Những lỗi sai thường gặp trong điều tra pháp y kỹ thuật số (Phần 1)

2024-12-23 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Tổng quan

Điều tra pháp y kỹ thuật số là một công việc phức tạp và đầy thử thách, và nó sẽ ngày càng trở nên phức tạp hơn do sự phát triển nhanh chóng của công nghệ, bao gồm mã hóa toàn diện, lưu trữ đám mây , cải tiến bảo mật điện thoại thông minh, v.v. Không có gì ngạc nhiên khi những sai sót, vốn không thể tránh khỏi ngay cả với những thói quen đơn giản nhất, vẫn xảy ra trong quá trình điều tra pháp y kỹ thuật số (hoặc ứng phó sự cố). Trong bài viết này, chúng tôi sẽ nói đến 3 lỗi phổ biến nhất thường mắc phải trong lĩnh vực DFIR (Giám định kỹ thuật số và Phản ứng sự cố).

pháp y kỹ thuật số

 

Sai lầm #1: Sử dụng ‘Pháp y Click’ (không nhất thiết là một sai lầm)

Thuật ngữ “pháp y click” được đặt ra cách đây hơn 10 năm và cộng đồng pháp y coi đó là định nghĩa mỉa mai hơn về các công cụ pháp y kỹ thuật số. Trước đây, các chuyên gia phản đối sự thay đổi của các nhà cung cấp nhằm tự động hóa việc thu thập và phân tích dữ liệu kỹ thuật số vì họ chắc chắn rằng tự động hóa sẽ khiến giảm việc ghi chép, xác thực và từ đó bảo vệ các kết quả giám định của họ tại tòa án trở nên khó khăn hơn.

Tuy nhiên, khi ổ cứng đạt đến mức 1TB, iPhone của Apple xuất hiện và thay đổi hoàn toàn cái nhìn về điện thoại thông minh như một tiện ích, số lượng thiết bị lưu trữ tăng lên (điện thoại, thiết bị chơi game, ổ đĩa ngoài, USB và các thiết bị khác) và hầu hết các phòng thí nghiệm pháp y đều phải chịu tình trạng tồn đọng kéo dài, làm chậm trễ quá trình điều tra.

Việc phân tích và nghiên cứu chuyên sâu đối với một khối lượng khổng lồ dữ liệu từ các ứng dụng phổ biến là điều bất khả thi. Đây là lý do tại sao mọi chuyên gia DFIR rất có thể đều thay đổi suy nghĩ về các công cụ pháp y.

 

pháp y kỹ thuật số

 

Một công cụ DFIR, cho phép điều tra viên trích xuất dữ liệu ngay lập tức mà không cần phải đào sâu vào từng bit và byte dữ liệu thô trên nguồn dữ liệu, chỉ với vài nút bấm. Sử dụng một công cụ như vậy có phải là một sai lầm không?

Câu trả lời là cả “có” và “không”.

Thật khó để khẳng định “pháp y click” là một sai lầm. Hầu hết các công cụ pháp y kỹ thuật số hiện có trên thị trường đều thuộc loại đó. Tuy nhiên, không có công cụ nào có thể thay thế kiến ​​thức và kỹ năng của người dùng. Sử dụng mù quáng kết quả đầu ra của công cụ chắc chắn là một sai lầm. Biết được điểm mạnh và điểm yếu của công cụ, so sánh kết quả với các công cụ tương tự, lặp lại phân tích thủ công trong những tình huống đáng ngờ—chắc chắn không phải là sai lầm.

Điều đáng nói là một số công cụ trên thị trường khuyến khích sử dụng chúng một cách mù quáng. Các công cụ như vậy hoạt động như một hộp đen và đưa ra kết quả mà không giải thích cách chúng được lấy ra. Không có gì ngạc nhiên khi các kết luận dựa trên những kết quả như vậy sẽ không đứng vững trước tòa, nếu bị phản bác bởi một nhóm có kiến thức chuyên môn. Một câu hỏi có thể được đặt ra là: ‘Phần mềm A đã khôi phục cuộc trò chuyện đã xóa này như thế nào?’ có vẻ cực kỳ khó trả lời, nếu Phần mềm A là một hộp đen đối với bạn.

Một điều tra viên pháp y kỹ thuật số phải hiểu rõ rằng không có công cụ nào là giải pháp hoàn hảo. Ngay cả công cụ tốt nhất cũng chỉ có thể tự động hóa một quy trình chuẩn và khi bằng chứng của bạn có vẻ không nằm trong khái niệm “chuẩn”, bạn sẽ phải phân tích thủ công. Công cụ pháp y của bạn có tìm thấy tệp ZIP được mã hóa được nhúng vào tài liệu PDF được đính kèm vào email Outlook không? Công cụ có tìm thấy các bản ghi SQLite đã xóa bên trong quy trình bộ nhớ được trích xuất từ ​​bản sao lưu bộ nhớ không?

Sai lầm #2: Không đảm bảo tính toàn vẹn của chuỗi khóa và bằng chứng

Việc đảm bảo chuỗi khóa cũng như tính toàn vẹn cho chứng cứ điện tử phức tạp hơn so với các loại chứng cứ vật lý khác. Một trong những lý do cho điều này là dữ liệu điện tử có thể bị thay đổi mà không để lại dấu vết rõ ràng. Chính vì vậy, một trong những câu hỏi tự nhiên mà đối phương có thể và sẽ hỏi tại tòa là: “Làm thế nào bạn có thể chứng minh rằng chứng cứ này (tin nhắn/ tài liệu/ ảnh) không phải là giả mạo?” Điều này lý giải cho việc ngoài các hành động phổ biến để bảo tồn chuỗi khóa, còn có những phương pháp bổ sung cho pháp y kỹ thuật số.

 

pháp y kỹ thuật số

 

Phương pháp có thể được biết đến nhiều nhất là tính toán giá trị băm (hash). Phương án tốt là tính toán giá trị băm cho toàn bộ nguồn dữ liệu và tất cả các tệp bên trong trước khi thực hiện bất kỳ phân tích nào khác. Những sai lầm phổ biến có thể xảy ra bao gồm:

  • Không tính toán giá trị băm
  • Chỉ sử dụng MD5: Thuật toán này dễ bị thay đổi, và nếu sử dụng, phải được bổ sung bởi một thuật toán khác, chẳng hạn như SHA-1 hoặc SHA-256.
  • Làm việc trực tiếp với nguồn dữ liệu gốc thay vì bản sao thứ cấp: Mặc dù phương pháp này có thể khả thi nếu bạn sử dụng các thiết bị chặn phần cứng, nhưng hãy nhớ rằng ổ SSD không thể được bảo vệ bằng thiết bị như vậy. Hơn nữa, các thiết bị chặn ghi phần mềm nổi tiếng là không chặn được các nỗ lực ghi do lỗi.
  • Làm việc với ổ đĩa đã sao chép nhưng quên làm sạch thiết bị. Nếu bạn chưa hoàn toàn xóa sạch ổ đĩa để làm bản sao của ổ đĩa chứng cứ, bạn có thể gặp những bất ngờ khó chịu xuất phát từ các dữ liệu đã được lưu trữ trước đó.

Một yếu tố quan trọng của chuỗi khóa là không chỉ lưu giữ danh sách những người đã chạm vào chứng cứ, mà còn đảm bảo rằng không ai khác có quyền truy cập. Vì chứng cứ điện tử tồn tại dưới dạng ảo, có nhiều cách để tiếp cận hơn là các chứng cứ vật lý thông thường. Ví dụ, để một ổ đĩa đã sao chép trên bàn trong một phòng, nơi các điều tra viên khác làm việc cùng lúc, sẽ phá vỡ chuỗi kiểm soát. Tương tự, việc để máy tính chứa chứng cứ điện tử mà không khóa có thể làm vô hiệu tất cả các tệp chứng cứ được lưu trữ trên máy tính đó.

Sai lầm #3: Không kiểm tra chéo kết quả công cụ DFIR

Thói quen của não bộ con người là tiếp tục làm những gì dẫn đến kết quả khả quan trong quá khứ. Trong DFIR, điều này có thể dẫn đến việc sử dụng quá mức một công cụ duy nhất. Nếu một giám định viên đã quen với một công cụ cụ thể, họ có thể sử dụng nó ngay cả cho các nhiệm vụ không được công cụ đó hỗ trợ tốt như các công cụ khác.

Trên thực tế, không có một công cụ duy nhất nào có thể giải quyết mọi vấn đề trong lĩnh vực pháp y kỹ thuật số và phản ứng sự cố. Ngay cả các công cụ, vốn cực kỳ hữu ích trong một vấn đề nhất định của DFIR, cũng có thể có trục trặc với một tệp hoặc hình ảnh cụ thể. Đây là lý do tại sao bạn luôn được khuyến cáo kiểm tra chéo kết quả công cụ chính của mình, theo cách thủ công hoặc bằng một phần mềm khác. Một bộ công cụ phù hợp cho pháp y kỹ thuật số phải có nhiều hơn một công cụ cho mọi lĩnh vực điều tra cụ thể.

 

Phần 2: Những lỗi sai thường gặp trong điều tra pháp y kỹ thuật số (Phần 2) – HTI Services

Từ khóa:

Chia sẻ:

Bài viết liên quan

ssd-TRIM
11Aug

Ý nghĩa thực sự của TRIM, DRAT và DZAT trong giám định pháp y ổ SSD

Trong vài năm trở lại đây, ổ cứng thể rắn (SSD) đang có xu hướng dần thay thế ổ... read more

khoi-phuc-du-lieu
08Aug

Khôi phục dữ liệu ổ HDD 4TB đã được can thiệp trước đó

Tuần qua, HTI Services tiếp nhận một ổ cứng HDD Seagate dung lượng 4TB từ khách hàng trong tình... read more

format-o-cung
06Aug

Cứu dữ liệu ổ cứng format nhầm

  1. Thao tác format (định dạng) ổ cứng sẽ tác động thế nào tới dữ liệu của bạn? Trong hầu... read more

recovery-mode-ios-forensics
04Aug

Mẹo trích xuất dữ liệu trên iOS: Bắt đầu với Chế độ Khôi phục (Recovery Mode)

Trong điều tra pháp y thiết bị Apple, thứ tự bạn kích hoạt các chế độ trên thiết bị... read more

che-do-edl-test-points
01Aug

Mobile Forensics: Tìm hiểu chế độ EDL trên thiết bị di động

Pháp y số thiết bị di động (Mobile Forensics) đã trở thành một lĩnh vực quan trọng trong điều... read more

quy_trinh_khoi_phuc_du_lieu
30Jul

Quy trình kiểm tra thiết bị trong Khôi phục dữ liệu

Hầu hết các nhà cung cấp dịch vụ khôi phục dữ liệu chuyên nghiệp đều tiến hành đánh giá... read more

0928765688