CEH v13 AI – CEH VIETNAM

Tài liệu CHFI 2024 (EC Council) Module 15 Pháp Y Số Thiết Bị IOT 

MỤC TIÊU HỌC TẬP Module 15 Pháp Y Số Thiết Bị IOT  Khóa học CHFI 2024 – Các mục tiêu học tập của module này là: Hiểu về IoT và các vấn đề bảo mật IoT IoT là gì? Internet of Things (IoT), còn được gọi là Internet of Everything (IoE), đề cập đến mạng lưới…

IT-PRO

MỤC TIÊU HỌC TẬP Module 15 Pháp Y Số Thiết Bị IOT 

Khóa học CHFI 2024

Lịch Khai Giảng Khóa Đào Tạo CHFI v10 + v11 Online CHFI 2024 – Khóa mới vào thứ 5 hàng tuần !

Các mục tiêu học tập của module này là:

  • Hiểu về IoT và các vấn đề bảo mật IoT
  • Nhận biết các loại mối đe dọa IoT khác nhau
  • Hiểu về điều tra số IoT
  • Thực hiện điều tra số trên các thiết bị IoT

Hiểu về IoT và các vấn đề bảo mật IoT

IoT là gì?

Internet of Things (IoT), còn được gọi là Internet of Everything (IoE), đề cập đến mạng lưới các thiết bị có địa chỉ IP có khả năng cảm biến, thu thập và gửi dữ liệu bằng cách sử dụng các cảm biến nhúng, phần cứng truyền thông và bộ xử lý.

Trong IoT, một “thing” được hiểu là một thiết bị được cấy ghép vào các vật thể tự nhiên hoặc nhân tạo và có thể giao tiếp qua mạng.

Ví dụ về các thiết bị IoT:

  • Thiết bị công nghiệp: Cảm biến trong nhà máy
  • Thiết bị đeo: Đồng hồ thông minh, vòng đeo tay fitness
  • Thiết bị chăm sóc sức khỏe: Máy đo huyết áp thông minh
  • Thiết bị gia dụng: Bóng đèn thông minh, tủ lạnh thông minh

Kiến trúc IoT

Kiến trúc IoT gồm 5 tầng chính:

  1. Tầng ứng dụng: Cung cấp các ứng dụng khác nhau cho người dùng IoT
  2. Tầng middleware: Quản lý thiết bị và thông tin
  3. Tầng Internet: Kết nối giữa các điểm cuối
  4. Tầng cổng truy cập: Dịch giao thức và nhắn tin
  5. Tầng công nghệ biên: Cảm biến, thiết bị, máy móc, các nút biên thông minh các loại

Các vấn đề bảo mật IoT

Các vấn đề bảo mật IoT bao gồm:

  • Ứng dụng: Xác thực đầu vào, xác thực, ủy quyền, không có cập nhật bảo mật tự động, mật khẩu mặc định
  • Mạng: Tường lửa, mã hóa truyền thông không đúng cách, dịch vụ, thiếu cập nhật tự động
  • Di động: API không an toàn, thiếu mã hóa kênh truyền thông, xác thực và thiếu bảo mật lưu trữ
  • Đám mây: Xác thực không đúng, không mã hóa lưu trữ và truyền thông, giao diện web không an toàn

IoT = Ứng dụng + Mạng + Di động + Đám mây

Top 10 lỗ hổng IoT của OWASP

  1. Mật khẩu yếu, dễ đoán hoặc được mã hóa cứng
  2. Dịch vụ mạng không an toàn
  3. Hệ sinh thái giao diện không an toàn
  4. Thiếu cập nhật an toàn
  5. Sử dụng thành phần không an toàn hoặc lỗi thời
  6. Bảo vệ quyền riêng tư và dữ liệu không đủ
  7. Truyền và lưu trữ dữ liệu không an toàn
  8. Thiếu cơ chế quản lý thiết bị
  9. Cài đặt mặc định không an toàn
  10. Thiếu bảo mật vật lý

Các khu vực tấn công IoT

Các khu vực tấn công IoT bao gồm:

  • Bộ nhớ thiết bị
  • Giao diện vật lý thiết bị
  • Giao diện web thiết bị
  • Firmware thiết bị
  • Dịch vụ mạng thiết bị
  • Giao diện quản trị
  • Giao diện đám mây
  • API backend của bên thứ ba
  • Ứng dụng di động
  • Giao tiếp hệ sinh thái
  • Cấu hình mạng

Ví dụ: Một công ty điều tra số như Security365 có thể phân tích các khu vực tấn công trên một camera an ninh thông minh để tìm ra lỗ hổng và cách thức kẻ tấn công có thể xâm nhập.

Internet of Things (IoT), còn được gọi là Internet of Everything (IoE), đề cập đến mạng lưới các thiết bị có địa chỉ IP có khả năng cảm biến, thu thập và gửi dữ liệu bằng cách sử dụng các cảm biến nhúng, phần cứng truyền thông và bộ xử lý.

Trong IoT, một “thing” được hiểu là một thiết bị được cấy ghép vào các vật thể tự nhiên hoặc nhân tạo và có thể giao tiếp qua mạng.

Ví dụ về các thiết bị IoT:

  • Thiết bị công nghiệp: Cảm biến trong nhà máy
  • Thiết bị đeo: Đồng hồ thông minh, vòng đeo tay fitness
  • Thiết bị chăm sóc sức khỏe: Máy đo huyết áp thông minh
  • Thiết bị gia dụng: Bóng đèn thông minh, tủ lạnh thông minh

Kiến trúc IoT

Kiến trúc IoT gồm 5 tầng chính:

  1. Tầng ứng dụng: Cung cấp các ứng dụng khác nhau cho người dùng IoT
  2. Tầng middleware: Quản lý thiết bị và thông tin
  3. Tầng Internet: Kết nối giữa các điểm cuối
  4. Tầng cổng truy cập: Dịch giao thức và nhắn tin
  5. Tầng công nghệ biên: Cảm biến, thiết bị, máy móc, các nút biên thông minh các loại

Các vấn đề bảo mật IoT

Các vấn đề bảo mật IoT bao gồm:

  • Ứng dụng: Xác thực đầu vào, xác thực, ủy quyền, không có cập nhật bảo mật tự động, mật khẩu mặc định
  • Mạng: Tường lửa, mã hóa truyền thông không đúng cách, dịch vụ, thiếu cập nhật tự động
  • Di động: API không an toàn, thiếu mã hóa kênh truyền thông, xác thực và thiếu bảo mật lưu trữ
  • Đám mây: Xác thực không đúng, không mã hóa lưu trữ và truyền thông, giao diện web không an toàn

IoT = Ứng dụng + Mạng + Di động + Đám mây

Top 10 lỗ hổng IoT của OWASP

  1. Mật khẩu yếu, dễ đoán hoặc được mã hóa cứng
  2. Dịch vụ mạng không an toàn
  3. Hệ sinh thái giao diện không an toàn
  4. Thiếu cập nhật an toàn
  5. Sử dụng thành phần không an toàn hoặc lỗi thời
  6. Bảo vệ quyền riêng tư và dữ liệu không đủ
  7. Truyền và lưu trữ dữ liệu không an toàn
  8. Thiếu cơ chế quản lý thiết bị
  9. Cài đặt mặc định không an toàn
  10. Thiếu bảo mật vật lý

Các khu vực tấn công IoT

Các khu vực tấn công IoT bao gồm:

  • Bộ nhớ thiết bị
  • Giao diện vật lý thiết bị
  • Giao diện web thiết bị
  • Firmware thiết bị
  • Dịch vụ mạng thiết bị
  • Giao diện quản trị
  • Giao diện đám mây
  • API backend của bên thứ ba
  • Ứng dụng di động
  • Giao tiếp hệ sinh thái
  • Cấu hình mạng

Ví dụ: Một công ty điều tra số như Security365 có thể phân tích các khu vực tấn công trên một camera an ninh thông minh để tìm ra lỗ hổng và cách thức kẻ tấn công có thể xâm nhập.

Nhận biết các loại mối đe dọa IoT khác nhau

Các mối đe dọa IoT

Các thiết bị IoT trên internet có rất ít cơ chế bảo vệ an ninh chống lại các mối đe dọa mới nổi. Kẻ tấn công thường khai thác các thiết bị được bảo vệ kém này trên internet để gây ra thiệt hại vật lý cho mạng, nghe trộm thông tin liên lạc và thực hiện các cuộc tấn công phá hoại như DDoS.

Các mối đe dọa IoT bao gồm:

  • Tấn công DDoS
  • Tấn công hệ thống HVAC
  • Tấn công mã cuộn (Rolling Code)
  • Tấn công BlueBorne
  • Tấn công gây nhiễu
  • Truy cập từ xa bằng backdoor
  • Truy cập từ xa bằng Telnet
  • Tấn công Sybil
  • Bộ khai thác
  • Tấn công Man-in-the-Middle
  • Tấn công phát lại
  • Thiết bị độc hại giả mạo

Tấn công DDoS

Các bước tấn công DDoS trên IoT:

  1. Kẻ tấn công khai thác lỗ hổng và cài đặt phần mềm độc hại vào hệ điều hành của thiết bị IoT.
  2. Nhiều thiết bị IoT bị nhiễm được gọi là botnet.
  3. Kẻ tấn công sử dụng trung tâm điều khiển để chỉ huy botnet.
  4. Botnet tấn công mục tiêu với khối lượng yêu cầu lớn từ nhiều vị trí khác nhau.
  5. Máy chủ mục tiêu bị quá tải và không thể xử lý thêm yêu cầu.

Ví dụ: Security365 có thể phân tích một cuộc tấn công DDoS nhắm vào hệ thống camera an ninh của một công ty để xác định nguồn gốc và phương thức tấn công.

Tấn công hệ thống HVAC

Các bước tấn công hệ thống HVAC:

  1. Kẻ tấn công tìm kiếm hệ thống ICS dễ bị tổn thương bằng Shodan.
  2. Thử thông tin đăng nhập mặc định để truy cập hệ thống ICS.
  3. Kiểm soát nhiệt độ từ HVAC hoặc thực hiện các cuộc tấn công khác trên mạng mục tiêu.

Ví dụ: Security365 có thể điều tra một vụ tấn công vào hệ thống HVAC của một tòa nhà thông minh để xác định cách thức kẻ tấn công xâm nhập và kiểm soát hệ thống.

Tấn công mã cuộn (Rolling Code)

Các bước tấn công mã cuộn:

  1. Nạn nhân nhấn nút điều khiển từ xa để mở khóa xe.
  2. Kẻ tấn công sử dụng máy gây nhiễu để chặn mã được gửi.
  3. Kẻ tấn công đồng thời đánh hơi mã đã gửi.
  4. Xe không mở khóa, nạn nhân thử lại lần thứ hai.
  5. Kẻ tấn công chuyển tiếp mã đầu tiên để mở khóa xe.
  6. Kẻ tấn công lưu mã thứ hai để sử dụng sau này.

Ví dụ: Security365 có thể phân tích một vụ trộm xe ô tô thông minh để xác định cách thức kẻ tấn công đã vượt qua hệ thống khóa thông minh.

Tấn công BlueBorne

Tấn công BlueBorne được thực hiện trên kết nối Bluetooth để truy cập và kiểm soát hoàn toàn thiết bị mục tiêu. Đây là tập hợp các kỹ thuật khác nhau dựa trên các lỗ hổng đã biết của giao thức Bluetooth.

Các bước tấn công BlueBorne:

  1. Phát hiện thiết bị Bluetooth
  2. Truy xuất địa chỉ MAC
  3. Gửi các probe
  4. Truy cập và kiểm soát máy in để tấn công mạng doanh nghiệp

Ví dụ: Security365 có thể điều tra một vụ tấn công vào hệ thống máy in trong văn phòng thông qua Bluetooth để xác định cách thức kẻ tấn công xâm nhập mạng công ty.

Tấn công gây nhiễu

Tấn công gây nhiễu là một loại tấn công trong đó giao tiếp giữa các thiết bị IoT không dây bị gây nhiễu để xâm phạm. Kẻ tấn công truyền tín hiệu radio ngẫu nhiên với cùng tần số như các nút cảm biến gửi tín hiệu để giao tiếp. Kết quả là mạng bị nhiễu, khiến các điểm cuối không thể gửi hoặc nhận bất kỳ tin nhắn nào.

Ví dụ: Security365 có thể phân tích một cuộc tấn công gây nhiễu nhắm vào hệ thống cảm biến trong nhà máy thông minh để xác định nguồn gốc nhiễu và tác động đến hoạt động của nhà máy.

Truy cập từ xa bằng backdoor

Các bước tấn công truy cập từ xa bằng backdoor:

  1. Kẻ tấn công thu thập thông tin cơ bản về tổ chức mục tiêu bằng các kỹ thuật social engineering.
  2. Gửi email lừa đảo cho nhân viên với tệp đính kèm độc hại.
  3. Khi nhân viên mở email và nhấp vào tệp đính kèm, một backdoor tự động được cài đặt vào hệ thống mục tiêu.
  4. Sử dụng backdoor, kẻ tấn công truy cập vào mạng riêng của tổ chức.
  5. Kẻ tấn công vô hiệu hóa nguồn điện, để lại thành phố trong bóng tối.

Ví dụ: Security365 có thể điều tra một vụ tấn công vào hệ thống điện thông minh của một thành phố để xác định cách thức kẻ tấn công đã xâm nhập và kiểm soát hệ thống.

Các cuộc tấn công IoT khác

  • Tấn công Sybil: Kẻ tấn công sử dụng nhiều danh tính giả mạo để tạo ra ảo tưởng mạnh mẽ về tắc nghẽn giao thông, ảnh hưởng đến giao tiếp giữa các nút và mạng lân cận.
  • Bộ khai thác: Kẻ tấn công sử dụng script độc hại để khai thác các lỗ hổng được vá kém trên thiết bị IoT.
  • Tấn công Man-in-the-Middle: Kẻ tấn công giả mạo làm người gửi hợp pháp, chặn tất cả giao tiếp giữa người gửi và người nhận và chiếm quyền điều khiển giao tiếp.
  • Tấn công phát lại: Kẻ tấn công chặn các tin nhắn hợp pháp từ một giao tiếp hợp lệ và liên tục gửi các tin nhắn bị chặn đến thiết bị mục tiêu để thực hiện tấn công từ chối dịch vụ hoặc làm sập thiết bị mục tiêu.
  • Thiết bị độc hại giả mạo: Kẻ tấn công thay thế các thiết bị IoT chính hãng bằng các thiết bị độc hại nếu họ có quyền truy cập vật lý vào mạng.
  • Tấn công kênh bên: Kẻ tấn công trích xuất thông tin về khóa mã hóa bằng cách quan sát phát xạ tín hiệu, tức là “kênh bên” từ các thiết bị IoT.
  • Tấn công ransomware: Một loại phần mềm độc hại sử dụng mã hóa để chặn quyền truy cập của người dùng vào thiết bị của họ bằng cách khóa màn hình hoặc khóa các tệp của người dùng.

Hiểu về điều tra số IoT

Giới thiệu về điều tra số IoT

Để tiến hành điều tra số trên các thiết bị IoT, các nhà điều tra nên tập trung vào các khía cạnh công nghệ khác nhau như điều tra số đám mây, điều tra số mạng và điều tra số cấp thiết bị IoT.

Khi kiểm tra một thiết bị IoT, nhà điều tra không chỉ tìm kiếm các dấu vết vật lý do thiết bị để lại mà còn phân tích (các) điện thoại thông minh và dịch vụ đám mây được kết nối với thiết bị.

Các hiện vật/dữ liệu thu được trong quá trình kiểm tra điều tra số giúp nhà điều tra xây dựng dòng thời gian về thời điểm và địa điểm xảy ra tội phạm.

Quá trình phân tích điều tra số các thiết bị IoT bao gồm các bước sau:

  • Xác định và thu thập bằng chứng
  • Bảo quản
  • Phân tích dữ liệu
  • Trình bày và báo cáo

Ví dụ: Security365 có thể thực hiện điều tra số trên một hệ thống nhà thông minh bị tấn công, bao gồm phân tích các thiết bị IoT, điện thoại thông minh kết nối và dữ liệu đám mây liên quan.

Quy trình điều tra số IoT

Xác định và thu thập bằng chứng:

Nhà điều tra cần xác định các thiết bị IoT bị ảnh hưởng tại hiện trường. Việc xác định và thu thập bằng chứng hiệu quả có thể tăng phạm vi của quá trình điều tra.

Bảo quản:

Nhà điều tra phải đảm bảo rằng bằng chứng thu thập được từ thiết bị IoT được bảo quản đúng cách. Không nên tắt thiết bị trước khi thu thập bằng chứng từ nó trong quá trình tìm kiếm ban đầu. Trong giai đoạn này, nhà điều tra cần các công cụ điều tra số chuyên dụng để thu thập dữ liệu từ phần cứng và ứng dụng của thiết bị. Nhà điều tra cũng có thể tạo bản sao bộ nhớ để thu thập dữ liệu volatile từ thiết bị IoT trước khi tắt nó.

Phân tích dữ liệu:

Dữ liệu trong thiết bị IoT chủ yếu được lưu trữ trên dịch vụ đám mây hoặc trên điện thoại di động được đồng bộ hóa với thiết bị IoT. Quy trình phân tích bằng chứng bao gồm phân tích dữ liệu được lưu trữ trên đám mây và các thiết bị được tìm thấy tại hiện trường.

Trình bày và báo cáo:

Đây là giai đoạn cuối cùng trong quá trình điều tra. Trong giai đoạn này, một báo cáo sẽ được chuẩn bị liên quan đến bằng chứng và quy trình phân tích điều tra số, và được trình bày tại tòa cùng với bằng chứng vật lý.

Ví dụ: Khi điều tra một vụ tấn công vào hệ thống camera an ninh thông minh, Security365 có thể thực hiện các bước sau:

  1. Xác định và thu thập tất cả các camera và thiết bị liên quan tại hiện trường.
  2. Bảo quản dữ liệu từ các camera bằng cách tạo bản sao bộ nhớ trước khi tắt thiết bị.
  3. Phân tích dữ liệu từ camera, điện thoại điều khiển và dịch vụ đám mây liên quan.
  4. Chuẩn bị báo cáo chi tiết về phương pháp tấn công và bằng chứng thu thập được.

Nghiên cứu tình huống: Mật khẩu mặc định hỗ trợ các cuộc tấn công botnet IoT Satori

Các nhà nghiên cứu tại Netlab 360 đã phát hiện sự gia tăng hoạt động độc hại quét và lây nhiễm nhiều thiết bị IoT, cố gắng biến chúng thành một phần của Satori, một biến thể của botnet Mirai được sử dụng để làm sập các trang web và đào tiền điện tử.

Các chuyên gia chỉ ra rằng thiếu giám sát trong IoT và các tên người dùng và mật khẩu mặc định bị nguyền rủa là lý do tại sao tin tặc đang tận dụng lỗ hổng quan trọng này trong bộ định tuyến D-Link.

Satori lần đầu tiên được phát hiện vào cuối năm 2017, lây nhiễm hơn 260.000 bộ định tuyến gia đình trong vòng 12 giờ, theo một bài đăng từ Netlab 360.

Các nhà nghiên cứu lưu ý rằng tác giả Satori đã phát hành một worm nhắm mục tiêu các thiết bị D-Link DSL-2750B đã tận dụng các lỗ hổng thiết bị được phát hiện gần đây để thực hiện một số cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS), theo báo cáo từ Radware.

Người tiêu dùng sử dụng bộ định tuyến dễ bị tổn thương có thể thực hiện các bước phòng ngừa bằng cách làm theo hướng dẫn của nhà sản xuất để vô hiệu hóa quản trị từ xa, điều mà Toreto Network Security cho biết sẽ giảm bề mặt khai thác.

Ví dụ: Security365 có thể phân tích một cuộc tấn công botnet IoT Satori để xác định:

  • Cách thức botnet lây nhiễm các thiết bị IoT
  • Vai trò của mật khẩu mặc định trong việc tạo điều kiện cho cuộc tấn công
  • Các biện pháp phòng ngừa hiệu quả để ngăn chặn các cuộc tấn công tương tự trong tương lai

Thách thức trong điều tra số IoT

Điều tra số IoT có thể gặp nhiều thách thức đối với các nhà điều tra, vì các thiết bị này tương tác với nhiều thiết bị được kết nối với cùng một mạng.

Các thách thức mà các nhà điều tra số gặp phải khi xử lý các thiết bị IoT:

  1. Xác định, thu thập và bảo quản bằng chứng: Việc xác định thiết bị IoT có thể gặp thách thức, vì hầu hết các thiết bị IoT hoạt động tự động. Các phương pháp tài liệu không phù hợp để bảo quản và thu thập bằng chứng cho các thiết bị IoT cũng có thể gây ra thách thức cho các nhà điều tra số.
  2. Phân tích bằng chứng: Để chứng minh tính toàn vẹn và đáng tin cậy của bằng chứng thu được từ một thiết bị, nhà điều tra số cũng nên xem xét vị trí vật lý của dữ liệu được lưu trữ trong thiết bị đó, vì hầu hết dữ liệu của thiết bị được lưu trữ trên cơ sở hạ tầng điện toán đám mây. Việc tạo hình ảnh và phân tích dữ liệu từ xa cũng khó khăn đối với nhà điều tra số.
  3. Bản chất tự trị của các thiết bị IoT: Các thiết bị IoT có thể hoạt động tự trị mà không cần sự can thiệp của con người, và thuộc tính này của thiết bị IoT có thể là mối quan tâm chính đối với nhà điều tra số. Thách thức ở đây sẽ là xác định xem sự can thiệp của con người hay lỗi thiết kế đã khiến thiết bị IoT hoạt động sai.
  4. Trình bày: Việc ghi lại các phát hiện của quá trình điều tra số có thể tự nó là một thách thức đối với các nhà điều tra số. Quá trình xử lý phân tích cho một cuộc điều tra có thể thay đổi dữ liệu được lưu trữ trên các thiết bị IoT. Chất lượng dữ liệu được lưu trữ trên thiết bị IoT cũng có thể tạo ra thách thức cho các nhà điều tra số.

Ví dụ: Khi điều tra một vụ tấn công phức tạp vào hệ thống nhà thông minh, Security365 có thể gặp các thách thức sau:

  • Trình bày bằng chứng kỹ thuật phức tạp một cách rõ ràng và thuyết phục
  • Xác định tất cả các thiết bị IoT liên quan trong một hệ sinh thái phức tạp
  • Thu thập dữ liệu từ nhiều nguồn khác nhau (thiết bị, đám mây, điện thoại thông minh)
  • Phân biệt giữa hoạt động bình thường và đáng ngờ trong một hệ thống tự động

Quy trình điều tra số IoT

Xác định và thu thập bằng chứng:

Nhà điều tra cần xác định các thiết bị IoT bị ảnh hưởng tại hiện trường. Việc xác định và thu thập bằng chứng hiệu quả có thể tăng phạm vi của quá trình điều tra.

Bảo quản:

Nhà điều tra phải đảm bảo rằng bằng chứng thu thập được từ thiết bị IoT được bảo quản đúng cách. Không nên tắt thiết bị trước khi thu thập bằng chứng từ nó trong quá trình tìm kiếm ban đầu. Trong giai đoạn này, nhà điều tra cần các công cụ điều tra số chuyên dụng để thu thập dữ liệu từ phần cứng và ứng dụng của thiết bị. Nhà điều tra cũng có thể tạo bản sao bộ nhớ để thu thập dữ liệu volatile từ thiết bị IoT trước khi tắt nó.

Phân tích dữ liệu:

Dữ liệu trong thiết bị IoT chủ yếu được lưu trữ trên dịch vụ đám mây hoặc trên điện thoại di động được đồng bộ hóa với thiết bị IoT. Quy trình phân tích bằng chứng bao gồm phân tích dữ liệu được lưu trữ trên đám mây và các thiết bị được tìm thấy tại hiện trường.

Trình bày và báo cáo:

Đây là giai đoạn cuối cùng trong quá trình điều tra. Trong giai đoạn này, một báo cáo sẽ được chuẩn bị liên quan đến bằng chứng và quy trình phân tích điều tra số, và được trình bày tại tòa cùng với bằng chứng vật lý.

Ví dụ: Khi điều tra một vụ tấn công vào hệ thống camera an ninh thông minh, Security365 có thể thực hiện các bước sau:

  1. Xác định và thu thập tất cả các camera và thiết bị liên quan tại hiện trường.
  2. Bảo quản dữ liệu từ các camera bằng cách tạo bản sao bộ nhớ trước khi tắt thiết bị.
  3. Phân tích dữ liệu từ camera, điện thoại điều khiển và dịch vụ đám mây liên quan.
  4. Chuẩn bị báo cáo chi tiết về phương pháp tấn công và bằng chứng thu thập được.

Nghiên cứu tình huống: Mật khẩu mặc định hỗ trợ các cuộc tấn công botnet IoT Satori

Các nhà nghiên cứu tại Netlab 360 đã phát hiện sự gia tăng hoạt động độc hại quét và lây nhiễm nhiều thiết bị IoT, cố gắng biến chúng thành một phần của Satori, một biến thể của botnet Mirai được sử dụng để làm sập các trang web và đào tiền điện tử.

Các chuyên gia chỉ ra rằng thiếu giám sát trong IoT và các tên người dùng và mật khẩu mặc định bị nguyền rủa là lý do tại sao tin tặc đang tận dụng lỗ hổng quan trọng này trong bộ định tuyến D-Link.

Satori lần đầu tiên được phát hiện vào cuối năm 2017, lây nhiễm hơn 260.000 bộ định tuyến gia đình trong vòng 12 giờ, theo một bài đăng từ Netlab 360.

Các nhà nghiên cứu lưu ý rằng tác giả Satori đã phát hành một worm nhắm mục tiêu các thiết bị D-Link DSL-2750B đã tận dụng các lỗ hổng thiết bị được phát hiện gần đây để thực hiện một số cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS), theo báo cáo từ Radware.

Người tiêu dùng sử dụng bộ định tuyến dễ bị tổn thương có thể thực hiện các bước phòng ngừa bằng cách làm theo hướng dẫn của nhà sản xuất để vô hiệu hóa quản trị từ xa, điều mà Toreto Network Security cho biết sẽ giảm bề mặt khai thác.

Ví dụ: Security365 có thể phân tích một cuộc tấn công botnet IoT Satori để xác định:

  • Cách thức botnet lây nhiễm các thiết bị IoT
  • Vai trò của mật khẩu mặc định trong việc tạo điều kiện cho cuộc tấn công
  • Các biện pháp phòng ngừa hiệu quả để ngăn chặn các cuộc tấn công tương tự trong tương lai

Thách thức trong điều tra số IoT

Điều tra số IoT có thể gặp nhiều thách thức đối với các nhà điều tra, vì các thiết bị này tương tác với nhiều thiết bị được kết nối với cùng một mạng.

Các thách thức mà các nhà điều tra số gặp phải khi xử lý các thiết bị IoT:

  1. Xác định, thu thập và bảo quản bằng chứng: Việc xác định thiết bị IoT có thể gặp thách thức, vì hầu hết các thiết bị IoT hoạt động tự động. Các phương pháp tài liệu không phù hợp để bảo quản và thu thập bằng chứng cho các thiết bị IoT cũng có thể gây ra thách thức cho các nhà điều tra số.
  2. Phân tích bằng chứng: Để chứng minh tính toàn vẹn và đáng tin cậy của bằng chứng thu được từ một thiết bị, nhà điều tra số cũng nên xem xét vị trí vật lý của dữ liệu được lưu trữ trong thiết bị đó, vì hầu hết dữ liệu của thiết bị được lưu trữ trên cơ sở hạ tầng điện toán đám mây. Việc tạo hình ảnh và phân tích dữ liệu từ xa cũng khó khăn đối với nhà điều tra số.
  3. Bản chất tự trị của các thiết bị IoT: Các thiết bị IoT có thể hoạt động tự trị mà không cần sự can thiệp của con người, và thuộc tính này của thiết bị IoT có thể là mối quan tâm chính đối với nhà điều tra số. Thách thức ở đây sẽ là xác định xem sự can thiệp của con người hay lỗi thiết kế đã khiến thiết bị IoT hoạt động sai.
  4. Trình bày: Việc ghi lại các phát hiện của quá trình điều tra số có thể tự nó là một thách thức đối với các nhà điều tra số. Quá trình xử lý phân tích cho một cuộc điều tra có thể thay đổi dữ liệu được lưu trữ trên các thiết bị IoT. Chất lượng dữ liệu được lưu trữ trên thiết bị IoT cũng có thể tạo ra thách thức cho các nhà điều tra số.

Ví dụ: Khi điều tra một vụ tấn công phức tạp vào hệ thống nhà thông minh, Security365 có thể gặp các thách thức sau:

  • Xác định tất cả các thiết bị IoT liên quan trong một hệ sinh thái phức tạp
  • Thu thập dữ liệu từ nhiều nguồn khác nhau (thiết bị, đám mây, điện thoại thông minh)
  • Phân biệt giữa hoạt động bình thường và đáng ngờ trong một hệ thống tự động
  • Trình bày bằng chứng kỹ thuật phức tạp một cách rõ ràng và thuyết phục

Thực hiện điều tra số trên các thiết bị IoT

Thiết bị IoT đeo được: Đồng hồ thông minh

Đồng hồ thông minh là thiết bị IoT đeo được có khả năng kết nối với điện thoại thông minh hoặc mạng bằng Bluetooth, Wi-Fi, GPS và NFC.

Những thiết bị này có thể bị tin tặc khai thác để lấy thông tin bí mật về người dùng bằng cách chiếm quyền điều khiển micrô, cảm biến và giao tiếp không dây của thiết bị.

Đồng hồ thông minh cũng có khả năng xác định vị trí và hoạt động của người dùng; do đó, tin tặc có thể sử dụng các cảm biến vị trí và chuyển động trên đồng hồ thông minh để theo dõi chuyển động và vị trí của người dùng.

Kẻ tấn công có thể lấy được thông tin nhạy cảm từ thiết bị liên quan đến người dùng bao gồm mã PIN, mật khẩu, vị trí vật lý của người dùng, sau khi có quyền truy cập root vào thiết bị.

Ví dụ: Security365 có thể điều tra một vụ rò rỉ dữ liệu từ đồng hồ thông minh của một giám đốc điều hành cấp cao để xác định:

  • Loại thông tin bị đánh cắp (ví dụ: dữ liệu vị trí, tin nhắn, thông tin sức khỏe)
  • Phương pháp được sử dụng để xâm phạm thiết bị
  • Tác động tiềm tàng của việc rò rỉ thông tin đối với công ty

Điều tra số thiết bị IoT đeo được: Đồng hồ thông minh

Đồng hồ thông minh luôn được đồng bộ hóa với điện thoại thông minh, do đó, những thiết bị này không lưu trữ dữ liệu vật lý. Hầu hết dữ liệu này được lưu trữ trên giao diện đám mây hoặc trên điện thoại di động được liên kết với đồng hồ thông minh.

Kịch bản: Trong trường hợp một đồng hồ thông minh Android được tìm thấy một mình tại hiện trường mà không có thiết bị được ghép nối, nhà điều tra số sẽ gặp khó khăn trong việc thu thập đủ bằng chứng từ đồng hồ đó. Do đó, nhà điều tra có thể sử dụng phương pháp điều tra số sau đây để thu thập bằng chứng cần thiết từ đồng hồ thông minh bị ảnh hưởng.

Trước khi tiến hành điều tra số trên đồng hồ thông minh, nhà điều tra cần hiểu khung cơ bản của đồng hồ đó. Khung của đồng hồ Android bao gồm các API sau:

  • API Dữ liệu
  • API Tin nhắn

Để bắt đầu quá trình điều tra, trước tiên nhà điều tra cần tạo hình ảnh điều tra số của bằng chứng được tìm thấy tại hiện trường. Sau khi tạo hình ảnh, nhà điều tra có thể tiếp tục với phân tích dữ liệu.

Điều tra số có thể được thực hiện trong hai giai đoạn: Tạo hình ảnh và Phân tích dữ liệu.

Ví dụ: Security365 điều tra một vụ trộm dữ liệu từ đồng hồ thông minh của một nhân viên công ty. Họ sẽ thực hiện các bước sau:

  1. Thu giữ đồng hồ thông minh và tạo bản sao pháp lý của nó.
  2. Phân tích khung Android Wear và các API liên quan.
  3. Thực hiện thu thập dữ liệu logic và vật lý từ thiết bị.
  4. Phân tích dữ liệu thu được để xác định thông tin bị đánh cắp và phương pháp xâm nhập.

Ví dụ: Security365 điều tra một vụ trộm dữ liệu từ đồng hồ thông minh của một nhân viên công ty. Họ sẽ thực hiện các bước sau:

  1. Thu giữ đồng hồ thông minh và tạo bản sao pháp lý của nó.
  2. Phân tích khung Android Wear và các API liên quan.
  3. Thực hiện thu thập dữ liệu logic và vật lý từ thiết bị.
  4. Phân tích dữ liệu thu được để xác định thông tin bị đánh cắp và phương pháp xâm nhập.

Các bước thu thập và phân tích dữ liệu của Android Wear

  1. Thu thập dữ liệu:
    • Nếu thiết bị đã root: Thực hiện thu thập logic
    • Nếu thiết bị chưa root: Bật gỡ lỗi Wi-Fi và thực hiện thu thập logic bằng lệnh ‘adb pull’
    • Nếu không thể thu thập qua phần mềm: Thực hiện điều tra số JTAG/Chip-off để trích xuất hình ảnh vật lý của thiết bị
  2. Phân tích:
    • Kiểm tra tệp hình ảnh đã thu được bằng các công cụ như Autopsy
    • Phân tích dữ liệu được trích xuất pháp lý bằng các công cụ như Autopsy, SQLite Browser, v.v.

Thu thập logic của Android Wear

Các bước thu thập logic trên Android Wear mà không có thiết bị được ghép nối:

  1. Bật tùy chọn nhà phát triển trên đồng hồ thông minh
  2. Kết nối đồng hồ với mạng Wi-Fi (Lưu ý: Đồng hồ thông minh và máy trạm điều tra số phải được kết nối với cùng một mạng)
  3. Bật gỡ lỗi Wi-Fi
  4. Thiết lập kết nối ADB: adb connect <địa chỉ IP thiết bị:số cổng>
  5. Thực hiện thu thập logic bằng lệnh adb pull: adb pull <thư mục nguồn> <thư mục đích>

Lưu ý: Thư mục nguồn là nơi đặt phân vùng bộ nhớ của thiết bị. Thư mục đích là vị trí trên máy trạm điều tra số nơi các tệp được sao chép.

Ví dụ: Security365 có thể sử dụng phương pháp này để thu thập dữ liệu từ một đồng hồ thông minh Android Wear được tìm thấy tại hiện trường của một vụ án, ngay cả khi không có điện thoại được ghép nối đi kèm.

Thu thập vật lý của Android Wear

Các bước thu thập vật lý của Android Wear mà không có thiết bị được ghép nối:

  1. Thiết lập kết nối giữa thiết bị và máy trạm điều tra số bằng Android SDK platform tools
  2. Chạy lệnh “adb devices” và chọn đồng hồ thông minh từ danh sách thiết bị
  3. Nếu thiết bị đã root, có thể truy cập thông qua ADB và tạo hình ảnh của nó
  4. Chạy lệnh ‘adb shell’ để có quyền truy cập root shell và thực hiện thu thập hình ảnh
  5. Để tạo hình ảnh phân vùng khởi động của ổ đĩa, có thể chạy lệnh sau: dd if=<ổ đĩa nguồn> of=<ổ đĩa đích> bs=512

Lưu ý: Thu thập vật lý của Android Wear chỉ có thể thực hiện trên thiết bị đã root.

Ví dụ: Trong trường hợp một đồng hồ thông minh Android Wear được sử dụng trong một vụ án hình sự, Security365 có thể thực hiện thu thập vật lý để có được bản sao đầy đủ của dữ liệu thiết bị, bao gồm cả dữ liệu đã xóa.

Kiểm tra điều tra số tệp bằng chứng: Android Wear

Kiểm tra tệp hình ảnh thu được vật lý bằng các công cụ điều tra số như Autopsy để trích xuất các hiện vật hữu ích có thể đóng vai trò là bằng chứng tiềm năng trong quá trình điều tra.

Các hiện vật được trích xuất bao gồm tệp cơ sở dữ liệu, tệp nhật ký được tạo bởi hệ thống, tệp bộ nhớ cache, tệp phương tiện, dữ liệu liên quan đến ứng dụng, v.v.

Ví dụ: Sau khi thu thập hình ảnh vật lý từ đồng hồ thông minh Android Wear, Security365 có thể sử dụng Autopsy để phân tích và trích xuất:

  • Lịch sử cuộc gọi và tin nhắn
  • Dữ liệu vị trí GPS
  • Thông tin ứng dụng đã cài đặt
  • Tệp phương tiện như hình ảnh hoặc ghi âm

Hiện vật điều tra số đã khôi phục: Android Wear

Các hiện vật điều tra số quan trọng có thể được khôi phục từ Android Wear bao gồm:

  1. calendar.db: Lưu trữ các mục nhập lịch
  2. contacts.db, calllog.db, profile.db: Lưu trữ danh bạ, nhật ký cuộc gọi và hồ sơ người dùng
  3. downloads.db: Chứa dữ liệu có trong ứng dụng “Tải xuống”
  4. googlesettings.db, subscribedfeeds.db, gservices.db: Chứa Khung Dịch vụ Google cho Android
  5. bt_config.conf, bt_config.xml: Chứa dữ liệu liên quan đến các thiết bị được kết nối Bluetooth
  6. config.db, fitness.db, reminders.xml, v.v.: Thư mục cơ sở dữ liệu này chứa các tệp .db của các ứng dụng và API của Google giúp hỗ trợ chức năng trên các thiết bị
  7. complications.db: Chứa thông tin hiển thị phức tạp

Ví dụ: Khi phân tích một đồng hồ thông minh Android Wear trong một cuộc điều tra, Security365 có thể tập trung vào việc trích xuất và phân tích các cơ sở dữ liệu này để thu thập thông tin về hoạt động của người dùng, kết nối thiết bị và dữ liệu ứng dụng.

Điều tra số thiết bị IoT: Loa thông minh – Amazon Echo

Amazon Echo là một loa thông minh và trợ lý gia đình thông minh cho phép người dùng điều khiển Echo và các thiết bị IoT được kết nối với Echo bằng lệnh thoại.

Dịch vụ Alexa Voice xử lý các lệnh thoại được đưa ra cho thiết bị và các thiết bị IoT khác được kết nối với thiết bị. Dịch vụ này cũng quản lý hoạt động của loa thông qua các dịch vụ đám mây.

Loa cũng có thể được quản lý thông qua một ứng dụng được cài đặt trên điện thoại thông minh của người dùng.

Quy trình điều tra số:

Kịch bản: Amazon Echo, giống như bất kỳ thiết bị IoT nào khác, có thể bị khai thác và nhiễm phần mềm độc hại.

Trong trường hợp một nhà điều tra thu thập được một Echo bị ảnh hưởng cũng như điện thoại thông minh được đồng bộ hóa với thiết bị đó thông qua ứng dụng Alexa, họ có thể sử dụng phương pháp sau để tiến hành điều tra số trên các thiết bị này.

Trước khi tiến hành điều tra, nhà điều tra cần hiểu các hiện vật gốc và giao thức truyền thông được sử dụng bởi Dịch vụ Alexa Voice.

Các API không chính thức của Alexa, chẳng hạn như cards, notifications, phoenix, todos, wake-word, wifi-configs và activities, có thể hữu ích trong quá trình điều tra số.

Để bắt đầu điều tra, trước tiên nhà điều tra cần thu thập dữ liệu từ ứng dụng Alexa và bộ nhớ cache web từ điện thoại thông minh thu được từ hiện trường, sau đó tạo hình ảnh của firmware, Alexa Pi, từ thiết bị IoT. Sau khi thu thập dữ liệu và tạo hình ảnh, nhà điều tra có thể tiếp tục với phân tích dữ liệu.

Ví dụ: Security365 được giao nhiệm vụ điều tra một vụ xâm nhập nhà thông qua loa thông minh Amazon Echo. Họ sẽ thu thập:

  1. Loa Amazon Echo từ hiện trường
  2. Điện thoại thông minh của chủ nhà có cài đặt ứng dụng Alexa
  3. Dữ liệu từ tài khoản Amazon của người dùng (với sự cho phép thích hợp)

Sau đó, họ sẽ tiến hành phân tích dựa trên client và đám mây để xác định cách thức kẻ tấn công đã xâm nhập hệ thống.

Điều tra số Amazon Alexa: Phân tích dựa trên client

Khi ứng dụng Amazon Alexa được cài đặt trên một thiết bị và kết nối với thiết bị thông minh (ở đây, thiết bị được sử dụng là Amazon Echo Dot), dữ liệu liên quan đến hoạt động của thiết bị được lưu trữ trong các tệp cơ sở dữ liệu của nó.

Nhà điều tra phải truy xuất các tệp cơ sở dữ liệu bằng lệnh “adb pull” và phân tích chúng để có được thông tin hữu ích.

Để thu thập và phân tích dữ liệu được lưu bởi các ứng dụng cục bộ được cài đặt trên thiết bị, nhà điều tra tìm kiếm các hiện vật tập trung vào client có thể được truy xuất từ thiết bị.

Trên thiết bị Android, các hiện vật tập trung vào client được đặt trong các thư mục sau:

  • /data/data/com.amazon.dee.app/databases/map_data_storage_v2.db
  • /data/data/com.amazon.dee.app
  • /sdcard/Android/data/com.amazon.dee.app
  • /data/data/com.amazon.dee.app/app_webview/Default/Cache/Cache_Data

Tệp cơ sở dữ liệu map_data_storage_v2.db chứa thông tin người dùng hiện đang đăng nhập. Phân tích tệp cơ sở dữ liệu này để lấy ID người dùng.

Tệp DataStore.db duy trì danh sách việc cần làm và danh sách mua sắm được lấy từ đám mây bằng API todos.

Lưu ý: Tệp DataStore.db hiển thị nội dung trong các thế hệ thiết bị Alexa trước đó (Lên đến thế hệ thứ 2).

Amazon Alexa sử dụng lớp WebView để hiển thị nội dung trực tuyến trên Android và đóng vai trò là nguồn bằng chứng số tiềm năng. Mỗi tệp bộ nhớ cache bao gồm URL gốc và luồng dữ liệu.

Ví dụ: Khi phân tích ứng dụng Alexa trên điện thoại thông minh của nạn nhân, Security365 có thể:

  1. Trích xuất ID người dùng từ map_data_storage_v2.db
  2. Kiểm tra DataStore.db để tìm danh sách việc cần làm và mua sắm gần đây
  3. Phân tích bộ nhớ cache WebView để tìm lịch sử tương tác với Alexa

Điều tra số Amazon Alexa: Phân tích dựa trên đám mây

Amazon Alexa sử dụng các dịch vụ đám mây để lưu trữ và sử dụng dữ liệu để hoạt động thông minh hơn mỗi ngày. Trong quá trình phân tích điều tra số các thiết bị thông minh như Amazon Alexa, dữ liệu đám mây có thể là nguồn bằng chứng tiềm năng. Do đó, các nhà điều tra thêm URL để kéo dữ liệu số từ đám mây.

Các bước thu thập dữ liệu đám mây từ Amazon Alexa:

  1. Phân tích tệp cơ sở dữ liệu SQLite để lấy thông tin ID người dùng
    • Tệp cơ sở dữ liệu map_data_storage_v2.db được lấy từ thiết bị di động

Xin lỗi vì sự gián đoạn. Tôi sẽ tiếp tục phần còn lại của bản dịch:

  1. Xây dựng URL sử dụng ID người dùng để kéo các hiện vật điều tra số yêu cầu thông tin đăng nhập
    • Để xây dựng URL dữ liệu đám mây, nhà điều tra phải có thông tin đăng nhập của người dùng
    • Thêm ID người dùng đã lấy được (từ tệp cơ sở dữ liệu map_data_storage_v2.db) vào cuối URL
  2. Sử dụng URL sau để xem danh bạ được lưu trữ trong Amazon Alexa: https://alexa-comms-mobile-service-na.amazon.com/users/amzn1.comms.id.prod.<USER ID>/contacts

Lưu ý: Việc xây dựng URL và thêm chúng để truy xuất dữ liệu từ đám mây được hỗ trợ bởi thế hệ thứ 2 và các thế hệ Alexa trước đó.

  1. Thêm các API Amazon Alexa vào URL

Để trích xuất dữ liệu như vị trí thiết bị, múi giờ ưa thích, số sê-ri thiết bị, deviceAccountId, phiên bản phần mềm, loại thiết bị và supportedLocales được lưu trữ trên thiết bị.

Lưu ý: Dữ liệu hạn chế được lấy từ các thế hệ mới nhất của thiết bị Amazon Alexa.

Ví dụ: Security365 có thể sử dụng phương pháp này để truy xuất dữ liệu đám mây liên quan đến Amazon Echo đã bị xâm phạm. Họ có thể:

  1. Lấy ID người dùng từ điện thoại thông minh của nạn nhân
  2. Xây dựng các URL cần thiết để truy cập dữ liệu đám mây Alexa
  3. Trích xuất thông tin như danh bạ, lịch sử tương tác và cài đặt thiết bị

Danh sách các API Amazon Alexa

Để truyền và nhận dữ liệu, Amazon Alexa sử dụng các API được xác định trước cho phép các nhà điều tra nắm bắt các hiện vật gốc đám mây để kiểm tra điều tra số. Nói chung, những API này không có sẵn công khai.

Một số API quan trọng bao gồm:

  1. https://pitangui.amazon.com/api/bootstrap – Thông tin khách hàng chính
  2. https://pitangui.amazon.com/api/household – Chi tiết về tài khoản hộ gia đình
  3. https://pitangui.amazon.com/api/devices/device – Danh sách các thiết bị Alexa như Echo và Fire Stick, được liên kết với thiết bị
  4. https://pitangui.amazon.com/api/device-preferences – Tùy chọn thiết bị trên các thiết bị Alexa đã đăng ký
  5. https://pitangui.amazon.com/api/wifi/configs – Cài đặt Wi-Fi
  6. https://pitangui.amazon.com/api/bluetooth – Chi tiết về thiết bị Bluetooth đã ghép nối
  7. https://pitangui.amazon.com/api/wake-word – Hiển thị danh sách từ đánh thức cho các thiết bị Alexa
  8. https://pitangui.amazon.com/api/third-party – Dịch vụ của bên thứ ba
  9. https://pitangui.amazon.com/api/activities – Lịch sử tương tác bằng giọng nói
  10. https://pitangui.amazon.com/api/todos?type=TASK&size=1000 – Danh sách việc cần làm
  11. https://pitangui.amazon.com/api/todos?type=SHOPPING_ITEM&size=1000 – Danh sách mua sắm
  12. https://pitangui.amazon.com/api/notifications – Danh sách hẹn giờ và báo thức

Ví dụ: Trong quá trình điều tra, Security365 có thể sử dụng các API này để truy xuất thông tin chi tiết như:

  • Cấu hình Wi-Fi của thiết bị Echo
  • Danh sách các thiết bị Bluetooth đã ghép nối
  • Lịch sử tương tác bằng giọng nói với Alexa
  • Danh sách việc cần làm và mua sắm của người dùng

Phân tích cấp phần cứng: Điều tra số JTAG và Chip-off

Trong một số trường hợp, nhà điều tra số có thể gặp khó khăn trong việc truy cập nội dung vật lý của thiết bị ở cấp độ phần mềm. Tuy nhiên, các kỹ thuật JTAG và Chip-off cho phép các nhà điều tra thực hiện thu thập dữ liệu của thiết bị ở cấp độ phần cứng. Sau đó, nhà điều tra số kiểm tra dữ liệu đã thu thập để khám phá các hiện vật tiềm năng có thể hỗ trợ cuộc điều tra.

JTAG:

  • Phương pháp JTAG cho phép nhà điều tra số truy cập nội dung vật lý của các thiết bị như điện thoại thông minh và đồng hồ thông minh, và thu được hình ảnh vật lý của chip bộ nhớ của thiết bị.

Chip-off:

  • Chip-off là một kỹ thuật dựa trên việc trích xuất cẩn thận chip bộ nhớ từ bo mạch chủ của thiết bị (bị hỏng/hoạt động) đồng thời đảm bảo chip được trích xuất có thể được đọc bằng thiết bị đọc chip.
  • Kỹ thuật này cho phép nhà điều tra số trích xuất dữ liệu và thu được hình ảnh vật lý từ chip bộ nhớ.

Lưu ý: Sử dụng điều tra số JTAG và Chip-off, nhà điều tra cũng có thể khôi phục dữ liệu đã xóa từ tệp hình ảnh đã trích xuất.

Ví dụ: Trong một cuộc điều tra phức tạp liên quan đến một thiết bị IoT bị hỏng, Security365 có thể sử dụng:

  1. JTAG để truy cập nội dung bộ nhớ của thiết bị nếu nó vẫn hoạt động một phần.
  2. Chip-off nếu thiết bị hoàn toàn không hoạt động, bằng cách loại bỏ chip bộ nhớ vật lý và đọc nó trực tiếp.

Các kỹ thuật này có thể giúp khôi phục dữ liệu quan trọng mà không thể truy cập được thông qua các phương pháp phần mềm thông thường.

Kết luận

  • Internet of Things (IoT) đề cập đến các thiết bị vật lý được nhúng cảm biến, phần mềm và các công nghệ khác để thu thập và chia sẻ dữ liệu với các thiết bị và hệ thống được kết nối khác qua internet.
  • Việc sử dụng các thiết bị IoT như loa Amazon Alexa, đồng hồ thông minh, NAS không dây và bộ định tuyến đang gia tăng trên toàn thế giới, và hầu hết các thiết bị này dễ bị tấn công mạng.
  • Các thiết bị IoT là mục tiêu dễ dàng cho kẻ tấn công khai thác lỗ hổng của chúng và sử dụng chúng làm điểm truy cập để xâm nhập vào hệ thống của bất kỳ tổ chức nào.
  • Các mối đe dọa IoT bao gồm tấn công DDoS, tấn công mã cuộn, tấn công BlueBorne, tấn công gây nhiễu, tấn công ransomware và tấn công sử dụng backdoor.
  • Để tiến hành điều tra số trên các thiết bị IoT, nhà điều tra nên nắm vững các công nghệ được sử dụng trong thiết bị cùng với các quy trình thu thập logic, vật lý và đám mây, các công cụ để kiểm tra tệp bằng chứng, v.v.
  • Trong module này, chúng ta học về điều tra số Android Wear và Amazon Echo (thế hệ thứ 2).
  • Trong trường hợp thiết bị bị hỏng hoặc không thể thu thập dữ liệu thông qua phần mềm, nhà điều tra có thể sử dụng điều tra số JTAG và chip-off để có được hình ảnh vật lý của thiết bị.

Ví dụ tổng hợp: Security365 được giao nhiệm vụ điều tra một vụ xâm nhập phức tạp vào một ngôi nhà thông minh. Họ sẽ:

  1. Thu thập tất cả các thiết bị IoT liên quan (loa thông minh, đồng hồ thông minh, bộ định tuyến, v.v.)
  2. Thực hiện thu thập dữ liệu logic và vật lý từ mỗi thiết bị
  3. Phân tích dữ liệu đám mây liên quan đến các thiết bị
  4. Sử dụng các kỹ thuật JTAG hoặc Chip-off nếu cần thiết cho các thiết bị bị hỏng
  5. Tổng hợp tất cả dữ liệu để xây dựng dòng thời gian của cuộc tấn công và xác định phương pháp xâm nhập

Bằng cách áp dụng các kỹ thuật đã học trong module này, Security365 có thể cung cấp một bức tranh toàn diện về vụ xâm nhập và đề xuất các biện pháp để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Dưới đây là một số vụ án thực tế liên quan đến điều tra số IoT:

  1. Vụ án James Andrew Bates (2015):
    Các chuyên viên pháp y số có thể đã được gọi để điều tra vụ án này, trong đó dữ liệu từ loa thông minh Amazon Echo đã được sử dụng làm bằng chứng. Bates bị buộc tội giết người, và cảnh sát đã yêu cầu Amazon cung cấp dữ liệu âm thanh từ thiết bị Echo của anh ta. Cuối cùng, Bates đồng ý cho phép sử dụng dữ liệu này, mở ra tiền lệ cho việc sử dụng dữ liệu từ thiết bị IoT trong các vụ án hình sự.
  2. Vụ án Richard Dabate (2015):
    Trong vụ án này, dữ liệu từ Fitbit của vợ Dabate đã giúp bác bỏ câu chuyện của anh ta về vụ giết người. chuyên viên pháp y số có thể đã phân tích dữ liệu từ thiết bị đeo này để chứng minh rằng vợ của Dabate vẫn còn di chuyển sau thời điểm mà anh ta tuyên bố cô đã bị giết.
  3. Vụ án tấn công DDoS Mirai Botnet (2016):
    Đây là một trong những cuộc tấn công DDoS lớn nhất sử dụng thiết bị IoT. Các chuyên viên pháp y sốcó thể đã tham gia vào việc phân tích cách thức mã độc Mirai lây nhiễm và kiểm soát hàng trăm nghìn thiết bị IoT để thực hiện cuộc tấn công này.
  4. Vụ án trộm casino qua bể cá thông minh (2017):
    Tại một casino ở Bắc Mỹ, tin tặc đã xâm nhập vào hệ thống thông qua một bể cá thông minh được kết nối internet và đánh cắp 10GB dữ liệu nhạy cảm. Các chuyên viên pháp y số có thể đã được thuê để điều tra cách thức xâm nhập và đề xuất biện pháp bảo mật cho các thiết bị IoT trong tương lai.
  5. Vụ án St. Mary’s Medical Center (2019):
    Bệnh viện này đã phải đối mặt với một cuộc tấn công ransomware thông qua các thiết bị y tế IoT không được bảo vệ đúng cách. Các chuyên viên pháp y số có thể đã được gọi để điều tra nguồn gốc của cuộc tấn công và giúp tăng cường bảo mật cho hệ thống IoT của bệnh viện.

Trong tất cả các vụ án này, các kỹ thuật điều tra số IoT như thu thập dữ liệu từ thiết bị, phân tích dữ liệu đám mây và kiểm tra firmware đều có thể đã được áp dụng để thu thập bằng chứng và hiểu rõ về cách thức hoạt động của các cuộc tấn công.

Khóa học CHFI 2024 – Bonus SANS FOR 500 Thực Hành

Lịch Khai Giảng Khóa Đào Tạo CHFI v10 + v11 Online CHFI 2024 – Khóa mới vào thứ 5 hàng tuần !

Bình luận về bài viết này

Thịnh hành