Forensic là gì? Những thông tin cần thiết cần nắm bắt về dịch vụ Forensic

Chắc hẳn với những người có tìm hiểu hay có niềm đam mê với an toàn thông tin không còn xa lạ với từ Forensic nhưng với số đông người dùng thì đây vẫn là từ xa lạ. Vậy Forensic là gì? Nó có nhiệm vụ hay chức nay gì trong ngành công nghệ thông tin? Hãy cùng chúng tôi tìm hiểu vấn đề này bởi hiện tại ai ai cũng sử dụng đến internet.

Khái niệm Forensic là gì?

Trong lĩnh vực an toàn thông tin, Forensics được hiểu là điều tra số, là công việc tìm ra, bảo vệ và phân tích dữ liệu thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính, nhằm mang đến các suy luận hợp lý để tìm ra nguyên nhân, giải thích các hiện tượng, sự việc trong quá trình điều tra.

Khái niệm Forensics (Forensic Science – khoa học pháp y) được xuất phát từ lĩnh vực y tế trong thế kỷ 18 và liên quan đến việc điều tra pháp y. Hiện nay Forensics đã được lan rộng ra rất nhiều lĩnh vực khác. Thuật ngữ “Computer Forensics” ra đời vào những năm 1980.

Tiền đề của sự ra đời này là khi các vấn đề trộm cắp thiết bị phần cứng, mất mát dữ liệu, vi phạm bản quyền, virus máy tính phá hoại… xảy ra do sự phát triển của máy tính cá nhân. Từ đây và trong các loạt bài về sau, khi tôi dùng từ Forensics thì có nghĩa là đang nói về Computer Forensics.

Tại sao cần đến Forensic?

Khi mà hệ thống thông tin phát triển vượt bậc, mạng lưới internet phủ sóng toàn cầu, những thông tin bí mật của các công ty, doanh nghiệp trên các máy tính nội bộ là một lượng rất lớn.

Rất khó để kiểm soát được hành vi của từng người khi khi có hàng trăm, hàng ngàn người. Vậy nên trong trường hợp này cần đến Computer Forensics.

Những trường hợp cần đến Forensic

Khi một ngày đẹp trời bỗng chủ doanh nghiệp gặp phải những vấn đề sau:

  • Công ty bị gửi email hoặc tin nhắn nặc danh khủng bố và bạn muốn điều tra xem ai là thủ phạm?
  • Công ty của bạn bị tấn công từ chối dịch vụ (DDOS) và các bạn muốn biết tin tặc đến từ đâu?
  • Website bị hủy hoại, hệ thống công ty bị kẻ lạ xâm nhập và bạn muốn tìm ra ai là thủ phạm?
  • Thông tin, dữ liệu nhạy cảm trong công ty bị tiết lộ ra ngoài mà bạn không biết lộ thông tin từ đâu (từ những máy tính bên ngoài hay từ nội bộ công ty truyền ra) và ai làm lộ chúng?
  • Bạn muốn xác định nguyên nhân máy tính bị tấn công sau đó tìm cách khắc phục để sự việc không tái diễn hay chính xác hơn là xác định được thủ phạm. Đó là lúc bạn cần đến sự hỗ trợ của Forensics.
Đây có thể coi là môn nghiên cứu cấp cao và làm việc với dữ liệu máy tính

Forensic những đối tượng nào trên máy tính?

Forensic thường làm việc với các đối tượng sau đây trên máy tính:

  • Phương tiện vật lý và Quản lý phương tiện: Làm việc với bộ phận liên quan đến phần cứng, các tổ chức phân vùng để phục hồi dữ liệu khi bị xóa…
  • Hệ thống tập tin: Phân tích các file hệ thống, hệ điều hành windows, linux, android….đang được cài đặt trên máy tính
  • Application: Phân tích dữ liệu từ ứng dụng tồn tại như các file Log, file cấu hình, reverse ứng dụng…
  • Network: Phân tích gói tin mạng hay những sự bất thường xảy ra trong mạng
  • Bộ nhớ: Phân tích các dữ liệu trên bộ nhớ, thường các dữ liệu được lưu trữ trên RAM được dump ra
Forensic là gì? – Những đối tượng mà Forensic làm việc thường chứa những thông tin quan trọng

Mục đích của việc sử dụng Forensic

Mục đích sử dụng của kỹ thuật Forensics là phát hiện, duy trì và phân tích thông tin trên hệ thống máy tính để tìm kiếm thông tin làm bằng chứng phạm tội cho một vụ án.

Rất nhiều phương pháp điều tra được sử dụng trong việc điều tra tội phạm có sự kết hợp với kỹ thuật số, tuy nhiên cũng có một số trường hợp đặc biệt phải điều tra bằng những thông tin trên máy tính.

Ví dụ, người sử dụng chỉ cần mở một file trong máy và thay đổi nó, máy tính sẽ tự động ghi lại thời gian và ngày thực hiện thao tác truy cập file. Nếu nhân viên sử dụng máy tính rồi bắt đầu mở các file, không ai có thể chắc chắn họ không thay đổi điều gì. Từ đó, luật sư có thể lấy những thông tin để lập luận về giá trị pháp lý của những bằng chứng này nếu vụ việc được đưa ra tòa.

Ta không thể biết được kẻ đã đánh cắp thông tin là ai nhưng có thể biết họ đã lấy những gì

Các giai đoạn trong việc điều tra Forensic

Judd Robbins, là một chuyên gia máy tính và ông cũng là người đi đầu trong lĩnh vực Forensic đã liệt kê một số bước mà những điều tra viên cần làm khi muốn tìm kiếm bằng chứng từ máy tính:

Bước đầu tiên

Kiểm soát hệ thống thông tin máy tính để chắc chắn rằng thiết bị và dữ liệu được bảo vệ an toàn. Điều này có nghĩa điều tra viên cần phải nắm toàn quyền bảo mật để không có một ai có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra.

Các chuyên viên chỉ có thể làm việc với bản sao của những dữ liệu máy tính

Bước thứ hai

Tìm kiếm tất cả các file có trong hệ thống máy tính, bao gồm các file đã được mã hóa, được bảo vệ hay được ẩn hoặc bị xóa nhưng chưa bị ghi đè. Nhân viên điều tra nên sao chép lại tất cả các file của hệ thống, trong ổ đĩa của máy tính hay từ các ổ cứng cắm ngoài.

Bước thứ ba

Khôi phục lại các thông tin bị xóa bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu đã mất.

Bước thứ tư

Tìm kiếm thông tin của tất cả các file ẩn

Bước thứ năm

Giải mã và truy cập các file được bảo vệ bằng mật khẩu

Bước thứ sáu

Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần khó có thể tiếp cận.

Bước thứ bảy

Ghi lại tất cả các bước của quá trình điều tra. Bởi vì để cung cấp bằng chứng rằng công việc của điều tra viên thực hiện có bảo vệ thông tin của hệ thống máy tính.

Những tài liệu xác thực không chỉ có các file và dữ liệu được khôi phục mà còn bao gồm cả bản vẽ của hệ thống và nơi các file được mã hóa hoặc được ẩn.

Hãy cẩn thận vì những thông tin bị lấy cắp sẽ ảnh hưởng rất lớn đến bạn và nhiều người

Bước cuối cùng

Hãy chuẩn bị là nhân chứng trước tòa trong Forensics. Thậm chí, khi quá trình điều tra hoàn tất, công việc điều tra vẫn chưa xong. Họ có thể vẫn phải làm chứng trước tòa.

Tất cả các bước đều rất quan trọng, nhưng bước đầu mới là quan trọng hơn cả. Nếu nhân viên điều tra không thể kiểm soát được toàn bộ hệ thống máy tính thì bằng chứng không được xác thực. Bởi hệ thống máy tính bao gồm rất nhiều máy tính, ổ đĩa, ổ cứng cắm ngoài, ….

Lời kết

Rất nguy hiểm nếu như máy tính của bạn bị đánh cắp những thông tin bảo mật hay thậm chí là thông tin cá nhân, với các bí mật kinh doanh của các doanh nghiệp còn quan trọng hơn cả.

Vậy qua bài này, chúng tôi đã cung cấp đến độc giả khái niệm về Forensic là gì, những đối tượng mà Forensic làm việc. Mong rằng nếu bạn gặp phải trường hợp này sẽ tìm được hướng giải quyết.

Leave a reply:

Your email address will not be published.

Site Footer