Forensics trong các thử thách CTF
Trong ngữ cảnh CTF, các thử thách (challenge) "Forensics" (Digital Forensics - điều tra bằng chứng số) có thể bao gồm phân tích định dạng tập tin, ẩn giấu thông tin (steganography), phân tích kết xuất bộ nhớ (memory dump), hoặc phân tích gói tin mạng bắt được (network forensics). Bất kỳ thử thách (challenge) nào để kiểm tra và xử lý một phần thông tin ẩn trong các tập tin dữ liệu tĩnh (trái ngược với các chương trình thực thi hoặc máy chủ từ xa) đều có thể được coi là một thách thức của Forensics (trừ khi nó liên quan đến mật mã, trong trường hợp đó, nó có thể thuộc danh mục Crypto - mã hóa).
Ngoài ra, một số mảng Forensics có thể được kể đến như là:
- Điều tra bộ nhớ (memory forensics: bộ nhớ RAM)
- Ẩn giấu thông tin (Steganography)
- Điều tra bộ nhớ lưu trữ (Hard Drive Forensics)
- Điều tra mạng (Network forensics)
- Điều tra ứng dụng (application forensics: android, win, ios, ...)
- Điều tra lây nhiễm mã độc (malware forensics)
Forensics là một danh mục CTF khá rộng và thường không nằm gói gọn trong bất kỳ vai trò công việc cụ thể nào trong ngành an ninh-bảo mật, mặc dù một số thử thách (challenge) của nó mô phỏng các loại nhiệm vụ thường được thấy trong Ứng phó sự cố (Incident Response - IR). Ngay cả trong công việc Ứng phó sự cố, người điều tra bằng chứng số (forensics) máy tính thường thực hiện các nhiệm vụ thuộc lĩnh vực thực thi tìm kiếm dữ liệu chứng minh và xác định trách nhiệm - nguyên nhân sự cố, chứ không phải thực hiện nhiệm vụ như người ứng phó sự cố chỉ quan tâm đến việc trục xuất, ngăn chặn kẻ tấn công và khôi phục tính toàn vẹn của hệ thống.
Không giống như hầu hết các thử thách Forensics trong các cuộc chơi CTF, một tác vụ forensics trên máy tính trong thế giới thực rất hiếm liên quan đến việc làm sáng tỏ một một đoạn mã bao gồm các byte được mã hóa (encoding) kỳ công, dữ liệu ẩn, tập tin giấu bên trong tập tin khác hoặc các câu đố hóc búa mang tính thách đố như vậy. Người ta thường sẽ không phá một vụ án hình sự bằng cách cẩn thận lắp ráp lại một tệp PNG bị hỏng, hay phân tích một bức ảnh được tìm thấy với mã QR sau đó giải mã thành mật khẩu cho một kho lưu trữ zip có chứa một tập tin có thông tin câu trả lời trong đó. Thay vào đó, forensics trong thế giới thực thường yêu cầu người thực hiện phải tìm bằng chứng gián tiếp về các yếu tố độc hại: dấu vết của kẻ tấn công trên hệ thống hoặc dấu vết của hành vi "insider threat" (nội gián). Điều tra bằng chứng trên máy tính trong thế giới thực phần lớn là biết tìm manh mối buộc tội ở đâu trong nhật ký (log), trong bộ nhớ, trong filesystem/registry, các tập tin liên quan và meta-data (siêu dữ liệu) của filesystem. Ngoài ra, mảng điều tra mạng (network forensics) thiên về phân tích metadata (siêu dữ liệu) hơn là phân tích nội dung (content/payload), vì hiện nay hầu hết các phiên kết nối mạng (network session) đều được mã hóa TLS giữa các điểm cuối.
Các kỹ năng cần thiết để chơi "Forensics"
Để giải quyết các thử thách CTF thuộc lĩnh vực Forensics, các kỹ năng hữu ích nhất mà một người chơi CTF nên trang bị bao gồm:
- Biết một ngôn ngữ scripting (ví dụ: Python)
- Biết cách thao tác dữ liệu nhị phân (thao tác mức byte) bằng một ngôn ngữ lập trình scripting
- Nhận diện được các định dạng, giao thức, cấu trúc và mã hóa (encoding) trong các tập tin mà thử thách CTF đưa ra.
- Biết sử dụng một số công cụ chuyên dụng tương ứng với từng dạng nhỏ khác nhau trong mảng Forensics
Kỹ năng đầu tiên và thứ hai người bắt đầu có thể học và thực hành độc lập trong các lĩnh vực khác nhau, nhưng điều thứ ba có thể chỉ đến từ kinh nghiệm.
Hy vọng rằng với bài viết này, ít nhất bạn có thể có được một hiểu biết cơ bản để có một khởi đầu tốt trong mảng CTF Forensics. Và tất nhiên, giống như hầu hết các trò chơi CTF khác, môi trường lý tưởng là một hệ thống Linux - đôi khi là - Windows được cài đặt trong một máy ảo.
