Tài liệu được CEH VIETNAM biên soạn bám sát theo outline chính thức của EC Council về CHFI v11.

Sau khi hoàn thành thành công module này, bạn sẽ có thể:

https://cehvietnam.com/2021/07/29/khoa-hoc-dao-tao-chfi-v10-va-ho-tro-thi-chung-chi-quoc-te-chfi-v10/

1. Diễn giải việc sử dụng điều tra số đám mây
2. Tóm tắt các khái niệm về điện toán đám mây
3. Liệt kê tất cả các cuộc tấn công điện toán đám mây
4. Hiểu tầm quan trọng của điều tra số đám mây
5. Phân biệt giữa các loại điều tra số đám mây khác nhau
6. Hiểu vai trò của các bên liên quan trong điều tra số đám mây
7. Diễn giải các thách thức mà các điều tra viên phải đối mặt khi thực hiện điều tra số đám mây
8. Điều tra các dịch vụ lưu trữ đám mây Dropbox và Google Drive

Điện toán đám mây là một công nghệ mới nổi cung cấp các dịch vụ điện toán như ứng dụng kinh doanh trực tuyến, lưu trữ dữ liệu trực tuyến và thư điện tử qua Internet. Việc triển khai đám mây cho phép lực lượng lao động phân tán, giảm chi phí tổ chức, cung cấp bảo mật dữ liệu, v.v. Khi nhiều doanh nghiệp đang áp dụng đám mây, những kẻ tấn công biến đám mây thành mục tiêu khai thác của chúng để có quyền truy cập trái phép vào dữ liệu có giá trị được lưu trữ trong đó. Do đó, cần thực hiện kiểm tra thâm nhập đám mây thường xuyên để giám sát tình trạng bảo mật của nó.

Module này bắt đầu với tổng quan về các khái niệm điện toán đám mây. Chúng cung cấp cái nhìn sâu sắc về các mối đe dọa điện toán đám mây và các cuộc tấn công điện toán đám mây. Sau đó, thảo luận về bảo mật điện toán đám mây và các công cụ cần thiết. Module sẽ kết thúc với tổng quan về các bước kiểm tra thâm nhập mà một hacker đạo đức nên thực hiện để đánh giá bảo mật của môi trường đám mây cùng một số vi dụ minh họa và những sự kiện đã diễn ra trong quá khứ.

Giới thiệu về Điện toán đám mây

Đặc điểm của Điện toán đám mây

Điện toán đám mây là việc cung cấp theo yêu cầu các khả năng CNTT, trong đó cơ sở hạ tầng và ứng dụng CNTT được cung cấp cho người đăng ký dưới dạng dịch vụ được đo lường qua mạng

• Tự phục vụ theo yêu cầu
• Truy cập mạng rộng rãi
• Lưu trữ phân tán
• Chia sẻ tài nguyên
• Khả năng đàn hồi nhanh chóng
• Dịch vụ được đo lường
• Quản lý tự động
• Công nghệ ảo hóa

Điện toán đám mây là việc cung cấp theo yêu cầu các khả năng CNTT, trong đó cơ sở hạ tầng và ứng dụng CNTT được cung cấp cho người đăng ký dưới dạng các dịch vụ được đo lường qua mạng. Ví dụ về các giải pháp đám mây bao gồm Gmail, Facebook, Dropbox và Salesforce.com.

Dưới đây là các đặc điểm của điện toán đám mây thu hút nhiều doanh nghiệp ngày nay áp dụng công nghệ đám mây.

• Tự phục vụ theo yêu cầu Một loại dịch vụ được cung cấp bởi các nhà cung cấp dịch vụ đám mây cho phép cung cấp các tài nguyên đám mây như sức mạnh tính toán, lưu trữ, mạng, v.v. luôn theo yêu cầu, mà không cần tương tác của con người với nhà cung cấp dịch vụ.
• Lưu trữ phân tán Lưu trữ phân tán trong đám mây mang lại khả năng mở rộng, tính khả dụng và độ tin cậy dữ liệu tốt hơn. Tuy nhiên, lưu trữ phân tán đám mây có khả năng gây ra các mối quan ngại về bảo mật và tuân thủ.
• Khả năng đàn hồi nhanh chóng
  Đám mây cung cấp khả năng cung cấp tức thì, để nhanh chóng mở rộng hoặc thu hẹp quy mô, theo nhu cầu. Đối với người tiêu dùng, các tài nguyên có sẵn để cung cấp dường như là không giới hạn và họ có thể mua với bất kỳ số lượng nào vào bất kỳ thời điểm nào.
• Quản lý tự động Bằng cách giảm thiểu sự tham gia của người dùng, tự động hóa đám mây đẩy nhanh quy trình, giảm chi phí nhân công và giảm khả năng xảy ra lỗi của con người.
• Truy cập mạng rộng rãi Các tài nguyên đám mây có sẵn qua mạng và được truy cập thông qua các quy trình tiêu chuẩn, thông qua nhiều nền tảng khác nhau, bao gồm máy tính xách tay, điện thoại di động và PDA.
• Chia sẻ tài nguyên Nhà cung cấp dịch vụ đám mây tập hợp tất cả các tài nguyên để phục vụ nhiều khách hàng trong môi trường đa thuê, với các tài nguyên vật lý và ảo được phân bổ động và phân bổ lại theo yêu cầu của người tiêu dùng đám mây.
• Dịch vụ được đo lường Các hệ thống đám mây sử dụng phương pháp đo lường “trả tiền theo mức sử dụng”. Người đăng ký trả tiền cho các dịch vụ đám mây bằng cách đăng ký hàng tháng hoặc theo mức sử dụng tài nguyên như mức lưu trữ, sức mạnh xử lý, băng thông, v.v. Các nhà cung cấp dịch vụ đám mây giám sát, kiểm soát, báo cáo và tính phí việc sử dụng tài nguyên của khách hàng với sự minh bạch hoàn toàn.
• Công nghệ ảo hóa Công nghệ ảo hóa trong đám mây cho phép mở rộng nhanh chóng các tài nguyên theo cách mà các môi trường không ảo hóa không thể đạt được.

Hạn chế của Điện toán đám mây:

• Các tổ chức có quyền kiểm soát và linh hoạt hạn chế
• Dễ bị gián đoạn và các vấn đề kỹ thuật khác
• Các vấn đề về bảo mật, quyền riêng tư và tuân thủ
• Hợp đồng và khóa chặt
• Phụ thuộc vào kết nối mạng

Các loại Dịch vụ Điện toán đám mây

Các dịch vụ đám mây có ba loại dựa trên các dịch vụ được cung cấp mà các bạn ghi nhớ kỹ để giải đáp các câu hỏi trong bài thi chứng chỉ quốc tế CHFI :

Cơ sở hạ tầng dưới dạng Dịch vụ (IaaS) Dịch vụ điện toán đám mây này cho phép người đăng ký sử dụng các tài nguyên CNTT cơ bản như sức mạnh tính toán, ảo hóa, lưu trữ dữ liệu, mạng, v.v., theo yêu cầu. Vì các nhà cung cấp dịch vụ đám mây chịu trách nhiệm quản lý cơ sở hạ tầng điện toán đám mây cơ bản, người đăng ký có thể tránh được chi phí vốn con người, phần cứng và các chi phí khác (ví dụ: Amazon EC2, Go grid, Sungrid, Windows SkyDrive).

Ưu điểm:

• Mở rộng quy mô cơ sở hạ tầng động
• Thời gian hoạt động được đảm bảo
• Tự động hóa các tác vụ quản trị
• Cân bằng tải đàn hồi (ELB)
• Dịch vụ dựa trên chính sách
• Khả năng truy cập toàn cầu

Nhược điểm:

• Bảo mật phần mềm có rủi ro cao (các nhà cung cấp bên thứ ba dễ bị tấn công hơn)
• Các vấn đề về hiệu suất và tốc độ kết nối chậm

Nền tảng dưới dạng Dịch vụ (PaaS) Dịch vụ này cung cấp nền tảng để phát triển các ứng dụng và dịch vụ. Người đăng ký không cần mua và quản lý phần mềm và cơ sở hạ tầng bên dưới nhưng có quyền kiểm soát các ứng dụng đã triển khai và có thể là các cấu hình môi trường lưu trữ ứng dụng.

Ưu điểm của việc viết ứng dụng trong môi trường PaaS bao gồm khả năng mở rộng động, sao lưu tự động và các dịch vụ nền tảng khác, mà không cần phải mã hóa rõ ràng cho nó.

Ưu điểm:

• Triển khai đơn giản hóa
• Chức năng kinh doanh được xây dựng sẵn
• Rủi ro thấp hơn
• Cộng đồng tức thì
• Mô hình trả tiền theo mức sử dụng
• Khả năng mở rộng

Nhược điểm:

• Khóa chặt với nhà cung cấp
• Quyền riêng tư dữ liệu
• Tích hợp với phần còn lại của các ứng dụng hệ thống

Phần mềm dưới dạng Dịch Vụ (SaaS)

Dịch vụ điện toán đám mây này cung cấp phần mềm ứng dụng cho người đăng ký theo yêu cầu, qua Internet. Nhà cung cấp tính phí cho nó trên cơ sở trả tiền theo mức sử dụng, bằng cách đăng ký, bằng quảng cáo hoặc bằng cách chia sẻ giữa nhiều người dùng.

Ưu điểm:

• Chi phí thấp
• Quản trị dễ dàng hơn
• Khả năng truy cập toàn cầu
• Tương thích (Không yêu cầu phần cứng hoặc phần mềm đặc biệt)

Nhược điểm:

• Vấn đề bảo mật và độ trễ
• Phụ thuộc hoàn toàn vào Internet
• Chuyển đổi giữa các nhà cung cấp SaaS là khó khăn

Phân tách trách nhiệm trong Điện toán đám mây

Trong điện toán đám mây, việc phân tách trách nhiệm của người đăng ký và nhà cung cấp dịch vụ là rất cần thiết. Phân tách nhiệm vụ ngăn chặn xung đột lợi ích, hành vi bất hợp pháp, gian lận, lạm dụng và lỗi, đồng thời giúp xác định các lỗi kiểm soát bảo mật, bao gồm đánh cắp thông tin, vi phạm bảo mật và trốn tránh các biện pháp kiểm soát bảo mật. Nó cũng giúp hạn chế số lượng ảnh hưởng do bất kỳ cá nhân nào nắm giữ và đảm bảo rằng không có trách nhiệm xung đột nào.

Ba loại dịch vụ đám mây là IaaS, PaaS và SaaS. Điều quan trọng là phải biết những hạn chế của từng mô hình cung cấp dịch vụ đám mây khi truy cập các đám mây cụ thể và các mô hình của chúng. Sơ đồ trên slide minh họa việc phân tách trách nhiệm đám mây cụ thể cho các mô hình cung cấp dịch vụ.

Các mô hình triển khai đám mây

Việc lựa chọn mô hình triển khai đám mây dựa trên các yêu cầu của doanh nghiệp

Đám mây riêng Cơ sở hạ tầng đám mây hoạt động duy nhất cho một tổ chức

Đám mây công cộng Các dịch vụ được cung cấp qua mạng mở cho công chúng sử dụng

Đám mây cộng đồng Cơ sở hạ tầng chia sẻ giữa một số tổ chức từ một cộng đồng cụ thể với các mối quan tâm chung (bảo mật, tuân thủ, quyền tài phán, v.v.)

Đám mây lai Cơ sở hạ tầng đám mây với các thuộc tính của hai hoặc nhiều loại đám mây (tức là riêng tư, cộng đồng hoặc công cộng), cung cấp lợi ích của nhiều mô hình triển khai

Người ta có thể triển khai các dịch vụ đám mây theo những cách khác nhau, tùy theo các yếu tố sau đây:

• Nơi các dịch vụ điện toán đám mây được lưu trữ
• Yêu cầu bảo mật
• Chia sẻ dịch vụ đám mây
• Khả năng quản lý một số hoặc tất cả các dịch vụ đám mây
• Khả năng tùy chỉnh

Bốn mô hình triển khai đám mây phổ biến là:

Đám mây riêng

Đám mây riêng, còn được gọi là đám mây nội bộ hoặc doanh nghiệp, là cơ sở hạ tầng đám mây mà một tổ chức duy nhất vận hành. Tổ chức có thể triển khai đám mây riêng trong tường lửa doanh nghiệp. Các tổ chức triển khai cơ sở hạ tầng đám mây riêng để duy trì toàn quyền kiểm soát dữ liệu doanh nghiệp.

Ưu điểm:

• Tăng cường bảo mật (dịch vụ dành riêng cho một tổ chức)
• Kiểm soát tài nguyên nhiều hơn (tổ chức chịu trách nhiệm)
• Hiệu suất cao hơn (được triển khai trong tường lửa; do đó tốc độ truyền dữ liệu cao)
• Có thể tùy chỉnh hiệu suất phần cứng, mạng và lưu trữ (vì đám mây riêng thuộc sở hữu của tổ chức)
• Dữ liệu tuân thủ Sarbanes-Oxley, PCI DSS và HIPAA dễ dàng đạt được hơn nhiều

Nhược điểm:

• Đắt tiền
• Bảo trì tại chỗ

Đám mây lai

Đây là môi trường đám mây bao gồm hai hoặc nhiều đám mây (riêng tư, công cộng hoặc cộng đồng) vẫn là các thực thể riêng biệt nhưng được gắn kết với nhau để cung cấp lợi ích của nhiều mô hình triển khai. Trong mô hình này, tổ chức cung cấp, quản lý một số tài nguyên nội bộ và cung cấp các tài nguyên khác bên ngoài.

Ví dụ: Một tổ chức thực hiện các hoạt động quan trọng của mình trên đám mây riêng (chẳng hạn như dữ liệu hoạt động của khách hàng) và các hoạt động không quan trọng trên đám mây công cộng.

Ưu điểm:

• Có khả năng mở rộng hơn (chứa cả đám mây công cộng và riêng tư)
• Cung cấp cả tài nguyên bảo mật và tài nguyên công cộng có thể mở rộng
• Mức độ bảo mật cao (bao gồm đám mây riêng)
• Cho phép giảm và quản lý chi phí theo yêu cầu

Nhược điểm:

• Giao tiếp ở cấp độ mạng có thể khác nhau vì nó sử dụng cả đám mây công cộng và riêng tư
• Khó đạt được sự tuân thủ dữ liệu
• Tổ chức phải dựa vào cơ sở hạ tầng CNTT nội bộ để hỗ trợ xử lý mọi sự cố (duy trì dự phòng trên các trung tâm dữ liệu để khắc phục)
• Thỏa thuận mức dịch vụ (SLA) phức tạp

Đám mây cộng đồng

Đây là cơ sở hạ tầng đa thuê được chia sẻ giữa các tổ chức từ một cộng đồng cụ thể với các mối quan tâm điện toán chung như bảo mật, tuân thủ quy định, yêu cầu hiệu suất và quyền tài phán. Đám mây cộng đồng có thể là tại chỗ hoặc ngoài cơ sở và được quản lý bởi các tổ chức tham gia hoặc bởi nhà cung cấp dịch vụ được quản lý bởi bên thứ ba.

Ưu điểm:

• Ít tốn kém hơn so với đám mây riêng
• Linh hoạt để đáp ứng nhu cầu của cộng đồng
• Tuân thủ các quy định pháp lý
• Khả năng mở rộng cao
• Các tổ chức có thể chia sẻ một nhóm tài nguyên và từ bất kỳ đâu qua Internet

Nhược điểm:

• Cạnh tranh giữa người tiêu dùng trong việc sử dụng tài nguyên
• Không có dự đoán chính xác về tài nguyên cần thiết
• Ai là thực thể pháp lý trong trường hợp trách nhiệm pháp lý
• Bảo mật vừa phải (các thuê bao khác có thể truy cập dữ liệu)
• Mối quan ngại về tin cậy và bảo mật giữa các thuê bao

Đám mây công cộng

Trong mô hình này, nhà cung cấp cung cấp các dịch vụ như ứng dụng, máy chủ và lưu trữ dữ liệu cho công chúng qua Internet. Trong mô hình này, nhà cung cấp đám mây chịu trách nhiệm về việc tạo ra và bảo trì liên tục đám mây công cộng và các tài nguyên CNTT của nó. Các dịch vụ đám mây công cộng có thể miễn phí hoặc dựa trên mô hình trả tiền theo mức sử dụng (ví dụ: Amazon Elastic Compute Cloud (EC2), IBM’s Blue Cloud, Google App Engine và Windows Azure Services Platform).

Ưu điểm:

• Đơn giản và hiệu quả
• Chi phí thấp
• Thời gian giảm (khi máy chủ bị sập, cần khởi động lại hoặc cấu hình lại đám mây)
• Không cần bảo trì (dịch vụ đám mây công cộng được lưu trữ bên ngoài)
• Không có hợp đồng (không có cam kết dài hạn)

Nhược điểm:

• Bảo mật không được đảm bảo
• Thiếu kiểm soát (nhà cung cấp bên thứ ba chịu trách nhiệm)
• Tốc độ chậm (phụ thuộc vào kết nối Internet, tốc độ truyền dữ liệu bị hạn chế)

Các mối đe dọa điện toán đám mây

1. Rò rỉ/mất dữ liệu
2. Lạm dụng dịch vụ đám mây
3. Giao diện và API không an toàn
4. Thẩm định không đầy đủ
5. Các vấn đề công nghệ chia sẻ
6. Hồ sơ rủi ro không xác định
7. Thiết kế và lập kế hoạch cơ sở hạ tầng không đầy đủ
8. Xung đột giữa các thủ tục làm cứng của khách hàng và môi trường đám mây
9. Mất nhật ký hoạt động và bảo mật
10. Người trong cuộc độc hại
11. Truy cập bất hợp pháp vào hệ thống đám mây
12. Leo thang đặc quyền
13. Mất uy tín kinh doanh do hoạt động của người đồng thuê
14. Thiên tai
15. Lỗi phần cứng
16. Lỗi chuỗi cung ứng
17. Sửa đổi lưu lượng mạng
18. Lỗi cô lập
19. Mua lại nhà cung cấp đám mây
20. Xâm phạm giao diện quản lý
21. Lỗi quản lý mạng
22. Tấn công xác thực
23. Tấn công cấp VM
24. Khóa chặt
25. Rủi ro cấp phép
26. Mất quyền quản trị
27. Mất khóa mã hóa
28. Rủi ro từ thay đổi quyền tài phán
29. Thực hiện thăm dò hoặc quét độc hại
30. Trộm cắp thiết bị máy tính
31. Chấm dứt hoặc lỗi dịch vụ đám mây
32. Trát đòi hầu tòa và khám phá điện tử
33. Xử lý và xóa dữ liệu không đúng cách
34. Mất hoặc sửa đổi dữ liệu sao lưu
35. Rủi ro tuân thủ
36. Từ chối bền vững kinh tế (EDOS)

Rò rỉ/mất dữ liệu

Các vấn đề mất dữ liệu bao gồm:

• Dữ liệu bị xóa, sửa đổi hoặc tách rời (mất)
• Khóa mã hóa bị mất, thất lạc hoặc bị đánh cắp
• Truy cập trái phép vào dữ liệu trong đám mây do xác thực, ủy quyền và kiểm soát truy cập không đúng cách
• Lạm dụng dữ liệu bởi Nhà cung cấp dịch vụ đám mây (CSP)

Môi trường điện toán đám mây được thiết kế không đúng cách với nhiều khách hàng có nguy cơ rò rỉ dữ liệu cao hơn vì một lỗ hổng trong ứng dụng đám mây của một khách hàng có thể cho phép kẻ tấn công truy cập dữ liệu của khách hàng khác. Việc mất hoặc rò rỉ dữ liệu phụ thuộc nhiều vào kiến trúc đám mây và hoạt động của chúng.

Lạm dụng dịch vụ đám mây

Kẻ tấn công tạo quyền truy cập ẩn danh vào các dịch vụ đám mây và thực hiện các cuộc tấn công khác nhau như bẻ khóa mật khẩu và khóa, xây dựng bảng cầu vồng, trang trại giải CAPTCHA, khởi chạy các điểm tấn công động, lưu trữ khai thác và dữ liệu độc hại trên nền tảng đám mây, điều khiển botnet và từ chối dịch vụ phân tán (DDoS).

Sự hiện diện của hệ thống đăng ký yếu trong môi trường điện toán đám mây dẫn đến mối đe dọa này. Kẻ tấn công tạo quyền truy cập ẩn danh vào các dịch vụ đám mây và thực hiện các cuộc tấn công khác nhau.

Giao diện và API không an toàn

Các rủi ro liên quan đến giao diện và API không an toàn bao gồm việc phá vỡ các chính sách do người dùng xác định, vi phạm các cơ sở ghi nhật ký và giám sát, các phụ thuộc API không xác định, mật khẩu/mã thông báo có thể sử dụng lại và xác thực đầu vào dữ liệu không đủ.

Giao diện hoặc API cho phép khách hàng quản lý và tương tác với các dịch vụ đám mây. Các mô hình dịch vụ đám mây phải được tích hợp bảo mật và người dùng phải nhận thức được các rủi ro bảo mật trong việc sử dụng, triển khai và giám sát các dịch vụ đó.

Thẩm định không đầy đủ

Việc không biết về môi trường đám mây của CSP đặt ra rủi ro trong các trách nhiệm hoạt động như bảo mật, mã hóa, phản ứng sự cố và các vấn đề khác như vấn đề hợp đồng, thiết kế và kiến trúc, v.v.

Các vấn đề công nghệ chia sẻ

Hầu hết các thành phần cơ bản tạo nên cơ sở hạ tầng đám mây (ví dụ: GPU, bộ nhớ cache CPU, v.v.) không cung cấp các thuộc tính cô lập mạnh trong môi trường đa thuê, cho phép kẻ tấn công tấn công các máy khác nếu chúng có thể khai thác lỗ hổng trong ứng dụng của một khách hàng.

Các nhà cung cấp IaaS sử dụng cùng cơ sở hạ tầng để phục vụ nhiều khách hàng, và hầu hết các thành phần được chia sẻ không cung cấp các thuộc tính cô lập mạnh. Để giải quyết vấn đề này, các nhà cung cấp cài đặt hypervisor ảo hóa giữa hệ điều hành khách và tài nguyên vật lý để ngăn chặn các lỗ hổng. Các vấn đề bao gồm khai thác Red và Blue Pill của Rutkowska và các bài thuyết trình CloudBurst của Kortchinsky.

Hồ sơ rủi ro không xác định

Các tổ chức khách hàng không thể có được một bức tranh rõ ràng về các thủ tục bảo mật nội bộ, tuân thủ bảo mật, cứng hóa cấu hình, vá lỗi, kiểm toán và ghi nhật ký, v.v. vì họ ít tham gia vào việc sở hữu và bảo trì phần cứng và phần mềm trong đám mây.

Các bản cập nhật phần mềm, phân tích mối đe dọa, phát hiện xâm nhập, thực hành bảo mật và các yếu tố khác xác định tư thế bảo mật của một tổ chức. Các tổ chức không thể cung cấp một bức tranh rõ ràng về mức độ bảo mật, vì họ ít tham gia vào việc sở hữu và bảo trì phần cứng và phần mềm trong đám mây. Tuy nhiên, các tổ chức phải nhận thức được các vấn đề như thủ tục bảo mật nội bộ, tuân thủ bảo mật, cứng hóa cấu hình, vá lỗi, kiểm toán và ghi nhật ký.

Thiết kế và lập kế hoạch cơ sở hạ tầng không đầy đủ

Một thỏa thuận giữa CSP và khách hàng nêu rõ chất lượng dịch vụ mà CSP cung cấp như thời gian ngừng hoạt động, dự phòng vật lý và dựa trên mạng, quy trình sao lưu và khôi phục dữ liệu thường xuyên và khoảng thời gian khả dụng.

Đôi khi, các nhà cung cấp dịch vụ đám mây có thể không đáp ứng được sự gia tăng nhanh chóng về nhu cầu do thiếu tài nguyên điện toán và/hoặc thiết kế mạng kém (ví dụ: lưu lượng đi qua một điểm duy nhất, mặc dù phần cứng cần thiết có sẵn) dẫn đến độ trễ mạng không thể chấp nhận được hoặc không thể đáp ứng các mức dịch vụ đã thỏa thuận.

Xung đột giữa các thủ tục làm cứng của khách hàng và môi trường đám mây

Một số thủ tục làm cứng của khách hàng có thể xung đột với môi trường của nhà cung cấp đám mây, khiến việc triển khai của khách hàng trở nên không thể. Lý do cho điều này là vì đám mây là một môi trường đa thuê, sự cùng tồn tại của nhiều khách hàng thực sự gây ra xung đột cho các nhà cung cấp đám mây, vì các yêu cầu bảo mật truyền thông của khách hàng có khả năng khác biệt với nhau.

Mất nhật ký hoạt động và bảo mật

Việc mất nhật ký hoạt động khiến việc đánh giá các biến hoạt động trở nên khó khăn. Các tùy chọn để giải quyết vấn đề bị hạn chế khi không có dữ liệu nào để phân tích. Việc mất nhật ký bảo mật có thể xảy ra trong trường hợp dự phòng lưu trữ không đủ.

Người trong cuộc độc hại

Người trong cuộc độc hại là nhân viên hiện tại/cũ bất mãn, nhà thầu hoặc đối tác kinh doanh khác có/đã có quyền truy cập được ủy quyền vào tài nguyên đám mây và có thể cố ý vượt quá hoặc lạm dụng quyền truy cập đó để xâm phạm tính bảo mật, toàn vẹn hoặc khả dụng của thông tin của tổ chức. Các mối đe dọa bao gồm mất uy tín, năng suất và trộm cắp tài chính.

Truy cập bất hợp pháp vào đám mây

Các biện pháp kiểm soát xác thực và ủy quyền yếu có thể dẫn đến truy cập bất hợp pháp, từ đó xâm phạm dữ liệu bí mật và quan trọng được lưu trữ trong đám mây.

Leo thang đặc quyền

Một sai sót trong hệ thống phân bổ quyền truy cập như lỗi mã hóa, lỗi thiết kế và các lỗi khác có thể dẫn đến việc một khách hàng, bên thứ ba hoặc nhân viên có được nhiều quyền truy cập hơn mức cần thiết. Mối đe dọa này phát sinh do các lỗ hổng AAA (Xác thực, ủy quyền và trách nhiệm giải trình), các lỗ hổng cung cấp và hủy cung cấp người dùng, các lỗ hổng hypervisor, vai trò và trách nhiệm không rõ ràng, cấu hình sai, v.v.

Mất uy tín kinh doanh do hoạt động của người đồng thuê

Tài nguyên được chia sẻ trong đám mây; do đó hoạt động độc hại của một người đồng thuê có thể ảnh hưởng đến uy tín của người khác, dẫn đến cung cấp dịch vụ kém, mất dữ liệu, v.v. làm giảm uy tín của tổ chức.

Mối đe dọa này phát sinh do thiếu cô lập tài nguyên, thiếu giới hạn uy tín, các lỗ hổng trong hypervisor và các yếu tố khác.

Thiên tai

Dựa trên vị trí địa lý và khí hậu, các trung tâm dữ liệu có thể dễ bị ảnh hưởng bởi thiên tai như lũ lụt, sét đánh, động đất, v.v. có thể ảnh hưởng đến các dịch vụ đám mây.

Lỗi phần cứng

Lỗi phần cứng như switch, máy chủ, bộ định tuyến, điểm truy cập, ổ cứng, card mạng và bộ xử lý trong các trung tâm dữ liệu có thể khiến dữ liệu đám mây không thể truy cập được. Phần lớn lỗi phần cứng xảy ra do các vấn đề về ổ cứng. Các lỗi ổ cứng mất nhiều thời gian để theo dõi và sửa chữa do độ phức tạp ở cấp thấp của chúng. Lỗi phần cứng có thể dẫn đến hiệu suất cung cấp kém cho người dùng cuối và có thể gây thiệt hại cho doanh nghiệp.

Lỗi chuỗi cung ứng

Mối đe dọa này phát sinh do các điều khoản sử dụng không đầy đủ và không minh bạch, phụ thuộc ẩn được tạo ra bởi các ứng dụng đám mây chéo, lựa chọn CSP không phù hợp, thiếu dự phòng nhà cung cấp và các yếu tố khác. Các nhà cung cấp đám mây thuê ngoài một số nhiệm vụ cho bên thứ ba. Do đó, bảo mật của đám mây tỷ lệ thuận với bảo mật của từng mắt xích và mức độ phụ thuộc vào bên thứ ba

Sự gián đoạn trong chuỗi có thể dẫn đến mất quyền riêng tư và toàn vẹn dữ liệu, không khả dụng dịch vụ, vi phạm SLA, tổn thất kinh tế và uy tín dẫn đến không đáp ứng được nhu cầu của khách hàng và thất bại dây chuyền.

Sửa đổi lưu lượng mạng

Mối đe dọa này phát sinh do các lỗ hổng trong việc cung cấp và hủy cung cấp người dùng, các lỗ hổng mã hóa truyền thông, v.v. Trong đám mây, lưu lượng mạng có thể thay đổi do lỗi trong khi cung cấp hoặc hủy cung cấp mạng, hoặc các lỗ hổng trong mã hóa truyền thông. Việc sửa đổi lưu lượng mạng có thể gây mất, thay đổi hoặc trộm cắp dữ liệu và thông tin liên lạc bí mật.

Lỗi cô lập

Đa thuê và tài nguyên được chia sẻ là đặc điểm của điện toán đám mây. Thiếu cô lập hoặc phân vùng mạnh mẽ về lưu trữ, bộ nhớ, định tuyến và uy tín giữa các thuê bao khác nhau. Do lỗi cô lập, kẻ tấn công cố gắng kiểm soát hoạt động của các khách hàng đám mây khác để có quyền truy cập bất hợp pháp vào dữ liệu.

Mua lại nhà cung cấp đám mây

Việc mua lại nhà cung cấp đám mây có thể làm tăng khả năng thay đổi chiến lược và có thể ảnh hưởng đến các thỏa thuận không ràng buộc có rủi ro. Điều này có thể khiến việc đối phó với các yêu cầu bảo mật trở nên khó khăn.

Xâm phạm giao diện quản lý

Mối đe dọa này phát sinh do cấu hình không đúng, lỗ hổng hệ thống và ứng dụng, truy cập từ xa vào giao diện quản lý, v.v. Giao diện quản lý khách hàng của nhà cung cấp đám mây có thể truy cập qua Internet và tạo điều kiện truy cập vào một số lượng lớn tài nguyên. Điều này làm tăng rủi ro, đặc biệt khi kết hợp với các lỗ hổng truy cập từ xa và trình duyệt web.

Lỗi quản lý mạng

Quản lý mạng kém dẫn đến tắc nghẽn mạng, kết nối sai, cấu hình sai, thiếu cô lập tài nguyên, v.v., ảnh hưởng đến dịch vụ và bảo mật.

Tấn công xác thực

Cơ chế xác thực yếu (mật khẩu yếu, tái sử dụng mật khẩu, v.v.) và những hạn chế vốn có của cơ chế xác thực một yếu tố cho phép kẻ tấn công có quyền truy cập trái phép vào hệ thống điện toán đám mây.

Tấn công cấp VM

Điện toán đám mây sử dụng rộng rãi các công nghệ ảo hóa được cung cấp bởi nhiều nhà cung cấp bao gồm VMware, Xen, Virtual box và vSphere. Các mối đe dọa đối với các công nghệ này phát sinh do lỗ hổng trong các hypervisor.

Khóa chặt

Mối đe dọa này khiến khách hàng không thể chuyển từ một nhà cung cấp dịch vụ đám mây này sang nhà cung cấp khác hoặc hệ thống nội bộ do thiếu các công cụ, thủ tục hoặc tiêu chuẩn cần thiết cho việc di chuyển dữ liệu, ứng dụng và dịch vụ. Mối đe dọa này là do lựa chọn CSP không phù hợp, các điều khoản sử dụng không đầy đủ và không minh bạch, thiếu cơ chế tiêu chuẩn, v.v.

Rủi ro cấp phép

Tổ chức có thể phải chịu một khoản phí cấp phép lớn nếu CSP tính phí phần mềm được triển khai trong đám mây trên cơ sở theo từng phiên bản. Do đó, tổ chức luôn nên giữ quyền sở hữu đối với tài sản phần mềm của mình được đặt trong môi trường của nhà cung cấp đám mây. Rủi ro đối với việc cấp phép xảy ra do các điều khoản sử dụng không đầy đủ và không minh bạch.

Mất quyền quản trị

Khi sử dụng các dịch vụ điện toán đám mây, các nhà cung cấp dịch vụ đám mây có nhiều quyền kiểm soát hơn đối với các vấn đề liên quan đến bảo mật so với khách hàng. Đôi khi, những vấn đề như vậy có thể không nằm trong thỏa thuận, khiến dữ liệu được lưu trữ không có khả năng phòng thủ. Lý do cho mối đe dọa này bao gồm vai trò và trách nhiệm không chắc chắn, thiếu quy trình phát hiện lỗ hổng, thiếu quyền tài phán, không có sẵn kiểm toán và các yếu tố khác.

Mất quyền quản trị dẫn đến không tuân thủ các yêu cầu bảo mật, thiếu tính bảo mật, toàn vẹn và khả dụng của dữ liệu, hiệu suất và chất lượng dịch vụ kém, v.v.

Mất khóa mã hóa

Mối đe dọa này phát sinh do quản lý khóa kém và các kỹ thuật tạo khóa kém. Việc mất các khóa mã hóa cần thiết để truyền thông an toàn hoặc truy cập hệ thống cung cấp cho kẻ tấn công tiềm năng khả năng truy cập vào tài sản trái phép.

Rủi ro từ thay đổi quyền tài phán

Nhà cung cấp dịch vụ đám mây có thể có cơ sở dữ liệu đám mây ở nhiều địa điểm, có thể bao gồm những nơi có khả năng rủi ro cao hơn, các quốc gia có luật kỹ thuật số và khung pháp lý yếu, có thể dẫn đến việc bắt buộc tiết lộ hoặc tịch thu dữ liệu hoặc hệ thống thông tin. Khách hàng nên xem xét những mơ hồ về quyền tài phán trước khi áp dụng đám mây, vì luật địa phương của một quốc gia cụ thể đối với việc lưu trữ dữ liệu có thể cung cấp quyền truy cập của chính phủ vào dữ liệu riêng tư.

Thực hiện thăm dò hoặc quét độc hại

Thăm dò hoặc quét độc hại cho phép kẻ tấn công thu thập thông tin nhạy cảm có thể dẫn đến mất tính bảo mật, toàn vẹn và khả dụng của dịch vụ và dữ liệu.

Trộm cắp thiết bị máy tính

Trộm cắp thiết bị có thể xảy ra do kiểm soát kém đối với các thông số vật lý như truy cập thẻ thông minh tại lối vào, v.v. có thể dẫn đến mất thiết bị vật lý và dữ liệu nhạy cảm.

Chấm dứt hoặc lỗi dịch vụ đám mây

Việc chấm dứt dịch vụ đám mây do không có lợi nhuận hoặc tranh chấp có thể dẫn đến mất dữ liệu trừ khi người dùng cuối tự bảo vệ mình về mặt pháp lý. Nhiều yếu tố, chẳng hạn như áp lực cạnh tranh, thiếu hỗ trợ tài chính và chiến lược kinh doanh không đầy đủ, có thể dẫn đến việc chấm dứt hoặc thất bại của dịch vụ đám mây.

Mối đe dọa này dẫn đến cung cấp dịch vụ kém, mất đầu tư, chất lượng dịch vụ, v.v. Hơn nữa, những thất bại trong các dịch vụ được thuê ngoài cho CSP có thể ảnh hưởng đến khả năng đáp ứng các nghĩa vụ và cam kết của khách hàng đám mây đối với khách hàng của họ.

Trát đòi hầu tòa và khám phá điện tử

Mối đe dọa này xảy ra do cô lập tài nguyên không đúng cách, lưu trữ dữ liệu ở nhiều khu vực tài phán và thiếu hiểu biết về các khu vực tài phán. Dữ liệu và dịch vụ của khách hàng bị triệu tập hoặc phải tuân theo yêu cầu ngừng hoạt động từ các cơ quan chức năng hoặc bên thứ ba.

Xử lý và xóa dữ liệu không đúng cách

Khi khách hàng yêu cầu xóa dữ liệu, nhà cung cấp dịch vụ có thể không xóa dữ liệu hoàn toàn, dẫn đến sự hiện diện của dấu vết dữ liệu trên đám mây mà kẻ tấn công có thể sử dụng để khôi phục dữ liệu sau khi hack cơ sở hạ tầng. Khó xác định quy trình xử lý và xóa dữ liệu mà CSP tuân theo do quyền truy cập hạn chế vào cơ sở hạ tầng đám mây.

Mất hoặc sửa đổi dữ liệu sao lưu

Kẻ tấn công có thể khai thác các lỗ hổng như SQL injection và hành vi người dùng không an toàn (ví dụ: lưu trữ hoặc tái sử dụng mật khẩu) để có quyền truy cập bất hợp pháp vào các bản sao lưu dữ liệu trong đám mây. Sau khi có quyền truy cập, kẻ tấn công có thể xóa hoặc sửa đổi dữ liệu được lưu trữ trong cơ sở dữ liệu. Thiếu quy trình khôi phục dữ liệu trong trường hợp mất dữ liệu sao lưu khiến các mức dịch vụ gặp rủi ro.

Rủi ro tuân thủ

Mối đe dọa này là do thiếu quản trị đối với các đánh giá kiểm toán và tiêu chuẩn ngành. Do đó, khách hàng không biết về các quy trình và thực tiễn của nhà cung cấp trong các lĩnh vực truy cập, quản lý danh tính và phân tách nhiệm vụ.

Các tổ chức cần tuân thủ các tiêu chuẩn và luật có thể gặp rủi ro nếu dịch vụ không đáp ứng các yêu cầu cần thiết hoặc nếu nhà cung cấp dịch vụ thuê ngoài việc quản lý đám mây cho bên thứ ba.

Từ chối bền vững kinh tế (EDoS)

Phương thức thanh toán trong hệ thống đám mây là “Không sử dụng, không tính phí”: CSP tính phí khách hàng theo dữ liệu được ghi lại khi khách hàng thực hiện yêu cầu, thời lượng yêu cầu, lượng truyền dữ liệu trong mạng và số chu kỳ CPU được tiêu thụ. Từ chối dịch vụ kinh tế phá hủy các nguồn lực tài chính; trong trường hợp xấu nhất, điều này có thể dẫn đến phá sản của khách hàng hoặc tác động kinh tế nghiêm trọng khác. Nếu kẻ tấn công tham gia vào đám mây với một dịch vụ độc hại hoặc thực thi mã độc tiêu tốn nhiều sức mạnh tính toán và lưu trữ từ máy chủ đám mây, thì chủ tài khoản hợp pháp phải trả tiền cho loại tính toán này, cho đến khi nhà cung cấp dịch vụ tìm ra nguyên nhân chính của việc sử dụng CPU.

Các cuộc tấn công điện toán đám mây

1. Chiếm đoạt dịch vụ bằng cách sử dụng các cuộc tấn công kỹ thuật xã hội
2. Chiếm đoạt dịch vụ bằng cách sử dụng sniffing mạng
3. Chiếm đoạt phiên bằng cách sử dụng tấn công XSS
4. Chiếm đoạt phiên bằng cách sử dụng session riding
5. Tấn công Hệ thống tên miền (DNS)
6. Tấn công kênh bên hoặc vi phạm VM giữa các khách
7. Tấn công SQL Injection
8. Tấn công phân tích mật mã
9. Tấn công wrapping
10. Tấn công DoS và DDoS

Chiếm đoạt dịch vụ bằng cách sử dụng các cuộc tấn công kỹ thuật xã hội

Trong việc chiếm đoạt tài khoản hoặc dịch vụ, kẻ tấn công đánh cắp thông tin đăng nhập của CSP hoặc khách hàng bằng các phương pháp như phishing, pharming, kỹ thuật xã hội và khai thác các lỗ hổng phần mềm. Sử dụng thông tin đăng nhập bị đánh cắp, kẻ tấn công có quyền truy cập vào các dịch vụ điện toán đám mây và xâm phạm tính bảo mật, toàn vẹn và khả dụng của dữ liệu.

Kẻ tấn công có thể nhắm mục tiêu vào nhà cung cấp dịch vụ đám mây để đặt lại mật khẩu, hoặc nhân viên CNTT để truy cập vào dịch vụ đám mây của họ để tiết lộ mật khẩu. Các cách khác để lấy mật khẩu bao gồm đoán mật khẩu, phần mềm độc hại keylogging, thực hiện các kỹ thuật bẻ khóa mật khẩu, gửi email lừa đảo và các phương pháp khác. Các cuộc tấn công kỹ thuật xã hội dẫn đến việc tiết lộ dữ liệu khách hàng, dữ liệu thẻ tín dụng, thông tin cá nhân, kế hoạch kinh doanh, dữ liệu nhân viên, đánh cắp danh tính và nhiều hơn nữa.

Chiếm đoạt phiên bằng cách sử dụng tấn công XSS

Kẻ tấn công thực hiện tấn công cross-site scripting (XSS) để đánh cắp cookie được sử dụng trong quá trình xác thực người dùng; điều này liên quan đến việc tiêm mã độc vào trang web. Sử dụng cookie bị đánh cắp, kẻ tấn công khai thác các phiên máy tính đang hoạt động, từ đó có quyền truy cập trái phép vào dữ liệu.

Lưu ý: Kẻ tấn công cũng có thể dự đoán hoặc sniff ID phiên.

Kẻ tấn công lưu trữ một trang web chứa script độc hại trên máy chủ đám mây. Khi người dùng xem trang được lưu trữ bởi kẻ tấn công, HTML chứa script độc hại chạy trên trình duyệt của người dùng. Script độc hại sẽ thu thập cookie trình duyệt và chuyển hướng người dùng đến máy chủ của kẻ tấn công; nó cũng gửi yêu cầu với cookie đã thu thập được.

Tấn công Hệ thống tên miền (DNS)

Kẻ tấn công thực hiện đầu độc bộ nhớ cache DNS, chuyển hướng người dùng đến một trang web giả mạo để thu thập thông tin xác thực. Ở đây, người dùng truy vấn máy chủ DNS nội bộ để lấy thông tin DNS. Sau đó máy chủ DNS nội bộ truy vấn máy chủ đám mây tương ứng để lấy thông tin DNS. Tại thời điểm này, kẻ tấn công chặn phản hồi DNS từ máy chủ đám mây và gửi phản hồi DNS với IP của trang web giả mạo đến máy chủ DNS nội bộ. Do đó, bộ nhớ cache của máy chủ DNS nội bộ tự cập nhật với IP của trang web giả mạo và tự động chuyển hướng người dùng đến trang web giả mạo.

Các loại tấn công DNS:

• Đầu độc DNS: Liên quan đến việc chuyển hướng người dùng đến một trang web giả mạo bằng cách đầu độc máy chủ DNS hoặc bộ nhớ cache DNS trên hệ thống của người dùng
• Chiếm đoạt tên miền: Liên quan đến việc tiến hành các trò lừa đảo bằng cách đăng ký tên miền tương tự với nhà cung cấp dịch vụ đám mây
• Chiếm đoạt tên miền: Liên quan đến việc đánh cắp tên miền của nhà cung cấp dịch vụ đám mây
• Cắt tên miền: Liên quan đến việc đăng ký tên miền đã hết hạn

Tấn công SQL Injection

SQL là một ngôn ngữ lập trình dành cho hệ thống quản lý cơ sở dữ liệu. Trong cuộc tấn công SQL injection, kẻ tấn công chèn mã độc (được tạo ra bằng cách sử dụng các ký tự đặc biệt) vào mã SQL tiêu chuẩn để có quyền truy cập trái phép vào cơ sở dữ liệu và cuối cùng là các thông tin bí mật khác.

• Kẻ tấn công nhắm mục tiêu vào các máy chủ SQL chạy các ứng dụng cơ sở dữ liệu dễ bị tổn thương
• Nó thường xảy ra khi ứng dụng sử dụng đầu vào để xây dựng các câu lệnh SQL động
• Trong cuộc tấn công này, kẻ tấn công chèn một mã độc (được tạo ra bằng cách sử dụng các ký tự đặc biệt) vào mã SQL tiêu chuẩn để có quyền truy cập trái phép vào cơ sở dữ liệu
• Hơn nữa, kẻ tấn công có thể thao túng nội dung cơ sở dữ liệu, truy xuất dữ liệu nhạy cảm, thực thi từ xa các lệnh hệ thống, hoặc thậm chí kiểm soát máy chủ web để thực hiện các hoạt động tội phạm khác

Tấn công Wrapping

Khi người dùng gửi yêu cầu từ VM của họ thông qua trình duyệt, yêu cầu đầu tiên đến một máy chủ web, nó tạo ra một thông điệp SOAP chứa thông tin cấu trúc, mà nó sẽ trao đổi với trình duyệt trong quá trình truyền thông điệp. Trước khi truyền thông điệp xảy ra, trình duyệt cần ký tài liệu XML và ủy quyền nó. Ngoài ra, nó phải thêm các giá trị chữ ký vào tài liệu. Cuối cùng, tiêu đề SOAP phải chứa tất cả thông tin cần thiết cho đích đến sau khi tính toán.

Đối với một cuộc tấn công wrapping, kẻ địch thực hiện sự lừa dối của nó trong quá trình dịch thông điệp SOAP trong lớp TLS (dịch vụ lớp truyền tải). Kẻ tấn công sao chép nội dung của thông điệp và gửi nó đến máy chủ như một người dùng hợp pháp. Máy chủ kiểm tra xác thực bằng Giá trị chữ ký (cũng được sao chép) và kiểm tra tính toàn vẹn của nó. Kết quả là, kẻ địch có thể xâm nhập vào đám mây và có thể chạy mã độc để làm gián đoạn hoạt động bình thường của các máy chủ đám mây.

Chiếm đoạt dịch vụ bằng cách sử dụng sniffing mạng

Sniffing mạng liên quan đến việc chặn và giám sát lưu lượng mạng được gửi giữa hai nút đám mây. Dữ liệu nhạy cảm không được mã hóa (như thông tin đăng nhập) trong quá trình truyền qua mạng có nguy cơ cao hơn. Kẻ tấn công sử dụng các packet sniffer (ví dụ: Wireshark, Cain và Abel) để thu thập dữ liệu nhạy cảm như mật khẩu, cookie phiên và các cấu hình bảo mật dịch vụ web khác như UDDI (Universal Description Discovery and Integrity), SOAP và các tệp WSDL (Web Service Description Language).

Chiếm đoạt phiên bằng cách sử dụng session riding

Kẻ tấn công khai thác các trang web bằng cách tham gia vào các yêu cầu giả mạo trên nhiều trang để truyền các lệnh trái phép. Trong session riding, kẻ tấn công “cưỡi” một phiên máy tính đang hoạt động bằng cách gửi email hoặc lừa người dùng truy cập một trang web độc hại, trong quá trình đăng nhập, đến một trang đích thực. Khi người dùng nhấp vào liên kết độc hại, trang web thực hiện yêu cầu như thể người dùng đã xác thực nó. Các lệnh được sử dụng bao gồm sửa đổi hoặc xóa dữ liệu người dùng, thực hiện giao dịch trực tuyến, đặt lại mật khẩu và các hoạt động khác.

Tấn công kênh bên hoặc vi phạm VM giữa các khách

Kẻ tấn công xâm phạm đám mây bằng cách đặt các máy ảo (VM) gần với một máy chủ đám mây mục tiêu. Chúng chạy các VM này trên cùng một máy chủ vật lý của VM của nạn nhân và tận dụng các tài nguyên vật lý được chia sẻ (bộ nhớ cache bộ xử lý) để khởi động các cuộc tấn công kênh bên (tấn công thời gian để trích xuất các khóa mật mã/bí mật văn bản thuần để đánh cắp thông tin đăng nhập của nạn nhân. Sau đó kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp để mạo danh nạn nhân.

Tấn công phân tích mật mã

Mã hóa không an toàn hoặc lỗi thời khiến các dịch vụ đám mây dễ bị phân tích mật mã. Đám mây có thể lưu trữ dữ liệu đã mã hóa để ngăn chặn việc tiết lộ cho người dùng độc hại. Tuy nhiên, các lỗ nghiêm trọng trong việc triển khai thuật toán mật mã (ví dụ: tạo số ngẫu nhiên yếu) có thể biến mã hóa mạnh thành quá yếu hoặc bị phá vỡ; ngoài ra còn có các phương pháp mới để phá vỡ mật mã. Kẻ tấn công có thể lấy được thông tin một phần từ dữ liệu đã mã hóa bằng cách giám sát các mẫu truy cập của khách hàng và phân tích các vị trí được truy cập.

Tấn công DoS và DDoS

Thực hiện các cuộc tấn công từ chối dịch vụ (DoS) đối với các nhà cung cấp dịch vụ đám mây có thể khiến người thuê không thể truy cập vào tài khoản của họ. Trong cơ sở hạ tầng đám mây, nhiều người thuê chia sẻ CPU, bộ nhớ, không gian đĩa, băng thông, v.v. Do đó, nếu kẻ tấn công có quyền truy cập vào đám mây, chúng tạo ra các yêu cầu dữ liệu giả mạo hoặc một loại mã có thể chạy các ứng dụng của người dùng hợp pháp.

Phần mềm độc hại như vậy tiêu thụ CPU, bộ nhớ và tất cả các thiết bị khác của máy chủ và khi máy chủ đạt đến giới hạn ngưỡng của nó, nó bắt đầu chuyển công việc của mình sang máy chủ gần nhất khác. Điều tương tự xảy ra với các máy chủ khác trên cùng một dòng và cuối cùng, kẻ tấn công sẽ thành công trong việc thu hút toàn bộ hệ thống đám mây chỉ bằng cách can thiệp vào quá trình xử lý thông thường của một máy chủ. Điều này khiến người dùng hợp pháp của đám mây không thể truy cập vào các dịch vụ của nó.

Nếu kẻ tấn công thực hiện một cuộc tấn công DoS bằng cách sử dụng một botnet (một mạng các máy bị xâm nhập), thì đó là một cuộc tấn công DDoS. Một cuộc tấn công DDoS liên quan đến nhiều hệ thống bị xâm nhập tấn công một mục tiêu duy nhất, từ đó gây ra từ chối dịch vụ cho người dùng của hệ thống bị nhắm mục tiêu.

Điều tra số đám mây

Điều tra số đám mây là việc áp dụng quy trình điều tra số trong môi trường điện toán đám mây và được coi là một tập con của điều tra số mạng, vì điều tra số mạng liên quan đến các cuộc điều tra điều tra số trong cả mạng riêng và công cộng

Các quy trình điều tra số đám mây thay đổi tùy theo mô hình dịch vụ và triển khai điện toán đám mây

Ví dụ: Các mô hình dịch vụ SaaS và PaaS cung cấp quyền kiểm soát hạn chế hơn đối với giám sát quy trình hoặc mạng, so với IaaS

Quy trình thu thập dữ liệu trong SaaS phụ thuộc vào nhà cung cấp dịch vụ đám mây, trong khi đối với IaaS, có thể thu được phiên bản máy ảo từ khách hàng để phân tích bằng chứng

Ngoài ra, có thể truy cập vật lý vào dữ liệu trong đám mây riêng, nhưng bị hạn chế trong đám mây công cộng

Sử dụng điều tra số đám mây

Điều tra số đám mây có nhiều ứng dụng như:

Điều tra

Liên quan đến việc điều tra tội phạm mạng có tổ chức, vi phạm chính sách, các hoạt động đáng ngờ, v.v. trong hệ sinh thái đám mây

Khắc phục sự cố

Liên quan đến việc giải quyết các vấn đề chức năng, vận hành và bảo mật trong hệ sinh thái đám mây

Giám sát nhật ký

Liên quan đến việc thu thập, kiểm tra và tương quan các mục nhập nhật ký trên nhiều hệ thống trong hệ sinh thái đám mây

Hỗ trợ trong kiểm toán, thẩm định, tuân thủ quy định và các nỗ lực khác

Khôi phục dữ liệu và hệ thống

Liên quan đến việc khôi phục dữ liệu đã xóa hoặc mã hóa và các hệ thống khỏi thiệt hại hoặc tấn công

Thẩm định/Tuân thủ quy định

Liên quan đến việc hỗ trợ các tổ chức thực hiện thẩm định và tuân thủ các yêu cầu như bảo mật dữ liệu quan trọng, duy trì hồ sơ để kiểm toán, thông báo cho các bên bị ảnh hưởng do tiết lộ dữ liệu nhạy cảm, v.v.

Tội phạm đám mây

Tội phạm được thực hiện với đám mây như một chủ thể, đối tượng hoặc công cụ được gọi là tội phạm đám mây

Đám mây như một chủ thể: Trong trường hợp này, mục tiêu của tội phạm là CSP Ví dụ: Các kỹ thuật như tấn công DDoS được thực hiện nhắm vào một số phần của đám mây hoặc toàn bộ đám mây

Đám mây như một đối tượng: Trong trường hợp này, tội phạm được thực hiện trong môi trường đám mây Ví dụ: Đánh cắp danh tính tài khoản người dùng đám mây

Đám mây như một công cụ: Trong trường hợp này, đám mây được sử dụng để lập kế hoạch và thực hiện tội phạm Các trường hợp bao gồm sử dụng đám mây để thực hiện tấn công vào các đám mây khác hoặc khi bằng chứng liên quan đến tội phạm được lưu và chia sẻ trong đám mây

Điều tra số đám mây: Các bên liên quan và vai trò của họ

Các cuộc điều tra số trong đám mây liên quan đến tối thiểu là CSP và khách hàng. Nhưng phạm vi của cuộc điều tra mở rộng khi CSP thuê ngoài dịch vụ cho bên thứ ba

Thỏa thuận dịch vụ pháp lý giữa CSP và Khách hàng và Tổ chức đám mây

Hỗ trợ bên ngoài:

• Học viện
• Bên thứ ba
• Cơ quan thực thi pháp luật

Nghiên cứu – Đào tạo giáo dục – Đối tượng

Tuân thủ – Thu thập bằng chứng – Truy tố – Tịch thu

Chuỗi Nhà cung cấp dịch vụ đám mây / Khách hàng

Tổ chức đám mây:

• Điều tra viên
• Người xử lý sự cố
• Chuyên gia CNTT
• Cố vấn pháp lý

Một hoạt động điều tra số đám mây bao gồm nhiều bên liên quan bao gồm thành viên chính phủ, đối tác trong ngành, bên thứ ba, cơ quan thực thi pháp luật, v.v. Các điều tra viên cần có khả năng hiểu vai trò và trách nhiệm của từng bên liên quan để điều tra hiệu quả. Điều này cũng sẽ giúp các điều tra viên tìm ra các bên liên quan kỹ thuật, pháp lý và tổ chức cũng như phân bổ và ghi lại lợi ích của họ và tạo báo cáo phù hợp. Nó cũng sẽ giúp quản lý các nhiệm vụ khác nhau của đám mây và trách nhiệm khi ký hợp đồng.

Để cho phép khả năng điều tra số của đám mây, cần có một cấu trúc nội bộ thích hợp liên quan đến các CSP và khách hàng, xác định sự hợp tác giữa CSP và khách hàng, và cũng cần có sự hỗ trợ bên ngoài để hoàn thành các vai trò sau:

Chuyên gia CNTT: Nhóm này bao gồm các chuyên gia chịu trách nhiệm quản lý và duy trì tất cả các khía cạnh của đám mây, chẳng hạn như kiến trúc sư bảo mật đám mây, quản trị viên mạng, quản trị viên bảo mật, hacker đạo đức, v.v. Họ có khả năng cung cấp kiến thức về hoạt động của đám mây, hỗ trợ các điều tra viên và có thể giúp thu thập dữ liệu. Họ cũng có thể bị đặt câu hỏi trong trường hợp có các cuộc tấn công nội bộ.

Điều tra viên: Các điều tra viên trong một tổ chức đám mây chịu trách nhiệm tiến hành các cuộc điều tra số đối với các cáo buộc về hành vi sai trái, lỗ hổng được phát hiện và trong các cuộc tấn công trên đám mây. Họ cũng nên làm việc cùng với các điều tra viên bên ngoài, cơ quan thực thi pháp luật để điều tra số các tài sản nội bộ.

Người xử lý sự cố: Những người xử lý sự cố là những người đầu tiên ứng phó với tất cả các sự cố bảo mật xảy ra trên đám mây. Họ là tuyến phòng thủ đầu tiên chống lại các cuộc tấn công bảo mật đám mây và vai trò chính của họ là phản ứng ngay lập tức với bất kỳ loại sự cố bảo mật nào.

Cố vấn pháp lý: Trách nhiệm chính của các cố vấn pháp lý là đảm bảo rằng tất cả các hoạt động điều tra số đều nằm trong phạm vi quyền hạn và không vi phạm bất kỳ quy định hoặc thỏa thuận nào.

Hỗ trợ bên ngoài: Vai trò của hỗ trợ bên ngoài xuất hiện khi nhóm nội bộ yêu cầu hỗ trợ bên ngoài để thực hiện bất kỳ nhiệm vụ nào ngoài những nhiệm vụ họ đã thực hiện, chẳng hạn như điều tra các vụ án dân sự, khám phá điện tử, v.v. Trước khi nhận hỗ trợ bên ngoài, nhóm nội bộ phải đủ rõ ràng về các hoạt động điều tra số mà hỗ trợ bên ngoài cần thực hiện.

Thách thức trong điều tra số đám mây

Tội phạm có thể ẩn mình trong đám mây | – Bản chất phân tán của điện toán đám mây cho phép các tổ chức tội phạm duy trì các ô hoạt động biệt lập, để bảo toàn tính ẩn danh của mỗi ô với các ô khác, do đó có thể khó khăn cho các điều tra viên trong việc xác định và liên kết các ô

Tịch thu và thu giữ tài nguyên đám mây | – Việc tịch thu và thu giữ tài nguyên đám mây thường có thể ảnh hưởng đến tính liên tục kinh doanh của các người thuê khác

Lỗi trong cấu hình cổng quản lý đám mây | – Lỗi cấu hình trong các cổng quản lý đám mây có thể cho phép kẻ tấn công kiểm soát, cấu hình lại hoặc xóa tài nguyên hoặc ứng dụng của người tiêu dùng đám mây khác

• Khó xác định nguồn gốc của những thay đổi trái phép như vậy vì cổng quản lý đám mây đang được sử dụng bởi nhiều người thuê cùng một lúc

Ranh giới | – Bảo vệ ranh giới hệ thống là một thách thức vì khó xác định giao diện hệ thống

Nguồn gốc an toàn | – Đối với các điều tra viên, việc duy trì chuỗi hành trình và bảo mật thích hợp của dữ liệu, metadata và có thể cả phần cứng là một thách thức, vì việc xác định quyền sở hữu, quyền giám sát hoặc vị trí chính xác có thể khó khăn

Chuỗi hành trình dữ liệu | – Có thể không thể xác định và xác thực chuỗi hành trình dữ liệu do bản chất nhiều lớp và phân tán của điện toán đám mây

Nguồn: NIST Cloud Computing Forensic Science Challenges (http://csrc.nist.gov)

Chuỗi phụ thuộc | – Thường xuyên, CSP và hầu hết các ứng dụng đám mây phụ thuộc vào (các) CSP khác, và các phụ thuộc trong chuỗi CSP/khách hàng có thể rất năng động

• Trong những điều kiện như vậy, việc điều tra đám mây có thể phụ thuộc vào việc điều tra từng mắt xích trong chuỗi và mức độ phức tạp của các phụ thuộc

Định vị bằng chứng | – Việc định vị và thu thập bằng chứng là một thách thức vì dữ liệu trong đám mây có thể nhanh chóng bị thay đổi hoặc mất và thiếu kiến thức về nơi và cách dữ liệu được lưu trữ trong đám mây

Vị trí dữ liệu | – Thu thập dữ liệu của mục tiêu là một thách thức do tính linh hoạt mà CSP có trong việc di chuyển dữ liệu giữa các trung tâm dữ liệu và khu vực địa lý

Tạo ảnh và cô lập dữ liệu | – Việc tạo ảnh dữ liệu và cô lập mục tiêu dữ liệu đang di chuyển là một thách thức trong hệ sinh thái đám mây do các đặc điểm chính của nó: tính đàn hồi, cung cấp/hủy cung cấp tài nguyên tự động, dự phòng và đa người thuê.

Định vị phương tiện lưu trữ | – Định vị phương tiện lưu trữ một cách chắc chắn trong hệ sinh thái đám mây là khó khăn vì nó đòi hỏi hiểu biết sâu sắc về kiến trúc và triển khai đám mây

Nhận dạng bằng chứng | – Nhận dạng bằng chứng là một thách thức vì các nguồn/dấu vết bằng chứng hoặc không thể truy cập hoặc được tạo ra hoặc lưu trữ khác so với môi trường không phải đám mây

Lưu trữ động | – Thường xuyên, CSP phân bổ lưu trữ động dựa trên yêu cầu của người tiêu dùng. Trong trường hợp này, thu thập dữ liệu là một thách thức do việc phân bổ lưu trữ động và các hệ thống tìm kiếm lưu trữ sau khi một mục bị xóa

Điều tra số trực tiếp | – Xác thực tính toàn vẹn của dữ liệu được thu thập là một thách thức vì dữ liệu trong đám mây là biến động và thường xuyên thay đổi. Ngoài ra, các công cụ điều tra số trực tiếp có thể thực hiện sửa đổi đối với hệ thống nghi ngờ.

Chi tiết ứng dụng không có sẵn | – Lấy chi tiết về phần mềm/ứng dụng dựa trên đám mây được sử dụng để tạo hồ sơ là một thách thức vì những chi tiết như vậy thường không có sẵn cho điều tra viên

Việc thu thập bổ sung thường không khả thi trong đám mây | – Thu thập bằng chứng bổ sung thường không khả thi trong đám mây vì các vị trí dữ liệu cụ thể không được biết đến, kích thước có thể rất lớn và các giao thức và cơ chế không tiêu chuẩn có thể được sử dụng để trao đổi dữ liệu và được ghi chép kém hoặc không được ghi chép

Tạo ảnh đám mây | – Tạo ảnh đám mây là một thách thức vì nó không khả thi, trong khi tạo ảnh một phần có thể có hậu quả pháp lý trong việc trình bày trước tòa

Thu thập dữ liệu có chọn lọc | – Thu thập dữ liệu có chọn lọc trong đám mây là một thách thức vì nó đòi hỏi phải có kiến thức trước về các nguồn dữ liệu liên quan, điều này rất khó khăn.

Ranh giới tin cậy mơ hồ | – Trong môi trường đa thuê đám mây, việc sử dụng dịch vụ đám mây có thể làm tăng rủi ro đối với tính toàn vẹn của dữ liệu khi nghỉ và trong quá trình xử lý

• Không phải tất cả CSP đều triển khai cô lập dọc cho dữ liệu của người thuê dẫn đến tính toàn vẹn dữ liệu đáng nghi ngờ

Tính toàn vẹn dữ liệu và bảo quản bằng chứng | – Đối với các bên liên quan, việc duy trì chất lượng bằng chứng, khả năng chấp nhận bằng chứng, tính toàn vẹn dữ liệu và bảo quản bằng chứng là một thách thức vì lỗi và thất bại trong tính toàn vẹn dữ liệu được chia sẻ giữa nhiều tác nhân, và cơ hội cho những lỗi và thất bại như vậy cao hơn trong môi trường đám mây do việc chia sẻ dữ liệu/trách nhiệm

Nguồn tin cậy | – Xác định độ tin cậy và tính toàn vẹn của dữ liệu điều tra số đám mây là một thách thức do phụ thuộc vào tính toàn vẹn tập thể của nhiều lớp trừu tượng trong toàn bộ hệ thống đám mây.

Bay hơi nhật ký | – Một số nhật ký trong môi trường đám mây là tạm thời. Ví dụ: máy ảo. Một khi phiên bản VM bị tắt, các nhật ký sẽ biến mất.

Nhiều lớp và tầng | – Có nhiều lớp và tầng trong kiến trúc đám mây và nhật ký được tạo ra ở mỗi tầng có giá trị đối với điều tra viên nhưng việc thu thập từ các nơi khác nhau là một thách thức. Ví dụ: ứng dụng, mạng, hệ điều hành và cơ sở dữ liệu.

Giá trị bằng chứng thấp của nhật ký | – Các CSP khác nhau và các lớp kiến trúc đám mây khác nhau cung cấp nhật ký ở các định dạng khác nhau (định dạng không đồng nhất) và không phải tất cả các nhật ký đều cung cấp thông tin quan trọng cho mục đích điều tra số, Ví dụ: ai, khi nào, ở đâu và tại sao một số sự cố được thực hiện.

Quyền điều tra hạn chế | – Trong các vụ án dân sự, các điều tra viên thường được cung cấp quyền điều tra hạn chế để thu thập dữ liệu đúng cách theo các quyền tài phán tương ứng

Phụ thuộc vào nhà cung cấp đám mây | – Việc thu thập dữ liệu điều tra số từ đám mây là một thách thức vì nó đòi hỏi sự hợp tác của CSP, điều này có thể bị hạn chế bởi số lượng nhân viên và các tài nguyên khác ở phía nhà cung cấp

Vị trí dữ liệu vật lý | – Việc chỉ định vị trí vật lý của dữ liệu trên một trát đòi hỏi là một thách thức vì người yêu cầu thường không biết dữ liệu được lưu trữ vật lý ở đâu

Bảo vệ cổng | – Việc quét cổng là một thách thức vì CSP không cung cấp quyền truy cập vào cơ sở hạ tầng vật lý của mạng của họ

Giao thức truyền | – Việc dump lưu lượng mạng TCP/IP là một thách thức vì CSP không cung cấp quyền truy cập vào cơ sở hạ tầng vật lý của mạng của họ

Khám phá điện tử | – Thời gian phản hồi cho việc khám phá điện tử là một thách thức do sự mơ hồ về vị trí dữ liệu và sự mơ hồ về việc liệu tất cả dữ liệu liên quan đã được khám phá hay chưa.

Dịch vụ đám mây quốc tế | – Truy cập trực tiếp, trực tiếp vào dữ liệu trên các dịch vụ đám mây quốc tế là một thách thức do thiếu định nghĩa về phạm vi thu thập dữ liệu trên dịch vụ đám mây không phải quốc gia và các thỏa thuận liên quan đến quyền truy cập dữ liệu

Quyền tài phán | – Việc có quyền truy cập hợp pháp vào dữ liệu là một thách thức vì các vấn đề về quyền tài phán quốc tế chưa được giải quyết

Giao tiếp quốc tế | – Đạt được giao tiếp quốc tế hiệu quả, kịp thời và hiệu quả khi xử lý một cuộc điều tra trong một đám mây đa quyền tài phán là một thách thức vì các cơ chế và mạng lưới hiện có cho giao tiếp như vậy thường chậm và không hiệu quả

Bảo mật và Thông tin nhận dạng cá nhân (PII) | – Bảo vệ quyền riêng tư của thông tin cá nhân, kinh doanh và chính phủ trong đám mây là một thách thức do thiếu luật pháp quy định các điều kiện mà dữ liệu như vậy có thể được truy cập bởi các điều tra viên

Chia sẻ số phận về uy tín | – Đối với CSP và người đồng thuê, việc khôi phục uy tín bị ảnh hưởng bởi hoạt động bất hợp pháp của một số người tiêu dùng đám mây là một thách thức vì một người gửi thư rác sử dụng phạm vi IP của CSP có thể khiến các địa chỉ IP này bị đưa vào danh sách đen

• Điều này có thể gây gián đoạn dịch vụ cho khách hàng đám mây hợp pháp nếu họ sau đó được gán các địa chỉ IP bị đưa vào danh sách đen

Tái tạo lưu trữ ảo | – Việc sao chép phương tiện lưu trữ ảo trong một số hệ sinh thái đám mây có thể gây hư hỏng cho phương tiện thực tế, do đó làm tăng nguy cơ bị truy tố

• Ngoài ra, các thuật toán tái tạo phải được phát triển và xác thực

Đồng bộ hóa dấu thời gian | – Tương quan các hoạt động được quan sát với đồng bộ hóa thời gian chính xác là một thách thức vì dấu thời gian có thể không nhất quán giữa các nguồn khác nhau

Thống nhất định dạng nhật ký | – Việc thống nhất các định dạng nhật ký hoặc chuyển đổi chúng sang nhau rất khó khăn từ các tài nguyên khổng lồ có sẵn trong đám mây. Điều này cũng có thể dẫn đến thiếu và/hoặc loại trừ dữ liệu quan trọng

• Mặt khác, các định dạng nhật ký không phổ biến hoặc độc quyền của một bên có thể trở thành trở ngại lớn trong việc kết hợp

Sử dụng metadata | – Việc sử dụng metadata làm phương pháp xác thực có thể gặp rủi ro, vì các trường thông dụng – ngày tạo, ngày truy cập lần cuối, ngày sửa đổi lần cuối, v.v. có thể thay đổi khi dữ liệu được di chuyển vào và trong đám mây và tại thời điểm thu thập dữ liệu

• Xem xét tác động của đám mây đối với metadata và kiểm tra xem CSP có bảo tồn metadata và có sẵn sàng truy cập cho mục đích khám phá điện tử hay không

Ghi nhật ký | – Phân tích dòng thời gian của nhật ký đối với dữ liệu nhật ký DHCP là một thách thức vì có sự không nhất quán từ một CSP này sang CSP khác về cách họ thu thập dữ liệu nhật ký.

Nhìn chung, việc điều tra số trên môi trường đám mây có rất nhiều thách thức và trở ngại. Tuy nhiên, trong vai trong một điều tra viên hay phạm vi của khóa học CHFI các bạn hãy tập trung vào các lĩn vực sau :

Điều tra dịch vụ lưu trữ đám mây
Các dịch vụ lưu trữ đám mây như Dropbox, Google Drive, SkyDrive, iCloud, v.v. tạo ra các hiện vật trên hệ thống mà chúng được cài đặt có thể cung cấp thông tin liên quan cho cuộc điều tra

Một số hiện vật cần xem xét trong quá trình điều tra dịch vụ lưu trữ đám mây bao gồm:

• Hiện vật được tạo ra trong quá trình cài đặt
• Hiện vật còn lại sau khi gỡ cài đặt
• Thông tin có trong các tệp cơ sở dữ liệu
• Hiện vật được tạo ra khi một tệp được tải lên hoặc tải xuống
• Hiện vật còn lại khi một tệp được chia sẻ
• Hiện vật còn lại sau khi sử dụng phần mềm chống điều tra số
• Nhật ký được ghi lại và độ chính xác của chúng
• Các nguồn thông tin khác

Điều tra dịch vụ lưu trữ đám mây Dropbox

Dropbox là một ứng dụng trực tuyến cho phép người dùng lưu trữ các tệp của họ trên đám mây và chia sẻ chúng khi cần thiết. Người dùng có thể truy cập và sử dụng Dropbox thông qua các phương pháp sau: trang web, ứng dụng máy tính để bàn hoặc ứng dụng di động. Trong cả hai trường hợp, Dropbox tạo ra các hiện vật trên hệ thống có thể cung cấp thông tin liên quan cho cuộc điều tra điều tra số. Ngoài ra, các máy chủ Dropbox cũng lưu trữ thông tin như lịch sử tài khoản, lịch sử tệp của người dùng và nhật ký. Những hiện vật và tệp nhật ký này có thể giúp điều tra viên tiến hành phân tích điều tra số chi tiết.

Hiện vật còn lại bởi cổng thông tin web Dropbox

Khi đăng nhập vào hồ sơ Dropbox của người dùng, bạn có thể truy cập thông tin về các tệp đã xóa:

• Đối với phiên bản miễn phí, chỉ có thể khôi phục các tệp đã xóa trong 30 ngày gần đây
• Đối với phiên bản thương mại, có thể khôi phục tất cả các tệp đã xóa

Phần này sẽ cung cấp kiến thức về dữ liệu bằng chứng và hiện vật mà các điều tra viên có thể thu thập bằng cách sử dụng cổng thông tin web của tài khoản Dropbox.

Khi người dùng xóa các tệp khỏi tài khoản Dropbox của họ, họ không xóa hoàn toàn vì Dropbox cung cấp khả năng khôi phục các tệp đã xóa. Nó lưu trữ tệp đã xóa trong thư mục Tệp đã xóa cho đến khi người dùng xóa vĩnh viễn khỏi thư mục Tệp đã xóa.

Điều tra viên có thể khôi phục các tệp đã xóa bằng cách đăng nhập vào hồ sơ Dropbox của người dùng và điều hướng đến không gian Tệp đã xóa. Đối với phiên bản miễn phí của ứng dụng Dropbox, người dùng có thể khôi phục các tệp đã xóa trong vòng 30 ngày; trong khi ở phiên bản thương mại, Dropbox lưu trữ tất cả các tệp đã xóa.

Bạn cũng có thể lấy thông tin về:

• Các phiên trình duyệt gần đây nhất
• Thiết bị được liên kết với Dropbox
• Ứng dụng được liên kết với Dropbox

Để kiểm tra các phiên đã duyệt gần đây và các thiết bị được kết nối với hồ sơ của người dùng khi điều tra viên đã đăng nhập vào tài khoản Dropbox bằng trang web, hãy nhấp vào tên người dùng ở góc trên bên phải, chọn Cài đặt từ menu và nhấp vào Bảo mật.

Trang web sẽ chuyển hướng đến một trang hiển thị Phiên và Thiết bị. Phần phiên sẽ hiển thị thông tin về thông tin đăng nhập như ngày, giờ và vị trí mà người dùng đã đăng nhập vào tài khoản. Phần Thiết bị hiển thị tất cả các thiết bị được liên kết, chẳng hạn như điện thoại di động, máy tính xách tay và máy tính để bàn.

Để xem lịch sử phiên bản cho mỗi tệp và khôi phục phiên bản trước đó của tệp:

• Nhấp chuột phải vào tệp và chọn “Phiên bản trước đó”

Dropbox có một tính năng độc đáo gọi là lịch sử phiên bản mở rộng (EVH), lưu tất cả các phiên bản đã xóa và trước đó của các tệp theo mặc định. Dropbox cung cấp dịch vụ này trong hai biến thể, biến thể Dropbox Education hoặc miễn phí và biến thể Dropbox Pro hoặc trả phí. Sự khác biệt chính là biến thể dùng thử có thể lưu trữ các phiên bản trước của các tệp đã xóa trong một khoảng thời gian giới hạn 30 ngày, trong khi người dùng đã mua biến thể pro có thể truy cập bất kỳ phiên bản nào vào bất kỳ thời điểm nào.

Điều tra viên có thể sử dụng tính năng EVH để xem lịch sử phiên bản của từng tệp và khôi phục các phiên bản trước của các tệp đã xóa từ tài khoản Dropbox.

Các bước để truy xuất một tệp đã xóa từ Dropbox:

• Đăng nhập vào ứng dụng dựa trên web
• Chọn tùy chọn Tệp từ danh sách menu bên phải
• Nhấp chuột phải vào tệp từ danh sách được cung cấp và chọn Phiên bản trước từ menu thả xuống
• Trang web sẽ được chuyển hướng đến trang lịch sử phiên bản của tệp đã chọn, chứa chi tiết của tất cả các phiên bản trước đó
• Chọn một phiên bản từ danh sách và nhấp vào nút Khôi phục để khôi phục phiên bản

Bạn có thể xem phần Sự kiện để biết dòng thời gian của các thay đổi đối với Dropbox. Nó cũng cho biết tài khoản nào đã thực hiện hành động, hành động là gì và mục tiêu của hành động.

Dropbox chứa một tính năng nhật ký sự kiện ghi lại các hoạt động được thực hiện trên các thư mục Dropbox. Điều tra viên có thể sử dụng tính năng này để theo dõi các hoạt động của tài khoản. Tính năng này sẽ tiết lộ chi tiết như tài khoản được kết nối, tài khoản thực hiện thay đổi, loại hành động, mục tiêu của hành động và thời gian hành động.

Dropbox nhóm tất cả các hành động đã diễn ra trong đồng bộ và hiển thị nó như một mục nhập duy nhất cùng với dấu thời gian nêu rõ khi nào hành động kết thúc. Trong trường hợp có bất kỳ sự gián đoạn nào trong quá trình đồng bộ, Dropbox sẽ xóa dấu thời gian cho những khoảng thời gian đáng kể đó.

Các bước để xem nhật ký sự kiện: Trên trang chủ cổng thông tin web Dropbox, chọn tùy chọn Sự kiện từ danh sách menu bên phải. Trang web sẽ điều hướng đến trang sự kiện, hiển thị các sự kiện và chi tiết liên quan như thời gian và ngày của sự kiện, tài khoản thực hiện, hành động được thực hiện và tệp hoặc thư mục được sửa đổi.

Hiện vật còn lại bởi ứng dụng Dropbox trên Windows

Trên hệ điều hành Windows 10, theo mặc định, ứng dụng Dropbox được cài đặt tại C:\Program Files (x86)\Dropbox. Thư mục mặc định được sử dụng để đồng bộ hóa tệp là C:\Users<username>\Dropbox. Thư mục Dropbox chứa tất cả các tệp đã được tải lên hoặc tải xuống từ đám mây.

Việc cài đặt Dropbox tạo ra nhiều khóa và giá trị bên trong registry:

• HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\DropboxExt(n)
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox
• HKLM\SOFTWARE\Classes\DropboxUpdate.ProcessLauncher
• HKLM\SOFTWARE\Dropbox\InstallPath
• HKLM\SOFTWARE\Dropbox\Client\Version

Từ các thay đổi registry, bạn có thể lấy được đường dẫn cài đặt Dropbox và phiên bản.

Khi người dùng cài đặt ứng dụng Dropbox trên máy tính để bàn chạy hệ điều hành Windows, hệ thống lưu các tệp Dropbox tại vị trí C:\Program Files (x86)\Dropbox theo mặc định. Hệ thống sử dụng C:\Users<username>\Dropbox làm thư mục mặc định được sử dụng để đồng bộ hóa tệp. Vị trí đồng bộ lưu trữ tất cả các tệp mà người dùng tải lên hoặc tải xuống từ Dropbox. Điều tra viên có thể sử dụng các thư mục này để kiểm tra các tệp được lưu trữ trong trường hợp họ không có quyền truy cập vào tài khoản Dropbox. Quá trình cài đặt cũng thực hiện các thay đổi trong các khóa và giá trị registry, có thể cung cấp thông tin như đường dẫn cài đặt Dropbox và phiên bản, các thay đổi được thực hiện đối với mạng, cổng và tường lửa để cho phép truyền dữ liệu đến và đi từ ứng dụng Dropbox.

Các tệp cấu hình được lưu bên trong thư mục Appdata trong hồ sơ người dùng: C:\Users<username>\AppData\Local\Dropbox\instance(n)

Các tệp thực thi và thư viện được lưu trữ tại: C:\Program Files (x86)\Dropbox\Client

Các tệp được tạo trong quá trình cài đặt ứng dụng Dropbox:

Các tệp LINK hoặc tệp Shortcut:

• C:\Users<username>\Desktop\Dropbox.lnk
• C:\Users<username>\Links\Dropbox.lnk

Các tệp Prefetch:

• C:\Windows\Prefetch\DROPBOX.EXE-1AFC8E96.pf
• C:\Windows\Prefetch\DROPBOX.EXE-BC41F124.pf
• C:\Windows\Prefetch\DROPBOXCLIENT_3.14.7.EXE-67CA8E4C.pf
• C:\Windows\Prefetch\DROPBOXCLIENT_3.14.7.EXE-68E912D2.pf
• C:\Windows\Prefetch\DROPBOXCRASHHANDLER.EXE-3D55A98C.pf
• C:\Windows\Prefetch\DROPBOXINSTALLER.EXE-1EDCCE18.pf
• C:\Windows\Prefetch\DROPBOXUNINSTALLER.EXE-A866A871.pf
• C:\Windows\Prefetch\DROPBOXUPDATE.EXE-59B5AB7D.pf
• C:\Windows\Prefetch\DROPBOXUPDATE.EXE-48534C67.pf
• C:\Windows\Prefetch\DROPBOXUPDATE.EXE-AA3CC021.pf
• C:\Windows\Prefetch\DROPBOXUPDATEONDEMAND.EXE-229B2726.pf

Trong quá trình cài đặt, ứng dụng Dropbox thêm nhiều tệp khác vào hệ thống, dẫn đến nhiều thay đổi. Các tệp mới bao gồm các tệp thực thi, thư viện của ứng dụng Dropbox, Tệp chương trình, tệp LiNK, tệp shortcut của ứng dụng và Liên kết của hồ sơ người dùng.

Điều tra viên nên thu thập thông tin về các tệp và thư mục mà ứng dụng tạo ra trên máy tính để bàn và hiểu cách chúng có thể hoạt động như bằng chứng. Các tệp và thư mục mà ứng dụng thêm vào trong quá trình cài đặt bao gồm những tệp được đề cập trong slide.

Một số tệp chứa thông tin cấu hình:

sigstore.db | Ghi lại thông tin hàm băm SHA-256 và kích thước của từng tệp, nhưng không có tên v.v.

host.db C:\Users<Username>\AppData\Local\Dropbox | tệp văn bản thuần chứa (các) giá trị băm của tên người dùng

unlink.db | tệp cơ sở dữ liệu nhị phân

.dropbox.cache C:\Users<Username>\Dropbox | Đây là một thư mục ẩn nằm ở thư mục gốc Dropbox được sử dụng làm khu vực tổ chức để tải xuống và tải lên tệp

Lưu ý: Phiên bản hiện tại của Dropbox sử dụng các tệp DB SQLite được mã hóa (.dbx)

Công cụ điều tra số đám mây: UFED Cloud Analyzer

MAGNET IEF có thể được sử dụng bởi các chuyên gia điều tra số để tìm kiếm, phân tích và báo cáo về bằng chứng kỹ thuật số từ máy tính, điện thoại thông minh và máy tính bảng

Nó có thể khôi phục bằng chứng từ nhiều nguồn dữ liệu khác nhau (ví dụ: Dropbox ở đây) và tích hợp chúng vào một tệp trường hợp Magnet IEF duy nhất

Home

Nguồn: https://www.magnetforensics.com

Công cụ xử lý dữ liệu thô, không có cấu trúc và khác biệt trong hình ảnh điều tra số, hoặc dump tệp và trích xuất dữ liệu có ý nghĩa cho mỗi loại hiện vật được hỗ trợ. Nó tìm kiếm các hiện vật của nhiều danh mục từ không gian được phân bổ và không được phân bổ trên các thiết bị máy tính.

Điều tra viên sử dụng Magnet IEF để tìm kiếm, phân tích và báo cáo về bằng chứng kỹ thuật số từ máy tính, điện thoại thông minh và máy tính bảng. Nó tự động hóa bằng chứng điều tra số kỹ thuật số.

Công cụ có thể khôi phục các hiện vật từ không gian không được phân bổ bằng cách trích xuất dữ liệu từ các tệp không tuần tự, không theo thứ tự hoặc bị thiếu hoàn toàn bất kể kích thước đĩa và tích hợp chúng vào một tệp trường hợp Magnet IEF duy nhất.

Tất cả bằng chứng kỹ thuật số được khôi phục bởi tìm kiếm MAGNET IEF được tổ chức và lưu trữ trong Tệp trường hợp IEF, một cơ sở dữ liệu bao gồm các bảng hiện vật riêng biệt cho mỗi loại hiện vật được hỗ trợ.

Bạn có thể xem các thay đổi (tạo, sửa đổi/đổi tên và xóa) đối với Dropbox bằng cách sử dụng các công cụ như DiskPulse, Directory Monitor, v.v.

http://www.diskpulse.com https://directorymonitor.com

DiskPulse Giám sát các đĩa hoặc thư mục, lưu báo cáo và thống kê giám sát thay đổi đĩa, thực thi các lệnh tùy chỉnh và gửi thông báo E-Mail khi phát hiện các thay đổi trái phép trong các tệp hệ thống quan trọng

Directory Monitor Giám sát và phát hiện các thay đổi đối với các thư mục và/hoặc chia sẻ mạng và sẽ thông báo cho người dùng về các thay đổi/truy cập tệp, xóa, sửa đổi và tệp mới

Điều tra viên có thể xem các thay đổi trong tài khoản Dropbox bằng cách sử dụng các công cụ như DiskPulse, Directory Monitor, v.v.

DiskPulse Nguồn: http://www.diskpulse.com

DiskPulse là một giải pháp giám sát thay đổi đĩa cho phép điều tra viên giám sát các thay đổi trong một hoặc nhiều đĩa và thư mục, gửi thông báo E-Mail, lưu các loại báo cáo khác nhau, tạo biểu đồ thống kê hình tròn, xuất các thay đổi được phát hiện vào cơ sở dữ liệu SQL, gửi thông báo lỗi đến nhật ký sự kiện hệ thống và thực thi các lệnh tùy chỉnh khi phát hiện một số lượng thay đổi do người dùng chỉ định.

Công cụ chặn các thông báo thay đổi hệ thống tệp do hệ điều hành phát hành và phát hiện các tệp mới được tạo, các tệp được sửa đổi, các tệp bị xóa và các tệp được đổi tên. Tất cả các thay đổi hệ thống tệp được phát hiện trong thời gian thực cho phép gửi thông báo E-Mail, thực thi lệnh tùy chỉnh và lưu báo cáo giám sát thay đổi đĩa trong vòng vài giây sau khi phát hiện một hoặc nhiều thay đổi quan trọng.

Điều tra viên được cung cấp khả năng xem xét, phân loại và lọc các thay đổi hệ thống tệp được phát hiện, tạo các loại báo cáo thống kê khác nhau cho thấy số lượng thay đổi theo phần mở rộng tệp, số lượng thay đổi theo loại thay đổi, số lượng thay đổi theo người dùng, v.v.

Directory Monitor Nguồn: https://directorymonitor.com

Directory Monitor có thể được sử dụng bởi các điều tra viên để giám sát các thư mục và chia sẻ mạng nhất định và sẽ thông báo cho điều tra viên về các thay đổi/truy cập tệp, xóa, sửa đổi và tệp mới trong thời gian thực. Người dùng và quy trình thực hiện các thay đổi cũng có thể được phát hiện. Nó cung cấp nhật ký văn bản, tự động hóa thông qua thực thi script/ứng dụng, gửi email, ghi vào cơ sở dữ liệu, thông báo âm thanh, v.v.

Công cụ giám sát các thư mục cục bộ hoặc chia sẻ mạng bao gồm cả chia sẻ ẩn/riêng tư, cho phép chụp ảnh nhanh để đảm bảo có thể phát hiện các thay đổi khi mạng ngừng hoạt động và thậm chí trong các trường hợp mất điện.

Nếu ứng dụng Dropbox được cài đặt trên PC, bạn có thể tìm thấy thông tin về các phiên trong RAM. Để làm điều này, trước tiên bạn cần chạy các công cụ như RAM Capturer để dump nội dung RAM và sau đó sử dụng công cụ trình biên tập hex để phân tích nội dung RAM

RAM Capturer: Công cụ điều tra số cho phép trích xuất đáng tin cậy toàn bộ nội dung bộ nhớ dễ bay hơi của máy tính – ngay cả khi được bảo vệ bởi hệ thống chống gỡ lỗi hoặc chống dump đang hoạt động

https://belkasoft.com

RAM Capturer Nguồn: https://belkasoft.com

Điều tra viên có thể tìm thấy thông tin về các phiên của ứng dụng Dropbox từ phân tích RAM. Để làm điều này, điều tra viên có thể chạy công cụ RAM Capturer để dump nội dung RAM, và sau đó sử dụng công cụ trình biên tập hex để phân tích nội dung RAM đã chụp.

RAM Capturer cho phép điều tra viên trích xuất đáng tin cậy toàn bộ nội dung bộ nhớ dễ bay hơi của máy tính vào ổ đĩa được yêu cầu – ngay cả khi được bảo vệ bởi hệ thống chống gỡ lỗi hoặc chống dump đang hoạt động. Công cụ cho phép điều tra viên có khả năng chụp ảnh nhanh bộ nhớ dễ bay hơi của máy tính (dump bộ nhớ) ngay cả khi hệ thống bảo vệ chống dump đang hoạt động đối với ổ đĩa.

HxD: HxD là một trình biên tập hex, ngoài việc chỉnh sửa đĩa thô và sửa đổi bộ nhớ chính (RAM), còn xử lý các tệp có kích thước bất kỳ

Dưới đây là các chuỗi hỗ trợ bạn tìm thông tin có giá trị bằng chứng (như ID email, tên hiển thị, đường dẫn filecache.dbx, thời gian máy chủ, danh sách tệp và tệp đã xóa):

https://mh-nexus.de

Lưu ý: Ngoài ra, thông tin đề cập ở trên cũng có thể lấy được từ bên trong Hiberfil.sys và Pagefile.sys nằm trong C:\

DisplayName – cung cấp tên của người dùng đã đăng nhập AUTHENTICATE – cung cấp thông tin đăng nhập

HXD Nguồn: https://mh-nexus.de

HXD là một trình biên tập hex cho phép người dùng chỉnh sửa, sửa đổi nội dung nhị phân thô của một tệp hoặc đĩa có kích thước bất kỳ.

Công cụ có các tính năng; các thao tác như tìm kiếm, thay thế, xuất, tổng kiểm tra/băm, chèn mẫu byte, xóa tệp, nối hoặc tách tệp, thống kê, phân tích phần mềm độc hại, vá lỗi cho lập trình viên, sửa chữa bảng ổ cứng, thực hiện so sánh tệp, tạo cheat, v.v. Công cụ hỗ trợ điều tra viên trong việc tìm kiếm thông tin có giá trị bằng chứng như ID email, tên hiển thị, đường dẫn filecache.dbx, Server_time, danh sách tệp và các tệp đã cập nhật/xóa.

Điều tra viên có thể theo dõi thông tin đăng nhập của tài khoản Dropbox cần thiết bằng cách tìm kiếm dump RAM sử dụng chuỗi AUTHENTICATE và tên của người dùng đã đăng nhập có thể lấy được bằng cách sử dụng chuỗi DisplayName.

server_time – cung cấp thời gian máy chủ filecache.dbx – hiển thị đường dẫn cho filecache.dbx

updated/deleted – hiển thị tệp đã cập nhật/xóa

Điều tra viên có thể theo dõi đường dẫn của filecache.dbx bằng cách tìm kiếm dump RAM sử dụng trình biên tập hex với chuỗi filecache.dbx, sử dụng chuỗi server_time để theo dõi thời gian máy chủ của một phiên bản cụ thể và sử dụng chuỗi updated/deleted để tìm các tệp đã cập nhật và đã xóa.

Các tệp cấu hình của Dropbox, được lưu trữ trong các tệp cơ sở dữ liệu SQLite nằm trong instance (n) của thư mục Dropbox trong Appdata của hồ sơ người dùng. Filecache.dbx và config.dbx là các cơ sở dữ liệu SQLite được mã hóa lưu trữ thông tin về các tệp được đồng bộ hóa với đám mây bằng Dropbox. Trình duyệt SQLite có thể hiển thị các tệp này khi được giải mã. Phiên bản hiện tại của Dropbox sử dụng các tệp DB SQLite được mã hóa.

Trong trường hợp Dropbox dựa trên Web, bạn có thể tìm thấy tên người dùng và mật khẩu rõ ràng từ dump RAM bằng cách sử dụng các chuỗi: login_email login_password

Ngoài ra, bạn có thể tìm thấy thông tin đăng nhập Dropbox dựa trên Web được lưu trữ ở đâu đó trong PC (ví dụ: trình duyệt).

Ảnh chụp màn hình dưới đây là đối với Chrome

Điều tra viên có thể tìm thấy thông tin đăng nhập Dropbox đã đăng nhập của ứng dụng dựa trên web bằng cách khám phá dump RAM sử dụng các chuỗi login_email để lấy ID email của người dùng và login_password để lấy mật khẩu của tài khoản.

Điều tra viên cũng có thể theo dõi thông tin đăng nhập đã lưu của ứng dụng Dropbox dựa trên web trong PC từ các nguồn như trình duyệt.

Bạn có thể sử dụng các công cụ như WebBrowserPassView, một công cụ khôi phục mật khẩu tiết lộ các mật khẩu được lưu trữ bởi các trình duyệt Web sau: Internet Explorer (Phiên bản 4.0 – 11.0), Mozilla Firefox, Google Chrome, Safari và Opera

http://www.nirsoft.net

WebBrowserPassView Nguồn: http://www.nirsoft.net

Điều tra viên có thể sử dụng các công cụ như WebBrowserPassView, một công cụ khôi phục mật khẩu tiết lộ các mật khẩu được lưu trữ bởi các trình duyệt Web sau: Internet Explorer (Phiên bản 4.0 – 11.0), Mozilla Firefox, Google Chrome, Safari và Opera.

Công cụ cũng có thể được sử dụng để khôi phục mật khẩu bị mất/quên của bất kỳ trang web nào như Facebook, Google, Yahoo miễn là nó được lưu trữ trong trình duyệt của người dùng. Các mật khẩu được truy xuất có thể được lưu trong tệp text/html/csv/xml bằng cách sử dụng Save Selected Items.

Gỡ cài đặt ứng dụng Dropbox Client

Gỡ cài đặt ứng dụng Dropbox Client:

• xóa thư mục cấu hình
• không xóa bản sao cục bộ của tệp
• giữ lại khóa registry HKLM\SOFTWARE\Dropbox (nhưng không có giá trị)
• giữ lại các tệp Prefetch ngay cả sau khi gỡ cài đặt

Bạn cũng có thể khôi phục thông tin từ:

• Các khóa registry của các tệp gần đây
• Các tệp LiNK
• Lịch sử và bộ nhớ cache trình duyệt
• Hình thu nhỏ
• Bản sao shadow điểm/khối lượng Registry
• Pagefile.sys
• Hiberfil.sys

Nếu người dùng gỡ cài đặt một ứng dụng hoặc ứng dụng khách, hệ thống sẽ xóa các tệp và thư mục của nó khỏi các đĩa cục bộ. Tuy nhiên, một số tệp vẫn còn ngay cả sau khi gỡ cài đặt ứng dụng, chẳng hạn như bản sao cục bộ, tệp Prefetch, các khóa registry không có giá trị, v.v.

Điều tra viên có thể khôi phục thông tin liên quan đến Dropbox từ các khóa registry của các tệp gần đây, tệp LiNK, lịch sử và bộ nhớ cache trình duyệt, hình thu nhỏ, v.v., vẫn còn trong hệ thống ngay cả sau khi người dùng đã gỡ cài đặt ứng dụng.

Điều tra dịch vụ lưu trữ đám mây Google Drive

Google Drive là dịch vụ lưu trữ và chia sẻ tệp trực tuyến của Google hỗ trợ chia sẻ các loại tệp khác nhau như hình ảnh, video, tài liệu, bảng tính, bài thuyết trình, v.v. Dịch vụ hỗ trợ nhiều thiết bị bao gồm máy tính để bàn, điện thoại di động, v.v. thông qua các chế độ khác nhau như ứng dụng khách máy tính để bàn, cổng thông tin web, ứng dụng di động, v.v.

Người dùng cũng có thể mời những người khác xem, tải xuống và cộng tác trên các tệp. Lưu trữ hoạt động cùng với Google Docs, Sheets và Slides, một bộ ứng dụng văn phòng cho phép người dùng chỉnh sửa tài liệu, bảng tính, bài thuyết trình, bản vẽ, biểu mẫu và hơn thế nữa trực tuyến.

Hiện vật còn lại bởi cổng thông tin web Google Drive

Bạn có thể đăng nhập vào hồ sơ của người dùng và truy cập thông tin của Google Drive về các tệp đã xóa Nhấp vào tab Thùng rác để xem các tệp đã xóa

Google Drive không loại bỏ hoàn toàn các tệp khi người dùng xóa chúng khỏi tài khoản của họ, thay vào đó nó giữ chúng trong thư mục Thùng rác tạm thời. Điều tra viên có thể kiểm tra thư mục Thùng rác trong tài khoản drive để khôi phục các tệp này, vì chúng có thể chứa bằng chứng quan trọng. Phân tích các tệp đã xóa có thể cung cấp chi tiết như tác giả của tệp, ngày tạo và sửa đổi, v.v.

Để khôi phục các tệp đã xóa trong tài khoản Google Drive:

• Đầu tiên đăng nhập vào tài khoản
• Chọn thư mục Thùng rác từ danh sách menu bên trái của tài khoản
• Nhấp chuột phải vào tệp cần khôi phục và chọn tùy chọn Khôi phục từ menu

Bạn có thể xem lịch sử phiên bản cho mỗi tệp và có thể khôi phục phiên bản trước đó của một tệp Nhấp chuột phải vào tệp và chọn Quản lý phiên bản…

Google Drive lưu trữ các phiên bản của tệp khi người dùng chỉnh sửa nó và cũng theo dõi nếu người dùng di chuyển một tệp đến vị trí khác. Sử dụng tính năng này, các điều tra viên có thể tải xuống các phiên bản trước của các tệp có sẵn cho các tệp được sửa đổi trong quá trình sự cố bảo mật.

• Trong trang chủ tài khoản Google Drive, nhấp chuột phải vào tệp cần thiết
• Chọn tùy chọn Quản lý phiên bản… từ menu thả xuống
• Trong cửa sổ Quản lý phiên bản, chọn phiên bản cần phân tích
• Nhấp vào nút tùy chọn ở cuối tên tệp
• Nhấp vào tùy chọn Tải xuống từ danh sách

Bạn có thể xem các lần truy cập gần đây bằng cách nhấp vào tab Gần đây

Google Drive lưu trữ nhật ký của các hoạt động gần đây cũng như sắp xếp các tệp được lưu trữ theo thứ tự hoạt động được thực hiện trên chúng. Điều tra viên có thể kiểm tra các tính năng này để xem những tệp nào mà người dùng hoặc kẻ tấn công đã truy cập lần cuối và họ đã thực hiện loại hoạt động nào trong lần truy cập của họ.

Bước để xem các tệp đã sửa đổi gần đây:

• Đăng nhập vào tài khoản
• Chọn tùy chọn menu Gần đây từ danh sách menu bên trái
• Trang web sẽ sắp xếp các tệp theo thứ tự hoạt động
• Để xem thêm chi tiết về hoạt động được thực hiện, nhấp chuột phải vào tệp và chọn tùy chọn xem chi tiết từ danh sách thả xuống

Các bước để xem hoạt động gần đây:

• Trong tài khoản, nhấp vào nút xem chi tiết từ góc trên bên phải của trang chủ
• Trang sẽ hiển thị tất cả các hoạt động gần đây và người dùng liên quan đến nó, nếu có

Bạn có thể xem thông tin có giá trị của một mục cụ thể bằng cách chọn mục và nhấp vào nút thông tin ( ) ở góc trên bên phải

Đối với mỗi mục, có 2 ngăn: Chi tiết và Hoạt động

Ngăn Chi tiết – Chứa thông tin về mục đã chọn như chủ sở hữu, kích thước của tệp, khi nào nó được tạo, mở, sửa đổi, v.v.

Ngăn Hoạt động – hiển thị các hoạt động được thực hiện trên một mục đã chọn như di chuyển và xóa, đổi tên, tải lên, chia sẻ và hủy chia sẻ, chỉnh sửa và bình luận

Lưu ý: Bạn có thể nhấp vào Drive của tôi trong thanh điều hướng bên trái, sau đó nhấp vào nút thông tin ở góc trên bên phải để xem chi tiết và theo dõi hoạt động của tất cả các mục được tạo trong hoặc tải lên “Drive của tôi”.

Hiện vật còn lại bởi ứng dụng Google Drive trên Windows

Trên hệ điều hành Windows 10, theo mặc định ứng dụng Google Drive được cài đặt tại C:\Program Files (x86)\Google\Drive

Thư mục mặc định được sử dụng để đồng bộ hóa tệp là C:\Users<username>\Google Drive

Việc cài đặt Google Drive tạo ra nhiều khóa và giá trị trong registry:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders HKCU\SOFTWARE\Google\Drive HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GoogleDriveSync HKCU\SOFTWARE\Classes

Từ các thay đổi registry, bạn có thể lấy được phiên bản Google Drive đã cài đặt và thư mục người dùng

Tất cả các ứng dụng đều lưu trữ dữ liệu của chúng trong các thư mục cụ thể trong hệ thống. Khi người dùng cài đặt ứng dụng Google Drive trên thiết bị của họ, nó sử dụng không gian để lưu trữ các tệp và thư mục cụ thể cho ứng dụng, lưu trữ bộ nhớ cache, hình thu nhỏ và các tệp khác mà ứng dụng yêu cầu để hoạt động tốt.

Đường dẫn cài đặt mặc định của ứng dụng Google Drive trong hệ điều hành Windows 10 là C:\Program Files (x86)\Google\Drive. Thư mục mặc định được sử dụng để đồng bộ hóa là C:\Users<username>\Google Drive.

Việc cài đặt tạo ra nhiều khóa và giá trị bên trong registry mà từ đó các điều tra viên có thể xác định phiên bản đã cài đặt và thư mục người dùng từ các thay đổi registry cho cuộc điều tra của họ.

Bạn có thể sử dụng các công cụ như WhatChanged Portable để quét các tệp và mục nhập registry đã sửa đổi

http://portableapps.com

Sau khi cài đặt ứng dụng Google Drive trong hệ điều hành Windows 10, một số thay đổi xảy ra trong registry. Điều tra viên có thể sử dụng WhatChanged Portable để theo dõi các tệp được sửa đổi và các mục nhập registry.

WhatChanged Portable hữu ích để kiểm tra cài đặt chương trình. Đó là một tiện ích hệ thống quét các tệp và mục nhập registry đã sửa đổi. Nó sử dụng ‘phương pháp vét cạn’ để kiểm tra tệp và registry.

Có hai bước để sử dụng phần mềm WhatChanged Portable:

• Đầu tiên, chụp ảnh nhanh để lấy trạng thái hiện tại của máy tính trước khi cài đặt ứng dụng Google Drive;
• Thứ hai, chạy lại để kiểm tra sự khác biệt kể từ ảnh chụp nhanh trước đó, sau khi cài đặt ứng dụng Google Drive.

Bằng cách so sánh cả hai ảnh chụp màn hình, các điều tra viên có thể tìm ra danh sách các tệp đã sửa đổi trong registry và các mục đã thực hiện trong registry.

WhatChanged Nguồn: http://portableapps.com

WhatChanged là một tiện ích hệ thống quét các tệp và mục nhập registry đã sửa đổi. Nó hữu ích để kiểm tra cài đặt chương trình. Có hai bước để sử dụng WhatChanged:

1) Đầu tiên, chụp ảnh nhanh để lấy trạng thái hiện tại của máy tính;

2) Tiếp theo, chạy lại để kiểm tra sự khác biệt kể từ ảnh chụp nhanh trước đó. WhatChanged sử dụng ‘phương pháp vét cạn’ để kiểm tra tệp và registry.

Các tệp cấu hình được lưu trong thư mục cài đặt trong hồ sơ người dùng C:\Users<username>\AppData\Local\Google\Drive\user_default

Các tệp thực thi và thư viện được lưu trữ tại: C:\Program Files (x86)\Google\Drive

Các tệp được tạo trong quá trình cài đặt ứng dụng Google Drive:

Các tệp LiNK hoặc Shortcut: C:\Users<username>\Desktop\Google Drive.lnk C:\Users<username>\Links\Google Drive.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Drive\Google Drive.lnk

Các tệp Prefetch: Nằm tại C:\Windows\Prefetch

Trong quá trình cài đặt, Ứng dụng Google Drive thực hiện nhiều thay đổi trong hệ điều hành Windows 10 để đáp ứng các cài đặt ứng dụng. Ứng dụng lưu các tệp và thư mục cấu hình, lưu trữ các tệp thực thi và thư viện cần thiết để chạy ứng dụng, cũng như các liên kết và tệp shortcut. Tất cả các tệp này chứa thông tin liên quan đến tài khoản google drive và nội dung của nó. Do đó, chúng chứng minh là bằng chứng tốt.

Bạn có thể chạy các công cụ như DB Browser để xem dữ liệu bằng chứng trong Sync_config.db Thông tin bao gồm:

• Phiên bản ứng dụng đã cài đặt
• Đường dẫn gốc đồng bộ cục bộ
• ID email người dùng

http://sqlitebrowser.org

Sync_config.db là một tệp cơ sở dữ liệu của Ứng dụng Google Drive chứa một số bản ghi bao gồm phiên bản Google Drive, đường dẫn gốc đồng bộ cục bộ và địa chỉ email của người dùng. Điều tra viên có thể đọc các tệp cơ sở dữ liệu bằng cách sử dụng các công cụ DB Browser cho SQLite để trích xuất thông tin cần thiết và cũng sử dụng tệp để tạo lại các cơ sở dữ liệu và tìm kiếm dữ liệu trong đó.

DB browser sử dụng giao diện quen thuộc giống như bảng tính và dễ sử dụng. Điều tra viên có thể xác định phiên bản ứng dụng đã cài đặt trên máy, Đường dẫn gốc đồng bộ cục bộ và ID email.

Các tệp dưới đây ở định dạng SQlite3 và có thể được truy cập bằng trình duyệt SQlite: snapshot.db sync_config.db

Bạn có thể chạy các công cụ như DB Browser cho SQLite để tìm thông tin về mục cục bộ và mục đám mây trong Snapshot.db

Dưới đây là ảnh chụp cho mục đám mây, hiển thị thông tin: tên tệp, đã tạo, đã sửa đổi, đã xóa, kích thước, tổng kiểm tra, đã chia sẻ, loại_tài nguyên, v.v.

Các tệp snapshot.db và sync_config.db là các tệp định dạng cơ sở dữ liệu lưu trữ chi tiết về mục cục bộ và mục đám mây. Điều tra viên cũng có thể lấy chi tiết thông tin tệp như tên tệp, ngày tạo tệp, xóa và sửa đổi, kích thước, tổng kiểm tra, đã chia sẻ, loại_tài nguyên, v.v. bằng cách chọn cloud_entry từ Table trong DB browser.

Dưới đây là ảnh chụp cho mục cục bộ, hiển thị thông tin: tên tệp, đã sửa đổi, tổng kiểm tra, kích thước và is_folder

Điều tra viên có thể trích xuất các giá trị như số inode, tên tệp, đã sửa đổi, tổng kiểm tra, kích thước và is_folder bằng cách chọn local_entry từ Table trong DB browser.

Bốn tệp bổ sung được tạo trong thư mục đường dẫn cơ sở dữ liệu mặc định C\Users<username>\AppData\Local\Google\Drive\user_default sau khi dữ liệu được thêm và đồng bộ hóa vào Google Drive

Đây là các tệp tạm thời được tạo bởi SQLite, chủ yếu được sử dụng để ghi nhật ký giao dịch như hoàn tác các thay đổi khi giao dịch thất bại

Quá trình cài đặt ứng dụng Google Drive tạo một số tệp tạm thời trong hồ sơ người dùng mà SQLite sử dụng để lưu trữ tạm thời các thay đổi trong trường hợp lỗi đồng bộ hóa và hoàn tác chúng sau đó. Điều tra viên nên tìm kiếm các tệp như vậy và trích xuất thông tin để kiểm tra sự hiện diện của bất kỳ thông tin hữu ích nào cho cuộc điều tra. Các tệp này ở định dạng cơ sở dữ liệu và có thể đọc được bằng các công cụ khác nhau.

Bạn có thể lấy thông tin về phiên đồng bộ hóa của ứng dụng từ tệp Sync_log.log Thông tin có sẵn bao gồm: các phiên đồng bộ hóa, tệp đã tạo, tệp đã sửa đổi và tệp đã xóa

Mở tệp Sync_log.log nằm tại C:\Users<Username>\AppData\Local\Google\Drive\user_default và sử dụng các chuỗi dưới đây:

• RawEvent(CREATE
• RawEvent(DELETE
• RawEvent(MODIFY

Cài đặt phiên bản Ứng dụng Google Drive trong Windows 10 OS tạo ra tệp Sync_log.log trong thư mục user_default của Drive. Tệp nhật ký chứa thông tin về phiên đồng bộ hóa của ứng dụng. Điều tra viên có thể tìm thông tin về các phiên đồng bộ hóa, các tệp được tạo, lưu và xóa từ tệp Sync_log.log bằng cách mở tệp trong notepad và tìm kiếm nó với các chuỗi RAWEVENT[CREATE, RAWEVENT[DELETE, RAWEVENT[MODIFY. Các sự kiện này sẽ giúp các điều tra viên kiểm tra chéo thông tin với chi tiết được tìm thấy trên ứng dụng và kiểm tra các sửa đổi đáng ngờ.

Bạn có thể xem các thay đổi (tạo, sửa đổi/đổi tên và xóa) đối với Google Drive bằng cách sử dụng các công cụ như DiskPulse, Directory Monitor, v.v.

DiskPulse http://www.diskpulse.com

Directory Monitor https://directorymonitor.com

DiskPulse Nguồn: http://www.diskpulse.com

DiskPulse là một giải pháp giám sát thay đổi đĩa cho phép điều tra viên giám sát các thay đổi trong một hoặc nhiều đĩa và thư mục, gửi thông báo E-Mail, lưu các loại báo cáo khác nhau, tạo biểu đồ thống kê hình tròn, xuất các thay đổi được phát hiện vào cơ sở dữ liệu SQL, gửi thông báo lỗi đến nhật ký sự kiện hệ thống và thực thi các lệnh tùy chỉnh khi phát hiện một số lượng thay đổi do người dùng chỉ định. Công cụ chặn các thông báo thay đổi hệ thống tệp do hệ điều hành phát hành và phát hiện các tệp mới được tạo, các tệp được sửa đổi, các tệp bị xóa và các tệp được đổi tên. Tất cả các thay đổi hệ thống tệp được phát hiện trong thời gian thực cho phép gửi thông báo E-Mail, thực thi lệnh tùy chỉnh và/hoặc lưu báo cáo giám sát thay đổi đĩa trong vòng vài giây sau khi phát hiện một hoặc nhiều thay đổi quan trọng.

Directory Monitor: Nguồn: https://directorymonitor.com

Directory Monitor có thể được sử dụng bởi các điều tra viên để giám sát các thư mục và/hoặc chia sẻ mạng nhất định và sẽ thông báo cho điều tra viên về các thay đổi/truy cập tệp, xóa, sửa đổi và tệp mới trong thời gian thực. Người dùng và quy trình thực hiện các thay đổi cũng có thể được phát hiện. Nó cung cấp nhật ký văn bản, tự động hóa thông qua thực thi script/ứng dụng, gửi email, ghi vào cơ sở dữ liệu, thông báo âm thanh, v.v. Công cụ giám sát các thư mục cục bộ hoặc chia sẻ mạng bao gồm cả chia sẻ ẩn/riêng tư, cho phép chụp ảnh nhanh để đảm bảo có thể phát hiện các thay đổi khi mạng ngừng hoạt động và thậm chí trong các trường hợp mất điện.

Nếu ứng dụng Google Drive được cài đặt trên PC, bạn có thể tìm thấy thông tin về các phiên trong RAM Để làm điều này, trước tiên bạn cần chạy các công cụ như RAM Capturer để dump nội dung RAM và sau đó sử dụng công cụ trình biên tập hex để phân tích nội dung RAM

RAM Capturer: Công cụ điều tra số cho phép trích xuất đáng tin cậy toàn bộ nội dung bộ nhớ dễ bay hơi của máy tính – ngay cả khi được bảo vệ bởi hệ thống chống gỡ lỗi hoặc chống dump đang hoạt động

https://belkasoft.com

Điều tra viên có thể tìm thấy thông tin về các phiên của ứng dụng Google Drive từ phân tích RAM. Trong các trường hợp mà điều tra viên phải trích xuất thông tin từ một hệ thống đã chết và phải tìm ra xem người dùng hoặc kẻ tấn công đã sử dụng môi trường đám mây trên hệ thống hay không, điều tra viên có thể sử dụng dữ liệu được lưu trữ trong RAM. Quá trình này đề cập đến phân tích RAM. Để làm điều này, điều tra viên có thể chạy công cụ RAM Capturer để dump nội dung RAM, và sau đó sử dụng công cụ trình biên tập hex để phân tích nội dung RAM đã chụp.

RAM Capturer cho phép điều tra viên trích xuất đáng tin cậy toàn bộ nội dung bộ nhớ dễ bay hơi của máy tính vào ổ đĩa được yêu cầu – ngay cả khi được bảo vệ bởi hệ thống chống gỡ lỗi hoặc chống dump đang hoạt động. Công cụ cho phép điều tra viên có khả năng chụp ảnh nhanh bộ nhớ dễ bay hơi của máy tính (dump bộ nhớ) ngay cả khi hệ thống bảo vệ chống dump đang hoạt động đối với ổ đĩa.

Belkasoft Live RAM Capturer Nguồn: https://belkasoft.com

Belkasoft Live RAM Capturer là một công cụ điều tra số cho phép trích xuất toàn bộ nội dung bộ nhớ dễ bay hơi của máy tính – ngay cả khi được bảo vệ bởi hệ thống chống gỡ lỗi hoặc chống dump đang hoạt động. Các bản dựng 32-bit và 64-bit riêng biệt có sẵn để giảm thiểu dấu chân của công cụ càng nhiều càng tốt. Các bản dump bộ nhớ được chụp bằng Belkasoft Live RAM Capturer có thể được phân tích bằng Live RAM Analysis trong Belkasoft Evidence Center.

HxD: HxD là một trình biên tập hex, ngoài việc chỉnh sửa đĩa thô và sửa đổi bộ nhớ chính (RAM), còn xử lý các tệp có kích thước bất kỳ

Dưới đây là các chuỗi hỗ trợ bạn tìm thông tin có giá trị bằng chứng (như ID email người dùng, số phiên bản, local_sync_folder_path, đường dẫn snapshot.db và sync_config.db):

https://mh-nexus.de

Lưu ý: Ngoài ra, thông tin đề cập ở trên cũng có thể lấy được từ bên trong Hiberfil.sys và Pagefile.sys nằm trong C:\

local_sync_root_pathvalue – hiển thị đường dẫn cho thư mục đồng bộ mặc định và Highest_app_versionvalue – cung cấp số phiên bản của ứng dụng Google Drive User_emailvalue – cung cấp ID email người dùng

HXD Nguồn: https://mh-nexus.de

HXD là một trình biên tập hex cho phép người dùng chỉnh sửa, sửa đổi nội dung nhị phân thô của một tệp hoặc đĩa có kích thước bất kỳ.

Công cụ có các tính năng; các thao tác như tìm kiếm, thay thế, xuất, tổng kiểm tra/băm, chèn mẫu byte, xóa tệp, nối hoặc tách tệp, thống kê, phân tích phần mềm độc hại, vá lỗi cho lập trình viên, sửa chữa bảng ổ cứng, thực hiện so sánh tệp, tạo cheat, v.v. Công cụ hỗ trợ điều tra viên trong việc tìm kiếm thông tin có giá trị bằng chứng như ID email, tên hiển thị, đường dẫn filecache.dbx, Server_time, danh sách tệp và các tệp đã cập nhật/xóa.

Điều tra viên có thể theo dõi ID email của tài khoản Google Drive cần thiết bằng cách tìm kiếm dump RAM sử dụng chuỗi user_emailvalue và đường dẫn đồng bộ, và phiên bản ứng dụng có thể lấy được bằng cách sử dụng các chuỗi local_sync_root_pathvalue và Highest_app_versionvalue.

snapshot.db – hiển thị đường dẫn cho tệp snapshot.db sync_config.db – hiển thị đường dẫn cho tệp sync_config.db

Các điều tra viên có thể tìm kiếm đường dẫn của tệp snapshot.db bằng cách tìm kiếm dump RAM sử dụng trình biên tập hex với chuỗi snapshot.db và đường dẫn của tệp sync config.db với chuỗi sync_config.db.

Trong trường hợp Google Drive dựa trên Web, bạn có thể tìm thấy tên người dùng và mật khẩu rõ ràng từ dump RAM bằng cách sử dụng các chuỗi: “Email= ” “Passwd=”

Ngoài ra, bạn có thể tìm thấy thông tin đăng nhập Google Drive dựa trên Web được lưu trữ ở đâu đó trong PC (ví dụ: trình duyệt). Ảnh chụp màn hình dưới đây là đối với Chrome

Các thông tin đăng nhập của tài khoản Google Drive dựa trên web có thể được theo dõi ở dạng văn bản thuần túy bởi các điều tra viên, bằng cách khám phá dump RAM sử dụng trình biên tập hex với các chuỗi như EMAIL= để lấy id email của người dùng và Passwd= để lấy mật khẩu.

Điều tra viên cũng có thể theo dõi thông tin đăng nhập đã lưu của ứng dụng Google Drive dựa trên web trong PC từ các nguồn như trình duyệt.

Bạn có thể sử dụng các công cụ như WebBrowserPassView, một công cụ khôi phục mật khẩu tiết lộ các mật khẩu được lưu trữ bởi các trình duyệt Web sau: Internet Explorer (Phiên bản 4.0 – 11.0), Mozilla Firefox, Google Chrome, Safari và Opera

http://www.nirsoft.net

Điều tra viên có thể sử dụng các công cụ như WebBrowserPassView, một công cụ khôi phục mật khẩu tiết lộ các mật khẩu được lưu trữ bởi các trình duyệt Web sau: Internet Explorer (Phiên bản 4.0 – 11.0), Mozilla Firefox, Google Chrome, Safari và Opera.

Công cụ cũng có thể được sử dụng để khôi phục mật khẩu bị mất/quên của bất kỳ trang web nào như Facebook, Google, Yahoo miễn là nó được lưu trữ trong trình duyệt của người dùng. Công cụ cho phép người dùng lưu các mật khẩu đã truy xuất trong tệp text/html/csv/xml bằng cách sử dụng tùy chọn Save Selected Items.

Gỡ cài đặt ứng dụng Google Drive Client:

Sau khi cài đặt:

• xóa thư mục cấu hình ứng dụng (sync_config.db)
• Các mục nhập Sync_log.log được xác định từ không gian không được phân bổ
• không xóa bản sao cục bộ của tệp
• giữ lại các tệp Prefetch ngay cả sau khi gỡ cài đặt

Sau khi gỡ cài đặt, bạn cũng có thể khôi phục thông tin từ:

• Các khóa registry của các tệp gần đây
• Các tệp LiNK
• Lịch sử và bộ nhớ cache trình duyệt
• Hình thu nhỏ
• Bản sao shadow điểm/khối lượng Registry
• Pagefile.sys
• Hiberfil.sys

Quá trình gỡ cài đặt một ứng dụng bao gồm việc xóa ứng dụng cùng với việc xóa các tệp khác nhau liên quan đến ứng dụng đó. Một tệp như vậy là tệp Drive, mà ứng dụng Google Drive tạo ra trong Program Files khi cài đặt và xóa trong quá trình gỡ cài đặt. Trong khi gỡ cài đặt ứng dụng, hệ thống cũng sẽ xóa thư mục cấu hình, nhưng giữ lại bản sao cục bộ và các tệp Prefetch.

Điều tra viên nên có kiến thức về các tệp mà hệ thống xóa và giữ lại để dễ dàng xác định các tệp có thể hữu ích trong cuộc điều tra. Ngay cả sau khi người dùng đã gỡ cài đặt ứng dụng, điều tra viên có thể khôi phục thông tin liên quan đến ứng dụng từ nhiều nguồn như các khóa Registry, tệp LiNK, lịch sử và bộ nhớ cache trình duyệt, hình thu nhỏ, v.v.

Công cụ điều tra số đám mây: UFED Cloud Analyzer

Cung cấp cho các chuyên gia điều tra số khả năng trích xuất, bảo quản và phân tích tức thì nội dung tài khoản mạng xã hội riêng tư – Facebook, Twitter, Kik, Instagram – lưu trữ tệp và các tài khoản dựa trên đám mây khác có thể giúp đẩy nhanh quá trình điều tra

http://www.cellebrite.com

Nguồn: http://www.cellebrite.com

Các nguồn dữ liệu đám mây đại diện cho một mỏ vàng ảo của bằng chứng tiềm năng cho các điều tra viên điều tra số. Cùng với dữ liệu thiết bị di động, chúng thường nắm bắt các chi tiết và kết nối quan trọng mà các điều tra viên cần để giải quyết tội phạm. Tuy nhiên, việc truy cập vẫn là một thách thức. Công cụ cung cấp cho các chuyên gia điều tra số khả năng trích xuất, bảo quản và phân tích tức thì nội dung tài khoản mạng xã hội riêng tư – Facebook, Twitter, Kik, Instagram – lưu trữ tệp và các tài khoản dựa trên đám mây khác có thể giúp đẩy nhanh quá trình điều tra.

Công cụ tự động thu thập cả dữ liệu đám mây hiện có và metadata và đóng gói chúng theo cách hợp lệ về mặt điều tra số. Cho phép các điều tra viên tìm kiếm, lọc và sắp xếp dữ liệu và xác định các chi tiết cần thiết để tiến hành cuộc điều tra của họ.

Tóm tắt module

• Điện toán đám mây là việc cung cấp theo yêu cầu các khả năng CNTT, trong đó cơ sở hạ tầng và ứng dụng CNTT được cung cấp cho người đăng ký dưới dạng dịch vụ được đo lường qua mạng
• Các dịch vụ đám mây được chia thành ba loại chính: Cơ sở hạ tầng dưới dạng dịch vụ (IaaS), Nền tảng dưới dạng dịch vụ (PaaS) và Phần mềm dưới dạng dịch vụ (SaaS)
• Điều tra số đám mây là việc áp dụng quy trình điều tra số trong môi trường điện toán đám mây
• Tội phạm được thực hiện với đám mây như một chủ thể, đối tượng hoặc công cụ được gọi là tội phạm đám mây
• Các cuộc điều tra số trong đám mây liên quan đến tối thiểu là CSP và khách hàng. Nhưng phạm vi của cuộc điều tra mở rộng khi CSP thuê ngoài dịch vụ cho bên thứ ba
• Theo NIST, các thách thức trong điều tra số đám mây được phân loại thành chín nhóm chính – kiến trúc, thu thập dữ liệu, phân tích, điều tra số, đào tạo, chống điều tra số, người ứng phó sự cố đầu tiên, quản lý vai trò, tiêu chuẩn, v.v.
• Các dịch vụ lưu trữ đám mây như Dropbox, Google Drive, v.v. tạo ra các hiện vật trên hệ thống mà chúng được cài đặt có thể cung cấp thông tin liên quan cho cuộc điều tra

Module này thảo luận về cách hoạt động của Dịch vụ lưu trữ đám mây, các loại, các mối đe dọa và cuộc tấn công chính mà nó phải đối mặt, và quy trình điều tra đám mây một cách ngắn gọn. Module này giáo dục về các dịch vụ lưu trữ đám mây khác nhau, cách hoạt động của chúng, cách chúng lưu trữ tệp và thư mục, v.v.

Ngoài ra, bài học này thảo luận về quy trình mà các điều tra viên nên tuân theo để điều tra các dịch vụ đám mây như Dropbox và Google Drive, cũng như các công cụ có thể giúp tiến hành điều tra và phân tích dữ liệu bằng chứng.

Sau đây là một số ví dụ minh họa để các bạn dễ hình dung và tiếp thu kiến thức của bài học :

1. Ví dụ về mối đe dọa đám mây:

Một công ty sử dụng dịch vụ lưu trữ đám mây SaaS để lưu trữ dữ liệu khách hàng. Một nhân viên bất mãn có quyền truy cập vào tài khoản đám mây này đã tải xuống thông tin khách hàng nhạy cảm trước khi nghỉ việc, gây ra rủi ro rò rỉ dữ liệu.

2. Ví dụ về tấn công đám mây:

Một nhóm tin tặc thực hiện cuộc tấn công DDoS vào máy chủ đám mây của một ngân hàng lớn, làm gián đoạn dịch vụ ngân hàng trực tuyến trong nhiều giờ, ảnh hưởng đến hàng nghìn khách hàng.

3. Ví dụ về điều tra số đám mây:

Trong quá trình điều tra một vụ lừa đảo, các điều tra viên phát hiện ra rằng nghi phạm đã sử dụng tài khoản Google Drive để lưu trữ các tài liệu giả mạo. Họ phải làm việc với Google để có được lệnh khám xét điện tử và truy cập vào nội dung của tài khoản đám mây.

4. Ví dụ về thách thức trong điều tra số đám mây:

Một công ty bảo mật đang điều tra một vụ xâm phạm dữ liệu liên quan đến nhiều tài khoản Dropbox. Họ gặp khó khăn trong việc xác định chính xác thời điểm xâm nhập do sự không đồng bộ của dấu thời gian giữa các máy chủ Dropbox ở các khu vực địa lý khác nhau.

Tình huống tổng quát:

Công ty Security365 được thuê để điều tra một vụ tấn công mạng phức tạp nhắm vào một tập đoàn đa quốc gia. Cuộc điều tra bao gồm các yếu tố sau:

1. Xác định phạm vi: Điều tra viên phát hiện ra rằng cuộc tấn công liên quan đến nhiều dịch vụ đám mây, bao gồm Office 365, Dropbox và AWS.
2. Thu thập dữ liệu: Nhóm phải làm việc với các nhà cung cấp dịch vụ đám mây khác nhau để có quyền truy cập vào nhật ký, metadata và nội dung tài khoản liên quan.
3. Phân tích dữ liệu: Sử dụng các công cụ như UFED Cloud Analyzer, nhóm phân tích dữ liệu từ các nguồn khác nhau để xây dựng dòng thời gian của cuộc tấn công.
4. Khắc phục thách thức: Họ phải đối mặt với các vấn đề như dữ liệu bị phân tán trên nhiều khu vực địa lý, các định dạng nhật ký không nhất quán và khó khăn trong việc xác định chính xác nguồn gốc của cuộc tấn công.
5. Pháp lý: Nhóm phải làm việc với các cố vấn pháp lý để đảm bảo rằng tất cả các bằng chứng được thu thập một cách hợp pháp và có thể được sử dụng trong tòa án nếu cần.
6. Báo cáo: Cuối cùng, họ tổng hợp các phát hiện của mình thành một báo cáo toàn diện, mô tả cách thức hoạt động của cuộc tấn công, những lỗ hổng đã bị khai thác và các khuyến nghị để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Tình huống này minh họa cách các khía cạnh khác nhau của điều tra số đám mây đã được thảo luận trong module kết hợp với nhau trong một cuộc điều tra thực tế, đồng thời nhấn mạnh các thách thức và công cụ liên quan đến loại công việc này.

Ngoài ra, còn có một số vụ án thực tế liên quan đến điều tra số đám mây đã xảy ra trong quá khứ như:

1. Vụ án Capital One (2019):

Chi tiết:

• Một cựu nhân viên Amazon Web Services (AWS) đã khai thác một lỗ hổng trong cấu hình AWS của Capital One để truy cập trái phép vào dữ liệu của hơn 100 triệu khách hàng.
• Kẻ tấn công đã truy cập vào S3 buckets của Capital One và tải xuống thông tin cá nhân của khách hàng.
• Cuộc điều tra liên quan đến việc phân tích nhật ký AWS CloudTrail, xem xét cấu hình IAM và kiểm tra metadata của S3.

Bài học:

• Tầm quan trọng của việc cấu hình đúng các dịch vụ đám mây.
• Nhu cầu giám sát liên tục các hoạt động đám mây.
• Vai trò quan trọng của nhật ký đám mây trong điều tra số.

2. Vụ án Dropbox (2012):

Chi tiết:

• Hơn 68 triệu tài khoản Dropbox bị xâm phạm.
• Kẻ tấn công đã truy cập vào một tài liệu chứa thông tin đăng nhập của người dùng.
• Cuộc điều tra liên quan đến việc phân tích cơ sở dữ liệu người dùng của Dropbox và kiểm tra các mẫu hàm băm mật khẩu.

Bài học:

• Tầm quan trọng của việc mã hóa dữ liệu nhạy cảm trong đám mây.
• Nhu cầu sử dụng xác thực đa yếu tố.
• Thách thức trong việc xử lý vi phạm dữ liệu quy mô lớn trong môi trường đám mây.

3. Vụ án Yahoo (2013-2014):

Chi tiết:

• Hơn 3 tỷ tài khoản Yahoo bị xâm phạm trong hai vụ vi phạm riêng biệt.
• Kẻ tấn công đã truy cập vào cơ sở dữ liệu người dùng của Yahoo, bao gồm tên, địa chỉ email và mật khẩu đã được hàm băm.
• Cuộc điều tra kéo dài nhiều năm và liên quan đến việc phân tích lưu lượng mạng, kiểm tra nhật ký máy chủ và phân tích mã độc.

Bài học:

• Tầm quan trọng của việc phát hiện và phản ứng nhanh chóng với các vi phạm.
• Nhu cầu lưu giữ và phân tích nhật ký dài hạn.
• Thách thức trong việc xác định phạm vi đầy đủ của một cuộc tấn công trong môi trường đám mây phức tạp.

4. Vụ án iCloud Celebrity Photo Leak (2014):

Chi tiết:

• Hình ảnh riêng tư của nhiều người nổi tiếng bị rò rỉ sau khi kẻ tấn công truy cập vào tài khoản iCloud của họ.
• Kẻ tấn công sử dụng kỹ thuật tấn công brute-force để đoán mật khẩu và câu trả lời cho câu hỏi bảo mật.
• Cuộc điều tra liên quan đến việc phân tích nhật ký xác thực iCloud và kiểm tra các mẫu truy cập tài khoản.

Bài học:

• Tầm quan trọng của mật khẩu mạnh và xác thực đa yếu tố.
• Nhu cầu giáo dục người dùng về bảo mật đám mây.
• Thách thức trong việc bảo vệ dữ liệu cá nhân trong các dịch vụ đám mây công cộng.

5. Vụ án Uber (2016):

Chi tiết:

• Kẻ tấn công truy cập vào tài khoản GitHub của một kỹ sư Uber, từ đó lấy được thông tin đăng nhập vào AWS của công ty.
• Sử dụng quyền truy cập này, họ đã lấy dữ liệu của 57 triệu người dùng và tài xế Uber.
• Cuộc điều tra liên quan đến việc phân tích nhật ký GitHub, kiểm tra hoạt động AWS và truy tìm các chuyển động bên trong của kẻ tấn công.

Bài học:

• Nguy cơ của việc lưu trữ thông tin đăng nhập nhạy cảm trên các nền tảng phát triển.
• Tầm quan trọng của việc giám sát và kiểm soát quyền truy cập vào tài nguyên đám mây.
• Nhu cầu có kế hoạch ứng phó sự cố toàn diện cho các môi trường đám mây.

Các vụ án này minh họa sự phức tạp và quy mô của các cuộc điều tra số đám mây trong thế giới thực. Chúng nhấn mạnh tầm quan trọng của việc hiểu biết sâu sắc về kiến trúc đám mây, kỹ thuật điều tra số tiên tiến và sự cần thiết của sự hợp tác chặt chẽ giữa các nhà cung cấp dịch vụ đám mây, chuyên gia bảo mật và cơ quan thực thi pháp luật.

https://cehvietnam.com/2021/07/29/khoa-hoc-dao-tao-chfi-v10-va-ho-tro-thi-chung-chi-quoc-te-chfi-v10/