M57-Jean - HackMD

M57-Jean là một bài tập hình ảnh đĩa đơn liên quan đến việc lọc các tài liệu công ty từ máy tính xách tay của một giám đốc điều hành cấp cao. Bài tập liên quan đến một công ty nhỏ mới thành lập, M57.Biz. Một vài tuần kể từ khi bắt đầu, một bảng tính bí mật có tên và lương của các nhân viên chủ chốt của công ty đã được đăng lên phần "nhận xét" của một trong những đối thủ cạnh tranh của công ty. Bảng tính chỉ tồn tại trên một trong những cấp cao của M57, Jean. Jean nói rằng cô ấy không biết dữ liệu đã rời khỏi máy tính xách tay của mình như thế nào và chắc chắn cô ấy đã bị tấn công. Bạn đã nhận được một hình ảnh đĩa của máy tính xách tay của Jean. Công việc của bạn là tìm ra cách dữ liệu bị đánh cắp hoặc Jean không vô tội như cô ấy tuyên bố. *tham khảo trình bày: https://www.slideshare.net/MUSAABHASAN/cyber-forensics-lab-4 Cần trả lời 4 câu hỏi: 1\. Loại hình điều tra 2\. Bảng tính được tạo khi nào? 3\. Bảng tính được gửi đi sang đối thủ cạnh tranh như thế nào? 4\. Ai có liên quan đến sự việc trên Đề bài https://digitalcorpora.org/corpora/scenarios/m57-jean/ Hướng dẫn https://www.youtube.com/watch?v=L5cCgi68Xzs Kết quả cần đạt được (yêu cầu kèm hình ảnh tự làm) # Digital Forensic Report # Tóm Tắt Báo cáo pháp y kỹ thuật số này sẽ ghi lại những phát hiện của giám định viên Dương Bảo Châu trên hình ảnh ổ cứng máy tính xách tay do điều tra viên trưởng Nguyễn Văn Khôi cung cấp. Người dùng chính của hình ảnh máy tính xách tay là Jean Jones, Giám đốc tài chính của M57.biz. Bà Jones bị cáo buộc đánh cắp thông tin nhạy cảm của công ty cho một đối thủ cạnh tranh qua email. Giám định viên Gordy đã kiểm tra hình ảnh ổ cứng bằng công cụ mã nguồn mở Autopsy và xác nhận tệp đang được đề cập đã được bà Jones gửi đến một tài khoản email bên ngoài mạng công ty. Sau đó, câu hỏi tự nhiên chuyển sang việc bà Jones có biết mình đang đánh cắp dữ liệu hay không. Báo cáo này sẽ chỉ ra rằng mặc dù có thể, và thậm chí có khả năng là bà Jones đã đồng lõa trong tội ác, nhưng giám định viên Gordy không tìm thấy bằng chứng xác đáng nào chứng minh bà Jones có ý định phạm tội. Tuy nhiên, cũng sẽ chỉ ra rằng có nhiều hành vi và hành động được xác định trên máy tính gây nghi ngờ và nên tiến hành điều tra thêm. # Section 1 - Thông tin ## Giám định Dương Bảo Châu - sinh viên khoa an toàn thông tin học viện kỹ thuật mật mã. ## hành vi phạm tội Đánh cắp dữ liệu doanh nghiệp ## bị cáo Jean Jones # Section 2 - Background M57.biz là một công ty khởi nghiệp web thời thượng đang phát triển danh mục nghệ thuật cơ thể. Công ty là một tập đoàn ảo phi tập trung với các nhân viên làm việc tại nhà hoặc địa điểm của họ có quyền truy cập internet công cộng và cộng tác với các công cụ trực tuyến. Hầu hết các tài liệu được trao đổi qua email. Công ty hiện có chín nhân viên, mười nhân viên được tuyển dụng trong năm đầu tiên. Jean Jones, Giám đốc tài chính của M57.biz bị tình nghi đã đánh cắp thông tin nhân viên nhạy cảm cho một trong những đối thủ cạnh tranh của M57.biz. Một bảng tính chứa thông tin bí mật đã được đăng dưới dạng tệp đính kèm trong diễn đàn "hỗ trợ kỹ thuật" của trang web của đối thủ cạnh tranh. Bảng tính này được lấy từ máy tính của Giám đốc tài chính Jean. Trong bài báo cáo này, tôi sẽ trình bày các hoạt động tôi đã sử dụng để thu thập dữ liệu cho vụ án, các công cụ và phương pháp tôi đã sử dụng để phân tích dữ liệu, các khía cạnh pháp lý tôi phải cân nhắc, chuỗi bằng chứng của quyền giám hộ, các phát hiện của tôi và khuyến nghị lên tòa án. # Section 3 - Câu hỏi liên quan đến vụ án 1. Loại hình điều tra 2. Bảng tính được tạo khi nào? 3. Bảng tính được gửi đi sang đối thủ cạnh tranh như thế nào? 4. Ai có liên quan đến sự việc trên # Section 4 - Phần mềm được sử dụng ## Hệ điều hành Windows 10 Enterprise ## Forensic Analysis Autopsy, FTK imager, Outlook 2016. # Section 5 - Thu thập bằng chứng Điều quan trọng cần lưu ý là với tư cách là điều tra viên pháp y, tôi đã không chụp ảnh ổ cứng gốc. Tôi đã được cung cấp một bản sao của hình ảnh ổ đĩa ở Định dạng tệp Encase để phân tích. Mặc dù định dạng tệp này thường được gọi là định dạng tệp E01 nhưng có phần không đúng vì định dạng tệp thực tế được gọi chính thức là Định dạng tệp hình ảnh Encase. Định dạng tệp này chia hình ảnh ổ đĩa thành nhiều tệp thường ở mức 640 MB. Mỗi khối có một tiêu đề với thông tin về trường hợp, sau đó là một loạt các khối dữ liệu 32 KB theo sau là kiểm tra dự phòng theo chu kỳ sau mỗi khối dữ liệu và cuối cùng kết thúc bằng tổng MD5 cho toàn bộ khối 640 MB. Hình ảnh ổ đĩa này sẽ được chia thành các tệp có đuôi là E01, E02, E03 … EXX. Tuy nhiên, vì tệp đầu tiên luôn kết thúc bằng E01 nên định dạng này đã được biết đến bằng mã định danh này. ![image](https://hackmd.io/_uploads/rkzWDB22C.png) # Section 6 - Pháp lý Luật Bằng chứng Kỹ thuật số có xu hướng xoay quanh hai vấn đề chính: tính xác thực và tính toàn vẹn. Tính xác thực gắn liền với tính toàn vẹn ở chỗ bằng chứng kỹ thuật số xác thực là bằng chứng kỹ thuật số có thể được chứng minh là có tính toàn vẹn. Bằng chứng được xử lý theo cách không sửa đổi theo bất kỳ cách nào so với bản gốc. Trong trường hợp của chúng tôi, thám tử thực hiện quy trình tạo ảnh ổ đĩa đã sử dụng các hàm băm mật mã để xác định rằng ổ đĩa nguồn và ảnh đích được sử dụng để phân tích là giống hệt nhau. Đối với cuộc điều tra pháp y, tôi đã sử dụng phần mềm Autopsy nổi tiếng và đã được chứng minh hợp pháp để thực hiện phân tích ảnh đĩa. Phần mềm này được đảm bảo không sửa đổi nội dung của ảnh theo bất kỳ cách nào. Tính dễ sửa đổi là mối quan tâm trong thế giới kỹ thuật số và việc sử dụng phần mềm có thể được kiểm toán về tính chính xác hoặc đã được bên thứ ba kiểm toán là điều quan trọng đối với điều tra viên pháp y kỹ thuật số. Hai khía cạnh pháp lý khác mà chúng ta phải xem xét là tính liên quan và độ tin cậy. Trước khi chấp nhận bằng chứng kỹ thuật số, tòa án sẽ xác định xem bằng chứng đó có liên quan hay không, bằng chứng đó có xác thực hay không, bằng chứng đó có phải là tin đồn hay không và liệu bản sao có được chấp nhận hay không, hay bản gốc là bắt buộc. Sau khi bằng chứng kỹ thuật số được chứng minh là có tính xác thực, toàn vẹn và có liên quan, chúng tôi có thể khẳng định rằng bằng chứng đó có thể được tòa án tin cậy. Trong trường hợp của chúng tôi, hình ảnh ổ đĩa không bị thay đổi theo bất kỳ cách nào sau khi tôi tiếp quản hình ảnh ổ đĩa. Tất cả các bước đều có thể được sao chép bằng bản sao giống hệt ổ đĩa và phần mềm được chỉ định trong bản trình bày. Mối quan tâm cuối cùng của tòa án là khả năng làm chứng về ý kiến của tôi về bằng chứng. Quy tắc liên bang về bằng chứng 702 nêu rằng “Một nhân chứng đủ điều kiện là chuyên gia về kiến thức, kỹ năng, kinh nghiệm, đào tạo hoặc giáo dục có thể làm chứng dưới hình thức ý kiến hoặc cách khác nếu: a) Kiến thức khoa học, kỹ thuật hoặc kiến thức chuyên môn khác của chuyên gia sẽ giúp người xác minh sự thật hiểu được bằng chứng hoặc xác định sự thật đang được tranh luận; b) Lời khai dựa trên đủ sự kiện hoặc dữ liệu; c) Lời khai là sản phẩm của các nguyên tắc và phương pháp đáng tin cậy; d) Chuyên gia đã áp dụng các nguyên tắc và phương pháp một cách đáng tin cậy vào các sự kiện của vụ án.” # Section 7 - Kiểm tra bằng chứng Trường hợp này là trường hợp nghi ngờ dữ liệu công ty bị rò rỉ qua email. Vì giao tiếp qua email được chỉ định là điểm rò rỉ, tôi đã dành phần lớn thời gian của mình trong tab Giao tiếp và trình xem timestamp trong Autopsy 4.9.1. Công cụ giao tiếp kiểm tra hình ảnh ổ đĩa máy tính để tìm email và giao tiếp trên phương tiện truyền thông xã hội. Công cụ timestamp cho phép điều tra viên xem tất cả các sự kiện mà Autopsy đã trích xuất từ máy tính theo thứ tự tuần tự. Chế độ xem này đã giúp tôi khám phá ra nhiều khía cạnh của timestamp. Một ví dụ về chế độ xem timestamp có thể được xem bên dưới. Sau khi xác định email có chứa bảng tính đã rò rỉ, tôi đã sử dụng công cụ timestamp để xem 4 giờ trước và sau email. Sau khi tìm thấy bất kỳ bằng chứng kỹ thuật số nào mà tôi cho là có ý nghĩa đối với vụ án, tôi sẽ thực hiện cùng một tập hợp các hoạt động để xem bốn giờ trước và sau sự kiện mới. Bằng cách thực hiện bài tập này với mỗi bằng chứng, tôi cho rằng chúng ta có thể thiết lập một timestamp hữu ích về các sự kiện. # Section 8 Timeline “Dấu thời gian và ngày tháng trên các tập tin có thể là bằng chứng mạnh mẽ buộc tội bị cáo vào máy tính và máy tính vào tội phạm. Tuy nhiên, dấu thời gian và ngày tháng có những hạn chế: Độ chính xác của chúng phụ thuộc trực tiếp vào độ chính xác của đồng hồ bên trong máy tính, chúng được gắn với một múi giờ cụ thể và chúng có thể dễ dàng bị thao túng” [TRÍCH DẪN Gon07 \l 1033]. Các dấu thời gian hiển thị bên dưới là từ máy tính của Jean và theo múi giờ địa phương của cô ấy. Không có bằng chứng nào về việc thao túng ngày tháng hoặc thời gian được tìm thấy trên máy tính. ![image](https://hackmd.io/_uploads/H1CaCd23C.png) • 12/6/2008 15:13:51 - Alison tạo tài liệu excel gốc • 18/7/2008 6:11:05 – Jean và Alison có một cuộc trò chuyện dài trên AIM, trong đó Jean chỉ ra trong một trò đùa rằng cô ấy có một công việc thứ hai: o *m57jean (6:11:05 AM): must be that second job I moonight at... ha ha* • 19/7/2008 16:23:26 – Jean mở Firefox. Jean thường sử dụng Internet Explorer để truy cập email. • 19/7/2008 16:31:00 – Jean hỏi Alison xem cô ấy sẽ sử dụng địa chỉ email của Alex hay Alison. Điều này có trước bất kỳ lần Alison sử dụng Alex nào. ![image](https://hackmd.io/_uploads/H1jdkKhn0.png) • 19/7/2008 16:32:51 – Email đầu tiên từ alex@m57.biz gửi cho Jean. Tại thời điểm này, có vẻ như kẻ tấn công đã kiểm soát tài khoản thông thường của Alison và bắt Alison gửi bằng tài khoản Alex. ![image](https://hackmd.io/_uploads/B1WdGt2hC.png) • 19/7/2008 16:33:21 – Nhật ký cài đặt VMWare cho thấy phần mềm đã được cài đặt thành công • 19/7/2008 16:39:57 – Email từ Alison gửi cho Jean đề cập đến một nhà đầu tư tiềm năng yêu cầu thông tin để kiểm tra lý lịch. • 19/7/2008 16:43:48 – Email từ Alex (Alison) gửi cho Jean hỏi về các lập trình viên và liệu cô ấy có nghe được thông tin gì từ họ không • 19/7/2008 16:43:48 – Email từ Alex (Alison) gửi cho Jean nói rằng “Ồ. Có vẻ như email của tôi đã được định cấu hình sai” và cung cấp địa chỉ email đã sửa. • 19/7/2008 18:22:45 – simsong@xy.dreamhostps.com sử dụng địa chỉ trả lời tuckgorge@gmail.com gửi email cho Jean giả mạo trường tên địa chỉ email là địa chỉ email đầy đủ của Alison (alison@m57.biz) và nói rằng anh chàng VC đang rất khăng khăng, họ cần tệp ngay bây giờ. ![image](https://hackmd.io/_uploads/HJVnfKnnA.png) • 19/7/2008 18:26:18 - Ổ đĩa Flash 256MB được kết nối với máy tính • 19/7/2008 18:27:42 – Tệp m57biz.xls được truy cập trong C:\Documents and Settings\Jean\Desktop\m57biz.xls • 19/7/2008 18:28:00 - Jean gửi email trả lời có đính kèm bảng tính đến (alison@m57.biz) tuckgorge@gmail.com mà thực ra sẽ chuyển đến miền xy.dreamhostps.com. • 19/7/2008 18:28:02 – Jean truy cập lối tắt đến VMware Shared Folders • 19/7/2008 18:28:03 – Jean truy cập lại m57biz.xls ![image](https://hackmd.io/_uploads/SkwaQF3hC.png) • 19/7/2008 18:30:28 – Jean truy cập miền advertising.com bằng Internet Explorer. Điều này có thể chỉ là vô tình từ một quảng cáo nhúng nhưng đưa vào đây trong trường hợp đó là đối thủ cạnh tranh. ![image](https://hackmd.io/_uploads/SyfxVKnnC.png) • 19/7/2008 10:03:40 – tuckgorge@gmail.com có nguồn gốc từ các email miền xy.dreamhostps.com đã gửi email con Jean với trường tên địa chỉ email là địa chỉ email đầy đủ của Alison (alison@m57.biz) và nói Cảm ơn, tôi sẽ xử lý từ đây. Một lần nữa, đừng nói với bất kỳ ai. ![image](https://hackmd.io/_uploads/ryUXXY32C.png) Tại thời điểm này trong timestamp, quá trình trích xuất đã hoàn tất. Jean gửi email trả lời rằng “Chắc chắn rồi” và ngày hôm sau, hành động của cô bắt đầu bị các đồng nghiệp phát hiện khi họ nhận ra thông tin cá nhân về họ được đăng trên trang web của đối thủ cạnh tranh. ![image](https://hackmd.io/_uploads/B1vSQF3hA.png)