Những điều cần biết về Computer Forensics
Chắc hẳn bạn đã đọc được ở đâu đó về Forensics, Digital Forensics hay Computer Forensics nhưng vẫn chưa có hình dung cụ thể về các khái niệm này. Vậy bài viết này sẽ giúp bạn hiểu rõ hơn về Computer Forensics.
Khái niệm Computer Forensics
Computer Forensics hay còn gọi là điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi một máy tính hoặc mạng máy tính. Nhằm đưa ra những suy luận hợp lý để tìm nguyên nhân, giải thích những hiện tượng trong suốt quá trình điều tra.
Khái niệm Forensics (Forensic Science – khoa học pháp y) xuất phát từ lĩnh vực y tế từ thế kỷ 18 và liên quan đến điều tra pháp y. Ngày nay, Forensics đã được mở rộng ra rất nhiều lĩnh vực khác và điều đó khiến Computer Forensics ra đời.
Vào những năm 1980, cùng với sự phát triển của máy tính cá nhân, khi xảy ra trộm cắp thiết bị phần cứng, vi phạm bản quyền, mất dữ liệu... Các doanh nghiệp và chính phủ đã bắt đầu ý thức hơn về vấn đề bảo mật.
Mục tiêu của Computer Forensics
Có thể thấy rằng mục tiêu cốt lõi của Computer Forensic chính là phát hiện, bảo quản, khai thác, tài liệu hóa và đưa ra kết luận về các dữ liệu mà chúng thu thập được.
Tuy nhiên, có một lưu ý đó chính là dữ liệu cần đảm bảo tính xác thực và được lấy không bị hư hại. Nếu không dữ liệu đó sẽ không còn ý nghĩa nữa.
Tại sao cần phải Forensics?
Nếu bạn muốn xác định được nguyên nhân website của mình bị tấn công bởi thủ phạm nào và tìm cách khắc phục hiệu quả thì chắc chắn bạn sẽ cần đến Forensics. Ngoài ra, Forensics còn có khả năng xác định được các nguyên nhân, sự cố và đưa ra các biện pháp giải quyết tiếp theo. Bạn có thể dễ dàng phát hiện mã độc trên máy tính của mình hoặc kiểm tra sự bất thường trong mạng, phát hiện sự xâm nhập của người lạ... Đây chính là những ưu điểm mà người dùng cần đến Forensics.
Nguyên tắc trao đổi của Edmond Locard
Edmond Locard (1877 – 1966) được mệnh danh là Sherlock Holmes của nước Pháp. Ông là một chuyên gia điều tra pháp y và là người sáng lập Viện Hình sự học của trường Đại học Tổng hợp Lyon.
Nguyên tắc của Edmond Locard là bất cứ khi nào hai người tiếp xúc với nhau, một thứ gì đó từ một người sẽ được trao đổi với người khác và ngược lại. Nó có thể là tế bào da, bụi, bùn đất nhưng việc trao đổi này co xảy ra – vì thế nên chúng ta có thể bắt được nghi phạm.
Và với Computer Forensics, nguyên tắc này cũng hoàn toàn đúng. Khi bạn làm việc với máy tính hoặc một hệ thống thông tin, tất cả hành động của bạn sẽ đều bị viết lại (dù cho việc tìm thủ phạm trong trường hợp này sẽ khó khăn và mất thời gian hơn rất nhiều)
Đặc điểm của Computer Forensics
Dữ liệu cần phải phân tích lớn, nếu dữ liệu chỉ là text thì với dung lượng vài mb chúng ta cũng đã có một ượng thông tin rất lớn.
Dữ liệu thường sẽ không còn nguyên vẹn, vị phân mảnh, bị lỗi hoặc có thể bị thay đổi.
Việc bảo quản dữ liệu khó khăn.
Những dữ liệu thu được có tính toàn vẹn cao nên chỉ cần một thay đổi nhỏ có thể làm ảnh hưởng đến tất cả.
Dữ liệu forensic có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng…
Dữ liệu Forensics khá trừu tượng: dump file, mã máy, network packet...
Dữ liệu dễ dàng bị giả mạo.
Xác định tội pham khó khăn, có thể bạn tìm ra được dữ liệu về hacker (IP, email, profile…nhưng để xác định được được đối tượng thật ngoài đời thì cũng không hề đơn giản.
Computer Forensics những gì?
Computer Forensic thường làm việc với những đối tượng sau:
Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa… File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android… Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng dụng… Network: Phân tích gói tin mạng, sự bất thường trong mạng Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra
Ai làm Computer Forensics?
Thông thường, những người làm Forensics thường là những người có kinh nghiệm và kiến thức rộng về khoa học máy tính, bảo mật, mạng. Trong những trường hợp cần các kiến thức chuyên sâu hơn sẽ có nhiều người cùng tham gia giải quyết vấn đề. Ở những doanh nghiệp lớn, người làm An toàn vận hành sẽ đảm nhận công việc này.
Theo Bizfly Cloud chia sẻ
