Đang tải... (xem toàn văn)
Sự tiến bộ của khoa học kỹ thuật đã mang lại cho chúng ta nhiều phát minh rất hữu ích, nó giúp chúng ta rất nhiều trong cuộc sống hàng ngày. Điện thoại di động là một trong những phát minh như vậy. Với sự phát triển không ngừng của công nghệ, điện thoại di động đang phát triển và biến đổi từng ngày, hội tụ mọi công nghệ viễn thông, điện toán, âm thanh, hình ảnh...và trở thành phương tiện giao tiếp, làm việc chủ yếu của con người. Ngày nay, điện thoại di động không chỉ dùng để nghe, gọi và nhắn tin mà còn hỗ trợ nhiều dịch vụ tiện ích khác. Với một chiếc điện thoại di động thông minh (smartphone) trong tay chúng ta có thể: xem phim, nghe nhạc, chơi game, sử dụng các ứng dụng văn phòng, dùng file word, excel, .pdf, lướt web, gửi và nhận Email,… Cùng với sự gia tăng của những chiếc điện thoại thông minh đa chức năng thì số vụ án liên quan đến điện thoại di động cũng tăng lên, và hình thực vi phạm ngày càng đa dạng, tinh vi và có tổ chức. Trong nhiều vụ án, điện thoại di động được sử dụng như những công cụ phạm tội. Các đối tượng có thể sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào các mạng xã hội, các trang web cá cược bóng đá, chơi lô đề trực tuyến,… Ở nước ta trong một số vụ án gần đây qua việc thu thập, khai thác các thông tin từ thiết bị di động của đối tượng, trinh sát đã tìm, xác định được đối tượng, thu thập được nhiều thông tin để đấu tranh. Qua việc khai thác thông tin từ những thiết bị di động ta có thể tìm ra được nhiều chứng cứ quan trọng mà phương pháp điều tra truyền thống không thể có được. Với phương pháp truyền thống để có thể thu được thông tin chứng cứ bằng việc duyệt nội dung chứa trong thiết bị thông qua giao diện của người sử dụng, nhưng đây được xem là cách không chắc chắn và được sử dụng như giải pháp cuối cùng. Thay vào đó, việc sử dụng các công cụ phần mềm giám định theo đúng qui trình là cách khai thác dữ liệu thích hợp, tránh việc để mất, thay đổi thông tin trên thiết bị gốc, và những thông tin khai thác sẽ phục vụ cho công tác phòng, chống tội phạm công nghệ cao.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG Đề tài: TÌM HIỂU KỸ THUẬT THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG Chun ngành: An tồn thơng tin Sinh viên thực hiện: Phạm Ngọc Vân Nguyễn Thế Tú Bạch Trọng Đức Trần Việt Anh Trần Đức Trung Kiên Lớp: L04 – AT12H Giảng viên hướng dẫn: ThS Phạm Sỹ Ngun Khoa An tồn thơng tin – Học viện Kỹ thuật Mật mã Hà Nội, 2019 Hà Nội, tháng năm 2018 MỤC LỤC MỤC LỤC BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU THƠNG TIN HÌNH VẼ VÀ BẢNG MỞ ĐẦU CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG 1.1 Sự đời 1.1.1 Đôi nét lịch sử đời 1.1 Hình thành hành lang pháp lý 10 1.2 Phân tích khái niệm “Chứng điện tử” 11 1.2.1 Quan điểm quốc gia giới 11 1.2.2 Quan điểm Việt Nam 12 1.3 Sự cần thiết phải quy định chứng điện tử 14 1.5 Kết chương 17 CHƯƠNG II CÁC PHƯƠNG PHÁP KỸ THUẬT, QUY TRÌNH THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG 18 2.1 Các thông tin lưu trữ điện thoại di động 18 2.1.1 Thông tin lưu trữ SIM: 18 2.1.2 Thông tin lưu trữ nhớ 19 2.1.3 Các thông tin lưu trữ thẻ nhớ 19 2.2 Tổng quan kỹ thuật khai thác liệu điện thoại di động 20 2.3 Kỹ thuật khai thác liệu nhớ 20 2.3.1 Kỹ thuật khai thác liệu qua giao diện sử dụng 20 2.3.2 Kỹ thuật khai thác vật lý 21 2.3.3 Kỹ thuật khai thác logic 22 2.4 Kỹ thuật khai thác liệu SIM 23 2.4.1 Kết nối SIM với máy tính thơng qua đầu đọc SIM 23 2.5 Khai thác liệu thẻ nhớ 24 2.6 Một số phần mềm khai thác liệu điện thoại di động phổ biến 25 2.7 Xây dựng quy trình thu thập phục hồi chứng điện tử từ thiết bị di động 26 2.7.1 Thu giữ bảo quản thiết bị 26 2.7.2 Thu thập liệu điện thoại 26 2.7.3 Kiểm tra phân tích liệu 30 2.7.4 Báo cáo 31 2.8 Kết chương 31 KẾT LUẬN 32 TÀI LIỆU THAM KHẢO 33 BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU Từ viết tắt Đầy đủ APDUs Application Protocol Data Units AT AT Command OBEX Object Exchange Protocol SyscML Syschronization Markup Language Tiếng Việt APDU đơn vị kết nối đầu đọc thẻ SIM SIM Giao thức kết nối Association of Chief Police Officers International Mobile Equipment Identity Bộ nạp khởi động Hội cảnh sát trưởng Anh Mã số nhận dạng thiết bị di động quốc tế Global System for Mobile Communications Hệ thống thơng tin di động tồn cầu JTAG Joint Test Action Group Các tiêu chuẩn JTAG xác định giao diện lệnh sử dụng để kiểm thử gỡ rối thành phần phần cứng thiết bị điện tử MSISDN Mobile Subscriber ISDN Number Số điện thoại di động quốc tế Bootloader ACPO IMEI GSM PIM PUK Personal Information Management Personal unblocking Quản lý thông tin cá nhân Mã nhận dạng cá nhân SIM Subscriber Identity Module CDMA Code Division Multiple Access Thẻ nhớ thông minh sử dụng điện thoại di động Đa truy nhập (đa người dùng) phân chia theo mã PRI Primary Rate Interface Giao diện tốc độ sơ cấp SWGDE/IOCE Scientific Working Group on Digital Evidence /International Organization on Computer Evidence Nhóm làm việc khoa học chứng số Tổ chức quốc tế chứng số THƠNG TIN HÌNH VẼ VÀ BẢNG Hình 2.1: Tổng quát quy trình khai thác liệu thiết bị điện thoại di động 26 Hình 2.2: Quy trình thu thập liệu thiết bị điện thoại di động 28 Hình 2.3: Quy trình khai thác liệu SIM 30 Bảng 2.2: Một số phần mềm khai thác liệu điện thoại di động 25 MỞ ĐẦU Đặt vấn đề Sự tiến khoa học kỹ thuật mang lại cho nhiều phát minh hữu ích, giúp nhiều sống hàng ngày Điện thoại di động phát minh Với phát triển không ngừng công nghệ, điện thoại di động phát triển biến đổi ngày, hội tụ công nghệ viễn thông, điện tốn, âm thanh, hình ảnh trở thành phương tiện giao tiếp, làm việc chủ yếu người Ngày nay, điện thoại di động không dùng để nghe, gọi nhắn tin mà hỗ trợ nhiều dịch vụ tiện ích khác Với điện thoại di động thơng minh (smartphone) tay có thể: xem phim, nghe nhạc, chơi game, sử dụng ứng dụng văn phòng, dùng file word, excel, pdf, lướt web, gửi nhận Email,… Cùng với gia tăng điện thoại thông minh đa chức số vụ án liên quan đến điện thoại di động tăng lên, hình thực vi phạm ngày đa dạng, tinh vi có tổ chức Trong nhiều vụ án, điện thoại di động sử dụng cơng cụ phạm tội Các đối tượng sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào mạng xã hội, trang web cá cược bóng đá, chơi lô đề trực tuyến,… Ở nước ta số vụ án gần qua việc thu thập, khai thác thông tin từ thiết bị di động đối tượng, trinh sát tìm, xác định đối tượng, thu thập nhiều thông tin để đấu tranh Qua việc khai thác thông tin từ thiết bị di động ta tìm nhiều chứng quan trọng mà phương pháp điều tra truyền thống có Với phương pháp truyền thống để thu thông tin chứng việc duyệt nội dung chứa thiết bị thông qua giao diện người sử dụng, xem cách không chắn sử dụng giải pháp cuối Thay vào đó, việc sử dụng cơng cụ phần mềm giám định theo qui trình cách khai thác liệu thích hợp, tránh việc để mất, thay đổi thông tin thiết bị gốc, thông tin khai thác phục vụ cho công tác phòng, chống tội phạm cơng nghệ cao Nội dung đề tài - Tìm hiểu tổng quan chứng điện tử, thu thập phục hồi chứng điện tử từ thiết bị di động Quy trình, cơng cụ thu thập phục hồi chứng điện tử từ thiết bị di động Thực tình minh hoạ Cấu trúc báo cáo - Chương 1: Tổng quan chứng điện tử, thu thập phục hồi chứng điện tử từ thiết bị di động - Chương 2: Các phương pháp kỹ thuật, quy trình thu thập phục hồi chứng điện - tử từ thiết bị di động Chương 3: Tổng kết CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG Trong bối cảnh kinh tế, xã hội liên tục vận động phát triển, tồn song hành mặt hoạt động khác người Bên cạnh hoạt động xây dựng sản xuất ln hữu hành vi trái với lợi chung cộng đồng, xã hội Những hành vi coi hoạt động trái pháp luật Chúng làm phương hại, tác động xấu đến đối tượng, cá nhân cụ thể, chí quan, tổ chức, lớn ảnh hưởng đến ổn đinh, phát triển bình thường nhân loại Bởi theo quy luật phát triển tự nhiên, có đấu tranh mâu thuẫn phát triển Thì xã hội có giai cấp, tồn đấu tranh người thực thi pháp luật kẻ làm trái pháp luật Bên cạnh loại hình tội phạm ngày gia tăng, đồng thời thủ đoạn chúng tinh vi xảo quyệt Bước vào kỷ XXI, với bùng nổ phát triển mạnh mẽ công nghệ thông tin Việc áp dụng chúng vào hầu hết lĩnh vực đời sống điều trở nên tất yếu Bên cạnh lợi ích mà mang lại lại trở thành đối tượng bị lợi dụng làm công cụ đắc lực cho bọn tội phạm Việc xuất tội phạm lĩnh vực công nghệ thông tin làm đau đầu nhà thực thi pháp luật Việc có cơng cụ, chế tài xử phạt hợp lý trở nên nan giải Đặc biệt hơn, việc phát hiện, đấu tranh, truy tố loại tội phạm lại khó Bản thân q trình tìm kiếm, phát hiện, thu thập chứng tỏ mơ hồ Vì thế, nhà làm luật tìm cách quy định loại chứng để buộc tội đối tượng Và gọi "Chứng điện tử" 1.1 Sự đời 1.1.1 Đơi nét lịch sử đời Để tìm hiểu đời khái niệm chứng điện tử, trước hết ta ngược dòng thời gian để chứng kiến hình thành biến đổi loại tội phạm máy tính Đơi nét lịch sử tội phạm máy tính, loại tội phạm khơng xuất lĩnh vực công nghệ thông tin, mà tất lĩnh vực khác có áp dụng tin học Với nhiều loại hình khác nhau, phương thức thủ đoạn đa dạng, ngày tác dộng mạnh mẽ đến đời sống kinh tế xã hội Tấn công vật lý Thuở sơ khai loại tội phạm máy tính, đối tượng thường thực hành vi công vật lý tới hệ thống máy tính đường truyền viễn thơng Vào mùa xuân năm 1969, nhóm sinh viên Canada công cảnh sát, phá cánh cửa nhà Hiệu bộ, gây đám cháy làm phá hủy hệ thống máy tính, trung tâm sở liệu Làm thiệt hại tỉ dollar, 97 người bị bắt giữ Bước sang kỷ XX, tồn kẻ thích phá hoại sở hạ tầng, phá hoại trung tâm liệu tay Rõ ràng, để đánh sập mạng máy tính, khơng nhanh phá hoại vật lý Mạo danh Năm 1970, tên tội phạm tuổi teen khét tiếng tên Jerry Neal Scheilder Mục tiêu công ty thiết bị viễn thông PT&T Los Angeles Qua nhiều năm kiên trì lục lọi thùng rác để thu thập in tài liệu công ty, đồng thời tham gia chuyến tham quan nhà kho, nhà máy sản xuất, có đủ kiên thức nắm rõ quy trình hoạt động cơng ty Mạo danh công ty này, chiếm đoạt hàng triệu đô từ tiền nhập thiết bị Cuối bị bắt tố cáo nhân viên y Và sau mãn hạn tù, thành lập cơng ty an ninh máy tính Ăn cắp thẻ tín dụng Thẻ tín dụng đời vào năm 1920 Sau đó, trở nên phổ biến nước phương Tây tính tiện dụng Vì mà xuất vụ phạm tội liên quan đến thẻ tín dụng Vào cuối kỷ XX, tình trạng trở nên trầm trọng Theo báo cáo FBI: "Xét phạm vi toàn cầu, số tiền thẻ VISA, Master-Card ngân hàng bị đánh cắp lên tới 110 triệu năm 1980 lên đến 1.65 tỉ đô năm 1995." Phone phreak Thời kỳ đầu, việc giả số điện thoại gọi đến thực tổ chức có khả truy cập đường dây PRI (Primary Rate Interface) đắt tiền mà công ty điện thoại cung cấp Công nghệ dùng chủ yếu để hiển thị số điện thoại doanh nghiệp gọi Từ đầu năm 2000, “phone phreak” hay gọi tắt phreak (chuyên gia công hệ thống điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại Thực chất cách làm dùng thiết bị (thường phần mềm máy tính) để gửi chuỗi tín hiệu đa tần (tone) giây gọi, giả làm tín hiệu báo số gọi đến điện thoại Tống tiền Hacker tìm cách lấy trộm liệu quan trọng cá nhân, tổ chức sau u cầu đòi tiền chuộc Vào năm 1990, khoảng 300,000 ghi thông tin thẻ tín dụng lưu website CD Universe bị "Maxus" – niên 19 tuổi người Nga đánh cắp Sau anh có gửi thông điệp rằng: "Đưa cho 100.000 đô, vá lỗi website quên việc mua sắm website bạn" CD Universe từ chối kết cục 25.000 thông tin thẻ cơng khai 1.1 Hình thành hành lang pháp lý Với việc tội phạm máy tính ngày gia tăng, mức độ phạm tội ngày trầm trọng, việc ban hành quy định pháp lý yêu cầu thiết Vào năm 1978, loại tội phạm máy tính lần xác định văn với tên gọi "Florida computer crimes act" Trong có rõ quy chế nhằm chống lại hành động thay đổi xóa bỏ liệu hệ thống máy tính Những năm sau đó, quốc gia giới ban hành đạo luật nhằm ngăn chặn loại tội phạm Năm 1983, Canada trở thành quốc gia thông qua quy định pháp chế này, Mỹ vào năm 1986 Australia sửa đổi bổ sung vào năm 1989, sau Anh năm 1990 Với luật tố tụng hình hành (năm 2003) có quy định Điều 64 Chứng cứ: Chứng có thật, thu thập theo trình tự, thủ tục Bộ luật quy định mà Cơ quan điều tra, Viện kiểm sát Toà án dùng làm để xác định có hay khơng có hành vi phạm tội, người thực hành vi phạm tội tình tiết khác cần thiết cho việc giải đắn vụ án Chứng xác định bằng: a) Vật chứng; b) Lời khai người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn dân sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị tạm giữ, bị can, bị cáo; c) Kết luận giám định; d) Biên hoạt động điều tra, xét xử tài liệu, đồ vật khác Căn vào Điều luật khó xác định chứng liên quan đến tội phạm máy tính Bởi coi vật chứng tồn dạng liệu số mang tính chất "ảo" khơng rõ hình dạng, tính chất Mặt khác kẻ phạm tội dễ dàng che dấu hành vi, thực thao tác xóa dấu vết dễ dàng Vì đơn coi vật chứng thứ nhìn thấy mắt, cảm nhận tay khó có vật chứng có tính thuyết phục lĩnh vực tội phạm máy tính Xuất phát từ yêu cầu thiết này, luật tố tụng hình năm 2015 ban hành ngày 27 tháng 11 năm 2015 có quy định 10 2.1.2 Thông tin lưu trữ nhớ Từ cuối năm 1990, nhà sản xuất tích hợp thêm nhớ vào điện thoại di động để chúng lưu trữ nhiều thơng tin Ngồi việc lưu trữ SIM, liệu lưu trữ nhớ điện thoại di động Tuỳ thuộc vào dung lượng nhớ mà lưu nhiều hay thông tin Thông thường nhớ điện thoại lưu thông tin sau đây: - Chế độ cài đặt điện thoại Các file hệ thống hệ điều hành - Tin nhắn SMS/MMS Khi SIM chứa đầy tin nhắn SMS tin nhắn lưu vào nhớ điện thoại Hoặc tuỳ theo cài đặt người sử dụng mà toàn - tin nhắn lưu điện thoại Nhật ký điện thoại: Chứa thông tin liên lạc Lịch ghi nhớ hẹn Thời gian: ngày Nhạc chuông Các file âm thanh, hình ảnh (thơng thường file lưu thẻ nhớ ngồi) Các chương trình ứng dụng Tuỳ thuộc vào loại máy hệ điều hành mà người sử dụng lựa chọn cài đặt ứng dụng nên nhớ máy thẻ nhớ 2.1.3 Các thơng tin lưu trữ thẻ nhớ ngồi Do nhu cầu người sử dụng điện thoại đòi hỏi điện thoại phải làm chức máy tính nên khả lưu trữ liệu điện thoại mở rộng Nhiều loại điện thoại cho phép hỗ trợ thẻ nhớ ngoài, nâng khả lưu trữ liệu điện thoại lên tới GB Một số liệu lưu trữ nhớ lẫn thẻ nhớ Thẻ nhớ ngồi lưu trữ thơng tin giống nhớ như: - Các file hệ thống - Tin nhắn SMS/MMS Các chương trình ứng dụng cài điện thoại Lịch ghi nhớ hẹn Các file âm thanh, hình ảnh Các chương trình ứng dụng Thẻ nhớ giúp mở rộng khả lưu trữ điện thoại, cho phép người sử dụng lưu trư nhiều thơng tin so với khả nhớ tích hợp 19 điện thoại Thẻ nhớ thiết bị lưu trữ bất biến, tháo thẻ nhớ khỏi thiết bị liệu khơng bị 2.2 Tổng quan kỹ thuật khai thác liệu điện thoại di động Khai thác liệu điện thoại di động vấn đề mẻ lĩnh vực điều tra tội phạm, chứng tỏ vai trò việc giải vụ án Khai thác liệu từ điện thoại di động giúp cho nhà điều tra tìm nhiều chứng mà cách điều tra thơng thường khơng thể có Khai thác liệu điện thoại di động nhằm mục đích: - Trích xuất tồn khơng làm thay đổi thông tin điện thoại di động - Phân tích thơng tin trích xuất tìm chứng liên quan tới vụ án Cung cấp cho điều tra viên thơng tin có độ tin cậy cao sử dụng để làm chứng tòa án Trong năm gần đây, thu thập, khai thác liệu thiết bị cầm tay nói chung điện thoại di động nói riêng triển khai nhiều nước giới Đã có nhiều tổ chức tham gia vào lĩnh vực có nhiều cơng cụ hữu hiệu cho phép khai thác liệu thiết bị di động Mỗi kỹ thuật có mạnh riêng nội dung cần khai thác Khai thác liệu điện thoại di động tốn khó mẻ Để giải tốn đòi hỏi cán điều tra phải có kiến thức định thiết bị cần khai thác công cụ khai thác, loại thiết bị phải tìm phương pháp khai thác có hiệu Việc khai thác phải thực theo quy trình tránh làm liệu đảm bảo giá trị pháp lý liệu khai thác 2.3 Kỹ thuật khai thác liệu nhớ 2.3.1 Kỹ thuật khai thác liệu qua giao diện sử dụng Kỹ thuật khai thác liệu sử dụng giao diện người dùng để khai thác nội dung nhớ điện thoại Điều tra viên thực chụp ảnh nội dung hình giao diện người sử dụng Ưu điểm: Kỹ thuật có ưu điểm khơng cần thiết phải sử dụng công cụ, thiết bị chuyên dụng để khai thác liệu Trong thực tế phương pháp áp dụng khai thác liệu thiết bị: cell phone, PDA, hệ thống cố định Và kỹ thuật luôn thực nhằm chăm sóc bảo vệ tính tồn vẹn cho thiết bị trước tiến hành kỹ thuật khai thác phức tạp 20 Nhược điểm: Chỉ khai thác liệu hiển thị, tất liệu khai thác khai thác dạng hình ảnh trình thực kỹ thuật tốn nhiều thời gian 2.3.2 Kỹ thuật khai thác vật lý Hiện công cụ khai thác liệu thương mại ngày phát triển, đổi mở rộng hỗ trợ điện thoại tăng khả phục hồi liệu Nhưng thực tế có số lượng lớn thiết bị cần khai thác liệu phục vụ cho công tác điều tra vụ án, điều tiếp tục thách thức nhà sản xuất tạo công cụ giám định với chức thay cho thiết bị khai thác liệu Để đáp ứng yêu cầu cung cấp khai thác liệu bit–by– bit từ công cụ khai thác thương mại ngày tăng, nhiều trường hợp kỹ thuật khai thác vật lý thực không truy cập trực tiếp vào nhớ Ngoài ra, thiết bị hư hỏng thiết bị bị khoá mà vượt khả công cụ khai thác liệu Vì vậy, kỹ thuật khai thác vật lý giải pháp đáp ứng yêu cầu đảm bảo cho trình khai thác liệu trường hợp Kỹ thuật khai thác vật lý kỹ thuật liệu khai thác phương pháp đọc trực tiếp nhớ Ưu điểm: - Toàn liệu khai thác Áp dụng phương pháp cho trường hợp điện thoại bị hỏng thiết bị khơng có giao diện Nhược điểm: - Khó thực hiện, khó để phân tích liệu, - Phần mềm khai thác liệu đắt, cần thiết bị phần cứng riêng biệt để khai thác liệu - Không an tồn cho liệu hoạt động Thành cơng phương pháp phụ thuộc vào kinh nghiệm điều tra kỹ thuật viên, thao tác khơng xác kỹ thuật điều tra phá hủy tồn thiết bị liệu thiết bị điện thoại di động Trong kỹ thuật khai thác vật lý gồm ba phương pháp: - Phương pháp khai thác liệu qua giao diện JTAG - Phương pháp khai thác liệu qua chip nhớ 21 - Phương pháp khai thác liệu qua nạp khởi động (bootloader) 2.3.3 Kỹ thuật khai thác logic Kỹ thuật khai thác logic copy bit đối tượng lưu trữ logic thư mục, file, mà nằm nhớ logic (ví dụ phân vùng hệ thống file) Kỹ thuật khai thác liệu logic thực tương tác với hệ điều hành để trích xuất liệu Ưu điểm: - Dễ dàng thực hiện, dễ phân tích, an tồn với liệu hoạt động - Phần mềm sử dụng khai thác liệu giá phải chăng, không cần đến thiết bị phần cứng chuyên dụng Nhược điểm: - Việc thiết lập kết nối liệu làm thay đổi liệu - Một số liệu khai thác, liệu bị xóa hệ thống, bị xóa khơng thể khơi phục - Một số trường hợp khơng thể áp dụng phương pháp là: Khi điện thoại hỏng sửa chữa, thiết bị khơng có giao diện Khai thác liệu thiết bị kỹ thuật sử dụng phổ biến công cụ giám định nay, thực kỹ thuật khai thác yêu cầu thiết bị hoạt động Mục tiêu q trình khai thác liệu khơng làm thay đổi liệu, ảnh hưởng đến thiết bị Để làm điều yêu cầu điều tra viên cần có kiến thức thiết bị tuân thủ quy trình điều tra Ngày tháng thời gian điện thoại di động thông số quan trọng thông tin khai thác Ngày thời gian lấy từ mạng thiết lập người sử dụng Nghi phạm thiết lập lại thời gian để lấy chứng ngoại phạm gọi tin nhắn khai thác điện thoại Nếu điện thoại thu thập từ vụ án có thời gian thiết lập khác thời gian tham chiếu đồng hồ ghi lại, cần xác nhận lại thơng qua q trình khai thác để có chứng hữu ích Nếu điện thoại tắt bị thu giữ, có khác biệt thời gian thiết lập thời gian tham chiếu lên đồng hồ ghi lại lần khởi động thiết bị Lưu ý hành động thực trình khai thác tháo pin khỏi thiết bị ảnh hưởng đến giá trị thời gian 22 Khơng giống máy tính để bàn máy chủ mạng, có vài thiết bị điện thoại có đĩa cứng thay hoàn toàn nhớ bán dẫn Phần mềm chuyên dụng tồn để thực khai thác liệu logic liệu PIM cho số điện thoại, tạo hình ảnh vật lý Tuy nhiên nội dung điện thoại thơng thường có tính động liên tục thay đổi Sử dụng hai khai thác liệu liền (back-to-back) cho thiết bị sử dụng cơng cụ khai thác kết tổng quan khác nhau, phần lớn thông tin không thay đổi Dữ liệu khai thác thông qua giao thức truyền thông phổ biến PC mobile: AT, OBEX, SyncML số giao thức khác thường sử dụng khai thác logic điện thoại di động Bởi vì, thiết bị điện thoại di động hỗ trợ nhiều giao thức, cơng cụ hỗ trợ nhiều giao thức nhằm thực trình khai thác liệu nhiều Để phục vụ tốt cho người sử dụng, sản phẩm điện thoại di động hãng sản xuất, phát triển ý tới chuẩn giao tiếp với máy tính – thiết bị sử dụng rộng rãi thời đại Sử dụng thiết bị hỗ trợ cáp DKU-2, DKU-5,… người sử dụng kết nối dễ dàng điện thoại với máy tính qua cổng USB từ tuỳ chỉnh, thay đổi cho phù hợp với sở thích u cầu cá nhân Thơng qua thiết bị này, khai thác thông tin lưu điện thoại di động Kết hợp sử dụng phần mềm hỗ trợ khai thác thơng tin điện thoại di động, thu thập thông tin cần thiết cho trình điều tra, phục vụ cơng tác điều tra tội phạm cơng nghệ cao Có ba cách cho phép điện thoại di động dễ dàng kết nối với máy tính Đó là: 2.4 - Kết nối qua cổng hồng ngoại - Kết nối qua Bluetooth - Kết nối thông qua cáp liệu Kỹ thuật khai thác liệu SIM 2.4.1 Kết nối SIM với máy tính thông qua đầu đọc SIM Như biết, SIM điện thoại thường chứa nhiều thông tin quan trọng tin nhắn SMS, danh bạ… Việc khai thác thơng tin tiến hành điện thoại nhiên cách không hiệu không phục hồi lại thông tin bị xố Để khai thác tồn thơng tin SIM, ta kết nối SIM trực 23 tiếp với máy tính qua đầu đọc thẻ SIM Đầu đọc thẻ SIM thiết bị nhỏ cỡ USB, có đầu tích hợp cổng USB có khe để lắp SIM điện thoại Phương pháp chụp ảnh trực tiếp liệu SIM khơng thực chế bảo mật xây dựng module Thay vào công cụ giám định gửi lệnh thị gọi đơn vị liệu giao thức ứng dụng (APDUs) đến SIM để khai thác liệu logic, từ file liệu hệ thống tệp tin Giao thức APDU trao đổi đáp ứng lệnh đơn Mỗi phần tử hệ thống tệp tin định nghĩa tiêu chuẩn GSM, có số tên khai báo, sử dụng thông qua hệ thống tệp tin khôi phục liệu tham chiếu phần tử thực số hoạt động, đọc nội dung định danh Bởi vì, SIM thiết bị tiêu chuẩn cao, số vấn đề tồn liên quan đến việc khai thác liệu logic SIM Đó việc lựa chọn cơng cụ mà báo cáo trạng thái mã PIN khôi phục liệu cần quan tâm Sự khác biệt tồn khôi phục liệu công cụ SIM là: khơi phục số liệu có liên quan điều tra khơi phục hồn toàn tất liệu, liên quan đến vài liệu điều tra 2.5 Khai thác liệu thẻ nhớ Các điện thoại di động sử dụng số thẻ nhớ khác Không giống RAM thiết bị, phương tiện lưu trữ di động không yêu cầu cần nguồn nuôi lưu trữ liệu Thẻ nhớ dung lượng lưu trữ MB đến 512 GB Thẻ nhớ ngày nhỏ dung lượng lớn Một vài cơng cụ giám định cho phép khai thác liệu thẻ nhớ Nếu sử dụng kỹ thuật khai thác liệu logic, liệu bị xố khơng khơi phục lại Vì vậy, thiết bị xử lý tương tự ổ đĩa cứng di động, chụp ảnh phân tích cách sử dụng cơng cụ giám định kết hợp với việc sử dụng đầu đọc thẻ nhớ bên 24 2.6 Một số phần mềm khai thác liệu điện thoại di động phổ biến Nguồn Phân tích/khai thác logic PDA / Cell Seizure NIST X X X GSM XRY / XACT NIST, IWMF, WMAF X X X Oxygen PM NIST X MOBILedit! Forensic NIST X TULP2G NIST X CellDEK NIST X Not stated Not stated PhoneBase NIST X Secure View NIST X IWMF, WMAF X X Universal Forensic Extraction Device CWM X X Physical Analyzer CWM X WinHex Forensic Edition CWM X Forensic Toolkit CWM X Encase CWM Foremost CWM X Scalpel CWM X Simple File Carver CWM X Phone Image Carver CWM X Phần mềm khai thác liệu ITSUTILS X Khai Phân thác vật tích lý lý X Bảng 2.1: Một số phần mềm khai thác liệu điện thoại di động 25 X 2.7 Xây dựng quy trình thu thập phục hồi chứng điện tử từ thiết bị di động Đối với loại điện thoại có phương án thu thập khai liệu khác Tuy nhiên, để đảm bảo giá trị pháp lý thông tin thu khơng bị mát thơng tin q trình khai thác phải trải qua giai đoạn sau: Hình 2.1: Tổng quát quy trình khai thác liệu thiết bị điện thoại di động 2.7.1 Thu giữ bảo quản thiết bị Trên thiết bị di động có thơng tin bất biến có thơng tin dễ bị thay đổi biến Việc khai thác liệu điện thoại thường phải nhờ đến công cụ đặc biệt Tuỳ thuộc vào tình trạng đặc điểm loại điện thoại mà q trình thu giữ phải có biện pháp khác Quá trình bao gồm cơng việc: thu giữ, đóng gói, vận chuẩn lưu trữ Các thiết bị thu giữ cần dán nhãn đóng gói cẩn thận Việc thu giữ bảo quản quy trình đảm bảo cho trình khai thác liệu tiến hành thuận lợi đạt hiệu cao 2.7.2 Thu thập liệu điện thoại Thu thập liệu việc khai thác tất thơng tin có điện thoại, bao gồm thông tin lưu máy thơng tin xố nhằm tạo điều kiện cho q trình khai thác thơng tin Trên điện thoại di động, thông tin lưu nhiều nơi khác nhau, nhiều dạng khác nhau, việc thu thập thơng tin phải tn thu theo quy trình hợp lý để đạt hiệu cao Những thông tin dễ phải ưu tiên khai thác trước, đến thông tin bất biến Không giống máy tính, điện thoại di động có số mục thông tin bị bị ngắt nguồn điện Ngồi ra, số thơng tin lưu 26 thời gian định, thời hạn thơng tin bị xố Tuỳ vào trường hợp cụ thể mà thông tin thu thập trường Thông thường thực hành vi phạm tội đối tượng ln tìm cách để xố dấu vết Vì thơng tin điện thoại liên quan đến hành vi phạm tội (như tin nhắn SMS, số điện thoại liên lạc, chi tiết gọi…) bị chúng xoá bỏ Để thu thập thơng tin cần phải sử dụng đến phần mềm phục hồi liệu Hiện có nhiều cơng cụ cho phép khôi phục liệu với hiệu cao Paraben, Encase,… Tuy nhiên việc khai thác liệu xố thực thơng qua kết nối với máy tính, có loại điện thoại có kết nối với máy tính khai thác liệu bị xoá SIM điện thoại thiết bị lưu trữ nhiều thông tin Trên SIM thường lưu tin nhắn SMS, danh bạ… Vì vậy, trình khai thác liệu, khai thác SIM khâu quan trọng Việc khai thác liệu SIM tiến hành trực tiếp thông qua điện thoại kết nối với máy tính đầu đọc thẻ SIM Đối với loại điện thoại có phương pháp khai thác liệu khác nhau, tuỳ thuộc vào loại điện thoại thu mà cán kỹ thuật định nên khai thác theo phương pháp Tuy nhiên để khai thác cách có hiệu phương pháp phải tn theo trình tự sau: 27 Hình 2.2: Quy trình thu thập liệu thiết bị điện thoại di động 28 Bước 1: Tiến hành thu giữ điện thoại theo quy trình để tránh làm thơng tin điện thoại đảm bảo thủ tục pháp lý Bước 2: Khi trạng thái tiết kiệm lượng điện thoại giống tắt, thực tế điện thoại bật Để kiểm tra trạng thái điện thoại ấn nút điện thoại Bước 3: Kiểm tra xem điện thoại có dùng SIM khơng Nếu điện thoại dùng SIM chuyển sang quy trình khai thác SIM Nếu điện thoại sử dụng cơng nghệ CDMA việc khai thác liệu tiến hành máy điện thoại Bước 4: Bật nguồn lên tiến hành bước để khai thác thông tin điện thoại Bước 5: Kiểm tra đặc điểm điện thoại, nắm rõ đặc điểm kỹ thuật để đưa phương pháp thu thập liệu hợp lý Bước đòi hỏi cán kỹ thuật phải có kiến thức, am hiểu loại điện thoại đặc điểm chúng Bước 6: Lập kế hoạch khai thác Bước 7: Kiểm tra xem loại điện thoại có hỗ trợ kết nối với máy tính khơng? Có thể sử dụng công cụ khai thác liệu nào? Bước 8: Sử dụng công cụ để thu thập, khai thác phục hồi liệu điện thoại Tùy thuộc vào liệu cần khai thác mà chọn công cụ khai thác hợp lý để đạt hiệu cao Bước 9: Sử dụng phương pháp khai thác liệu thực trình khai thác liệu điện thoại di động Bước 10: Sau khai thác hết thơng tin máy tắt nguồn tháo SIM khỏi máy để chuyển sang qui trình khai thác SIM Khai thác SIM: SIM điện thoại thiết bị lưu trữ nhiều thông tin Trên SIM thường lưu tin nhắn, danh bạ điện thoại Vì vậy, trình khai thác liệu, khai thác SIM khâu quan trọng Để khai thác triệt để thông tin SIM (kể thơng tin bị xóa), kết nối SIM với máy tính thơng qua đầu đọc SIM sử dụng phần mềm cài máy tính Hiện có nhiều phần mềm cho phép khai thác thơng tin SIM cách hiệu phục hồi thơng tin bị xố Data 29 Doctor Recovery Sim Card, TULP2G, SIMcon… Trong số trường hợp SIM bảo vệ mã số bảo vệ cá nhân PIN, để phục vụ cho trình điều tra, điều tra viên lấy mã PIN từ nhà cung cấp dịch vụ Quá trình khai thác SIM khái quát sơ đồ sau: Hình 2.3: Quy trình khai thác liệu SIM 2.7.3 Kiểm tra phân tích liệu Quá trình khai thác liệu điện thoại đưa tất thông tin lưu điện thoại, có thơng tin có liên quan không liên quan đến vụ án Giai đoạn kiểm tra phân tích chứng sàng lọc tìm thơng tin có liên quan đến vụ án Trong thông tin khai thác từ điện thoại, thơng tin sử dụng làm chứng bao gồm: 30 - Call log: Những thông tin mục cho biết đối tượng liên lạc với ai, vào thời gian số điện thoại thường xuyên liên lạc Thông thường, Call log lưu thơng tin vòng 30 ngày - Các tin nhắn SMS: Đây thơng tin quan trọng dùng làm chứng vụ án, ghi lại chi tiết nội dung mà đối tượng trao đổi Thông thường sau khai thực hành vi phạm tội, đối tượng xoá dấu vết, việc - phân tích tin nhắn xố có giá trị q trình điều tra Danh bạ điện thoại - Các file hình ảnh Các file âm thanh: Một số loại điện thoại thơng minh có chức ghi âm gọi, - ghi lại toàn nội dung gọi gọi đến Khai thác file biết xác nội dung mà đối tượng trao đổi Các tài liệu điện tử lưu điện thoại Thư điện tử: bao gồm địa email gửi nhận, thời gian gửi nhận thư, nội dung thư Ngồi ra, số loại điện thoại thơng minh cho phép người sử dụng duyệt web máy tính bình thường Trên điện thoại lưu lại danh sách trang web mà đối tượng truy cập 2.7.4 Báo cáo Sau kiểm tra phân tích chứng thu thập được, kết tổng hợp lại dùng làm để phục vụ cho trình điều tra vụ án dùng làm chứng án Lập báo cáo giai đoạn cuối trình điều tra điện thoại di động Báo cáo ghi lại chi tiết tất bước tiến hành kết luận thu trình khai thác liệu điện thoại di động Báo cáo phụ thuộc vào việc ghi lại tất hoạt động giám sát, miêu tả kết kiểm tra thử nghiệm, giải thích điều rút từ thông tin thu 2.8 Kết chương Chương nhóm đưa kỹ thuật khai thác, thu thập thông tin liệu thiết bị di động Từ đó, đề xuất xây dựng quy trình khai thác, thu thập thông tin phục hồi liệu thiết bị di động thông minh Từ kết làm sở để thu thập chứng điện tử đáp ứng nhu cầu điều tra, phòng chống tội phạm công nghệ cao 31 KẾT LUẬN Từ thực tiễn cho thấy tầm quan trọng trình thu thập phục hồi chứng điện tử phục vụ cho cơng tác điều tra nhằm phòng, chống tội phạm công nghệ cao Bài báo cáo thực tìm hiểu tổng quan chứng điện tử việc thu thập, phục hồi chứng điện tử từ thiết bị di động cụ thể điện thoại thơng minh (smartphone) Đồng thời, nhóm thực thử nghiệm phần mềm cho phép khai thác thông tin liệu với kỹ thuật khai thác đề cập báo cáo Với quy trình xây dựng việc khai thác liệu thiết bị di động đảm bảo trình khai thác thông tin đạt hiệu cao Hướng phát triển cáo cáo: Không dừng lại việc tìm hiểu, thời gian tới nhóm mở rộng nghiên cứu kỹ thuật khai thác liệu từ thiết bị di động thơng minh nói chung Ngồi nghiên cứu, xây dựng phát triển phần mềm khai thác liệu từ smartphone phục vụ cho việc thu thập, phục hồi chứng điện tử công tác phòng, chống tội phạm cơng nghệ cao 32 TÀI LIỆU THAM KHẢO [1] Chứng điện tử (2016) - https://whitehat.vn/threads/chung-cu-dien-tu.7560/ [2] Phạm Vũ (2016) Truy tìm chứng từ thiết bị điện tử di động http://cstc.cand.com.vn/Ho-so-interpol-cstc/Truy-tim-chung-cu-tu-thiet-bi-dien-tu-didong-380441/ [3] Ngô Thị Thanh Hoa (2012) “Nghiên cứu kỹ thuật khai thác liệu thiết bị điện thoại di động thông minh (smartphone) phục vụ cơng tác phòng, chống tội phạm cơng nghệ cao”, Luận văn Thạc sĩ Công nghệ thông tin, Trường Đại học Công nghệ - ĐH Quốc Gia Hà Nội, pp 41-63 [4] KS Trần Ngọc Mai (2015) Tìm kiếm chứng số qua điều tra thiết bị di động – http://antoanthongtin.vn/Detail.aspx?NewsID=36ab9246-fc09-45d5-8af78579bc16a890&CatID=afad3c1b-8ab0-41b3-9364-fe76366f1531 [5] Computer Hacking Forensic Investigator v9 - Module 13 Mobile forensic 33 ... pháp kỹ thu t, quy trình thu thập phục hồi chứng điện - tử từ thiết bị di động Chương 3: Tổng kết CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG... trình, cơng cụ thu thập phục hồi chứng điện tử từ thiết bị di động Thực tình minh hoạ Cấu trúc báo cáo - Chương 1: Tổng quan chứng điện tử, thu thập phục hồi chứng điện tử từ thiết bị di động - Chương... cầu kỹ thu t hình Chứng khôi phục từ thiết bị điện tử di động đến từ nhiều nguồn ổ cứng, thẻ SIM, thẻ nhớ ngoài… Kỹ thu t hình thiết bị điện tử di động truyền thống liên quan đến việc khôi phục