Luận văn Nghiên cứu, xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố an toàn thông tin

ra nó có một kho công cụ pháp y máy tính riêng biệt cho các nhà điều tra số. Trang chủ: https://www.Kali.org/ Nền tảng : Debian Chức năng: Kiểm thử bảo mật và điều tra số Kali Linux là một trong những hệ điều hành được lựa chọn hàng đầu cho những người kiểm thử thâm nhập và những người đam mê bảo mật trên toàn thế giới. Nó được sử dụng trong CEI (Certified EC-Council Instructor) cho khóa học Hacker để chứng nhận (CEH). Kali luôn được coi là ngôi sao trong lĩnh vực bảo mật và an toàn thông tin do có nhiều Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 24 chương trình bảo mật đi kèm từ các công cụ quét và trinh sát đến các công cụ khai thác tiên tiến và công cụ báo cáo. Giống như các công cụ được đề cập ở trên, Kali Linux có thể được sử dụng như một công cụ phục vụ cho công việc điều tra số, vì nó chứa nhiều công cụ cần thiết cho các cuộc điều tra toàn diện. Tuy nhiên, Kali cũng có thể được sử dụng như một hệ điều hành hoàn chỉnh, vì nó có thể được cài đặt hoàn toàn vào đĩa cứng hoặc ổ đĩa Flash và cũng chứa một số công cụ cho năng suất và giải trí. Nó đi kèm với nhiều trình điều khiển cần thiết để sử dụng được trên phần cứng, đồ họa và mạng và cũng chạy trơn tru trên cả hệ thống 32bit và 64bit với tài nguyên tối thiểu, nó cũng có thể được cài đặt trên một số thiết bị di động, chẳng hạn như điện thoại và máy tính bảng Nexus và OnePlus. Ngoài ra, Nó có thể khởi động từ đĩa CD / DVD trực tiếp hoặc ổ đĩa flash nhờ đó điều tra viên có một số tùy chọn, bao gồm Live (chế độ pháp y), giữ nguyên ổ đĩa chứng cứ và không giả mạo nó bằng cách vô hiệu hóa các chương trình tự động ghi đè lên các ổ đĩa flash và phương tiện lưu trữ khác, cung cấp tính toàn vẹn của chứng cứ ban đầu trong suốt quá trình điều tra. Khi khởi động Kali Linux từ ổ đĩa DVD hoặc flash, trước tiên người dùng sẽ được cung cấp các tùy chọn cài đặt đi kèm. Chọn tùy chọn thứ ba ở danh sách sẽ đưa chúng ta vào Live (chế độ pháp y) phục vụ điều tra số như được thấy trong ảnh dưới đây: Hình 2. 8 - Giao diện khởi động của Kali Linux Khi Kali Live (chế độ pháp y) đã khởi động, điều tra viên thấy một màn hình chính hiện lên như trong ảnh dưới dây: Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 25 Hình 2. 9- Giao diện desktop của Kali Linux Menu Kali có thể được tìm thấy ở góc trên cùng bên trái bằng cách nhấp vào Application, danh sách các mục hiện ra, danh mục pháp y ở thứ tự số 11 – Forensics như trong ảnh ở dưới đây: Hình 2. 10 - Các ứng dụng Forensics trên Kali Linux Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 26 Cần lưu ý rằng các công cụ được liệt kê trong mục 11- Forensics không phải là công cụ duy nhất có sẵn trong Kali, còn một số công cụ khác có thể được tải thông qua Terminal Điều đáng chú ý là, khi ở chế độ pháp y Kali không can thiệp vào ổ đĩa chứng cứ ban đầu mà còn không ghi dữ liệu vào tệp hoán đổi, nơi dữ liệu quan trọng được truy cập và lưu trữ gần đây trong bộ nhớ có thể nằm. Ảnh chụp màn hình sau đây cho thấy một chế độ xem khác khi truy cập menu Frorensics bằng biểu tượng chín chấm trong hình vuông ở cuối cùng trong danh sách menu thanh bên trái màn hình chính: Hình 2. 11 - Chế độ khác trong giao diện Kali Linux Tham khảo liên kết “https://tools.Kali.org/tools-listing” để tải đầy đủ các tính năng và gói được bao gồm trong Kali Linux [4]. 2.4. Công cụ thu thập chứng cứ trên Windows và Kali Linux 2.4.1 Công cụ thu thập chứng cứ trên Windows 2.4.1.1. Giới thiệu công cụ thu thập chứng cứ Ir-Rescue Ir-Rescue là một tập lệnh Windows Batch thu thập dữ liệu số từ các tệp hệ thống Windows 32bit và 64bit. Nó được thiết kế để sử dụng phản ứng sự cố ở các giai đoạn khác nhau trong quá trình phân tích và điều tra. Nó có thể được thiết lập để thực hiện thu thập dữ liệu toàn diện cho mục đích phân loại, cũng như thu thập tùy chỉnh các loại dữ liệu cụ thể. Công cụ này có độ tin cậy cao để sử dụng làm giải pháp thu thập chứng cứ, bất kể nhu Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 27 cầu điều tra và ít phụ thuộc vào hỗ trợ tại chỗ khi không có quyền truy cập từ xa hoặc phân tích trực tiếp. Ir-Rescue sử dụng các lệnh Windows tích hợp và các tiện ích bên thứ ba nổi tiếng từ Sysiternals và NirSoft, ví dụ, một số là nguồn mở. Nó được thiết kế để nhóm các bộ tệp theo loại dữ liệu. Ví dụ: Tất cả dữ liệu liên quan đến kết nối mạng, như chia sẻ tệp mở và kết nối TCP, được nhóm lại với nhau, trong khi chạy các quy trình, dịch vụ và tác vụ được thu thập dưới phần mềm độc hại. Công cụ này cũng được thiết kế nhằm mục đích không sử dụng PowerShell và WMI để làm cho nó tương thích theo chiều ngang. Việc thu thập các loại dữ liệu và các tùy chọn chung khác được chỉ định trong một tệp cấu hình đơn giản. Cần lưu ý rằng công cụ khởi chạy một số lượng lớn các lệnh và công cụ, do đó để lại một dấu vết đáng kể trên hệ thống. Thời gian chạy khác nhau tùy thuộc vào công suất tính toán và cấu hình được đặt, mặc dù nó thường kết thúc trong vòng tối đa một giờ nếu được định cấu hình để chạy hoàn toàn. Ir-Rescue được viết để ứng phó sự cố và được dùng các nhà phân tích pháp y, cũng như cho các nhà thực hành bảo mật, nó đã được sử dụng trong các công ty như Cisco, PepsiCo, SaskTel, Praetorian và Counteractive Security. Nó nỗ lực hợp lý hóa việc thu thập dữ liệu máy chủ, bất kể nhu cầu điều tra và ít phụ thuộc vào hỗ trợ tại chỗ khi không có quyền truy cập từ xa hoặc phân tích trực tiếp. Do đó, nó có thể được sử dụng để tận dụng các công cụ và lệnh đã được gói trong các hoạt động pháp y [7]. 2.4.1.2. Cấu trúc và cách sử dụng công cụ thu thập chứng cứ Ir-Rescue - Cấu trúc của công cụ Ir-Rescue Ir-Rescue phụ thuộc vào một số tiện ích của bên thứ ba để thu thập dữ liệu cụ thể từ máy chủ lưu trữ. Các phiên bản của các công cụ được liệt kê trong phần cuối cùng và được cung cấp với gói như hiện tại, do giấy phép và thỏa thuận người dùng của chúng phải được chấp nhận trước khi chạy Ir-Rescue. Lưu ý rằng các tiện ích Sysiternals không thể được phân phối lại cho người khác sao chép theo điều khoản cấp phép phần mềm của Sysiternals. Do đó, Ir-Rescue không còn được xuất bản cùng với các tiện ích Sysiternals, và vì vậy tất cả các mục được liệt kê trong phần danh sách và tài liệu tham khảo của bên thứ ba phải được tải xuống từ kho lưu trữ trực tuyến của Sysiternals và chuyển vào các thư mục phù hợp của chúng để tập lệnh chạy. Các mô tả và tổ chức của bộ công cụ được đưa ra dưới đây, với cả phiên bản 32bit và 64bit của các công cụ Windows được bao gồm một cách ngẫu nhiên, nếu có: + tools-win\: Thư mục chứa công cụ bên thứ ba ir-rescue-win: o activ\: Công cụ phân tích cú pháp người dùng ▪ exiftool.exe: Phân tích tệp liên kết (LNK). Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 28 ▪ JLECmd.exe: Phân tích danh sách nhảy đích tự động và tùy chỉnh; ▪ LastActivityView.exe: Hiển thị mini-timeline về hoạt động của người dùng và hệ thống như đăng nhập và đăng xuất; ▪ rifiuti-vista[64].exe: Phân tích cú pháp tái chế các tập tin bin; ▪ USBDeview[64].exe: Lists previously and currently connected USB devices; o ascii\: Text ASCII art files in *.txt format; o cfg\: Tệp cấu hình: ▪ ir-rescue-win.conf: Tệp cấu hình chính ir-rescue-win; ▪ nonrecursive-(acl|iconsext|md5deep).txt: accesschk[64].exe, iconsext.exe and md5deep[64].exe non-recursive locations; ▪ nonrecursive.txt: Non-recursive locations cho nhiều công cụ; ▪ recursive-(acl|iconsext|md5deep).txt: accesschk[64].exe, iconsext.exe and md5deep[64].exe Fecursive locations; ▪ recursive.txt: Fecursive locations cho nhiều công cụ; o cygwin\: Công cụ Cygwin và Dynamic Linked Libraries (DLLs): ▪ tr.exe: Được sử dụng để cắt các ký tự không in được; ▪ grep.exe: Được sử dụng để lọc ngày với các biểu thức thông thường; o disk\: Công cụ ổ đĩa: ▪ EDD.exe: Kiểm tra phần mềm mã hóa đĩa; o evt\: Công cụ hiển thị Windows events: ▪ psloglist.exe: Trích xuất Windows event logs; o fs\: Công cụ tệp system: ▪ tsk\: The Sleuth Kit (TSK) tools và DLLs: • fls.exe: Đi theo bảng tập tin chính (MFT); • mcat.exe: Xuất nội dung của một phân vùng; • mmls.exe: Hiển thị thông tin về các bảng phân vùng đĩa (DOS, GPT); ▪ AlternateStreamView[64].exe: Liệt kê các luồng dữ liệu thay thế (ADSs); ▪ ExtractUsnJrnl[64].exe: Chiết xuất C:\$Extend\$UsnJrnl (NTFS journal) tệp không chữa sparsed zeroes; ▪ md5deep[64].exe: Computes Message Digest 5 (MD5) giá trị hàm băm; ▪ ntfsinfo[64].exe: Hiển thị thông tin về NTFS; ▪ RawCopy[64].exe: Mở data trên NTFS level; o mal\: công cụ Malware: ▪ autoruns[64].exe: Chuyển các vị trí autorun sang định dạng nhị phân Autorun; ▪ autorunsc[64].exe: Liệt kê vị trí Autorun; Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 29 ▪ BrowserAddonsView[64].exe: Liệt kê plugins and add-ons từ nhiều multiple browser; ▪ densityscout[64].exe: Tính toán một biện pháp dựa trên Entropy để phát hiện các nhà đóng gói và mã hóa; ▪ DriverView[64].exe: Liệt kê các trình điều khiển Kernel đã tải; ▪ handle[64].exe: Danh sách Object xử lý; ▪ iconsext.exe: Trích xuất các biểu tượng từ Portable Executables (PEs); ▪ Listdlls[64].exe: Liệt kê các DLL được tải; ▪ OfficeIns[64].exe: Danh sách bổ trợ Microsoft Office đã cài đặt; ▪ pslist[64].exe: Danh sách running Processes; ▪ PsService[64].exe: Danh sách Services; ▪ sigcheck[64].exe: Kiểm tra chữ ký số trong PEs; ▪ WinPrefetchView[64].exe: Hiển thị nội dung của tập tin tìm nạp trước; o mem\: Công cụ Memory: ▪ winpmem_1.6.2.exe: Bỏ bộ nhớ; o net\: Công cụ Network: ▪ psfile[64].exe: Danh sách các tệp opened remotely; ▪ tcpvcon.exe: Dach sách kết nối TCP, ports và UDP ports; o sys\: Công cụ hệ thống: ▪ accesschk[64].exe: Liệt kê quyền của người dùng của các vị trí được chỉ định; ▪ logonsessions[64].exe: Liệt kê các phiên đăng nhập hiện đang hoạt động; ▪ PsGetsid[64].exe: Liệt kê các phiên đăng nhập hiện đang hoạt động; ▪ Psinfo[64].exe: Hiển thị thông tin phần mềm và phần cứng hệ thống; ▪ psloggedon[64].exe: Danh sách đăng nhập cục bộ trên người dùng có hồ sơ của họ trong sổ đăng ký; o web\: web tools: ▪ BrowsingHistoryView[64].exe: Liệt kê lịch sử duyệt web từ nhiều trình duyệt; ▪ ChromeCacheView.exe: Hiển thị bộ đệm Google Chrome; ▪ IECacheView.exe: Hiển thị bộ đệm Internet Explorer; ▪ MozillaCacheView.exe: Hiển thị bộ đệm Mozilla Firefox; o yara\: YARA Công cụ và chữ ký: ▪ rules\: *.yar thư mục quy tắc; ▪ yara(32|64).exe: YARA thực thi chính; ▪ yarac(32|64).exe: YARA trình biên dịch quy tắc; o 7za.exe: Nén tệp tin và thư mục; Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 30 o nircmdc[64].exe: Tính năng mở rộng, trong đó chụp ảnh màn hình; o sdelete(32|64).exe: Xóa an toàn các tệp tin và thư mục; + data\: Thư mục dữ liệu được tạo trong thời gian chạy với dữ liệu được thu thập: o -\: theo mẫu YYYYMMDD: ▪ ir-rescue-win: Thư mục cho ir-rescue-win liên quan đến dữ liệu: • ir-rescue-win.log: Tệp nhật ký verbose của thông điệp trạng thái; • ir-rescue-win-global.log: Tệp global log với ir-rescue-win các lệnh chạy trong quá khứ; • screenshot-#: Ảnh chụp màn hình được đánh số ir-rescue-win only; ▪ Thư mục được đặt tên theo loại dữ liệu được đặt cho bộ sưu tập [7]. - Cách sử dụng Ir-Rescue Ir-Rescue cần được chạy trong bảng điều khiển dòng lệnh với quyền quản trị viên trong khi Ir-Rescue cần được chạy dưới cửa sổ dòng lệnh với quyền root. Cả hai đều không yêu cầu đối số và sử dụng tệp cấu hình tương ứng để đặt các tùy chọn mong muốn. Như vậy, việc thực thi các tập lệnh chỉ cần chạy tệp như sau: o ir-rescue-win-v1.w.x.ba Một số công cụ thực hiện tìm kiếm đệ quy hoặc quét chỉ được đặt để lặp lại trên các thư mục cụ thể. Điều này làm cho việc thu thập dữ liệu được nhắm mục tiêu nhiều hơn trong khi tính đến hiệu suất thời gian chạy vì các thư mục được chỉ định là các vị trí có khả năng phân tích do sử dụng rộng rãi bởi phần mềm độc hại. Các vị trí cho tìm kiếm đệ quy và tìm kiếm không đệ quy cho các hệ thống Windows và Unix có thể được thay đổi theo ý muốn trong các tệp văn bản tương ứng trong các thư mục cấu hình. Một số công cụ có các tệp chuyên dụng với các vị trí cụ thể để và không tái diễn. Chúng được đặt tên đệ quy- .txt và Nonrecursive- .txt, với được đổi thành tên công cụ. Mỗi tệp phải có một vị trí là đường dẫn đầy đủ trên mỗi dòng mà không có dấu gạch chéo ngược hoặc dấu gạch chéo về phía trước. Trong thời gian chạy, tất cả các ký tự được in ra các kênh Standard Output (STDOUT) và Standard Error (STDERR) được ghi vào các tệp văn bản được mã hóa UTF-8. Điều này có nghĩa là đầu ra của các công cụ được lưu trữ trong các thư mục và tệp văn bản tương ứng. Các thông báo ASCII trạng thái vẫn được in ra bàn điều khiển để kiểm tra tiến trình thực hiện. Một thư mục tạm thời được tạo trong% TEMP% \ Ir-Rescue-win hoặc / tmp / Ir- Rescue-nix được sử dụng để lưu trữ dữ liệu thời gian chạy (ví dụ: trình điều khiển kết xuất bộ nhớ và liên kết đến các bản sao VSS) và bị xóa sau khi hoàn thành. Thư mục dữ liệu được tạo dưới dạng giữ chỗ cho dữ liệu trong quá trình khởi tạo. Sau khi thu thập, các thư Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 31 mục trống có thể bị xóa nếu không có dữ liệu nào được thu thập (ví dụ: bộ đệm của trình duyệt trống). Cuối cùng, dữ liệu được nén vào một kho lưu trữ được bảo vệ bằng mật khẩu và sau đó sẽ bị xóa, nếu được đặt để làm như vậy [7]. 2.4.2. Công cụ thu thập chứng cứ trên Kali Linux. 2.4.2.1. Công cụ thu thập chứng cứ Dc3dd - Giới thiệu công cụ dc3dd DC3DD (Department of Defense Cyber Crime Center). DC3DD là một gói của công cụ DD (Data Dump), nó được sử dụng để thu thập chứng cứ phục vụ cho điều tra số. Một số các tính năng của Data Dump (DD) như sau: + Bitstream (raw) disk acquisition and cloning. + Copying disk Phân vùng. + Copying folders and files. + Hard disk drive error checking. + Forensic wiping of all data on hard disk drive. - Các tính năng trên công cụ dc3dd Mở terminal sau đó sử dụng lệnh dc3dd - - help, liệt kê các tham số khả dụng được sử dụng với dc3dd Hình 2. 12 - Nội dung hiển thị câu lệnh dc3dd -- help Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 32 Như đã thấy trong ảnh chụp màn hình trước đó bằng cách sử dụng lệnh dc3dd - - help, cách sử dụng điển hình của lệnh DC3DD định dạng: Trong phần usage: ta thấy option được đưa vào trong câu lệnh | dc3dd [option 1] [option 2] . . . [option n] Basic option: phần giải thích về các lựa chọn tương ứng với từng option. + Các tùy chọn thu thập chứng cứ trên dc3dd Câu lệnh: dc3dd if=/dev/sdb2 hash=md5 log=dc3ddusb of=test_usb.dd Giải thích câu lệnh: o If: Tệp đầu vào có định danh chuyên biệt có định dạng .img o Hash: Hàm băm, chỉ định một loại thuật toán băm, trong ví dụ này chúng tôi sử dụng hàm băm MD5. o Log: Tên định dạng một loại của tệp ghi lại nhật ký các chi tiết hoạt động của chương trình. o Of: Tên tệp đầu ra của tệp chứng cứ sau khi thu thập được tạo bởi dc3dd. + Tách tập tin bằng DC3DD Phụ thuộc vào kích thước của chứng cứ thu thập, khả năng quản lý và tính di động, DC3DD có thể phân chia dữ liệu chứng cứ thành nhiều phần khác nhau. Điều này được thực hiện bằng các sử dụng các Tùy chọn ofsz và ofs: o Ofsz: chỉ định kích thước của từng tệp tin đầu ra. o Ofsz: chỉ định các tệp đầu ra với phần mở rộng tệp số, thông thường (.000, .001, .002, ) Trong ví dụ này, chúng tôi đã sử dụng ổ đĩa flash 2 GB giống như trước đây; tuy nhiên, với mục đích trình diễn, chúng ta sẽ nhận thấy hai thay đổi. Thay vì sử dụng hàm băm MD5, chúng tôi đã sử dụng hàm băm SHA-1 có định dạng .img cho tệp đầu ra thay thế định dạng trước đây là .dd. Thay vào đó, kích thước flash 2 GB hình ảnh sẽ được chia thành nhiều phần (tổng cộng bốn phần) 500 MB mỗi phần sử dụng ofsz = 500M với các phần có tên là 2GBdc3dd2. img. 000, 2GBdc3dd2. img.001, 2GBdc3dd2. img.002 và 2GBdc3dd2. img.003. Câu lệnh được sử dụng để tách tệp tin: | dc3dd if=/dev/sdb hash=sha1 log=dd_split_usb ofsz=500M ofs=split_test_usb. img. Ooo Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 33 Hình 2. 13 - Tệp .img được tách thành nhiều tệp nhỏ khác nhau + Xác minh hàm băm của các tệp sau khi phân tách Để xác minh hàm băm của các tệp tách, có thể sử dụng lệnh sau: | cat split_test_usb. img. * | sha1sum Cái này cũng phù hợp với đầu ra sha1sum của chính ổ đĩa flash 2 GB, được hiển thị bằng cách sử dụng lệnh sau: | sha1sum /dev/sdb + Xóa ổ đĩa bằng dc3dd Dc3dd ngoài khả năng là một công cụ thu thập dữ liệu rất mạnh, chúng còn có khả năng xóa dữ liệu. dc3dd có thể xóa sạch dữ liệu và xóa các ổ đĩa bằng cách ghi đè dữ liệu theo 3 cách: • Ghi đè và điền dữ liệu và ổ đĩa bằng số không. Lệnh được sử dụng là dc3dd wipe=/dev/sdb • Ghi đè và điền dữ liệu và ổ đĩa bằng mẫu thập lục phân bằng tùy chọn pat. Lệnh được sử dụng là dc3dd wipe=/dev/sdb pat=000111: • Ghi đè và điền dữ liệu và ổ đĩa bằng mẫu văn bản bằng tùy chọn tpat. Lệnh được sử dụng là dc3dd wipe=/dev/sdb tpat=cfsi [4]. 2.4.2.2. Công cụ thu thập chứng cứ Ir-Rescue. - Cấu trúc Ir-Rescue trong Linux Công cụ Ir-Rescue được sử dụng trên cả hai hệ điều hành Kali Linux và Windows, giới trong phần 2.4.1. chúng tôi đã giới thiệu tổng quan đầy đủ các khía cạnh về công cụ này, do đó trong phần này chúng tôi sẽ không nhắc lại, dưới đây trình bày cấu trúc của Ir-Rescue trong Linux: + tools-nix/: Thư mục chứa công cụ bên thứ ba ir-rescue-nix: o ascii/: Text ASCII art tệp in *.txt format; o cfg/: Tệp cấu hình: Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 34 ▪ ir-rescue-nix.conf: Tệp cấu hình chính ir-rescue-nix; ▪ nonrecursive-(hidden|md5sum).txt: Tệp ẩn và md5sum non-recursive locations; ▪ nonrecursive.txt: Non-recursive locations cho nhiều công cụ; ▪ recursive-(exec|hidden|md5sum).txt: Câu lệnh, tệp ẩn và md5sum recursive locations; ▪ recursive.txt: Recursive locations cho nhiều công cụ; o mem/: Công cụ bộ nhớ: ▪ linpmem-2.1.post4 (64-bit ELF): Dumps the memory; + Cách sử dụng Ir-Rescue Để sử dụng Ir-Rescue trong Linux mở terminal $$: chmod +x ./ir-rescue-nix-v1.y.z.sh; $$: ./ir-rescue-nix-v1.y.z.sh [7] 2.5. Một số phương pháp bảo mật phân vùng USB 2.5.1. BitLocker 2.5.1.1. Giới thiệu về BitLocker BitLocker là một tính năng bảo vệ dữ liệu có sẵn trong Windows Enterprise và Ultimate và máy tính chạy Windows Server 2008. BitLocker được Microsoft phát triển sau khi nhận được hàng loạt yêu cầu khách hàng về các mối đe dọa đánh cắp dữ liệu máy tính. Chức năng chính của BitLocker ngăn kẻ lạ khởi động hệ điều hành khác để ổ đĩa đã bị khóa hoặc chạy công cụ hack phần mềm để phá vỡ tệp hệ thống Windows nhằm thực hiện xem ngoại tuyến các tệp được lưu trữ trên ổ đĩa, nó thực hiện bằng cách mã hóa toàn bộ ổ đĩa chứa dữ liệu hệ thống Windows. BitLocker sử dụng Trusted Platform Module (TPM 1.2) để bảo vệ dữ liệu người dùng và để đảm bảo rằng PC chạy Windows V không bị giả mạo trong khi hệ thống ngoại tuyến. BitLocker tăng cường bảo vệ dữ liệu bằng cách kết hợp hai chức năng con: Mã hóa toàn bộ ổ đĩa và kiểm tra tính toàn vẹn của các thành phần khi khởi động ổ đĩa. Kiểm tra tính toàn vẹn của các thành phần khi khởi động ổ đĩa giúp đảm bảo rằng việc giải mã dữ liệu chỉ được thực hiện nếu các thành phần đó xuất hiện không bị biến đổi và ổ đĩa được mã hóa. BitLocker cung cấp tùy chọn khóa quy trình khởi động bình thường cho đến khi người dùng cung cấp mã PIN, giống như mã PIN thẻ ATM hoặc chèn ổ đĩa flash USB có chứa mã khóa. Các biện pháp bảo mật bổ sung này cung cấp xác thực đa yếu tố và đảm bảo rằng ổ đĩa được cài đặt BitLocker sẽ không khởi động hoặc cho đến khi xuất hiện đúng mã PIN hoặc ổ flash USB. Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 35 2.5.1.2. Chức năng chính của BitLocker BitLocker được Microsoft xây dựng là bảo vệ dữ liệu người dùng chữa trong ổ đĩa đang sử dụng trên nền tảng hệ điều hành Windows. Hai tính năng chính của BitLocker là nó không chỉ cung cấp mã hóa toàn bộ ổ đĩa mà còn xác minh tính toàn vẹn của các thành phần khởi khi khởi động ổ đĩa. Microsoft nêu ra các chức năng chính của BitLocker như sau: - Mã hóa dữ liệu ổ đĩa + Mã hóa toàn bộ ổ đĩa Windows, bao gồm cả dữ liệu người dùng và hệ thống tệp, tệp ngủ đông, tệp trang và tệp tạm thời. + Cung cấp bảo vệ cho các ứng dụng của bên thứ ba, các ứng dụng bên thứ ba được hưởng lợi khi được chứa bên trong ổ đĩa được mã hóa. - Đảm bảo tính toàn vẹn của quá trình khởi động + Cung cấp một phương pháp để kiểm tra xem tính toàn vẹn của tệp khởi động + Bảo vệ hệ thống khỏi các cuộc tấn công dựa trên phần mềm ngoại tuyến + Khóa hệ thống khi bị giả mạo - Tái sử dụng dữ liệu Dữ liệu được mã hóa sẽ được giữ an toàn trên ổ đĩa. Dữ liệu trên ổ đĩa được mã hóa có thể được hiển thị nếu như mã hóa được giải mã bằng khóa của chính nó. 2.5.1.3. Kiến trúc BitLocker Kiến trúc hệ thống của BitLocker yêu cầu thành phần chức năng sau: - Hệ thống cần yêu cầu phải có Trusted Platform Module (TPM) v1.21 để báo cáo và đo lường toàn vẹn quá trình khởi động hệ thống. - Hệ thống phải có BIOS v1.2 TCG (Trusted Computing Group). + BIOS thiết lập chuỗi tin cậy để khởi động preOS. + The system must include support for TCG specified (SRTM). + Hệ thống phải bao gồm hỗ trợ cho TCG được chỉ định (Static Root Trust Measurement) (SRTM). + Máy tính phải có ít nhất hai ổ đĩa. + Ổ đĩa hệ điều hành (HĐH): Tệp hệ thống của hệ điều hành Windows và các tệp hỗ trợ của nó; nó phải được định dạng bằng NTFS. Dữ liệu trên ổ đĩa này được bảo vệ bởi BitLocker. + Ổ đĩa hệ thống: Ổ đĩa chứa các tệp phần cứng cần thiết để tải máy tính Windows sau khi BIOS khởi động nền tảng. Để BitLocker hoạt động, ổ đĩa hệ thống không được mã hóa, phải khác với ổ đĩa hệ điều hành và phải được định dạng bằng NTFS. Dung Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 36 lượng hệ thống của chúng ta phải tối thiểu 1,5 gigabyte (GB). Dữ liệu, bao gồm dữ liệu người dùng bổ sung, được ghi vào ổ đĩa này không được BitLocker bảo vệ [9]. Hình 2. 14 - Kiến trúc BitLocker 2.5.1.4. Quản lý khóa BitLocker - Tổng quan quản lý khóa BitLocker Để đạt được mức độ bảo mật cao hơn, mà không ảnh hưởng lớn đến khả năng sử dụng, BitLocker hỗ trợ các loại thuật toán mã hóa và lớp mã hóa khác nhau, bao gồm xác thực đa yếu tố. Lưu ý rằng chỉ có một tập hợp con các tùy chọn khả dụng khi hoạt động ở chế độ FIPS. Mục tiêu chính của BitLocker là bảo vệ dữ liệu người dùng trên ổ đĩa hệ điều hành của ổ cứng. Để đạt được điều này, các thành phần của đĩa được mã hóa bằng Khóa mã hóa Chương 2: Giải pháp thu thập chứng cứ bằng USB chuyên dụng Học viên: Đỗ Bá Sơn 37 toàn khối (FVEK), luôn được mã hóa bằng Volume Master Key (VMK) được gắn với TPM (trong các kịch bản TPM). VMK trực tiếp bảo vệ FVEK do đó bảo vệ VMK trở nên quan trọng. Bảo vệ đĩa thông qua VMK cho phép hệ thống dễ dàng khóa lại khi một trong các khóa khác ngược dòng trong chuỗi bị mất hoặc bị xâm phạm, đặc biệt là khi giải mã và mã hóa lại toàn bộ ổ đĩa. Bảng 2. 1 - Một số cách để mã hóa VMK Ngữ cảnh VMK blob Thuật toán sử dụng để giải mã VKM Khả năng sẵn sàng FIPS-mod Default (TPM-only) SRK(VMK) RSA Yes TPM và PIN (SRK + SHA256(PIM)(VMK) RSA Yes TPM và PIN và USB XOR ((SRK + SHA256(PIN)),SK) (VKM) RSA Yes TPM vaf USB (TPM+SK) XOR(SRK(IK),SK)(VMK) RSA Yes Khởi động khóa (SK) SK (VMK) RSA Yes Thu hồi khóa (RK) RK(VMK) RSA Yes Thu hồi mật khẩu (Chain- hashing(Password),Salk)(VMK) RSA No Xóa khóa (CC) CC(VM) RSA No Tự động mở khóa RSA Yes SRK là khóa gốc lưu trữ được giữ bởi TPM. Đó là cặp khóa RSA 2048 bit được tạo khi quyền sở hữu TPM được thực hiện. SRK, được gọi ở đây là khóa RSA, thực sự là khóa công khai RSA; thành viên Private key của cặp này không bao giờ được hiển thị bởi TPM. SRK được lưu trữ trong bộ nhớ được bảo vệ trong chế độ bất biến của TPM và không thể xóa được. Điều này giúp đảm bảo rằng tài liệu Private key không thể bị rò rỉ và ngăn không cho khóa được sử dụng trên bất kỳ nền tảng nào ngoài nền tảng mà chúng được tạo trên đó. Tuy nhiên, các cơ chế có sẵn để di chuyển các khóa từ TPM này sang TPM khác, nhằm mục đích sao lưu và khắc phục thảm họa. Các hoạt động chính của TPM dựa trên SRK. Khi quyền sở hữu được thực hiện đối với TPM, chủ sở hữu mới được yêu cầu chỉ định hai mẩu thông tin ủy quyền, ủy quyền sở hữu và ủy quyền sử dụng SRK. Ủy quy