HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MẠNG MÁY TÍNH Giảng viên hướng dẫn: Nguyễn Mạnh Thắng Đề tài: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ ĐIỆN THOẠI DI ĐỘNG MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH .3 LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU TRA SỐ 1.1 Đôi nét lịch sử đời 1.2 Phân tích chứng điện tử 1.2.1 Quan điểm quốc gia giới .7 1.2.2 Quan điểm Việt Nam .8 1.3 Sự cần thiết phải quy định chứng cử điện tử 10 1.4 Điều tra số 11 1.5 Tổng quan việc thu thập phân tích chứng điện tử từ thiết bị di động 1.6 Kết chương 18 CHƯƠNG 2: CÁC QUY TRÌNH KỸ THUẬT, THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG 19 2.1 Hệ thống thông tin di động 19 2.1.1 Code Division Multiple Access – CDMA 19 2.1.2 Global System for Mobile – GSM .20 2.2 Thiết bị di động 23 2.2.1 Các bước thực điều tra thiết bị di động 23 2.3 Các thông tin lưu trữ điện thoại di động .25 2.3.1 Thông tin lưu trữ SIM 25 2.3.2 Thông tin lưu trữ nhớ 26 2.3.3 Các thơng tin lưu trư thẻ nhớ ngồi 27 2.4 Kỹ thuật khai thác liệu nhớ .28 2.4.1 Kỹ thuật khai thác liệu qua giao diện sủ dụng .28 2.4.2 Kỹ thuật khai thác vật lý .28 2.4.3 Kỹ thuật khai thác lo-gic .29 2.5 Kỹ thuật khai thác liệu SIM 30 2.6 Kỹ thuật khai thác liệu thẻ nhớ 31 2.7 Một số công cụ phục vụ điều tra thiết bị di động .31 DANH MỤC HÌNH Ả Hình 1:Sử dụng Regsshot quan sát thay đổi Registry 12 Hình 2;Passware Encryption Analyzer xác định file bảo vệ mật 13 Hình 3:Sử dụng WPDeviceManager để trích xuất SMS 14 Hình 4:Sử dụng skypelogview xem liệu trao đổi qua đường truyền 14 Hình 5:Sử dụng Wireshark phân tích cơng Teadrop 15 Hình 6:Sử dụng Volatility liệt kê tiến trình chạy hệ thống 16 Y Hình 1: Minh họa CDMA .20 Hình 2: Kiến trúc hệ thống GSM .23 Hình 3: Các giai đoạn trình điều tra thiết bị di động 24 LỜI MỞ ĐẦU Sự tiến khoa học kỹ thuật mang lại cho nhiều phát minh hữu ích, giúp nhiều sống hàng ngày Điện thoại di động phát minh Với phát triển không ngừng công nghệ, điện thoại di động phát triển biến đổi ngày, hội tụ công nghệ viễn thơng, điện tốn, âm thanh, hình ảnh trở thành phương tiện giao tiếp, làm việc chủ yếu người Ngày nay, điện thoại di động không dùng để nghe, gọi nhắn tin mà hỗ trợ nhiều dịch vụ tiện ích khác Với điện thoại di động thông minh (smartphone) tay có thể: xem phim, nghe nhạc, chơi game, sử dụng ứng dụng văn phòng, dùng file word, excel, pdf, lướt web, gửi nhận Email, Cùng với gia tăng điện thoại thông minh đa chức số vụ án liên quan đến điện thoại di động tăng lên, hình thức vi phạm ngày đa dạng, tinh vi có tổ chức Trong nhiều vụ án, điện thoại di động sử dụng công cụ phạm tội Các đối tượng sử dụng điện thoại để lưu thơng tin cá nhân, trao đổi thư, chat, truy cập vào mạng xã hội, trang web cá cược bóng đá, chơi lô đề trực tuyến, Ở nước ta số vụ án gần qua việc thu thập, khai thác thông tin từ thiết bị di động đối tượng, trinh sát tìm, xác định đối tượng, thu thập nhiều thông tin để đấu tranh Qua việc khai thác thông tin từ thiết bị di động ta tìm nhiều chứng quan trọng mà phương pháp điều tra truyền thống khơng thể có Với phương pháp truyền thống để thu thơng tin chứng việc duyệt nội dung chứa thiết bị thông qua giao diện người sử dụng, xem cách không chắn sử dụng giải pháp cuối Thay vào đó, việc sử dụng công cụ phần mềm giám định theo qui trình cách khai thác liệu thích hợp, tránh việc để mất, thay đổi thông tin thiết bị gốc, thông tin khai thác phục vụ cho cơng tác phịng, chống tội phạm cơng nghệ cao Ngoài phần mở đầu, kết luận, nội dung báo cáo gồm nội dung sau: Chương 1: Tổng quan chứng điện tử điều tra số Chương 2: Các quy trình kỹ thuật,thu thập phân tích chứng điện tử từ điện thoại di động Chương 3: Thực nghiệm CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU TRA SỐ Trong bối cảnh kinh tế, xã hội liên tục vận động phát triển, tồn song hành mặt hoạt động khác người Bên cạnh hoạt động xây dựng sản xuất ln hữu hành vi trái với lợi chung cộng đồng, xã hội Những hành vi coi hoạt động trái pháp luật Chúng làm phương hại, tác động xấu đến đối tượng, cá nhân cụ thể, chí quan, tổ chức, lớn ảnh hưởng đến ổn định, phát triển bình thường nhân loại Bởi theo quy luật phát triển tự nhiên, có đấu tranh mâu thuẫn phát triển Thì xã hội có giai cấp, tồn đấu tranh người thực thi pháp luật kẻ làm trái pháp luật Bên cạnh loại hình tội phạm ngày gia tăng, đồng thời thủ đoạn chúng tinh vi xảo quyệt Bước vào kỷ XXI, với bùng nổ phát triển mạnh mẽ công nghệ thông tin Việc áp dụng chúng vào hầu hết lĩnh vực đời sống điều trở nên tất yếu Bên cạnh lợi ích mà mang lại lại trở thành đối tượng bị lợi dụng làm công cụ đắc lực cho bọn tội phạm Việc xuất tội phạm lĩnh vực công nghệ thông tin làm đau đầu nhà thực thi pháp luật Việc có cơng cụ, chế tài xử phạt hợp lý trở nên nan giải Đặc biệt hơn, việc phát hiện, đấu tranh, truy tố loại tội phạm lại khó Bản thân trình tìm kiếm, phát hiện, thu thập chứng tỏ mơ hồ Vì thế, nhà làm luật tìm cách quy định loại chứng để buộc tội đối tượng Và gọi "Chứng điện tử" 1.1 Đơi nét lịch sử đời Để tìm hiểu đời khái niệm chứng điện tử, trước hết ta ngược dòng thời gian để chứng kiến hình thành biến đổi loại tội phạm máy tính Đơi nét lịch sử tội phạm máy tính, loại tội phạm khơng xuất lĩnh vực công nghệ thông tin, mà tất lĩnh vực khác có áp dụng tin học Với nhiều loại hình khác nhau, phương thức thủ đoạn đa dạng, ngày tác động mạnh mẽ đến đời sống kinh tế xã hội - Tấn công vật lý Thuở sơ khai loại tội phạm máy tính, đối tượng thường thực hành vi công vật lý tới hệ thống máy tính đường truyền viễn thơng Vào mùa xuân năm1969, nhóm sinh viên Canada công cảnh sát, phá cánh cửa nhà Hiệu bộ, gây đám cháy làm phá hủy hệ thống máy tính, trung tâm sở liệu Làm thiệt hại tỷ dollar, 97 người bị bắt giữ Bước sang kỷ XX, tồn kẻ thích phá hoại sở hạ tầng, phá hoại trung tâm liệu tay Rõ ràng, để đánh sập mạng máy tính, khơng nhanh phá hoại vật lý - Mạo danh Năm 1970, tên tội phạm tuổi teen khét tiếng tên Jerry Neal Scheilder Mục tiêu công ty thiết bị viễn thông PT&T Los Angeles Qua nhiều năm kiên trì lục lọi thùng rác để thu thập in tài liệu công ty, đồng thời tham gia chuyến tham quan nhà kho, nhà máy sản xuất, có đủ kiến thức nắm rõ quy trình hoạt động cơng ty Mạo danh công ty này, chiếm đoạt hàng triệu đô từ tiền nhập thiết bị Cuối bị bắt tố cáo nhân viên y Và sau mãn hạn tù, thành lập cơng ty an ninh máy tính Ăn cắp thẻ tín dụng Thẻ tín dụng đời vào năm 1920 Sau đó, trở nên phổ biến nước phương Tây tính tiện dụng Vì mà xuất vụ phạm tội liên quan đến thẻ tín dụng Vào cuối kỷ XX, tình trạng trở nên trầm trọng Theo báo cáo FBI: "Xét phạm vi toàn cầu, số tiền thẻ VISA, Master-Card ngân hàng bị đánh cắp lên tới 110 triệu năm 1980 lên đến 1.65 tỉ đô năm 1995." - Phone phreak Thời kỳ đầu, việc giả số điện thoại gọi đến thực tổ chức có khả truy cập đường dây PRI (Primary Rate Interface) đắt tiền mà công ty điện thoại cung cấp Công nghệ dùng chủ yếu để hiển thị số điện thoại doanh nghiệp gọi Từ đầu năm 2000, “phone phreak” hay gọi tắt phreak (chuyên gia công hệ thống điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại Thực chất cách làm dùng thiết bị (thường phần mềm máy tính) để gửi chuỗi tín hiệu đa tần (tone) giây gọi, giả làm tín hiệu báo số gọi đến điện thoại - Tống tiền Hacker tìm cách lấy trộm liệu quan trọng cá nhân, tổ chức sau yêu cầu đòi tiền chuộc Vào năm 1990, khoảng 300,000 ghi thơng tin thẻ tín dụng lưu website CD Universe bị "Maxus" - niên 19 tuổi người Nga đánh cắp Sau anh có gửi thơng điệp rằng: "Đưa cho tơi 100.000 đô, lỗi website quên việc mua sắm website bạn" CD Universe từ chối kết cục 25.000 thông tin thẻ cơng khai - Hình thành hành lang pháp lý Với việc tội phạm máy tính ngày gia tăng, mức độ phạm tội ngày trầm trọng, việc ban hành quy định pháp lý yêu cầu thiết Vào năm 1978, loại tội phạm máy tính lần xác định văn với tên gọi "Florida computer crimes act" Trong có rõ quy chế nhằm chống lại hành động thay đổi xóa bỏ liệu hệ thống máy tính Những năm sau đó, quốc gia giới ban hành đạo luật nhằm ngăn chặn loại tội phạm Năm 1983, Canada trở thành quốc gia thông qua quy định pháp chế này, Mỹ vào năm 1986, Australia sửa đổi bổ sung vào năm 1989, sau Anh năm 1990 1.2 Phân tích chứng điện tử Phân tích khái niệm “Chúng cử điện tử” Song hành với việc ban hành quy phạm pháp luật việc ban hành văn hướng dẫn thi hành quan trọng Việc phân tích rõ khái niệm, đặc điểm cụ thể "Chứng điện tử" làm sáng tỏ chất Điều tác động tích cực đến q trình phát hiện, thu thập chứng quan điều tra 1.2.1 Quan điểm quốc gia giới Tại Mỹ - nơi sớm có xuất loại tội phạm máy tính, cục điều tra liên bang (FBI) công bố khái niệm liên quan đến chứng điện tử dựa tài liệu SWGDE/IOCE: Quy trình thu thập: Những thơng tin thiết bị vật lý lưu trữ cho mục đích điều tra trở thành chứng tịa án cơng nhận Quá trình thu thập tuân thủ điều luật chứng Các đối tượng liệu thiết bị số trở thành chứng thu thập nhân viên thực thi pháp luật người định Đối tượng liệu: Là đối tượng thơng tin có giá trị chứng minh tội phạm liên quan đến thiết bị vật lý Các đối tượng tồn định dạng khác cho không làm thay đổi liệu gốc Chứng điện tử (Electronic Evidence): Là thơng tin có giá trị chứng minh tội phạm lưu trữ truyền tải dạng liệu số : - Thiết bị số: Những thiết bị lưu trữ truyền tải đối tượng liệu Dữ liệu gốc: Những liệu nằm thiết bị số thời điểm thu thập Nhân chứng điện tử: Là nhân liệu gốc cách đắn Bản sao: Là nhân thông tin lưu trữ thiết bị gốc mà không phụ thuộc vào thiết bị Tại Úc, hiệp hội Digital Forensic cho chứng điện tử thơng tin có giá trị điều tra liên quan đến thiết bị số định dạng liệu Những thông tin biểu diễn dạng số, bao gồm: system logs, audit logs, application logs, network logo, file hệ thống Đồng thời file người dùng tạo có giá trị chứng minh hoạt động tội phạm, siêu liệu file thể rõ trình tạo, thay đổi nội dung file Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers) cho rằng: chứng điện tử ảnh vật lý logic thiết bị, ảnh logic chứa phần toàn liệu chụp tiến trình chạy Điều tra viên phải dùng công cụ chụp ảnh pháp luật công nhận Trường hợp liệu cục mà liệu từ xa, điều cần thiết phải có người có thẩm quyền lấy liệu trao cho tịa án xác nhận, Cơ quan điều tra phép truy cập điều tra liệu Mặt khác quy trình phát hiện, thu thập, điều tra, bảo quản phải khách quan, tuân thủ đạo luật tịa án cơng nhận Và bên thứ ba lặp lại quy trình thu kết Để khách quan hơn, việc đánh giá mức độ rủi ro dựa yếu tố kỹ thuật phi kỹ thuật cần thiết Chẳng hạn chứng tiền mà lưu thiết bị đặc biệt lịch sử công trước kẻ bị tình nghi 1.2.2 Quan điểm Việt Nam Quá trình thực hành vi phạm tội tội phạm công nghệ cao để lại dấu vết điện tử Đây liệu tồn dạng tiến hiệu kỹ thuật số Nó tạo cách tự động, khách quan nhớ thiết bị điện tử Theo luật Tố tụng hình năm 2015 có quy định: Điều 99 Dữ liệu điện tử: - - Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền nhận phương tiện điện tử Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thơng, đường truyền nguồn điện tử khác Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo, lưu trữ truyền gửi liệu điện tử, cách thức bảo đảm trì tính tồn vẹn liệu điện tử, cách thức xác định người khởi tạo yếu tố phù hợp khác Trong văn quy định Luật giao dịch điện tử làm rõ số khái niệm có liên quan Dữ liệu: thơng tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự Phương tiện điện tử: phương tiện hoạt động dựa công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn khơng dây, quang học, điện từ Trao đổi liệu điện tử (EDI - electronic data interchange): chuyển thông tin từ máy tính sang máy tính khác phương tiện điện tử theo tiêu chuẩn thỏa thuận cấu trúc thông tin Thông điệp liệu: thông tin tạo ra, gửi đi, nhận lưu trữ phương tiện điện tử Thơng điệp liệu có giá trị văn thơng tin chứa thơng điệp truy cập, sử dụng để tham chiếu cần thiết nội dung thông điệp liệu bảo đảm tồn vẹn, khơng bị thay đổi Giá trị chứng thông điệp liệu xác định, vào độ tin cậy cách thức khởi tạo, lưu trữ truyền gửi, cách thức bảo đảm trì tính tồn vẹn, cách thức xác định người khởi tạo yếu tố phù hợp khác Như vậy, theo quy định pháp luật tố tụng hình luật giao dịch điện tử liệu điện tử có giá trị pháp lý chứng từ, hồ sơ truyền thống đáp ứng yêu cầu pháp luật quy định Qua nhận thấy rằng: Chứng điện tử chứng lưu giữ dạng tín hiệu điện tử máy tính thiết bị có nhớ kỹ thuật số có liên quan đến vụ án hình Những chứng điện tử thu thập để chứng minh hành vi phạm tội bao gồm: - Những chứng điện tử máy tính tự động tạo như: “cookies”, “URL”, Email logs, web server logs 10 ... Tổng quan chứng điện tử điều tra số Chương 2: Các quy trình kỹ thu? ??t ,thu thập phân tích chứng điện tử từ điện thoại di động Chương 3: Thực nghiệm CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, ĐIỀU... KỸ THU? ??T, THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG Cũng loại hình điều tra số khác, kỹ thu? ??t điều tra thiết bị di động phải liên tục phát triển để theo kịp công nghệ điện tử. .. nhận phương tiện điện tử Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, đường truyền nguồn điện tử khác Giá trị chứng liệu điện tử xác định vào cách thức khởi