HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH Giảng viên hướng dẫn: Nguyễn Mạnh Thắng Đề tài: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ ĐIỆN THOẠI DI ĐỘNG Sinh viên thực hiện: NGUYỄN TIẾN DŨNG CAO XUÂN HIỆP AT140108 AT140810 NGUYỄN THÀNH LONG AT140725 VŨ QUỐC HUY AT140819 HỒNG ĐÌNH HUY AT140820 Nhóm 20 Hà Nội, 12-2021 MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH .3 LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU TRA SỐ 1.1 Đôi nét lịch sử đời 1.2 Phân tích chứng điện tử 1.2.1 Quan điểm quốc gia giới .7 1.2.2 Quan điểm Việt Nam .8 1.3 Sự cần thiết phải quy định chứng cử điện tử 10 1.4 Điều tra số 11 1.5 Tổng quan việc thu thập phân tích chứng điện tử từ thiết bị di động 1.6 Kết chương 18 CHƯƠNG 2: CÁC QUY TRÌNH KỸ THUẬT, THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG .19 2.1 Hệ thống thông tin di động 19 2.1.1 Code Division Multiple Access – CDMA 19 2.1.2 Global System for Mobile – GSM .20 2.2 Thiết bị di động 23 2.2.1 Các bước thực điều tra thiết bị di động 23 2.3 Các thông tin lưu trữ điện thoại di động .25 2.3.1 Thông tin lưu trữ SIM 25 2.3.2 Thông tin lưu trữ nhớ 26 2.3.3 Các thơng tin lưu trư thẻ nhớ ngồi 27 2.4 Kỹ thuật khai thác liệu nhớ .28 2.4.1 Kỹ thuật khai thác liệu qua giao diện sủ dụng .28 2.4.2 Kỹ thuật khai thác vật lý .28 2.4.3 Kỹ thuật khai thác lo-gic .29 2.5 Kỹ thuật khai thác liệu SIM 30 2.6 Kỹ thuật khai thác liệu thẻ nhớ 31 2.7 Một số công cụ phục vụ điều tra thiết bị di động 31 DANH MỤC HÌNH Ả Hình 1:Sử dụng Regsshot quan sát thay đổi Registry 12 Hình 2;Passware Encryption Analyzer xác định file bảo vệ mật 13 Hình 3:Sử dụng WPDeviceManager để trích xuất SMS 14 Hình 4:Sử dụng skypelogview xem liệu trao đổi qua đường truyền 14 Hình 5:Sử dụng Wireshark phân tích cơng Teadrop .15 Hình 6:Sử dụng Volatility liệt kê tiến trình chạy hệ thống 16 Y Hình 1: Minh họa CDMA .20 Hình 2: Kiến trúc hệ thống GSM .23 Hình 3: Các giai đoạn trình điều tra thiết bị di động 24 LỜI MỞ ĐẦU Sự tiến khoa học kỹ thuật mang lại cho nhiều phát minh hữu ích, giúp nhiều sống hàng ngày Điện thoại di động phát minh Với phát triển không ngừng công nghệ, điện thoại di động phát triển biến đổi ngày, hội tụ công nghệ viễn thông, điện tốn, âm thanh, hình ảnh trở thành phương tiện giao tiếp, làm việc chủ yếu người Ngày nay, điện thoại di động không dùng để nghe, gọi nhắn tin mà hỗ trợ nhiều dịch vụ tiện ích khác Với điện thoại di động thơng minh (smartphone) tay có thể: xem phim, nghe nhạc, chơi game, sử dụng ứng dụng văn phòng, dùng file word, excel, pdf, lướt web, gửi nhận Email, Cùng với gia tăng điện thoại thông minh đa chức số vụ án liên quan đến điện thoại di động tăng lên, hình thức vi phạm ngày đa dạng, tinh vi có tổ chức Trong nhiều vụ án, điện thoại di động sử dụng công cụ phạm tội Các đối tượng sử dụng điện thoại để lưu thơng tin cá nhân, trao đổi thư, chat, truy cập vào mạng xã hội, trang web cá cược bóng đá, chơi lô đề trực tuyến, Ở nước ta số vụ án gần qua việc thu thập, khai thác thông tin từ thiết bị di động đối tượng, trinh sát tìm, xác định đối tượng, thu thập nhiều thông tin để đấu tranh Qua việc khai thác thông tin từ thiết bị di động ta tìm nhiều chứng quan trọng mà phương pháp điều tra truyền thống khơng thể có Với phương pháp truyền thống để thu thơng tin chứng việc duyệt nội dung chứa thiết bị thông qua giao diện người sử dụng, xem cách không chắn sử dụng giải pháp cuối Thay vào đó, việc sử dụng công cụ phần mềm giám định theo qui trình cách khai thác liệu thích hợp, tránh việc để mất, thay đổi thông tin thiết bị gốc, thông tin khai thác phục vụ cho cơng tác phịng, chống tội phạm cơng nghệ cao Ngoài phần mở đầu, kết luận, nội dung báo cáo gồm nội dung sau: Chương 1: Tổng quan chứng điện tử điều tra số Chương 2: Các quy trình kỹ thuật,thu thập phân tích chứng điện tử từ điện thoại di động Chương 3: Thực nghiệm CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU TRA SỐ Trong bối cảnh kinh tế, xã hội liên tục vận động phát triển, tồn song hành mặt hoạt động khác người Bên cạnh hoạt động xây dựng sản xuất ln hữu hành vi trái với lợi chung cộng đồng, xã hội Những hành vi coi hoạt động trái pháp luật Chúng làm phương hại, tác động xấu đến đối tượng, cá nhân cụ thể, chí quan, tổ chức, lớn ảnh hưởng đến ổn định, phát triển bình thường nhân loại Bởi theo quy luật phát triển tự nhiên, có đấu tranh mâu thuẫn phát triển Thì xã hội có giai cấp, tồn đấu tranh người thực thi pháp luật kẻ làm trái pháp luật Bên cạnh loại hình tội phạm ngày gia tăng, đồng thời thủ đoạn chúng tinh vi xảo quyệt Bước vào kỷ XXI, với bùng nổ phát triển mạnh mẽ công nghệ thông tin Việc áp dụng chúng vào hầu hết lĩnh vực đời sống điều trở nên tất yếu Bên cạnh lợi ích mà mang lại lại trở thành đối tượng bị lợi dụng làm công cụ đắc lực cho bọn tội phạm Việc xuất tội phạm lĩnh vực công nghệ thông tin làm đau đầu nhà thực thi pháp luật Việc có cơng cụ, chế tài xử phạt hợp lý trở nên nan giải Đặc biệt hơn, việc phát hiện, đấu tranh, truy tố loại tội phạm lại khó Bản thân trình tìm kiếm, phát hiện, thu thập chứng tỏ mơ hồ Vì thế, nhà làm luật tìm cách quy định loại chứng để buộc tội đối tượng Và gọi "Chứng điện tử" 1.1 Đơi nét lịch sử đời Để tìm hiểu đời khái niệm chứng điện tử, trước hết ta ngược dòng thời gian để chứng kiến hình thành biến đổi loại tội phạm máy tính Đơi nét lịch sử tội phạm máy tính, loại tội phạm khơng xuất lĩnh vực công nghệ thông tin, mà tất lĩnh vực khác có áp dụng tin học Với nhiều loại hình khác nhau, phương thức thủ đoạn đa dạng, ngày tác động mạnh mẽ đến đời sống kinh tế xã hội - Tấn công vật lý Thuở sơ khai loại tội phạm máy tính, đối tượng thường thực hành vi công vật lý tới hệ thống máy tính đường truyền viễn thơng Vào mùa xuân năm1969, nhóm sinh viên Canada công cảnh sát, phá cánh cửa nhà Hiệu bộ, gây đám cháy làm phá hủy hệ thống máy tính, trung tâm sở liệu Làm thiệt hại tỷ dollar, 97 người bị bắt giữ Bước sang kỷ XX, tồn kẻ thích phá hoại sở hạ tầng, phá hoại trung tâm liệu tay Rõ ràng, để đánh sập mạng máy tính, khơng nhanh phá hoại vật lý - Mạo danh Năm 1970, tên tội phạm tuổi teen khét tiếng tên Jerry Neal Scheilder Mục tiêu công ty thiết bị viễn thông PT&T Los Angeles Qua nhiều năm kiên trì lục lọi thùng rác để thu thập in tài liệu công ty, đồng thời tham gia chuyến tham quan nhà kho, nhà máy sản xuất, có đủ kiến thức nắm rõ quy trình hoạt động cơng ty Mạo danh công ty này, chiếm đoạt hàng triệu đô từ tiền nhập thiết bị Cuối bị bắt tố cáo nhân viên y Và sau mãn hạn tù, thành lập cơng ty an ninh máy tính Ăn cắp thẻ tín dụng Thẻ tín dụng đời vào năm 1920 Sau đó, trở nên phổ biến nước phương Tây tính tiện dụng Vì mà xuất vụ phạm tội liên quan đến thẻ tín dụng Vào cuối kỷ XX, tình trạng trở nên trầm trọng Theo báo cáo FBI: "Xét phạm vi toàn cầu, số tiền thẻ VISA, Master-Card ngân hàng bị đánh cắp lên tới 110 triệu năm 1980 lên đến 1.65 tỉ đô năm 1995." - Phone phreak Thời kỳ đầu, việc giả số điện thoại gọi đến thực tổ chức có khả truy cập đường dây PRI (Primary Rate Interface) đắt tiền mà công ty điện thoại cung cấp Công nghệ dùng chủ yếu để hiển thị số điện thoại doanh nghiệp gọi Từ đầu năm 2000, “phone phreak” hay gọi tắt phreak (chuyên gia công hệ thống điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại Thực chất cách làm dùng thiết bị (thường phần mềm máy tính) để gửi chuỗi tín hiệu đa tần (tone) giây gọi, giả làm tín hiệu báo số gọi đến điện thoại - Tống tiền Hacker tìm cách lấy trộm liệu quan trọng cá nhân, tổ chức sau u cầu địi tiền chuộc Vào năm 1990, khoảng 300,000 ghi thơng tin thẻ tín dụng lưu website CD Universe bị "Maxus" - niên 19 tuổi người Nga đánh cắp Sau anh có gửi thông điệp rằng: "Đưa cho 100.000 đô, lỗi website quên việc mua sắm website bạn" CD Universe từ chối kết cục 25.000 thông tin thẻ cơng khai - Hình thành hành lang pháp lý Với việc tội phạm máy tính ngày gia tăng, mức độ phạm tội ngày trầm trọng, việc ban hành quy định pháp lý yêu cầu thiết Vào năm 1978, loại tội phạm máy tính lần xác định văn với tên gọi "Florida computer crimes act" Trong có rõ quy chế nhằm chống lại hành động thay đổi xóa bỏ liệu hệ thống máy tính Những năm sau đó, quốc gia giới ban hành đạo luật nhằm ngăn chặn loại tội phạm Năm 1983, Canada trở thành quốc gia thông qua quy định pháp chế này, Mỹ vào năm 1986, Australia sửa đổi bổ sung vào năm 1989, sau Anh năm 1990 1.2 Phân tích chứng điện tử Phân tích khái niệm “Chúng cử điện tử” Song hành với việc ban hành quy phạm pháp luật việc ban hành văn hướng dẫn thi hành quan trọng Việc phân tích rõ khái niệm, đặc điểm cụ thể "Chứng điện tử" làm sáng tỏ chất Điều tác động tích cực đến q trình phát hiện, thu thập chứng quan điều tra 1.2.1 Quan điểm quốc gia giới Tại Mỹ - nơi sớm có xuất loại tội phạm máy tính, cục điều tra liên bang (FBI) công bố khái niệm liên quan đến chứng điện tử dựa tài liệu SWGDE/IOCE: Quy trình thu thập: Những thơng tin thiết bị vật lý lưu trữ cho mục đích điều tra trở thành chứng tịa án cơng nhận Quá trình thu thập tuân thủ điều luật chứng Các đối tượng liệu thiết bị số trở thành chứng thu thập nhân viên thực thi pháp luật người định Đối tượng liệu: Là đối tượng thơng tin có giá trị chứng minh tội phạm liên quan đến thiết bị vật lý Các đối tượng tồn định dạng khác cho không làm thay đổi liệu gốc Chứng điện tử (Electronic Evidence): Là thông tin có giá trị chứng minh tội phạm lưu trữ truyền tải dạng liệu số : - Thiết bị số: Những thiết bị lưu trữ truyền tải đối tượng liệu Dữ liệu gốc: Những liệu nằm thiết bị số thời điểm thu thập Nhân chứng điện tử: Là nhân liệu gốc cách đắn Bản sao: Là nhân thông tin lưu trữ thiết bị gốc mà không phụ thuộc vào thiết bị Tại Úc, hiệp hội Digital Forensic cho chứng điện tử thơng tin có giá trị điều tra liên quan đến thiết bị số định dạng liệu Những thông tin biểu diễn dạng số, bao gồm: system logs, audit logs, application logs, network logo, file hệ thống Đồng thời file người dùng tạo có giá trị chứng minh hoạt động tội phạm, siêu liệu file thể rõ trình tạo, thay đổi nội dung file Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers) cho rằng: chứng điện tử ảnh vật lý logic thiết bị, ảnh logic chứa phần toàn liệu chụp tiến trình chạy Điều tra viên phải dùng công cụ chụp ảnh pháp luật công nhận Trường hợp liệu cục mà liệu từ xa, điều cần thiết phải có người có thẩm quyền lấy liệu trao cho tịa án xác nhận, Cơ quan điều tra phép truy cập điều tra liệu Mặt khác quy trình phát hiện, thu thập, điều tra, bảo quản phải khách quan, tuân thủ đạo luật tịa án cơng nhận Và bên thứ ba lặp lại quy trình thu kết Để khách quan hơn, việc đánh giá mức độ rủi ro dựa yếu tố kỹ thuật phi kỹ thuật cần thiết Chẳng hạn chứng tiền mà lưu thiết bị đặc biệt lịch sử cơng trước kẻ bị tình nghi 1.2.2 Quan điểm Việt Nam Quá trình thực hành vi phạm tội tội phạm công nghệ cao để lại dấu vết điện tử Đây liệu tồn dạng tiến hiệu kỹ thuật số Nó tạo cách tự động, khách quan nhớ thiết bị điện tử Theo luật Tố tụng hình năm 2015 có quy định: Điều 99 Dữ liệu điện tử: - - Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền nhận phương tiện điện tử Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thơng, đường truyền nguồn điện tử khác Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo, lưu trữ truyền gửi liệu điện tử, cách thức bảo đảm trì tính tồn vẹn liệu điện tử, cách thức xác định người khởi tạo yếu tố phù hợp khác Trong văn quy định Luật giao dịch điện tử làm rõ số khái niệm có liên quan Dữ liệu: thơng tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự Phương tiện điện tử: phương tiện hoạt động dựa công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn khơng dây, quang học, điện từ Trao đổi liệu điện tử (EDI - electronic data interchange): chuyển thông tin từ máy tính sang máy tính khác phương tiện điện tử theo tiêu chuẩn thỏa thuận cấu trúc thông tin Thông điệp liệu: thông tin tạo ra, gửi đi, nhận lưu trữ phương tiện điện tử Thơng điệp liệu có giá trị văn thơng tin chứa thơng điệp truy cập, sử dụng để tham chiếu cần thiết nội dung thông điệp liệu bảo đảm tồn vẹn, khơng bị thay đổi Giá trị chứng thông điệp liệu xác định, vào độ tin cậy cách thức khởi tạo, lưu trữ truyền gửi, cách thức bảo đảm trì tính tồn vẹn, cách thức xác định người khởi tạo yếu tố phù hợp khác Như vậy, theo quy định pháp luật tố tụng hình luật giao dịch điện tử liệu điện tử có giá trị pháp lý chứng từ, hồ sơ truyền thống đáp ứng yêu cầu pháp luật quy định Qua nhận thấy rằng: Chứng điện tử chứng lưu giữ dạng tín hiệu điện tử máy tính thiết bị có nhớ kỹ thuật số có liên quan đến vụ án hình Những chứng điện tử thu thập để chứng minh hành vi phạm tội bao gồm: - Những chứng điện tử máy tính tự động tạo như: “cookies”, “URL”, Email logs, web server logs Những thông tin điện tử người tạo lưu giữ máy tính thiết bị điện tử khác, văn bản, bảng biểu, hình ảnh, 10 Nội dung tất đa truy cập phân chia theo mã, đó, khơng giống TDMA FDMA, khe thời gian tần số không bắt buộc phải phân chia tương ứng cho người dùng khác Như cách gán mã riêng biệt cho người dùng, liệu kết hợp truyền qua kênh đầu kia, trạm nhận sử dụng mã tương ứng trạm truyền sử dụng để lấy tín hiệu tin thực trạm Hình 1: Minh họa CDMA Do đó, CDMA, với trợ giúp mã trải rộng nhất, nhiều người dùng đồng thời truy cập băng thơng RF để truyền tín hiệu Ở cần lưu ý rằng, cách tiếp cận này, mã sử dụng lựa chọn theo cách mà chúng phải có mối tương quan Có hai cách mà CDMA triển khai, là, - Trình tự trực tiếp / Trình tự xếp - Nhảy tần số * Hai điều khác chỗ trải phổ chuỗi trực tiếp sử dụng mã trải rộng tốc độ cao để có băng thơng rộng trong kỹ thuật nhảy tần tần số sóng mang dịch chuyển để thu 21 2.1.2 Global System for Mobile – GSM GSM sử dụng công nghệ phổ nhọn (Wedge spectrum) để cung cấp sóng mang (carrier) GSM sử dụng hai phương thức phân chia theo thời gian (Time Division Multiple Access - TDMA) theo tần số (Frequency Division Multiple Access FDMA) Đối với mạng GSM, nhà mạng cung cấp môđun định danh (Subscriber Identity Module - SIM) để xác định người dùng Chức SIM phải xác thực người sử dụng điện thoại di động truy cập vào mạng, để sử dụng dịch vụ đăng ký SIM cung cấp khả lưu trữ thông tin cá nhân danh bạ điện thoại, tin nhắn văn bản, dịch vụ thông tin liên quan Mặc dù khác công nghệ, mạng di động tổ chức tương tự * Ưu điểm GSM so với Hệ thống Analog - Tăng công suất - Giảm công suất truyền RF tuổi thọ pin dài - Khả chuyển vùng quốc tế - Bảo mật tốt chống lại gian lận (thông qua xác thực thiết bị đầu cuối xác thực người dùng) - Khả mã hóa để bảo mật thơng tin quyền riêng tư - Khả tương thích với ISDN, dẫn đến phạm vi dịch vụ rộng * Thông số kỹ thuật GSM - GSM 900 + Di động đến BTS (đường lên): 890-915 Mhz + BTS đến Di động (đường xuống): 935-960 Mhz + Băng thông: * 25 Mhz - GSM 1800 + Di động đến BTS (đường lên): 1710-1785 Mhz + BTS đến Di động (đường xuống): 1805-1880 Mhz + Băng thông: * 75 Mhz + PCS 1900 DCS 1900 22 + Tần số sử dụng Hoa Kỳ Canada cho GSM * Kiến trúc hệ thống GSM - Hệ thống chuyển mạch mạng (NSS) - Các thành phần bao gồm: + Trung tâm chuyển mạch di động (MSC) + Đăng ký vị trí nhà (HLR) + Đăng ký Vị trí Khách truy cập (VLR) + Trung tâm xác thực (AUC) + Đăng ký nhận dạng thiết bị (EIR) - Hệ thống trạm gốc (BSS) - Các thành phần bao gồm: + Trạm thu phát gốc (BTS) + Bộ điều khiển Trạm gốc (BSC) - Trạm di động (MS) - Các thành phần bao gồm: + Thiết bị di động (ME) + Mô-đun nhận dạng thuê bao (SIM) - Hệ thống hoạt động (OSS) - Các thành phần bao gồm: + Trung tâm Điều hành Bảo trì (OMC) + Trung tâm quản lý mạng (NMC) + Trung tâm Hành (ADC) 23 Hình 2: Kiến trúc hệ thống GSM 2.2 Thiết bị di động Thiết bị di động hiểu thiết bị kỹ thuật số có nhớ khả giao tiếp, bao gồm thiết bị PDA, GPS máy tính bảng Thiết bị di động có chứa đầy đủ thành phần máy tính cá nhân gồm: vi xử lý, nhớ đọc (ROM), nhớ truy cập ngẫu nhiên (RAM), xử lý tín hiệu kỹ thuật số, hình Các thiết bị di động tiên tiến thường sử dụng hệ điều hành độc quyền công ty Palm, Windows Phone, RIM, Symbian, Linux Việc nắm rõ đặc điểm, cấu trúc thiết bị di động giúp xác định xác phương thức tiến hành điều tra số 2.2.1 Các bước thực điều tra thiết bị di động Khai thác liệu điện thoại di động vấn đề mẻ lĩnh vực điều tra tội phạm, chứng tỏ vai trị việc giải vụ án Khai thác liệu từ điện thoại di động giúp cho nhà điều tra tìm nhiều chứng mà cách điều tra thơng thường khơng thể có Khai thác liệu điện thoại di động nhằm mục đích: - Trích xuất tồn khơng làm thay đổi thơng tin điện thoại di động Phân tích thơng tin trích xuất tìm chứng liên quan tới vụ án 24 - Cung cấp cho điều tra viên thơng tin có độ tin cậy cao sử dụng để làm chứng tòa án Khai thác liệu điện thoại di động tốn khó mẻ Để giải tốn địi hỏi cán điều tra phải có kiến thức định thiết bị cần khai thác công cụ khai thác, loại thiết bị phải tìm phương pháp khai thác có hiệu Việc khai thác phải thực theo quy trình tránh làm liệu đảm bảo giá trị pháp lý liệu khai thác đượcKỹ thuật khai thác liệu nhớ Theo tài liệu Viện Tiêu chuẩn Kỹ thuật Quốc gia Hoa Kỳ (NIST), điều tra thiết bị di động chia làm giai đoạn chính: Chuẩn bị (Preparation), thu thập liệu (Acquisition), kiểm tra (Examination), phân tích (Analysis) lập báo cáo (Reporting) Hình 3: Các giai đoạn trình điều tra thiết bị di động * Giai đoạn 1: Chuẩn bị Giai đoạn bao gồm bước trao đổi thông tin ban đầu, xây dựng kế hoạch chuẩn bị cho bước điều tra Trước điều tra đối tượng phải thoả thuận ký kết thức từ bên tham gia, nhằm tạo sở pháp lý đảm bảo q trình điều tra, thơng tin quan trọng khơng bị rị rỉ Những mơ tả lại thông tin hệ thống, hành vi xảy ra, dấu hiệu để xác định phạm vi điều tra, mục đích tài nguyên cần thiết sử dụng suốt trình điều tra * Giai đoạn 2: Thu thập liệu Qua tiếp xúc trực tiếp với thiết bị, liệu thu thập nhiều khả thu chứng lớn Đối với thiết bị không yêu cầu mật truy cập kỹ thuật, người điều khiển truy cập người dùng liệu vùng nhớ khác nhau, từ thực điều hướng theo Nhưng với mật yêu cầu thiết bị người sử dụng kỹ thuật xác thực, người kiểm tra cần phải vượt qua chế xác thực Nếu 25 cơng việc khơng thành cơng, tượng dễ dẫn đến bị toàn liệu việc khơi phục thơng tin khó khăn Khi đó, người dùng cần phải sử dụng phần mềm khác nhập vào tảng phần cứng để vượt qua lớp xác thực thiết bị Sau tiếp cận liệu, cần tiến hành nhận dạng kiểm tra động thiết bị Nhận dạng di động thiết bị: Để nhận dạng thiết bị di động, cần tiến hành thực việc kiểm tra đặc điểm thiết bị, đặc điểm thiết bị phụ kiện, thiết bị nhãn hiệu nhà cung cấp thông tin, nhà cung cấp thiết bị định vị mạng Trên di động thiết bị thường chứa danh sách thông tin, mà dễ dàng nhận thấy thiết bị thân phụ kiện kèm như: di động thiết bị nhận dạng dãy số (IMEI), Model, ESN, SIM thẻ thơng tin,… từ thực tra cứu thơng tin kỹ thuật số, tính năng, loại nhà sản xuất điện thoại cần điều tra Kiểm tra nhớ: Cần phải tiến hành kiểm tra toàn nhớ thiết bị di động nhằm thu nhiều chứng The check may be can be process on memory common variable as: - Bộ nhớ điện thoại dùng để lưu trữ hệ điều hành, bao gồm: nhân, điều khiển thư viện chức hệ thống sử dụng để thực thi ứng dụng, hệ điều hành Ngồi ra, cịn dùng để lưu trữ ứng dụng người dùng liệu khác (văn bản, hình ảnh, âm thanh, video ) - SIM memory gồm liệu dịch vụ, định danh cho SIM, số thuê bao, danh sách thông tin liên lạc thực * Giai đoạn 3, 4: Kiểm tra phân tích Q trình kiểm tra phân tích thường tiến hành song song Kiểm tra nhằm phát chứng số, gồm chứng bị ẩn bị che khuất, nhằm hiển thị nội dung trạng thái liệu cách đầy đủ nguồn thông tin ý nghĩa tiềm ẩn Q trình phân tích dựa kết kiểm tra để xác định thơng tin có ý nghĩa trực tiếp trường hợp điều tra Kết giai đoạn gồm chứng tiềm hồ sơ thuê bao * Giai đoạn 5: Báo cáo Đây trình chuẩn bị báo cáo chi tiết tất bước thực kết luận đạt điều tra trường hợp cụ thể Báo cáo kết điều tra số phải mang tính khách quan, phản ánh trung thực tình tiết xảy ra, có liên quan trực tiếp gián tiếp tới vụ việc mang tính hợp pháp Nội dung báo cáo 26 phải cung cấp đầy đủ thông tin cần thiết để xác định nguồn gốc, tình tiết, đưa chứng số phát trình điều tra 2.3 Các thông tin lưu trữ điện thoại di động Điện thoại di động lưu trữ thơng tin nhiều nơi khác nhau: - The SIM Bộ nhớ Thẻ nhớ ngồi (đối với loại máy có khe cắm thẻ nhớ) Ngồi ra, số thơng tin thuê bao chi tiết gọi lưu lại nhà cung cấp dịch vụ 2.3.1 Thông tin lưu trữ SIM Thẻ SIM loại thẻ thông minh dùng loại máy sử dụng mạng GSM, cho phép người sử dụng kết nối tới mạng xác định tính thuê bao mạng Thẻ SIM chứa thông tin bao gồm thông tin thuê bao di động, số thông tin cá nhân khác, như: - - Các tin nhắn SMS nhận gửi (thơng thường SIM lưu khoảng 2030 tin nhắn Nhật ký điện thoại: Chứa thông tin liên lạc Tùy thuộc vào hãng sản xuất điện thoại mà SIM chứa khơng chứa thông tin nhật ký điện thoại Danh bạ điện thoại: Tuỳ thuộc vào loại SIM, thông thường SIM cho phép lưu từ 250 đến 500 số điện thoại Số Seri: Xác định nhà sản xuất, phiên hệ điều hành, số SIM Thông tin trạng thái SIM: Cho biết SIM bị chặn hay không bị chặn Số nhận dạng thuê bao di động quốc tế IMSI, đảm bảo thuê bao Mã dịch vụ (cho mạng GSM) Các thuật toán nhận thức bảo mật A#, A8, A5 Khóa nhận thực thuê bao riêng Ki Số điện thoại di động quốc tế MSISDN Các khóa cho q trình cá nhân hóa SIM Thơng tin vị trí tạ(hoặc thời điểm gần nhất) điện thoại, Mã số nhận dạng cá nhân PIN Mã số mở khóa cá nhân PUK 2.3.2 Thơng tin lưu trữ nhớ 27 Từ cuối năm 1990, nhà sản xuất tích hợp thêm nhớ vào điện thoại di động để chúng lưu trữ nhiều hon Ngoài việc lưu trữ SIM, liệu cò lưu trữ nhớ trog điện thoại di động tùy thuộc vào dung lượng nhớ mà lưu nhiều hay thơng tin Thơng thường nhớ điện thoai lưu thông tin sau đây: - - Chế độ cài đăt điện thoại Các file hệ thống hệ điều hành Tin nhắn SMS/MMS: sim chứa đầy tin nhắn SMS cá tin nhắn lưu vào nhớ điện thoại Hoặc tùy theo cài đặt người sử dụng mà toàn tin nhắn lưu điện thoại Nhật kí điện thoại: Chứa thông tin liên lạc Lịch ghi nhớ hện Thời gian: ngày Các file âm thanh, hình ảnh (thơng thường file lưu thẻ nhớ ngoài) Các chương trình ứng dụng: Tùy thuộc vào loại máy hệ điêỳ hành mà người sử dụng lựa chọn cài đặt ứng dụng lên nhớ máy hay thẻ nhớ ngồi 2.3.3 Các thơng tin lưu trư thẻ nhớ Do nhu cầu người sử dụng điện thoại đòi hỏi điện thoại phải làm chức máy tính nên khả lưu trữ liệu điện thoại mở rộng nhiều loại điện thoại cho phép hổ trợ thẻ nhớ với nhớ lên đến vài GB Một số liệu lưu trữ nhớ lẫn thẻ nhớ Thẻ nhớ ngồi lưu trữ thơng tin giống nhớ như: - Các file hệ thống Tin nhắn SMS Các chương trình ứng dụng lưu điện thoại Các file âm hình ảnh Các chương trình ứng dụng Thẻ nhớ giúp mở rộng khả lưu trữ điện thoại, cho phép người sử dụng lưu trữ thơng tin nhiều so với nhớ tích hợp điện thoại thẻ nhớ thiết bị lưu trữ bất biến khai tháo khỏi thiết bị liệu khơng 2.4 Kỹ thuật khai thác liệu nhớ 2.4.1 Kỹ thuật khai thác liệu qua giao diện sủ dụng 28 Kỹ thuật khai thác liệu sử dụng giao diện người dùng để khai thác nội dung nhớ điện thoại điều tra viên thực chụp ảnh nội dung hình giao diện người sử dụng Ưu điểm: Kỹ thuật cs ưu điểm khơng cần thiết sử dụng công cụ, thiết bị chuyên dụng để khai thác liệu Trong thực tế phương pháp áp dụng khai thác thiết bị cell phone, PDA, hệ thống cố định Và kỹ thuật thực nhằm chăm sóc bảo vệ tính tồn vẹn cho thiết bị trước tiến hành kỹ thuật khai thác phức tạp Nhược điểm: Chỉ khai thác liệu hiển thị, tất liệu khai thác khai thác dạng hình ảnh trình thực kỹ tốn nhiều thời gian 2.4.2 Kỹ thuật khai thác vật lý Hiện công cụ khai thác liệu thương mại ngày phát triển, đổi mở rộng hỗ trợ điện thoại tăng khả phục hồi liệu Nhưng thực tế có số lượng lớn thiết bị cần khai thác liệu phục vụ cho công tác điều tra vụ án, điều tiếp tục thách thức nhà sản xuất tạo công cụ giám định với chức thay cho thiết bị khai thác liệu Để đáp ứng yêu cầu cung cấp khai thác liệu bit-by-bit từ công cụ khai thác thương mại ngày tăng, nhiều trường hợp kỹ thuật khai thác vật lý thực không truy cập trực tiếp vào nhớ Ngoài ra, thiết bị hư hỏng thiết bị bị khoá mà vượt khả công cụ khai thác liệu Vì vậy, kỹ thuật khai thác vật lý giải pháp đáp ứng yêu cầu đảm bảo cho trình khai thác liệu trường hợp Kỹ thuật khai thác vật lý kỹ thuật liệu khai thác phương pháp đọc trực tiếp nhớ Ưu điểm: - Toàn liệu khai thác Áp dụng phương pháp cho trường hợp điệ thoại bị hỏng thiết bị khơng có giao diện Nhược điểm: - Khó thực hiện, khó phân tích liệu Phần khai thác liệu đắt, cần thiết bị phần cứng riêng biệt để khai thác liệu 29 - Khơng an tồn cho liệu hoạt động Thành công phương pháp phụ thuộc vào kinh nghiệm điều tra viên viên, thao tác sai phá hủy tồn thiết bị liệu tỏng thiết bị di động Trong kỹ thuật khai thác vật lý gồm phương pháp: - Phương pháp khai thác qua liệu JTAG Phương pháp khai thác qua chip nhớ Phương pháp khai thác liệu qua nạp khởi động 2.4.3 Kỹ thuật khai thác lo-gic Phương pháp logic a bit-by-bit copy đối tương lưu trữ logic là: thư mục, file, mà nằm nhớ logic ( ví dụ phân vùng hệ thống file) Ưu điểm: - Dễ dàng thực hiện, dễ phân tích, an tồn với liệu hoạt động Phần mềm sử dụng khai thác liệu giá phải chăng, không cần đến thiết bị phần cứng chuyên dụng Nhược điểm: - Việc thiết lập kết nối liệu làm thay đổi liệu Một số liệu khai thác, liệu bị xóa cịn hệ thống, bị xóa khơng thể khôi phục Một số trường hợp áp dụng phương pháp là: Khi điện thoại hỏng sửa chữa, thiết bị khơng có giao diện Khai thác liệu thiết bị kỹ thuật sử dụng phổ biến công cụ giám định nay, thực kỹ thuật khai thác yêu cầu thiết bị cịn hoạt động Mục tiêu q trình khai thác liệu không làm thay đổi liệu, ảnh hưởng đến thiết bị Để làm điều yêu cầu điều tra viên cần có kiến thức thiết bị tuân thủ quy trình điều tra, Ngày tháng thời gian điện thoại di động thông số quan trọng thông tin khai thác Ngày thời gian lấy từ mạng thiết lập người sử dụng Nghi phạm thiết lập lại thời gian để lấy chứng cử ngoại phạm gọi tin nhắn khai thác điện thoại Nếu điện thoại thu thập từ vụ án có thời gian thiết lập khác thời gian tham chiếu đồng hồ ghi lại, cần xác nhận lại thơng qua q trình khai thác để có chứng hữu ích Nếu điện thoại tắt bị thu giữ, có khác biệt thời gian thiết lập thời gian tham chiếu lên đồng hồ ghi lại lần khởi động thiết bị Lưu ý hành động thực 30 trình khai thác tháo pin khỏi thiết bị ảnh hưởng đến giá trị thời gian Khơng giống máy tính để bàn máy chủ mạng, có vài thiết bị điện thoại có đĩa cứng thay hồn tồn nhớ bán dẫn Phần mềm chuyên dụng tồn để thực khai thác liệu logic liệu PIM cho số điện thoại, tạo hình ảnh vật lý Tuy nhiên nội dung điện thoại thông thường có tính động liên tục thay đổi, sử dụng hai khai thác liệu liền (back-to-back) cho thiết bị sử dụng công cụ khai thác kết tổng quan khác nhau, phần lớn thông tin không thay đổi Dữ liệu khai thác thông qua giao thức truyền thông phổ biến PC mobile: AT, OBEX, SyncML số giao thức khác thường sử dụng khai thác logic điện thoại di động Bởi vì, thiết bị điện thoại di động hỗ trợ nhiều giao thức, cơng cụ hỗ trợ nhiều giao thức nhằm thực trình khai thác liệu nhiều Để phục vụ tốt cho người sử dụng, sản phẩm điện thoại di động hãng sản xuất, phát triển ý tới chuẩn giao tiếp với máy tính – thiết bị đư sử dụng rộng rãi thời đại Sử dụng thiết bị hỗ trợ cáp DKU-2, DKU-5 người sử dụng kết nối dễ dàng điện thoại với máy tính qua cổng USB từ tùy chỉnh, thay đổi cho phù hợp với sở thích yêu cầu cá nhân Thông qua t bị này, khai thác thơng tin lưu điện thoại di động Kết hợp sử dụng phần mềm hỗ trợ khai thác thông tin điện thoại di động, thu thập thơng tin cần thiết cho trình điều tra, phục vụ cơng tác điều tra tội phạm cơng nghệ cao Có ba cách cho phép điện thoại di động dễ dàng kết nối với máy tính Đó là: - 2.5 Kết nối qua cổng hồng ngoại Kết nối qua bluetooth Kết nối thông qua cáp liệu Kỹ thuật khai thác liệu SIM Như biết, SIM điện thoại thường chứa nhiều thông tin quan trọng tin nhắn SMS, danh bạ…Việc khai thác thơng tin tiến hành 31 điện thoại nhiên cách không hiệu không phục hồi lại thông tin bị xóa Để khai thác tồn thông tin SIM, ta kết nối SIM trực tiếp với máy tính qua đầu đọc thẻ SIM Các bước kết nối: - Lắp SIM vào khe cắm SIM thiết bị Gắn thiết bị vào máy tính qua cổng USB Chạy phần mềm nhận dạng thiết bị cài đặt máy tính để kiểm tra kết nối Nhập mã PIN (nếu SIM bảo vệ mã PIN) Nhấn Connect để kết nối SIM với máy tính Phương pháp chụp ảnh liệu SIM khơng thực chế bảo mật xây dựng modul Thay vào công cụ giám định gửi lệnh thị gọi đơn vị liệu giao thức ứng dụng (APDUs) đến SIM để khai thác liệu lo-gic, từ file liệu hệ thống tập tin Giao thức APDUs trao đổi đáp ứng lẹnh đơn Mỗi phần tử hệ thống tệp tin định nghĩa chuẩn GSM, có số tên khai báo, sử dụng thông qua hệ thống tệp tin khôi phục liệu cách thma chiếu phần tử thực số hoạt động, đọc nội dung tồn liên quan đến việc khai thác liệu lo-gic SIM Đó việc lựa chọn cơng cụ mà báo cáo trạng thái mã PIN khôi phục liệu quân tâm Sự khác biệt tồn khôi phục liệu công cụ SIM là: khơi phục số liệu có liên quan điều tra khơi phục hồn toàn tất liệu, liên quan đến vài liệu điều tra 2.6 Kỹ thuật khai thác liệu thẻ nhớ Các điện thoại di động sử dụng số loại thẻ nhớ khác Không giống RAM thiết bị, phương tiện lưu trữ di động không yêu cầu nguồn nuôi lưu trữ liệu thẻ nhớ dung lượng lưu trữ từ 8MB đến 512GB Thẻ nhớ ngày nhỏ dung lượng ngày lớn vài coog cụ giám định cho phép khai thác liệu thẻ nhớ Nếu sử dụng kỹ thuật khai thác liệu lo-gic, liệu bị xóa khơng thể phục hịi lại Vì vậy, thiết bị xử lý tương tự ổ đĩa cứng di động, chụp ảnh phân tích cách sử dụng cơng cụ giám định kết hợp với việc sử dụng đầu lọc thẻ ngồi 2.7 Một số cơng cụ phục vụ điều tra thiết bị di động Nhiều công cụ hỗ trợ phục vụ trình điều tra thiết bị di động phát triển hãng tiếng tự thân nhà lập trình, chuyên gia điều tra số phát triển 32 trình tác nghiệp Để thu chứng số, cần phải vận dụng kết hợp linh hoạt loại công cụ Một số công cụ điều tra thiết bị di động thông dụng: Network Connections, WPDeviceManager, PwnageTool, OXYGEN, Apktool, IPhone Analyzer, Wireshark,… - Network Connection ứng dụng nhỏ miễn phí, dành riêng cho thiết bị di động sử dụng hệ điều hành Android, cho phép người dùng theo dõi tiến trình hoạt động thiết bị di động thực kết nối bên ngồi luồng liệu kết nối Cơng cụ xác định thiết bị di động có ứng dụng gián điệp âm thầm hoạt động lấy trộm liệu cá nhân hay không Khi thực thi, Network Connection không gây tốn nhớ hiệu xử lý hệ thống, kích hoạt khơng cần Root máy - WireShark phần mềm dùng để xử lý cố mạng, giám sát, theo dõi kết nối mạng, chặn bắt phân tích gói tin WireShark phát hành phiên năm 1998 với tên gọi Ethereal Từ đến nay, WireShark phát triển mạnh mẽ, trở nên phổ biến công cụ hữu hiệu thường chuyên gia an ninh mạng sử dụng WireShark cài đặt đa hệ điều hành, hỗ trợ tới 850 giao thức tùy biến, giao diện thân thiện với người dùng, Wireshark cung cấp thương mại miễn phí cho người sử dụng - Apktool công cụ để dịch ngược ứng dụng chạy Andoird Bản chất file apk dạng file đóng gói, giải nén thu file dịch khơng thể đọc mã nguồn Trong q trình điều tra Apktook giúp dịch ngược file apk thành dạng file smali dex để tìm hiểu hoạt động cốt lõi ứng dụng - Windows Phone Device Manager công cụ đồng hóa liệu thiết bị di động với máy tính, dành cho hệ điều hành Windows phone Phần mềm giúp can thiệp vào hệ thống thơng qua máy tính nhằm điều chỉnh, quản lý, kiểm tra thay đổi ứng dụng trước sau cài đặt lên thiết bị di động, dễ dàng sử dụng chức tin nhắn, mail trực tiếp máy tính, chia sẻ với máy tính tiện ích lẫn hiệu suất phần cứng 33 CHƯƠNG 3: THỰC NGHIỆM KẾT LUẬN Cùng với việc thiết bị di động ngày phổ biến sống, hoạt động điều tra thiết bị di động cung cấp nguồn chứng số vô quan trọng trình điều tra, truy tố trách nhiệm dân hình Tuy vậy, thách thức mà nhà điều tra số phải đối mặt phải nắm bắt công nghệ tiên tiến lĩnh vực CNTT - TT; phải có phương án sẵn sàng đối mặt với giới tội phạm hiểm họa tiềm tàng mà nhận thức người dùng bảo mật thiết bị di động cịn chưa cao Cơng tác điều tra thiết bị di động Việt Nam giai đoạn ban đầu cần đẩy mạnh đầu tư nghiên cứu triển khai tác nghiệp 34 ... TRÌNH KỸ THU? ??T, THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG Cũng loại hình điều tra số khác, kỹ thu? ??t điều tra thiết bị di động phải liên tục phát triển để theo kịp công nghệ điện. .. điều tra thiết bị di động Khai thác liệu điện thoại di động vấn đề mẻ lĩnh vực điều tra tội phạm, chứng tỏ vai trị việc giải vụ án Khai thác liệu từ điện thoại di động giúp cho nhà điều tra tìm... thấp khả lợi dụng đối tượng tội phạm để hoạt động phạm tội thu thập tối đa chứng điện tử cần thiết từ thiết bị điện tử di động để phục vụ hoạt động phòng, chống tội phạm yêu cầu tốn khơng dễ dãi