Một vài điều cần biết về Forensics trong các thử thách CTF

RESEARCH CREW
10:20 07/11/2020

 

Forensics trong các thử thách CTF

Trong ngữ cảnh CTF, các thử thách (challenge) "Forensics" (Digital Forensics - điều tra bằng chứng số) có thể bao gồm phân tích định dạng tập tin,  ẩn giấu thông tin (steganography), phân tích kết xuất bộ nhớ (memory dump), hoặc phân tích gói tin mạng bắt được (network forensics). Bất kỳ thử thách (challenge) nào để kiểm tra và xử lý một phần thông tin ẩn trong các tập tin dữ liệu tĩnh (trái ngược với các chương trình thực thi hoặc máy chủ từ xa) đều có thể được coi là một thách thức của Forensics (trừ khi nó liên quan đến mật mã, trong trường hợp đó, nó có thể thuộc danh mục Crypto - mã hóa).

Ngoài ra, một số mảng Forensics có thể được kể đến như là:

Forensics là một danh mục CTF khá rộng và thường không nằm gói gọn trong bất kỳ vai trò công việc cụ thể nào trong ngành an ninh-bảo mật, mặc dù một số thử thách (challenge) của nó mô phỏng các loại nhiệm vụ thường được thấy trong Ứng phó sự cố (Incident Response - IR). Ngay cả trong công việc Ứng phó sự cố, người điều tra bằng chứng số (forensics) máy tính thường thực hiện các nhiệm vụ thuộc lĩnh vực thực thi tìm kiếm dữ liệu chứng minh và xác định trách nhiệm - nguyên nhân sự cố, chứ không phải thực hiện nhiệm vụ như người ứng phó sự cố chỉ quan tâm đến việc trục xuất, ngăn chặn kẻ tấn công và khôi phục tính toàn vẹn của hệ thống.

Không giống như hầu hết các thử thách Forensics trong các cuộc chơi CTF, một tác vụ forensics trên máy tính trong thế giới thực rất hiếm liên quan đến việc làm sáng tỏ một một đoạn mã bao gồm các byte được mã hóa (encoding) kỳ công, dữ liệu ẩn, tập tin giấu bên trong tập tin khác hoặc các câu đố hóc búa mang tính thách đố như vậy. Người ta thường sẽ không phá một vụ án hình sự bằng cách cẩn thận lắp ráp lại một tệp PNG bị hỏng, hay phân tích một bức ảnh được tìm thấy với mã QR sau đó giải mã thành mật khẩu cho một kho lưu trữ zip có chứa một tập tin có thông tin câu trả lời trong đó. Thay vào đó, forensics trong thế giới thực thường yêu cầu người thực hiện phải tìm bằng chứng gián tiếp về các yếu tố độc hại: dấu vết của kẻ tấn công trên hệ thống hoặc dấu vết của hành vi "insider threat" (nội gián). Điều tra bằng chứng trên máy tính trong thế giới thực phần lớn là biết tìm manh mối buộc tội ở đâu trong nhật ký (log), trong bộ nhớ, trong filesystem/registry, các tập tin liên quan và meta-data (siêu dữ liệu) của filesystem. Ngoài ra, mảng điều tra mạng (network forensics) thiên về phân tích metadata (siêu dữ liệu) hơn là phân tích nội dung (content/payload), vì hiện nay hầu hết các phiên kết nối mạng (network session) đều được mã hóa TLS giữa các điểm cuối.

Các kỹ năng cần thiết để chơi "Forensics"

Để giải quyết các thử thách CTF thuộc lĩnh vực Forensics, các kỹ năng hữu ích nhất mà một người chơi CTF nên trang bị bao gồm:

Kỹ năng đầu tiên và thứ hai người bắt đầu có thể học và thực hành độc lập trong các lĩnh vực khác nhau, nhưng điều thứ ba có thể chỉ đến từ kinh nghiệm.

Hy vọng rằng với bài viết này, ít nhất bạn có thể có được một hiểu biết cơ bản để có một khởi đầu tốt trong mảng CTF Forensics. Và tất nhiên, giống như hầu hết các trò chơi CTF khác, môi trường lý tưởng là một hệ thống Linux - đôi khi là - Windows được cài đặt trong một máy ảo.

 

 

TIN LIÊN QUAN
🚩 Cuộc thi An toàn Thông tin ISITDTU CTF 2022 do trường Đại học Duy Tân, Đà Nẵng tổ chức đã chính thức khép lại vào ngày 18/12. Hai đội purf3ct (đại diện cho CNSC @UIT) và Sp33d_0f_T1m3 (đại diện do UIT) đã có màn thi đấu ấn tượng với...
Nối tiếp sự thành công của WannaGame Championship 2022 - Cuộc thi học thuật dành cho các bạn sinh viên có đam mê với lĩnh vực An toàn thông tin chính thức trở lại tại NETSEC DAY 2022. 𝐖𝐚𝐧𝐧𝐚𝐆𝐚𝐦𝐞 là sân chơi dành riêng cho các bạn sinh viên có...
CLB An toàn Thông tin Wanna.W^n chia sẻ một số Challenges giải được và việc chia sẻ writeup nhằm mục đích giao lưu học thuật. Mọi đóng-góp ý-kiến bọn mình luôn-luôn tiếp nhận qua mail: wannaone.uit@gmail.com hoặc inseclab@uit.edu.vn và fanpage: fb.com/inseclab Cám ơn các thành viên Wanna.W^N @InSecLab đã đóng...