PHÁP CHỨNG KỸ THUẬT SỐ

Bài 11: Điều tra Cơ sở Dữ liệu - Pháp

chứng Cơ sở Dữ liệu

Giảng viên: TS. Đàm Quang Hồng Hải

Cơ sở dữ liệu là gì
• Cơ sở dữ liệu (database) là một tập hợp thông tin có cấu trúc
dưới dạng một tập hợp liên kết các dữ liệu lưu trên một thiết
bị lưu trữ.
• Cơ sở dữ liệu được duy trì dưới dạng một tập hợp các tập tin
trong hệ điều hành hay được lưu trữ trong các hệ quản trị cơ
sở dữ liệu với mục đích:
• Giảm trùng lặp thông tin xuống mức thấp nhất, đảm bảo
thông tin có tính nhất quán và toàn vẹn dữ liệu.
• Đảm bảo dữ liệu có thể được truy xuất theo nhiều cách
khác nhau, nhiều người có thể sử dụng một cơ sở dữ liệu.
• Thường có cơ chế bảo mật phân quyền khai thác, tránh
hiện tượng tranh chấp dữ liệu, có cơ chế
bảo vệ dữ liệu
Pháp chứng kỹ thuật số và Pháp chứng Cơ
sở Dữ liệu
Cơ sở dữ liệu
Các loại Cơ sở dữ liệu
• Cơ sở dữ liệu dạng file: dữ liệu được lưu trữ dưới dạng các
file như text, ascii, *.dbf, *.mdb Foxpro.
• Cơ sở dữ liệu quan hệ: dữ liệu được lưu trữ trong các bảng
dữ liệu gọi là các thực thể, giữa các thực thể này có mối liên
hệ bởi các quan hệ có các thuộc tính trong đó có “khóa
chính”. Ví dụ: MS SQL server, Oracle, MySQL, SQLite
• Cơ sở dữ liệu hướng đối tượng: dữ liệu cũng được lưu trữ
trong các bảng dữ liệu nhưng các bảng có bổ sung thêm các
tính năng hướng đối tượng, Ví dụ: MS SQL server, Oracle,
Postgres
• Cơ sở dữ liệu bán cấu trúc: dữ liệu được lưu dưới dạng
XML, với định dạng này thông tin mô tả về đối
tượng thể hiện trong các tag.
Cơ sở dữ liệu ngân hàng
Tài khoản tại ngân hàng
Pháp chứng Cơ sở Dữ liệu
• Pháp chứng Cơ sở Dữ liệu (Database forensics) là một lĩnh
vực đặc biệt phát triển trong lĩnh vực Pháp chứng kỹ thuật
số liên quan đến việc điều tra cơ sở dữ liệu và siêu dữ liệu
có liên quan.
• Pháp chứng Cơ sở Dữ liệu có thể điều tra các giao dịch
trong một hệ thống cơ sở dữ liệu hoặc ứng dụng tìm ra bằng
chứng về hành vi sai trái, gian lận.
• Pháp chứng Cơ sở Dữ liệu có thể điều tra các hành động của
một người sử dụng cơ sở dữ liệu qua các nhãn thời gian cập
nhật của các mẫu trong
một bảng Cơ sở Dữ liệu.
Hệ thống truy cập Cơ sở dữ liệu
Tội phạm với Cơ sở dữ liệu
• Tôi phạm đột nhập trái phép vào các cơ sở dữ liệu
của các lĩnh vực kinh tế quan trọng như bưu chính,
viễn thông, ngân hàng, các website…để lấy cắp
thông tin, chiếm đoạt tên miền (Domain), tài khoản
thẻ tín dụng “chùa” để mua bán, thanh toán trực
tuyến
• Tội phạm với Cơ sở dữ liệu gây thiệt hại về kinh tế
trong giao dịch điện tử và thanh toán trực tuyến như
các vụ tấn công Database của các công ty, doanh
nghiệp...
Từ Dữ liệu có tiền bạc
Tội phạm cần điều tra qua Cơ sở Dữ liệu
• Trộm cắp tiền từ thẻ tín dụng và tài khoản bằng cách
làm thẻ tín dụng giả rút tiền từ máy ATM, trả tiền
cho các dịch vụ như khách sạn, nhà hàng,
• Mua hàng đắt tiền, mua vé máy bay, mua hàng trực
tuyến bằng thông tin thẻ tín dụng và tài khoản trộm
cắp được (được gọi là ship hàng);
• Rửa tiền, chuyển tiền từ tài khoản trộm cắp được
sang tài khoản e-money tại e-gold, e-passport...,
chuyển tiền qua Western Union và tài khoản của tội
phạm.
Tội phạm tấn công cơ sở dữ liệu
Tội phạm ăn cắp tài khoản ngân hàng ---
• Tại Mỹ và Anh có gần 80 người đã bị bắt do sử dụng
Trojan Zeus ăn cắp hơn 9 triệu đô la Mỹ từ các ngân hàng.
• Tôi phạm sử dụng các tính năng của trojan Zeus để đột nhập
vào tài khoản khách hàng, ăn cắp tiền bằng cách chuyển nó
vào các tài khoản khác được lập ra bởi những kẻ đồng lõa,
cuối cùng gửi nó cho kẻ chủ mưu thông qua Western Union.
• Các nhà điều tra lần theo các dấu vết mà chúng bất cẩn để
lại trên các Log Files và các Database tìm thấy các máy chủ
lệnh và kiểm soát được bọn tội phạm sử dụng.
• Các nhà điều tra theo dõi các máy chủ lệnh và kiểm soát,
theo dõi các giao dịch đến máy chủ và tìm ra dấu vết
bọn tội phạm cũng như kẻ chủ mưu.
Tội phạm với Cơ sở Dữ liệu tại Việt nam
• Ở Việt Nam, một số cơ quan chính phủ và các ngành
sẽ phải kết nối mạng trong tiến trình phát triển
chung của xã hội cũng như lộ trình xây dựng chính
phủ điện tử ở Việt Nam.
• Những mạng máy tính thuộc lĩnh vực kinh doanh,
dịch vụ tài chính, ngân hàng, thì các mạng máy tính
của các cơ quan chính phủ, bộ, ban, ngành cũng có
thể là đối tượng bị tấn công từ xa và thiệt hại do mất
thông tin bí mật quốc gia.
Pháp chứng số với Cơ sở dữ liệu
• Điều tra cơ sở dữ liệu trên máy tính: Pháp chứng
viên xem xét trên các máy tính nghi phạm thường
gặp các cơ sở dữ liệu dạng file của các phần mềm
như Foxpro, Microsoft Excel, Microsoft Access.
• Điều tra cơ sở dữ liệu trên máy chủ: Pháp chứng
viên xem xét các máy chủ mạng trên đó có các hệ
thống cơ sở dữ liệu cung cấp thông tin cho các dịch
vụ mạng. Các cơ sở dữ liệu thường là do các hệ
quản trị cơ sở dữ liệu quản lý.
Điều tra Cơ sở Dữ liệu trên máy tính
• Điều tra các dữ liệu trong các Cơ sở dữ liệu có trong
máy tính hoặc thiết bị di động của nghi phạm.
• Pháp chứng viên xem xét các nội dung cơ sở dữ liệu,
các file log, bộ nhớ, kiểm soát truy cập, các sự kiện,
và các thông tin được ghi nhận có liên quan.
• Pháp chứng viên xem xét cơ sở dữ liệu tập trung vào
việc xác định các giao dịch và thông tin đến/đi từ
các hệ thống cơ sở dữ liệu hoặc ứng dụng qua đó tìm
ra mà chỉ ra bằng chứng phạm tội.
Tội phạm với Cơ sở Dữ liệu
Điều tra Cơ sở Dữ liệu trên máy chủ
• Điều tra một cơ sở dữ liệu trên máy chủ thường là
các cơ sở dữ liệu quan hệ đòi hỏi người điều tra phải
có kiến thức về các tiêu chuẩn được sử dụng để lưu
trữ dữ liệu trên đĩa máy tính.
• Pháp chứng viên cần phải tìm hiểu các tài liệu
hướng dẫn các tiêu chuẩn được sử dụng để lưu trữ
thông tin trong các phần mềm quản trị cơ sở dữ liệu
cần điều tra như SQL Server và Oracle.
Điều tra trên Cơ sở Dữ liệu lớn
• Đối với hầu hết các tổ chức, cơ sở dữ liệu đã trở
thành một phần không thể thiếu.
• Hiện nay, nhiều cơ sở dữ liệu doanh nghiệp là rất
lớn so với bất kỳ loại đĩa như một cơ sở dữ liệu
thuộc về một công ty bảo hiểm có 100 TB chứa các
dữ liệu kinh doanh quan trọng.
• Pháp chứng viên cần phải biết sử dụng các công cụ
làm công việc pháp chứng trên những cơ sở dữ liệu
như vậy.
Cơ sở dữ liệu lớn
Lược đồ thể hiện cấu trúc - ERD
• Lược đồ thể hiện cấu trúc (ERD - Entity
Relationship Diagram) trừu tượng hóa dữ liệu trong
tổ chức dựa trên khái niệm thực thể (entity) và quan
hệ (relationship) giữa các thực thể, để nhằm thể hiện
nội dung, ý nghĩa của dữ liệu trong hệ thống
ERD
• XCase và DbVisualiser là các công cụ cho điều tra cơ
sở dữ liệu. Chúng là công cụ CASE tạo ra một bản đồ
trực quan của cơ sở dữ liệu và các bảng
• Công cụ CASE có thể là một trợ giúp ứng phó sự cố và
công việc liên quan đến pháp lý hệ thống cơ sở dữ liệu.
• Công cụ CASE hoặc phần mềm máy tính hỗ trợ các
công cụ kỹ thuật không chỉ giúp trong việc phát triển
phần mềm và cơ sở dữ liệu cấu trúc nhưng có thể được
sử dụng để giúp Pháp chứng viên xem xét cơ sở dữ liệu
và kiểm tra xem chúng khi so với các sơ đồ khác.
Ví dụ ERD
Audit Trail
• Một Audit Trail (còn gọi là nhật ký kiểm toán) là một
bản ghi bảo mật có liên quan thời gian, thiết lập hồ sơ,
nguồn và đích của các hồ sơ cung cấp bằng chứng tài
liệu của chuỗi các hoạt động đã ảnh hưởng đến bất cứ
lúc nào một hoạt động, thủ tục cụ thể, hoặc sự kiện liên
quan đến Cơ sở dữ liệu
• Các thông tin Audit có thể được lưu trữ trong các cơ sở
dữ liệu Audit Trail hoặc các tập tin trên hệ điều hành.
• Audit Trail bao gồm các hoạt động liên quan đến quyền
(privileges), lược đồ, các đối tượng, và báo cáo.
Audit Trail với CSDL Oracle
Bảo quản dữ liệu trong điều tra
• Pháp chứng viên thu thập các bằng chứng cần thiết bắt đầu
từ nơi có vi phạm và làm việc đảm bảo Cơ sở dữ liệu không
thay đổi.
• Bảo vệ Audit Trail của Cơ sở dữ liệu - Bảo vệ Audit Trail
để kiểm toán các thông tin không có thể được thêm vào,
thay đổi, hoặc xóa.
• Pháp chứng viên chỉ truy cập dữ liệu thích hợp và hạn chế
hành động của mình nhằm tránh làm lộn xộn các thông tin
có ý nghĩa và thay đổi các bằng chứng;
• Pháp chứng viên cần lập kế hoạch và mục tiêu tất cả các
hoạt động cơ sở dữ liệu trước khi bắt đầu.
• Chú ý nghiên cứu sơ đồ quan hệ thực thể của
Cơ sở dữ liệu (ERD).
SQL Server
• SQL Server là hệ quản trị CSDL Client/Server
• Định nghĩa, chỉnh sửa CSDL, lược đồ, quan hệ giữa các
lược đồ
• Thêm, sửa, xóa thông tin lưu trong các lược đồ
• Hỗ trợ các tính năng bảo mật, sao lưu phục hồi, cấp
quyền truy nhập
• Phần mềm của hãng IBM sáng lập khoảng đầu
những năm 1970 (SEQUEL: Structure English
QUEry Language)
• Sau ngôn ngữ Sequel được viết ngắn lại thành SQL
(Structure Query Language)
Cơ sở dữ liệu Client/Server
• Hệ thống Client/Server gồm 3 phần
• Hệ thống phía Server: xử lý yêu cầu và phục vụ
• Hệ thống phía Client: nơi yêu cầu và nhận dữ liệu
• Hệ thống giao tiếp qua mạng giữa Client và
Server
SQL Server

Results

Query OLTP

OLAP
Client Application
Microsoft SQL
• Microsoft SQL Server là hệ quản trị cơ sở dữ liệu
lớn do hãng Microsoft phát triển, được cài đặt và
chạy trên hệ điều hành Windows,
• Microsoft SQL Server khá phổ biến và thân thiện
với người dùng thông qua giao diện đồ họa trên
Windows.
• Dễ dàng xây dựng ứng dụng từ các ngôn ngữ lập
trình (Visual Basic, Visaul Basic.net, ASP, ASP.net,
PHP …) trên hệ quản trị CSDL Microsoft SQL
Server
Điều tra với Microsoft SQL
Có 4 thành phần liên quan đến Audit trong MS SQL server
• SQL Server Audit: là thành phần Audit thu thập hành động
hoặc một nhóm hành động cấp độ Server hoặc cơ sở dữ liệu.
Như SUCCESSFUL_LOGIN_GROUP,
LOGOUT_GROUP, FAILED_LOGIN_GROUP
• Server Level Audit Specification: đặc tả thành phần Audit
thu thập các hành động hoặc một nhóm hành động cấp độ
máy chủ:
• Database Level Audit Specification: đặc tả thành phần
Audit thu thập các hành động hoặc một nhóm hành động
cấp độ cơ sở dữ liệu như
• Target: nơi chứa các mẫu tin Audit, các file log …
Thông tin Event trong MS SQL Server
Công cụ Arbutus Analyzer
• Arbutus Analyzer là một công cụ trên Windows có
khả năng phân tích dữ liệu Audit, phân tích dữ liệu,
và điều tra nghi phạm đã truy cập và sữ dụng dữ liệu
máy chủ hoặc máy tính lớn.
Arbutus Analyzer
Công cụ Idea Data Analysis
• Idea Data Analysis là công cụ phân tích Cơ sở dữ
liệu được thiết kế kiểm tra Audit, có khả năng phân
tích dữ liệu một cách nhanh chóng để giúp kiểm soát
và xác định các sự cố.
Idea Data Analysis
Công cụ EventTracker
• EventTracker cung cấp một công cụ xem xét các
event trong MS SQL Server để tạo ra các báo cáo cụ
thể.
MySQL Server
Hệ quản trị cơ sở dữ liệu MySQL
• MySQL là hệ quản trị cơ sở dữ liệu tự do nguồn mở
phổ biến nhất thế giới và được các nhà phát triển rất
ưa chuộng trong quá trình phát triển ứng dụng.
• MySQL là cơ sở dữ liệu tốc độ cao, ổn định và dễ sử
dụng, có tính khả chuyển, hoạt động trên nhiều hệ
điều hành cung cấp một hệ thống lớn các hàm tiện
ích rất mạnh.
• MySQL có tốc độ và tính bảo mật cao, rất thích hợp
cho các ứng dụng có truy cập CSDL trên Internet.
• MySQL được sử dụng rộng rãi trên các Server cài
HĐH mã nguồn mở như Linux
MySQL Enterprise Audit
• Enterprise Audit là Plugin cho phép lưu các thông tin Audit
trong MySQL. Người quản trị có thể dùng công cụ
Workbench để quản lý.
MySQL Enterprise Audit
Công cụ Workbench
• Workbench là công cụ xem cấu trúc dữ liệu, cấu hình
Server, quản trị user, quản lý Audit của MySQL
Hệ Cơ sở dữ liệu Oracle
• Oracle là tên của một hãng phần mềm, một hệ quản trị cơ sở
dữ liệu phổ biến trên thế giới. Hãng Oracle ra đời đầu
những năm 70 của thế kỷ 20 tại nước Mỹ.
• Oracle database lưu trữ dữ liệu trên ổ cứng dưới định dạng
file của Oracle. Oracle Database được xếp vào hàng rất lớn
trong số các hệ quản trị cơ sở dữ liệu quan hệ.
• Datafile được truy xuất thông qua Oracle instance. Mỗi
session sẽ có một instance và tất cả các thao tác với CSDL
sẽ thông qua instance đó.
• Kiến trúc Oracle dựa trên mô hình Client-Server, Client sẽ
giao tiếp với Server thông qua ngôn ngữ SQL, có nghĩa là
Client sinh ra ngôn ngữ SQL và tầng server sẽ thực thi nó.
Oracle –ứng dụng với Cơ sở dữ liệu lớn
Các file Log cần chú ý trong Oracle
• Listener.log
• Trace files
• Incident Response Files
• Alert.logs
• Data files
• SYSDBA Audit Logs
• Redo/Archive Logs
• Unix History Files
Công cụ điều tra Oracle database
• Logminer
• DataWalker for Oracle
• Verity Data Block Examiner,
• McAfee Security Scanner for Databases
Công cụ Logminer
• Logminer là một công cụ miễn phí được cung cấp bởi
tập đoàn Oracle cho người mua cơ sở dữ liệu Oracle.
• Logminer cung cấp khả năng xem xét các bản log về
các thay đổi thực hiện cho một cơ sở dữ liệu Oracle,
lệnh SQL liên quan đến dữ liệu trong Oracle ghi lại
trong các bản log file.
• Logminer có giao diện GUI với các chức năng đi kèm
với các phần mềm quản lý Oracle Enterprise.
• Logminer có cơ chế khai thác dữ liệu trên các tiến trình
nội bộ của cơ sở dữ liệu riêng của mình.
Logminer
DataWalker for Oracle
• DataWalker for Oracle là một công cụ cho phép lấy và
xem xét các block dữ liệu trong Oracle
Verity Data Block Examiner
McAfee Security Scanner for Database
• McAfee Security Scanner là công cụ hữu ích giúp
người quan trị audit hệ thống cơ sở dữ liệu dễ dàng
kiểm tra mức độ tuân thủ của hệ thống.
• McAfee Security Scanner tự động dò quét và phát
hiện các cơ sở dữ liệu trong hệ thống mạng, định
danh các bản patch chưa được cập nhật.
• McAfee Security Scanner kiểm tra mức độ bảo mật
của mật khẩu, tài khoản SQL, phát hiện các lỗ hổng
bảo mật đang tồn tại cũng như các đe dọa tiềm ẩn
khác trong cơ sở dữ liệu.
McAfee Security Scanner for Databases
Hết bài 11