Theo báo cáo về Các mối đe doạ an ninh mạng của hãng bảo mật Symantec, các sự cố liên quan đến công nghệ IoT, bao gồm mã độc tống tiền (ransomware), tấn công lừa đảo (phishing), khai thác lỗ hổng bảo mật trên các thiết bị IoT… dự kiến sẽ tăng nhanh trong những năm tới. Những vụ việc này được thực hiện bằng cách sử dụng trực tiếp các thiết bị/ứng dụng IoT hoặc khai thác các thiết bị này làm phương tiện trung gian. Các thiết bị IoT kết nối với nhau trên môi trường mạng rộng lớn và phức tạp nên việc điều tra số là hết sức khó khăn. Hơn nữa, cách tiếp cận truyền thống của điều tra số ngày càng bộc lộ nhiều điểm hạn chế trên môi trường IoT, với những đặc trưng của các thiết bị IoT đòi hỏi phải có những cách thức xử lý tương ứng, điển hình như việc phân tích điều tra theo thời gian thực (real-time forensics).

Điều tra số truyền thống và điều tra số trên môi trường IoT

Từ năm 1960, điều tra số đã được sử dụng nhằm chống lại tội phạm mạng hoặc các tấn công phát sinh trên môi trường kỹ thuật số. Một số khía cạnh khác biệt lẫn tương đồng giữa điều tra số truyền thống và điều tra số trên môi trường IoT như sau:

- Về nguồn tạo ra các dữ liệu điện tử phục vụ quá trình điều tra, đối với điều tra số truyền thống có thể là máy tính, thiết bị di động, máy chủ hoặc các cổng dịch vụ. Trong khi đó, đối với điều tra số trên môi trường IoT, ngoài các thiết bị kể trên, nguồn dữ liệu có thể được tạo ra từ các thiết bị gia dụng, ô tô, đầu đọc thẻ, cảm biến, camera hay thậm chí là các thiết bị y tế được cấy ghép trên cơ thể con người hoặc động vật.

- Về quyền tài phán và quyền sở hữu thì không có sự khác biệt với hai loại hình điều tra số này, đó có thể là các cá nhân, nhóm người dùng, công ty hay các chính phủ,...

- Về các loại dữ liệu dùng để chứng minh, đối với môi trường IoT, đó có thể là một định dạng cụ thể do một nhà cung cấp quy định, cũng có thể là bất kỳ định dạng nào. Tuy nhiên trong điều tra số truyền thống, dữ liệu thường là các tài liệu văn bản điện tử hoặc các định dạng tệp tin tiêu chuẩn.

- Về góc độ kết nối, có thể nói ranh giới mạng trên môi trường IoT không rõ ràng như mạng truyền thống. Chính sự gia tăng các đường ranh giới “mờ” làm cho việc thu giữ các thiết bị IoT trở thành một trong những thách thức của điều tra số trên môi trường IoT.

Những thách thức trong việc thực hiện điều tra số trên môi trường IoT

IoT đặt ra khá nhiều thách thức đối với lĩnh vực điều tra số. Ước tính số lượng các thiết bị có kết nối mạng sẽ ở mức 50 tỷ vào năm 2020 và từ đó tạo ra một lượng dữ liệu đáng kể [1]. Việc xử lý một lượng lớn dữ liệu từ các thiết bị IoT sẽ dẫn đến sự gia tăng tương ứng khối lượng công việc mà các trung tâm xử lý dữ liệu phải thực hiện, điều này cũng có nghĩa các chuyên gia an ninh mạng đứng trước những đòi hỏi về năng lực, kỹ năng xử lý và phân tích tấn công,...

Theo chuyên gia bảo mật Zawoad và Hasan [2], điều tra số trên các thiết bị IoT bao gồm ba tổ hợp: điều tra đám mây (cloud forensics), điều tra mạng (network forensics) và điều tra thiết bị (device forensics).

Hầu hết các thiết bị IoT đều có khả năng kết nối mạng (trực tiếp hoặc gián tiếp) thông qua các ứng dụng để chia sẻ tài nguyên của chúng trong đám mây. Với việc tất cả dữ liệu có giá trị được lưu trữ trên đám mây, nó trở thành một trong những mục tiêu quan trọng nhất với những kẻ tấn công. Trong điều tra số truyền thống, điều tra viên có thể thu giữ các thiết bị kỹ thuật số và sau đó áp dụng quy trình điều tra để trích xuất thông tin. Tuy nhiên, trong điều tra đám mây, dữ liệu có thể được lưu trữ ở nhiều địa điểm khác nhau, hơn nữa các điều tra viên còn bị hạn chế về quyền truy cập cũng như quyền sở hữu dữ liệu dẫn đến khó khăn cho quá trình thu thập, xử lý. Ngoài ra, vì tất cả các dịch vụ dựa trên nền tảng đám mây đều sử dụng máy ảo làm máy chủ nên dữ liệu rất dễ biến động, chẳng hạn với các tệp tin tạm thời hay các bản ghi đăng nhập có thể bị mất nếu các máy chủ này được khởi động lại hoặc tắt máy.

Hình 1. Điều tra số trên môi trường IoT

Điều tra mạng bao gồm tất cả các loại mạng khác nhau mà các thiết bị IoT sử dụng để truyền và nhận dữ liệu. Đó có thể là mạng gia đình, mạng nội bộ, mạng LAN, MAN hay WAN. Một ví dụ có thể đề cập đến như khi sự cố xảy ra trên môi trường IoT, tất cả các gói tin chặn bắt trên mạng, tệp tin nhật ký tường lửa, IDS/IPS hay dữ liệu sinh ra bởi các thiết bị mạng như switch, router,... đều có thể trở thành nguồn cung cấp dữ liệu phục vụ điều tra số.

Điều tra thiết bị bao gồm tất cả các dữ liệu tiềm năng có thể được thu thập từ các thiết bị IoT như dữ liệu đồ hoạ, âm thanh, videohay bộ nhớ RAM, ROM của thiết bị. Việc điều tra số trên môi trường IoT là một hoạt động có phạm vi triển khai rộng, đi liền với nó là những thách thức có thể kể đến như:

- Vị trí dữ liệu: Nhiều dữ liệu IoT được trải rộng ở các vị trí khác nhau nằm ngoài tầm kiểm soát của người dùng, ví dụ như dữ liệu trên đám mây, trên máy chủ của nhà cung cấp dịch vụ (bên thứ ba) hay trên các thiết bị di động gây ra khó khăn đặc biệt lớn cho điều tra viên trong việc tiếp cận, thu thập và trích xuất. Ngoài ra, các dữ liệu IoT có thể được đặt ở các quốc gia khác nhau và được lưu trữ cùng các thông tin người dùng khác, điều này có nghĩa là các quy định/pháp luật của các quốc gia khác nhau có ảnh hưởng không nhỏ đến hoạt động điều tra.

- Giới hạn về tuổi thọ của các phương tiện kỹ thuật số: Trên thực tế, dữ liệu trong các thiết bị IoT có tuổi thọ ngắn và dữ liệu có thể dễ dàng bị ghi đè dẫn đến khả năng mất đi các dữ liệu quan trọng. Do đó, một trong những thách thức của điều tra số trên môi trường IoT là thu thập được dữ liệu quan trọng liên quan sự cố an ninh trước khi chúng bị ghi đè (vô ý hay cố ý). Việc chuyển dữ liệu thu thập được sang các thiết bị hay môi trường khác như Hub cục bộ hay đám mây có thể là một giải pháp phù hợp, tuy nhiên nó lại dẫn đến một khó khăn khác liên quan đến việc đảm bảo chuỗi hành trình cũng như việc chứng minh dữ liệu không bị sửa đổi.

- Yêu cầu truy xuất thông tin người dùng trên đám mây: Hầu hết các tài khoản trên đám mây đều là tài khoản ẩn danh vì dịch vụ đám mây không yêu cầu thông tin chính xác từ người dùng để đăng ký. Điều này dẫn đến khó khăn trong xác định thông tin tội phạm.

- Độ bảo mật yếu: Dữ liệu trong các thiết bị IoT có thể bị thay đổi hoặc bị xoá do độ bảo mật yếu, điều này có thể khiến những dữ liệu dạng này không đủ vững chắc để được chấp nhận tại toà án.

- Loại thiết bị: Trong quá trình thu thập dữ liệu từ các thiết bị IoT, các điều tra viên sẽ phải đối mặt với một số thách thức liên quan đến loại thiết bị. Một trong những thách thức có thể kể đến là việc xác định và tìm kiếm các thiết bị IoT trong hiện trường một vụ án. Thiết bị có thể ngừng hoạt động vì hết pin hay nằm ở nơi khuất và trông như một thiết bị truyền thống. Việc trích xuất dữ liệu từ các thiết bị IoT cũng là một việc hết sức khó khăn vì hầu hết các nhà sản xuất đưa ra những nền tảng, hệ điều hành và phần cứng khác nhau.

- Định dạng dữ liệu: Định dạng dữ liệu được tạo bởi các thiết bị IoT thường không khớp với các dữ liệu được lưu trên đám mây. Ngoài ra, dữ liệu có thể được xử lý bằng các công cụ, kỹ thuật phân tích khác nhau để trích xuất thông tin liên quan tấn công, điều này có thể ảnh hưởng đến tính toàn vẹn của dữ liệu. Do đó, để được chấp nhận tại toà án, dữ liệu phải được trả về định dạng ban đầu trước khi thực hiện phân tích.

- Các công cụ hỗ trợ điều tra: Các công cụ hiện có trong lĩnh vực điều tra số truyền thống hầu như không phù hợp với môi trường IoT. Các dữ liệu liên quan tấn công được tạo ra bởi các thiết bị IoT ngày càng nhiều, tuy nhiên, việc thu thập, trích xuất và phân tích các dữ liệu dạng này bởi những công cụ phù hợp lại không đáp ứng. Do đó, cần xây dựng được các công cụ hỗ trợ điều tra số trên môi trường IoT vừa đảm bảo tính toàn vẹn của dữ liệu, vừa đảm bảo hiệu quả trong quá trình phân tích, điều tra.

Định hướng điều tra số trên môi trường IoT

Nhằm giải quyết những khó khăn, thách thức trong quá trình thực hiện điều tra, ứng phó các sự cố trên môi trường IoT, cần tập trung thực hiện 5 nhóm biện pháp sau:

Thứ nhất, cần kiện toàn các thủ tục pháp lý liên quan đến lĩnh vực điều tra số trên môi trường IoT. Sự đa dạng và bản chất phức tạp của môi trường IoT sẽ dẫn đến một số bất cập trong việc ứng dụng quy trình điều tra số truyền thống. Mặc dù quy trình điều tra số truyền thống có thể phù hợp với một số trường hợp điều tra máy tính hay điều tra mạng liên quan các thiết bị IoT, tuy nhiên các tính năng đa dạng của IoT làm phát sinh nhiều thách thức mới cho các nhà điều tra khi thu thập những chứng cứ. Do đó, việc xây dựng, ban hành các điều luật, thủ tục, tiêu chuẩn và hướng dẫn điều tra số trên môi trường IoT là rất cần thiết trong tình hình hiện tại.

Thứ hai, cần xây dựng được cơ chế hỗ trợ tư pháp từ các quốc gia, vùng lãnh thổ trên toàn thế giới. Môi trường IoT sử dụng các dịch vụ lưu trữ đám mây ở nhiều khu vực địa lý khác nhau, điều này dẫn đến những khó khăn trong việc thực thi pháp luật của từng quốc gia hay việc khởi tố một vụ án, đối tượng liên quan vụ án. Vì vậy, sự hỗ trợ của các quốc gia cần được hiện thực hoá bằng các văn bản chính thống, đặc biệt là trong việc truy xuất dữ liệu liên quan đến những tấn công, khai thác thuộc máy chủ, hệ thống thông tin đặt trên phạm vi quốc gia đó.

Thứ ba, nâng cao khả năng phân tích dữ liệu lớn (Big Data). Với IoT, dữ liệu được thu thập từ nhiều đối tượng khác nhau, khả năng phân tích lượng dữ liệu lớn như vậy là một khó khăn của các điều tra viên. Vì vậy, nhu cầu cấp thiết là phải xây dựng được các thuật toán, phương pháp phân tích dữ liệu lớn cũng như nâng cao năng lực, trình độ xử lý của hệ thống phần mềm, phần cứng,...

Thứ tư, tập trung nghiên cứu về lĩnh vực phòng chống điều tra số trên môi trường IoT. Các công cụ và kỹ thuật điều tra số đã đóng một vai trò quan trọng trong việc điều tra tội phạm mạng hay đối chiếu các bằng chứng kỹ thuật số trong một vụ án. Tuy nhiên, ngày nay tội phạm mạng và những kẻ tấn công cũng nhận thức được các phương pháp điều tra số đang được sử dụng và cách thức hoạt động của các công cụ điều tra số. Từ đó, chúng phát triển các công cụ và kỹ thuật có khả năng chống lại việc truy xuất hay phục hồi các dữ liệu điện tử liên quan tấn công. Chính vì thế, cần nghiên cứu và nắm rõ cách thức thực hiện việc xoá dấu vết, phòng chống điều tra của các đối tượng phạm tội để có biện pháp ứng phó hữu hiệu.

Thứ năm, cần nâng cao tính sẵn sàng trong việc thực hiện điều tra số trên môi trường IoT, đây không chỉ là nhiệm vụ của một quốc gia mà còn là kỹ năng thiết yếu của đội ngũ chuyên gia trong một cơ quan, tổ chức đang vận hành hệ thống thông tin trên nền tảng IoT nhằm phát hiện và xử lý sớm các sự cố an ninh phát sinh trong quá trình khai thác, sử dụng hệ thống. Sự sẵn sàng này còn có thể được thực hiện bằng việc chủ động kiện toàn các thành phần, thiết bị bên trong hệ thống như dò quét và vá các lỗ hổng bảo mật, cập nhật các phiên bản hệ điều hành và phần mềm dịch vụ mới, phân tách rõ các chức năng của các thành phần phù hợp với đối tượng sử dụng,...

Kết luận

Cuộc cách mạng công nghiệp 4.0 đem lại rất nhiều lợi ích về kinh tế, xã hội nhưng cũng làm gia tăng các rủi ro về mất an ninh, an toàn thông tin... Tính kết nối của các hoạt động theo định hướng 4.0 và tốc độ chuyển đổi kỹ thuật số dẫn đến khả năng các cuộc tấn công mạng dựa trên nền tảng IoT có thể xuất hiện nhiều hơn bao giờ hết. Nhiều nhà nghiên cứu đã xác định và chỉ ra những vấn đề mà lĩnh vực điều tra số phải đối mặt trên môi trường IoT, tuy nhiên chỉ có một số ít đề xuất được các giải pháp nhằm giải quyết hay đơn giản là giảm thiểu những thách thức này. Các vấn đề mở trong lĩnh vực điều tra số trên môi trường IoT vẫn đang cần được tập trung phân tích và đưa ra những phương án, biện pháp xử lý phù hợp trong tương lai.