Cách các chuyên gia điều tra kỹ thuật số theo dõi tin tặc

Các seri phim truyền hình Mỹ từ lâu đã đem đến một phiên bản cách điệu của các đội điều tra kỹ thuật số. Họ chiến đấu với các tin tặc bí ẩn đang bắn phá màn hình của tổ chức bằng hình đầu lâu và xương chéo màu đỏ hoặc những thứ sáo rỗng khác. Tuy nhiên, hiện thực tinh tế, sâu sắc và phức tạp hơn nhiều.

Để hiểu rõ hơn, Brett Shavers, một cựu sĩ quan cảnh sát và điều tra viên kỹ thuật số được giao cho giải quyết các vụ án khác nhau của tiểu bang và liên bang Hoa Kỳ, sẽ chia sẻ với chúng ta thực tế cuộc sống trong lĩnh vực này diễn ra như thế nào. Brett đã viết một số cuốn sách về Điều tra kỹ thuật số và Phản ứng sự cố (Digital Forensics Incident Response DFIR) và giành được nhiều giải thưởng. Hiện ông là giáo sư trợ giảng về điều tra kỹ thuật số tại Đại học Washington.

Một lĩnh vực đang phát triển

Shavers thành lập bộ phận điều tra kỹ thuật số trong một căn phòng nhỏ. Ngày nay, ông chỉ huy hàng trăm người tại các hội nghị, công ty và trường đại học. Ông luôn dẫn dầu trong quá trình phát triển nhanh chóng của bảo mật và phân tích máy tính, và được xem như là một tài năng trong việc đối phó với phát triển của nó.

“Sự chi tiết của thông tin mà chúng ta có thể lấy từ dữ liệu ngày nay là không thể tin được so với những năm trước, lúc mà tôi mới bắt đầu trong lĩnh vực này,” ông nói. “Chúng tôi đã học cách đào sâu vào nhật ký và cơ sở dữ liệu để xác định các chi tiết đáng kinh ngạc về hoạt động của người dùng máy tính, thứ mà trước đó chúng tôi chưa từng biết đến sự tồn tại trong phương tiện lưu trữ. Các công cụ ngày nay rất tuyệt vời trong việc khôi phục dữ liệu và cung cấp đầu ra dễ hiểu hơn”.

Mặc dù lĩnh vực an ninh mạng đã phát triển nhưng quy mô dữ liệu ngày nay khiến các cá nhân thực sự cảm thấy bất lực trong việc tự bảo vệ mình. Kiến thức chung cần theo kịp tiến bộ công nghệ hoặc bạn sẽ chẳng thể làm gì.

“Những người bình thường bị choáng ngợp bởi lượng dữ liệu được lưu trữ và có thể được phục hồi bởi không chỉ chính phủ mà còn cả tội phạm mạng,” ông nói. “Thật vậy, lượng thông tin có sẵn áp đảo họ đến mức họ cảm thấy họ không thể làm gì để có thể làm để bảo vệ dữ liệu của mình, đặc biệt khi mà duy trì quyền kiểm soát thông tin cá nhân phải là một nỗ lực được thực hiện liên tục. Cho đến khi chúng tôi nhận ra rằng việc bảo vệ cá nhân đòi hỏi phải liên tục nỗ lực, có rất ít người kiên trì thực hiện điều đó”.

Và vì vậy, chắc chắn các cuộc tấn công mạng sẽ xảy ra. Và điều này dẫn đến sự ra đời của điều tra kỹ thuật số.

Ngành công nghiệp cần điều tra kỹ thuật số

Thiếu hiểu biết về những gì tạo nên một kế hoạch bền vững để bảo vệ dữ liệu chắc chắn vẫn sẽ xuất hiện ở nhiều tổ chức. Điện thoại thông minh tạo điều kiện cho các tài khoản email cá nhân và công việc đồng bộ hóa với một thiết bị. Các ứng dụng như Google Drive cũng góp phần làm lu mờ ranh giới giữa việc sử dụng thiết bị cho mục đích cá nhân và công việc. Nhiều nhân viên được công ty cấp cho điện thoại thông minh nhưng nó không nhất thiết có nghĩa là việc sử dụng những điện thoại này sẽ đảm bảo dữ liệu của tổ chức được an toàn.

Điều tra kỹ thuật số và phản hồi sự cố có thể trở thành một khoản chi cần thiết cho một công ty không có hoặc có những chính sách không rõ ràng về việc quản lý các hoạt động dữ liệu của nhân viên. Việc thiếu lớp bảo vệ này có thể dẫn đến việc những kẻ tấn công có nhiều cơ hội xâm phạm hệ thống của tổ chức hơn. Bất chấp sự linh hoạt tương đối các công cụ được tổ chức sử dụng để tạo ra các chiến lược phòng thủ kỹ thuật số, Shavers lưu ý rằng thực tế khác xa với việc trắng đen rõ ràng, ông thường thấy không có sự chủ động trong những chiến lược đó, hoặc nếu nó được thực hiện, các công ty đều làm điều đó hoàn toàn sai, hoặc các công việc trong việc thiết lập phòng thủ chống lại tác nhân độc hại lại được đặt trong phản ứng sự cố.

Điều tra kỹ thuật số đối mặt với mã hóa của nhà sản xuất

Cách tốt nhất là không mở các tệp .exe được nhận ngẫu nhiên hoặc tránh gửi các thông tin nhạy cảm đến các email có nội dung mơ hồ, không rõ ràng. Khi mà Google, Facebook, Cơ quan an ninh quốc gia Mỹ và nhiều bên khác hiện đang thu thập một lượng dữ liệu người dùng khổng lồ, ý tưởng về dữ liệu riêng tư của người dùng ngày càng trở nên buồn cười. Nó không chỉ còn là việc tránh tin tặc ăn cắp thông tin từ máy tính ở nhà mà thay vào đó, bạn phải hiểu quy mô của thông tin có thể được thu thập thông qua ngụ ý đồng ý.

Sau vụ tấn công khủng bố San Bernardino vào năm 2015 tại Mỹ, FBI và Apple ở trong một loạt các tranh chấp về việc liệu các nhà sản xuất có thể bị buộc phải mở khóa điện thoại di động cho các cơ quan thực thi pháp luật hay không. Trong lịch sử, những chiếc iPhone có dữ liệu được bảo vệ bằng mật mã không thể được mở khóa một cách ép buộc, ngay cả bởi chính Apple. FBI yêu cầu Apple viết phần mềm chuyên dụng cho phép các đặc vụ phá vỡ mã hóa và mật mã bốn chữ số, cho phép họ truy cập hoàn toàn vào thiết bị của một trong những thủ phạm tấn công. Apple đã từ chối và điều này dẫn đến vụ kiện FBI chống lại Apple.

Tình huống pháp lý đặc biệt này đã làm nổi bật mức độ mã hóa mà người dùng iPhone có lẽ không bao giờ nghĩ tới cũng như giới hạn mà một số nhà sản xuất nhất định sẽ bảo vệ quyền riêng tư của họ.

“Lý tưởng nhất, các công ty tư nhân bảo vệ dữ liệu của người dùng của mình vì người dùng đang trả tiền cho các dịch vụ,” theo ông Shavers. “Nói một cách thực tế, bất kỳ chính phủ nào - địa phương, tiểu bang và liên bang - đều có thể buộc bất kỳ một công ty tư nhân nào cung cấp mọi dữ liệu tòa án yêu cầu thông qua trát hầu tòa và lệnh khám xét. Lựa chọn duy nhất cho các công ty tư nhân không hợp tác là tranh luận trước tòa án để chống lại yêu cầu của chính phủ hoặc ngừng cung cấp những dịch vụ đang thu thập dữ liệu người dùng”.

Các trường hợp trên nhấn mạnh một vấn đề phức tạp cho điều tra kỹ thuật số. Khi việc áp dụng các thiết bị tiêu dùng như điện thoại thông minh tiếp tục tăng, độ tinh vi và số lượng ứng dụng mà chúng có cũng sẽ tăng lên. Vào năm 2013, Edward Snowden đã cáo buộc các cơ quan giám sát khác nhau, bao gồm Trụ sở Truyền thông của Anh, có thể truy cập gần như vào tất cả dữ liệu người dùng có trong điện thoại iOS, Android và Blackberry, và điều này có khả năng góp phần vào sự tăng cường các tiêu chuẩn bảo mật và mã hóa của Apple trong iOS 9. Điều tra kỹ thuật số hiện đang phải đối mặt với các cấp độ mã hóa mà thậm chí nhà sản xuất cũng không có quyền truy cập để phá vỡ.

Pháp luật và điều tra kỹ thuật số

Các nhà lập pháp đang mâu thuẫn khi tìm ra cách đối phó với thực tế này. Sau vụ tranh chấp giữ FBI và Apple, Thượng nghị sĩ Hoa Kỳ Dianne Feinstein đã hai lần cố gắng đưa ra luật mới yêu cầu các nhà sản xuất như Apple cho phép chính phủ truy cập vào tất cả dữ liệu người dùng được mã hóa. Nỗ lực ban đầu của bà vào năm 2017 đã không thể khiến nó được Quốc hội Hoa Kỳ thông qua nhưng bà đã khởi xướng một nỗ lực mới vào năm 2018.

“Luật pháp sẽ luôn chạy theo sau công nghệ hiện tại”, theo Shavers, đơn giản vì những tiến bộ lớn xảy ra nhanh hơn bất kỳ luật pháp hay người nào có thể đáp ứng một cách hiệu quả. Tuy nhiên, thực tế này không phải là thứ ngăn cản chúng ta ngừng cố gắng để bắt kịp mà nó khuyến khích sự cải tiến liên tục để đối phó với các sự cố và cập nhật liên tục các luật liên quan đến những thay đổi trong công nghệ.

Như trường hợp của FBI-Apple, việc cập nhật luật khi công nghệ phát triển không phải là một chuyện có thể dễ dàng thực hiện. Không chỉ có công nghệ mã hóa tiến bộ mà sự phức tạp mã hóa của các sản phẩm của Apple cũng dẫn đến việc người tiêu dùng được hưởng các tiêu chuẩn bảo vệ gia tăng mà luật mới sẽ tìm cách loại bỏ.

“Một trong những lĩnh vực cần cải thiện là cập nhật các luật lỗi thời hoặc trong một số trường hợp, loại bỏ hoàn toàn, một số không chỉ không áp dụng được nữa mà nhiều hành vi mà nhờ thay đổi công nghệ không còn được coi là phạm tội. Hack đạo đức, ví dụ,” Shavers chia sẻ.

Bộ kỹ năng điều tra kỹ thuật số rất phù hợp với mục đích tấn công có đạo đức, điều mà nhiều công ty lớn đã nhận ra và tìm cách sử dụng. Việc tấn công đạo đức đã cho phép các công ty như Google và Facebook thưởng cho những cá nhân phát hiện ra các hoạt động khai thác trong những nền tảng và sản phẩm tiêu dùng lớn.

Tương lai của điều tra kỹ thuật số

Với việc sản xuất dữ liệu ngày càng tăng, không nghi ngờ gì khi nhu cầu giải mã, phân tích các thiết bị và tài nguyên lưu trữ trực tuyến là liên tục. Tuy nhiên, khả năng của các chuyên gia điều tra kỹ thuật số trong việc giải quyết những luồng dữ liệu khổng lồ một cách hiệu quả vẫn còn là một câu hỏi.

“Khi mà các dữ liệu điện tử sinh sản nhanh như thỏ, tôi thấy các chuyên gia điều tra kỹ thuật số tập trung nhiều vào việc thu thập dữ liệu có liên quan hơn là thu thập dữ liệu hoàn chỉnh theo cách truyền thống” theo ông Shavers. “Ví dụ, thay vì tạo ra hình ảnh đầy đủ của terabyte dữ liệu để sàng lọc tìm kiếm bằng chứng, việc nhắm mục tiêu có chọn lọc các khu vực hoặc vị trí bị xâm phạm đã biết, nơi lưu trữ bằng chứng điện tử, trở nên phổ biến hơn.”

Một lĩnh vực khác có tiềm năng mang lại lợi ích cho lĩnh vực điều tra kỹ thuật số là việc áp dụng blockchain ở quy mô cá nhân và công nghiệp rộng lớn hơn. Trong bất kỳ cuộc điều tra nào, một chuyên gia đều quan tâm không những đến việc dễ dàng truy cập dữ liệu được đề cập mà còn tính xác thực và độ trung thực của dữ liệu. Nền tảng blockchain cung cấp một sổ cái bất biến cho tất cả các giao dịch nên về mặt lý thuyết, nó có thể hoạt động như một phương tiện hoàn toàn mới thông qua đó, các điều tra viên kỹ thuật số có thể hợp lý hóa phân tích dữ liệu của mình.

“Tôi rất háo hức đón chờ xem công nghệ blockchain sẽ được áp dụng thực tế như thế nào đối với điều tra kỹ thuật số và ứng phó sự cố. Cho đến thời điểm này, hầu hết những gì chúng ta thấy là các chiến thuật tiếp thị đơn giản cũng như sử dụng blockchain như một từ thông dụng. Tôi thấy một số ứng dụng của blockchain trong lĩnh vực điều tra kỹ thuật số và phản ứng sự cố, nhưng tôi rất muốn xem các công ty sẽ thực sự tận dụng nghiên cứu về nó như thế nào”.

Blockchain, một nền tảng mới đang trong giai đoạn ban đầu, kết hợp với sự bão hòa của những dự đoán về các ứng dụng tiềm năng của nó làm cho việc dự đoán nó có thể hữu ích như thế nào đối với các chuyên gia điều tra kỹ thuật số đang tìm kiếm phương pháp mới để thu thập dữ liệu chất lượng cao trở nên khó khăn. Tuy nhiên, việc các chuyên gia như Brett Shavers, những người quan tâm đến sự phát triển của nó, đang tiến hành phát triển blockchain của riêng mình sẽ có ý nghĩa lớn đối với lĩnh vực điều tra kỹ thuật số.