cảnh báo sai). Cần thực hiện các biện pháp đề phòng như: sao lưu, ghi lại nội dung cảnh báo để đảm bảo chứng cứ số không bị sửa đổi trong toàn bộ quá trình, có hai hướng để tiếp cận vụ việc là ứng phó với sự cố hoặc thu thập các dấu vết mạng.

Giai đoạn 3. Ứng phó sự cố

Việc ứng phó sẽ dựa trên các thông tin được thu thập từ giai đoạn trước. Cần phải xây dựng quy trình ứng phó sự cố nhằm ngăn chặn các cuộc tấn công trong tương lai và phục hồi các tổn thất do tấn công gây ra. Trong cùng thời điểm ứng phó sự cố, điều tra viên cần quyết định ngay việc có tiếp tục điều tra và thu thập thêm thông tin hay không. Việc này được áp dụng đối với những trường hợp mà cuộc điều tra được triển khai trong khi tấn công đang xảy ra và vẫn chưa có thông tin về tội phạm.

Giai đoạn 4. Thu thập các dấu vết mạng

Dữ liệu tiếp tục được thu thập từ những công cụ an toàn mạng được sử dụng bổ sung. Các công cụ được sử dụng phải an toàn, có khả năng chịu lỗi, giới hạn quyền truy cập và phải có khả năng tránh sự thỏa hiệp. Các công cụ phải đảm bảo thu thập được lượng chứng cứ tối đa mà chỉ gây ra tác động tối thiểu đến nạn nhân. Một số công cụ có thể kể đến như Wireshark, tcpdump, Snort, Tcpxtract, Foremost.... Hệ thống mạng cũng cần được giám sát để xác định các tấn công trong tương lai. Tính toàn vẹn của dữ liệu được ghi lại và các bản ghi sự kiện mạng phải được đảm bảo, vì dữ liệu mạng thay đổi một cách liên tục và ít có khả năng tạo ra cùng một dạng dấu vết trong những lần sau. Không những vậy, số lượng dữ liệu lớn cần yêu cầu một không gian bộ nhớ tương đương và hệ thống phải đủ khả năng để xử lý các định dạng khác nhau một cách thích hợp.

Giai đoạn 5. Duy trì và bảo vệ

Các dữ liệu thu được từ giai đoạn trước sẽ được lưu trữ trên một thiết bị sao lưu. Việc “băm” giá trị của dữ liệu thu được sẽ đảm bảo tính chính xác và độ tin cậy trong quá trình điều tra. Một bản sao lưu khác của dữ liệu sẽ được sử dụng cho việc phân tích và lưu lượng mạng ban đầu thu được cũng sẽ được bảo vệ. Giai đoạn này được thực hiện để đảm bảo quá trình điều tra có thể được chứng minh ngay trên dữ liệu gốc (đã được bảo vệ) để đáp ứng các yêu cầu pháp lý.

Giai đoạn 6. Kiểm tra

Các dấu vết thu được từ các công cụ an ninh sẽ được tổng hợp, sắp xếp và chuyển đổi thành các dữ liệu theo thời gian. Điều này nhằm đảm bảo thông tin quan trọng không bị mất hoặc lẫn lộn. Những vết tích ẩn hoặc ngụy trang của kẻ tấn công cần phải được khai phá. Các thông tin dự phòng và dữ liệu không liên quan bị loại bỏ nhằm tập trung phân tích các bằng chứng có khả năng nhất.

Giai đoạn 7. Phân tích

Các vết tích sau khi được xác định sẽ được coi là chứng cứ số cơ sở và được tiếp tục phân tích để khai thác những dấu hiệu đặc biệt của tội phạm; Có thể sử dụng phương pháp thống kê và khai phá dữ liệu để tìm kiếm những dữ liệu phù hợp với các mẫu tấn công nghi ngờ. Một vài thông số quan trọng liên quan đến việc phân tích điều tra mạng như: sự thiết lập các kết nối mạng, truy vấn DNS, phân mảnh gói tin, kỹ thuật in dấu giao thức và hệ điều hành, các tiến trình giả mạo, phần mềm hay rootkit được cài đặt. Những công cụ được sử dụng trong giai đoạn này là NetworkMiner, Splunk, OllyDbg, Scapy.... Các mẫu tấn công được xâu chuỗi với nhau và tấn công sẽ được xây dựng và tái hiện lại giúp các điều tra viên nắm được ý định và phương thức hành động của kẻ tấn công. Kết quả của giai đoạn này là sự xác nhận các hành động khả nghi.

Giai đoạn 8. Điều tra, quy kết trách nhiệm 

Các thông tin có từ giai đoạn Phân tích sẽ được dùng để xác định ai? Cái gì? Ở đâu? Khi nào? Như thế nào? Tại sao gây ra sự cố? Việc này sẽ giúp cho việc xây dựng lại kịch bản tấn công và quy kết trách nhiệm. Phần khó khăn nhất của việc phân tích điều tra mạng là xác định danh tính kẻ tấn công. Có hai cách thức mà kẻ tấn công sử dụng để che giấu danh tính là giả mạo IP và thực hiện tấn công bàn đạp. 

Giai đoạn 9. Báo cáo tổng kết

Phần hoàn tất quá trình điều tra mạng là xây dựng báo cáo tổng kết. Nội dung báo cáo tổng kết trình bày cho người quản lý tổ chức và cán bộ pháp chế về các chứng cứ số thu thập được trong quá trình điều tra và một số tài liệu hệ thống liên quan. Bên cạnh đó, một báo cáo điều tra toàn diện của vụ việc sẽ được trình bày cùng các biện pháp được khuyến nghị để ngăn ngừa những sự cố tương tự xảy ra trong tương lai. Các kết quả được tài liệu hóa để sử dụng trong những cuộc điều tra sau này, cũng như cải thiện chất lượng các sản phẩm bảo mật.

Một số công cụ hỗ trợ điều tra mạng

Hỗ trợ cho quá trình điều tra mạng là các công cụ phục vụ cho công tác điều tra, có khả năng chặn bắt, sao lưu, trích xuất, khôi phục và phân tích các dữ liệu mạng. Những công cụ này có thể giúp điều tra viên xác định thời gian, cách thức, nội dung mà dữ liệu được truyền đi hay nhận về, cung cấp lượng chứng cứ số nhanh chóng, chính xác, tạo thuận lợi cho việc điều tra. Ba công cụ được ứng dụng phổ biến như:

Wireshark: là một công cụ phân tích mạng với tên gọi trước đây là Ethereal, có khả năng chặn bắt các gói tin theo thời gian thực và hiển thị chúng dưới một định dạng dễ đọc, được sử dụng trong việc thu thập các vết tích mạng. Wireshark bao gồm các bộ lọc, mã màu và nhiều tính năng khác cho phép người sử dụng khai thác lưu lượng mạng và kiểm tra các gói dữ liệu cá nhân và được cài đặt đa nền tảng. Wireshark cũng cung cấp khả năng lựa chọn giao diện mạng để thực hiện việc chặn bắt, cho phép lưu, trích xuất các kết quả và tìm kiếm các gói tin theo từng thông số cụ thể.

Snort: là một hệ thống phát hiện xâm nhập mạng (IDS) được sử dụng để giám sát dữ liệu di chuyển trên mạng, có khả năng thực hiện phân tích giao thức và tìm kiếm, so sánh theo nội dung. Snort còn được sử dụng để phát hiện một loạt các cuộc tấn công và thăm dò, ví dụ như tràn bộ đệm, quét cổng, tấn công CGI, thăm dò SMB.... Snort sử dụng các luật được lưu trữ trong các tập tin văn bản và có thể được chỉnh sửa bởi người quản trị. Tìm ra các dấu hiệu và sử dụng chúng trong các luật đòi hỏi kinh nghiệm từ các nhà điều tra vì càng sử dụng nhiều luật thì càng yêu cầu năng lực xử lý cao. 

Foremost: là một chương trình điều khiển (console) dùng để khôi phục tệp tin dựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu bên trong. Quá trình này thường được gọi là data carving. Foremost có thể làm việc trên các tệp tin ảnh, chẳng hạn được tạo ra bởi dd, Safeback, Encase,... hoặc trực tiếp từ trên ổ cứng. Các tiêu đề và phụ đề có thể được xác định bởi một tệp tin cấu hình hoặc sử dụng bộ chuyển đổi dòng lệnh để xác định các dạng tệp tin tích hợp. Các dạng tích hợp này sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin được cung cấp giúp cho việc phục hồi trở nên nhanh và đáng tin cậy hơn.

Kết luận

Điều tra mạng là một loại hình điều tra quan trọng với mô hình an toàn mạng, tập trung vào việc chặn bắt và phân tích các gói tin trên mạng cũng như các sự kiện cho mục đích điều tra, cung cấp chứng cứ số về tội phạm mạng. Cùng với sự phát triển của công nghệ ATTT và sự phức tạp của các hình thức tấn công mạng, điều tra mạng yêu cầu những công cụ hỗ trợ mới, tiến trình mới, thủ tục mới cũng như các kỹ năng mới cho quá trình phân tích, thẩm định. Bên cạnh đó, điều tra mạng cũng đặt ra một thách thức mới đối với hệ thống tư pháp và các nhà hoạch định pháp luật xây dựng các quy định, chế tài phù hợp với sự phát triển của loại hình điều tra, phòng chống tội phạm công nghệ cao này. 

Tài liệu tham khảo

1. Sherri Davidoff, Jonathan Ham. Network Forensics Tracking Hackers through Cyberspace. May 2012

2. Siti Rahayu Selamat, Robiah Yusof, Shahrin Sahib. Mapping Process of Digital Forensic Investigation Framework. October 2008

3. Emmanuel S. Pilli, R.C. Joshi & Rajdeep Niyogi. A Generic Framework for Network Forensics. 2010