Những lỗi sai thường gặp trong điều tra pháp y kỹ thuật số (Phần 1)

2024-12-23 Bài viết chia sẻ thông tin, Điều tra dữ liệu

Tổng quan

Điều tra pháp y kỹ thuật số là một công việc phức tạp và đầy thử thách, và nó sẽ ngày càng trở nên phức tạp hơn do sự phát triển nhanh chóng của công nghệ, bao gồm mã hóa toàn diện, lưu trữ đám mây , cải tiến bảo mật điện thoại thông minh, v.v. Không có gì ngạc nhiên khi những sai sót, vốn không thể tránh khỏi ngay cả với những thói quen đơn giản nhất, vẫn xảy ra trong quá trình điều tra pháp y kỹ thuật số (hoặc ứng phó sự cố). Trong bài viết này, chúng tôi sẽ nói đến 3 lỗi phổ biến nhất thường mắc phải trong lĩnh vực DFIR (Giám định kỹ thuật số và Phản ứng sự cố).

pháp y kỹ thuật số

 

Sai lầm #1: Sử dụng ‘Pháp y Click’ (không nhất thiết là một sai lầm)

Thuật ngữ “pháp y click” được đặt ra cách đây hơn 10 năm và cộng đồng pháp y coi đó là định nghĩa mỉa mai hơn về các công cụ pháp y kỹ thuật số. Trước đây, các chuyên gia phản đối sự thay đổi của các nhà cung cấp nhằm tự động hóa việc thu thập và phân tích dữ liệu kỹ thuật số vì họ chắc chắn rằng tự động hóa sẽ khiến giảm việc ghi chép, xác thực và từ đó bảo vệ các kết quả giám định của họ tại tòa án trở nên khó khăn hơn.

Tuy nhiên, khi ổ cứng đạt đến mức 1TB, iPhone của Apple xuất hiện và thay đổi hoàn toàn cái nhìn về điện thoại thông minh như một tiện ích, số lượng thiết bị lưu trữ tăng lên (điện thoại, thiết bị chơi game, ổ đĩa ngoài, USB và các thiết bị khác) và hầu hết các phòng thí nghiệm pháp y đều phải chịu tình trạng tồn đọng kéo dài, làm chậm trễ quá trình điều tra.

Việc phân tích và nghiên cứu chuyên sâu đối với một khối lượng khổng lồ dữ liệu từ các ứng dụng phổ biến là điều bất khả thi. Đây là lý do tại sao mọi chuyên gia DFIR rất có thể đều thay đổi suy nghĩ về các công cụ pháp y.

 

pháp y kỹ thuật số

 

Một công cụ DFIR, cho phép điều tra viên trích xuất dữ liệu ngay lập tức mà không cần phải đào sâu vào từng bit và byte dữ liệu thô trên nguồn dữ liệu, chỉ với vài nút bấm. Sử dụng một công cụ như vậy có phải là một sai lầm không?

Câu trả lời là cả “có” và “không”.

Thật khó để khẳng định “pháp y click” là một sai lầm. Hầu hết các công cụ pháp y kỹ thuật số hiện có trên thị trường đều thuộc loại đó. Tuy nhiên, không có công cụ nào có thể thay thế kiến ​​thức và kỹ năng của người dùng. Sử dụng mù quáng kết quả đầu ra của công cụ chắc chắn là một sai lầm. Biết được điểm mạnh và điểm yếu của công cụ, so sánh kết quả với các công cụ tương tự, lặp lại phân tích thủ công trong những tình huống đáng ngờ—chắc chắn không phải là sai lầm.

Điều đáng nói là một số công cụ trên thị trường khuyến khích sử dụng chúng một cách mù quáng. Các công cụ như vậy hoạt động như một hộp đen và đưa ra kết quả mà không giải thích cách chúng được lấy ra. Không có gì ngạc nhiên khi các kết luận dựa trên những kết quả như vậy sẽ không đứng vững trước tòa, nếu bị phản bác bởi một nhóm có kiến thức chuyên môn. Một câu hỏi có thể được đặt ra là: ‘Phần mềm A đã khôi phục cuộc trò chuyện đã xóa này như thế nào?’ có vẻ cực kỳ khó trả lời, nếu Phần mềm A là một hộp đen đối với bạn.

Một điều tra viên pháp y kỹ thuật số phải hiểu rõ rằng không có công cụ nào là giải pháp hoàn hảo. Ngay cả công cụ tốt nhất cũng chỉ có thể tự động hóa một quy trình chuẩn và khi bằng chứng của bạn có vẻ không nằm trong khái niệm “chuẩn”, bạn sẽ phải phân tích thủ công. Công cụ pháp y của bạn có tìm thấy tệp ZIP được mã hóa được nhúng vào tài liệu PDF được đính kèm vào email Outlook không? Công cụ có tìm thấy các bản ghi SQLite đã xóa bên trong quy trình bộ nhớ được trích xuất từ ​​bản sao lưu bộ nhớ không?

Sai lầm #2: Không đảm bảo tính toàn vẹn của chuỗi khóa và bằng chứng

Việc đảm bảo chuỗi khóa cũng như tính toàn vẹn cho chứng cứ điện tử phức tạp hơn so với các loại chứng cứ vật lý khác. Một trong những lý do cho điều này là dữ liệu điện tử có thể bị thay đổi mà không để lại dấu vết rõ ràng. Chính vì vậy, một trong những câu hỏi tự nhiên mà đối phương có thể và sẽ hỏi tại tòa là: “Làm thế nào bạn có thể chứng minh rằng chứng cứ này (tin nhắn/ tài liệu/ ảnh) không phải là giả mạo?” Điều này lý giải cho việc ngoài các hành động phổ biến để bảo tồn chuỗi khóa, còn có những phương pháp bổ sung cho pháp y kỹ thuật số.

 

pháp y kỹ thuật số

 

Phương pháp có thể được biết đến nhiều nhất là tính toán giá trị băm (hash). Phương án tốt là tính toán giá trị băm cho toàn bộ nguồn dữ liệu và tất cả các tệp bên trong trước khi thực hiện bất kỳ phân tích nào khác. Những sai lầm phổ biến có thể xảy ra bao gồm:

  • Không tính toán giá trị băm
  • Chỉ sử dụng MD5: Thuật toán này dễ bị thay đổi, và nếu sử dụng, phải được bổ sung bởi một thuật toán khác, chẳng hạn như SHA-1 hoặc SHA-256.
  • Làm việc trực tiếp với nguồn dữ liệu gốc thay vì bản sao thứ cấp: Mặc dù phương pháp này có thể khả thi nếu bạn sử dụng các thiết bị chặn phần cứng, nhưng hãy nhớ rằng ổ SSD không thể được bảo vệ bằng thiết bị như vậy. Hơn nữa, các thiết bị chặn ghi phần mềm nổi tiếng là không chặn được các nỗ lực ghi do lỗi.
  • Làm việc với ổ đĩa đã sao chép nhưng quên làm sạch thiết bị. Nếu bạn chưa hoàn toàn xóa sạch ổ đĩa để làm bản sao của ổ đĩa chứng cứ, bạn có thể gặp những bất ngờ khó chịu xuất phát từ các dữ liệu đã được lưu trữ trước đó.

Một yếu tố quan trọng của chuỗi khóa là không chỉ lưu giữ danh sách những người đã chạm vào chứng cứ, mà còn đảm bảo rằng không ai khác có quyền truy cập. Vì chứng cứ điện tử tồn tại dưới dạng ảo, có nhiều cách để tiếp cận hơn là các chứng cứ vật lý thông thường. Ví dụ, để một ổ đĩa đã sao chép trên bàn trong một phòng, nơi các điều tra viên khác làm việc cùng lúc, sẽ phá vỡ chuỗi kiểm soát. Tương tự, việc để máy tính chứa chứng cứ điện tử mà không khóa có thể làm vô hiệu tất cả các tệp chứng cứ được lưu trữ trên máy tính đó.

Sai lầm #3: Không kiểm tra chéo kết quả công cụ DFIR

Thói quen của não bộ con người là tiếp tục làm những gì dẫn đến kết quả khả quan trong quá khứ. Trong DFIR, điều này có thể dẫn đến việc sử dụng quá mức một công cụ duy nhất. Nếu một giám định viên đã quen với một công cụ cụ thể, họ có thể sử dụng nó ngay cả cho các nhiệm vụ không được công cụ đó hỗ trợ tốt như các công cụ khác.

Trên thực tế, không có một công cụ duy nhất nào có thể giải quyết mọi vấn đề trong lĩnh vực pháp y kỹ thuật số và phản ứng sự cố. Ngay cả các công cụ, vốn cực kỳ hữu ích trong một vấn đề nhất định của DFIR, cũng có thể có trục trặc với một tệp hoặc hình ảnh cụ thể. Đây là lý do tại sao bạn luôn được khuyến cáo kiểm tra chéo kết quả công cụ chính của mình, theo cách thủ công hoặc bằng một phần mềm khác. Một bộ công cụ phù hợp cho pháp y kỹ thuật số phải có nhiều hơn một công cụ cho mọi lĩnh vực điều tra cụ thể.

 

Phần 2: Những lỗi sai thường gặp trong điều tra pháp y kỹ thuật số (Phần 2) – HTI Services

Từ khóa:

Chia sẻ:

Bài viết liên quan

tao_anh_o_dia
04Jul

Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi... read more

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

file-RSV
18Jun

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

Các loại Filesystem và cơ hội khôi phục dữ liệu
13Jun

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 4: BSD, Solaris, Unix

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT,... read more

khoi-phuc-du-lieu-macbook
12Jun

Khôi phục dữ liệu ổ NVMe MacBook bị lỗi nguồn

Một chiếc MacBook với ổ NVMe được gửi tới HTI Services trong tình trạng không thể khởi động –... read more

0928765688