Bảo vệ chứng cứ kỹ thuật số: Đừng tắt máy tính!

Trong kỷ nguyên số, nơi thông tin được coi là một loại hàng hóa quý giá và hầu hết chúng được lưu trữ dưới dạng dữ liệu điện tử, việc bảo quản chứng cứ kỹ thuật số đã trở thành điều bắt buộc trong thực tiễn điều tra hiện đại. Tuy nhiên, thực tế cho thấy tầm quan trọng của việc thận trọng trong khâu tiếp cận ban đầu đối với chứng cứ là dữ liệu điện tử chưa được đề cao đúng mức, có khả năng gây nguy hiểm cho việc truy xuất dữ liệu quan trọng trong quá trình điều tra. Trong bài viết này, hãy cùng nhau tìm hiểu về những nguy cơ mà ta có thể gặp phải nếu tắt thiết bị trong quá trình điều tra kỹ thuật số điện tử.

Khôi phục mật khẩu không phải lúc nào cũng là lời giải bạn cần tìm

Các công cụ khôi phục mật khẩu thường được sử dụng để khôi phục quyền truy cập vào bằng chứng được mã hóa bằng cách tấn công (và khôi phục) mật khẩu văn bản thuần túy ban đầu. Điều quan trọng là hầu hết các định dạng dữ liệu được thiết kế để chống lại các cuộc tấn công brute-force. Thực tế, các cuộc tấn công như vậy sẽ tốn rất nhiều thời gian và khả năng khả năng thành công là điều không thể đảm bảo. Theo thu thập của chúng tôi, trong khoảng 53 trường hợp liên quan đến mã hóa đã được công bố thì chỉ có khoảng 10 trường hợp phá mã hóa thành công. Chúng tôi thực sự khuyên bạn nên thực hiện các loại phân tích khác (và thu thập càng nhiều thông tin bổ sung càng tốt) trước khi sử dụng các kỹ thuật khôi phục mật khẩu.

Tốc độ khôi phục mật khẩu sẽ phụ thuộc nhiều vào chức năng tạo khóa và phương pháp mã hóa được sử dụng. Ví dụ với công cụ có tốc độ dò khoảng 1000 mật khẩu/s thì ngay cả với mật khẩu đơn giản nhất chỉ gồm 6 chữ cái tiếng Anh và không có chữ số thì cũng sẽ mất 3.5 ngày để phá. Đối với mật khẩu 8 ký tự thông thường, bao gồm một hỗn hợp không xác định của các số, chữ cái viết thường, viết hoa, việc phá vỡ nó bằng biện pháp tấn công brute-force sẽ tốn gần 7000 năm. Ngay cả khi bạn tăng cường cuộc tấn công bằng cách sử dụng một mạng máy tính phân tán, mỗi máy được được trang bị một số bộ tăng tốc GPU mạnh mẽ, chúng ta vẫn sẽ phải đối mặt với một quá trình kéo dài trong nhiều năm chứ không phải vài ngày. Một mật khẩu phức tạp hơn thế sẽ gần như không có hội nào cho phương pháp tấn công brute-force.

Thách thức của ổ đĩa và máy ảo được mã hóa

Một trong những thách thức chính trong điều tra kỹ thuật số nằm ở việc giải mã dữ liệu được lưu trữ trên đĩa hoặc vùng chứa được mã hóa. Các ổ đĩa được mã hóa, chẳng hạn như Windows BitLocker và Apple FileVault2, được thiết kế để chống lại các cuộc tấn công “lạnh”. Phân tích phiên trực tiếp trước khi tắt máy tính có thể hỗ trợ trích xuất các khóa mã hóa, khiến các cuộc tấn công brute-force kéo dài không cần thiết. Việc trích xuất khóa BitLocker có thể được thực hiện thông qua các công cụ dòng lệnh của Windows (giả sử tài khoản được đề cập có quyền truy cập quản trị vào hệ thống), trong khi các công cụ mã hóa ổ đĩa của bên thứ ba có thể được xử lý bằng cách ghi lại toàn bộ kết xuất bộ nhớ để xác định vị trí một cách nhanh chóng. Việc tắt máy tính sẽ ngắt kết nối các ổ đĩa và bộ chứa được mã hóa cũng như xóa các khóa OTFE khỏi bộ nhớ của máy tính.

Một trong những lợi ích lớn nhất mà máy ảo (virtual machines) mang lại là sự tách biệt hoàn toàn với môi trường làm việc thông thường. Máy ảo cũng là một công cụ được sử dụng phổ biến trong thế giới tội phạm. Nhiều loại máy ảo có thể được mã hóa an toàn, giúp những tên tội phạm che đậy các hoạt động mờ ám cũng như giảm nguy cơ vô tình làm rò rỉ chứng cứ phạm tội. Việc tắt máy tính đột ngột có thể loại bỏ quyền truy cập vào thông tin quan trọng được lưu trữ trong các máy ảo được mã hóa.

Bảo toàn các máy ảo khả biến và các phiên trò chuyện riêng tư

Máy ảo khả biến đặt ra thách thức đặc biệt cho các nhà điều tra. Không giống như các bản cố định tương ứng, các máy ảo khả biến không thực hiện các thay đổi đối với vùng chứa, khiến tệp hình ảnh VM không bị thay đổi và có khả năng làm mất đi các chứng cứ kỹ thuật số. Bằng cách tắt máy tính lưu trữ VM khả biến, các nhà điều tra có nguy cơ mất đi những thay đổi quan trọng và lịch sử hoạt động trong VM.

Theo cách tương tự như máy ảo được mã hóa, một số ứng dụng trò chuyện sử dụng các phiên trò chuyện khả biến, trong đó tất cả dữ liệu chỉ nằm trong RAM của máy tính thay vì được lưu trữ trong cơ sở dữ liệu trên ổ đĩa. Tắt nguồn máy tính sẽ làm mọi dấu vết của những cuộc trò chuyện riêng tư này bị xóa.

Vấn đề về các vùng chứa ẩn

Các vùng chứa ẩn, một phần không thể thiếu của các kỹ thuật mã hóa ổ đĩa hiện đại, được thiết kế để cung cấp cho người dùng khả năng từ chối hợp lý. Nếu không biết mật khẩu chính xác và cài đặt mã hóa, việc truy cập vào các vùng chứa ẩn sẽ không thể thực hiện được, khiến nội dung và thậm chí cả sự tồn tại của chúng không thể chứng minh được.

Bản chất của vùng chứa mã hóa ẩn nằm ở khả năng ngụy trang dữ liệu nhạy cảm trong vùng lưu trữ được mã hóa chính. Các vùng chứa chính và ẩn sử dụng các mật khẩu khác nhau và thậm chí có thể sử dụng các cài đặt mã hóa khác nhau. Đối tượng đang bị điều tra có thể cung cấp mật khẩu cho vùng chứa chính, khiến các chuyên gia pháp y rơi vào tình huống mà bằng chứng có giá trị buộc tội không những không thể truy cập được mà thậm chí sự tồn tại của chúng cũng không thể chứng minh một cách chắc chắn.

Kết luận

Việc đảm bảo quyền truy cập vào chứng cứ là dữ liệu điện tử là một thách thức không nhỏ. Trong thế giới pháp y kỹ thuật số, nếu được xử lý đúng cách, các chứng cứ kỹ thuật số có thể tạo nên sự khác biệt rất lớn. Điều quan trọng mà các nhà điều tra pháp y cần tuân thủ các bước bảo quản thích hợp, từ đó có thể tránh được những trường hợp đáng tiếc như bị mất bằng chứng quan trọng được lưu trữ trong ổ đĩa, máy ảo được mã hóa hay các cuộc trò chuyện riêng tư, các vùng chứa ẩn, v.v.