.10 –Lược đồ quy trình điều tra số

2.2.1 Tiếp nhận cuộc điều tra

Đây là bước đầu tiên trong quy trình điều tra, các điều tra viên tiếp nhận vụ án và các thủ tục liên quan, đồng thời tiếp nhận các yêu cầu phục vụ cho quá trình điều tra. Giai đoạn tiếp nhận bằng chứng đòi hỏi các điều tra viên phải thu thập đầy đủ các giấy tờ để đưa vào tài liệu vụ án, bao gồm: thông tin sở hữu, các loại thiết bị di động đã tham gia và đưa ra các thông tin chung về các loại dữ liệu hoặc các thông tin yêu cầu được tìm kiếm.

Một khía cạnh quan trọng ở giai đoạn này là sự phát triển các mục tiêu cụ thể cho từng giai đoạn điều tra. Điều này không chỉ để lập tài liệu mục tiêu của các điều tra viên, mà còn hỗ trợ trong việc phân loại điều tra và bắt đầu lập tài liệu của quy

43

trình điều tra đối với mỗi thiết bị di động được điều tra. Thông tin này để điều tra viên phân loại điện thoại.

2.2.2 Nhận dạng thiết bị

Đối với điều tra viên cần phải xác định các vấn đề sau:  Xác định thẩm quyền, tính pháp lý của cuộc điều tra  Mục tiêu cuộc điều tra

 Nhận dạng thiết bị

 Lưu trữ dữ liệu bên ngoài và bộ nhớ di động  Các nguồn bằng chứng tiềm năng khác

2.2.2.1 Thẩm quyền và tính pháp lý của cuộc điều tra

Một cuộc điều tra hợp pháp cần phải có đủ các giấy tờ, chứng từ hay các văn bản quy phạm mà pháp luật cấp phép hay giấy tờ yêu cầu điều tra. Các điều tra viên cần phải xác định được phạm vi, tính chất của cuộc điều tra trong các văn bản quy phạm pháp luật để phục vụ cho việc tìm kiếm các bằng chứng, các đầu mối quan trọng của vụ án.

Nếu như được sự đồng ý của bên yêu cầu điều tra và pháp luật thì việc tìm kiếm bằng chứng không bị bất kỳ một giới hạn nào (đồng ý kiểm tra các tin nhắn cá nhân, kiểm tra lịch sử cuộc gọi, hay kiểm tra các tập tin đa phương tiện chứa trên máy) thì việc tìm kiếm bằng chứng sẽ trở nên dễ dàng hơn. Ngược lại trong trường hợp tìm kiếm bằng chứng của một vụ án xâm phạm đời tư cá nhân, các điều tra viên cần phải đặc biệt thận trọng về tính pháp lý của vụ án, phải xem xét kỹ các văn bản pháp luật trong trường hợp này được phép thu thập những dữ liệu nào (có được xem các tin nhắn cá nhân, lịch sử cuộc gọi hay không) tránh trường hợp vi phạm quyền riêng tư cá nhân.

2.2.2.2 Mục tiêu cuộc điều tra

Một quy trình điều tra chung được áp dụng cho bất kỳ chiếc điện thoại di động nào, nên mục tiêu của việc điều tra trên mỗi điện thoại có thể sẽ khác nhau. Không phải tất cả phòng thí nghiệp pháp y đều có khả năng sử dụng để điều tra tất cả dữ chứa trên đó. Vì vậy, nó rất hữu ích để nhận dạng mức độ của cuộc điều tra, có phù hợp với điện thoại di động được điều tra không. Hai vấn đề chính đáng được quan tâm trong bước này:

44

 Làm thế nào để việc điều tra phải có độ sâu

Trong một số trường hợp có thể lập tài liệu về bằng chứng trên điện thoại di động bằng tay hoặc bằng hình ảnh. Một tập hợp dữ liệu chứa trên thiết bị có thể được yêu cầu điều tra, với mục đích khai thác dữ liệu hữu ích để làm sáng tỏ vụ án. Mục tiêu thu thập dữ liệu trên thiết bị điện thoại di động cụ thể là:

 Ứng dụng

 Bộ nhớ ngoài – thẻ nhớ SD  Các tập tin cơ sở dữ liệu SQLite  Tin nhắn SMS, SMS

 Tin nhắn thoại

 Lịch sử trình duyệt web  Lịch sử cuộc gọi

 Dữ liệu GPS

 Danh bạ người dùng

 Các bản ghi ứng dụng mạng xã hội Facebook, Twitter, Zalo  Dữ liệu email cài đặt trên máy

 Dữ liệu lưu trữ trên máy

Trong một số trường hợp, do hạn chế về quyền hạn và tính pháp lý khi điều tra, nên các điều tra viên chỉ được phép thu thập một phần dữ liệu.

Mục tiêu của cuộc điều tra ngoài ra còn bao gồm khôi phục dữ liệu bị xóa khỏi bộ nhớ điện thoại. Điều này chỉ xảy ra nếu một công cụ sẵn cho việc trích xuất dữ liệu ở mức độ vật lý.

2.2.2.3 Nhận dạng thiết bị

Đây là một phần trong việc điều tra bất kì chiếc điện thoại di động, các thông tin nhận dạng cho điện thoại cần phải được ghi chép đầy đủ. Điều này cho phép các điều tra viên không chỉ xác định một chiếc điện thoại cụ thể tại một thời điểm mà còn làm tài liệu để tra cứu cho các vụ án về sau. Thông tin nhận dạng bao gồm: nhà sản xuất, model, số điện thoại. Với mỗi máy di động, đều có số nhận dạng thiết bị di động trên toàn thế giới IMEI (International Mobile Equipment Identity). Số IMEI là chuỗi số duy nhất được gán cho duy nhất một máy. Trên tất cả điện thoại di động ta có thể kiểm tra số IMEI bằng cách bấm *#06# hoặc được in trên tem máy phía dưới Pin. IMEI là một dãy số bao gồm 15 số nó chứa thông tin xuất xứ, Model và số serial của máy. Model và xuất xứ bao gồm 8 số trong phần đầu được hiểu là TAC (Type Allocation Code: Mã Model và xuất xứ). Các phần còn lại của số IMEI được định nghĩa bởi nhà sản xuất và cuối cùng là số

45

Luhn Check Digit. Ví dụ từ năm 2004 đến nay, số IMEI có định dạng sau: AABBBBBB-CCCCCC-D trong đó: (adsbygoogle = window.adsbygoogle || []).push({});

- AA là số Reporting Body Identifier, dùng để nhận dạng tổ chức nào đã cung cấp số IMEI cho nhà sản xuất thiết bị di động

- BBBBBB: Dùng để nhận dạng loại điện thoại (model)

- CCCCCC: Là số serial của từng máy do nhà sản xuất quy định

- D Là số cuối cùng được tạo ra từ các số trước theo luật Luhn Check Digit hoặc có thể là số 0.

Để phân tích một số IMEI và lấy thông tin của thiết bị từ IMEI này ta có thể truy cập trang web: https://imeidata.net/ và thực hiện tra cứu thông tin.

Tùy theo công nghệ điện thoại di động, thông tin xác định bổ sung cần được ghi nhận (nếu có) như sau:

Điện thoại di động CDMA

Electionic Serial Number (ESN) nằm dưới pin của điện thoại di động. Đây là một số 32 bit duy nhất được gán cho mỗi điện thoại di động trên mạng di động. ESN có thể được viết ở dạng thập phân (11 chữ số) hoặc thập lục phân (8 chữ số thập lục phân). Người kiểm tra cần chú ý rằng dạng hex của ESN không phải là một sự chuyển đổi số trực tiếp của giá trị thập phân. Bộ chuyển đổi ESN có thể tìm thấy tại http://www.elfqrin.com/esndhconv.html.

Mobile Equipment ID (MEID) cũng được tìm thấy dưới nắp pin, là một số 56 bit được thay thế cho ESN do độ lớn của ESN chỉ là một số 32 bit. MEID được viết dưới dạng hex, trong đó byte đầu tiên của số này là mã vùng, 3 byte tiếp theo là mã của nhà sản xuất và 3 byte còn lại là một chuỗi số do nhà sản xuất chỉ định. Điện thoại CDMA thường không chứa một thẻ SIM (Subcriber Identity Module), nhưng một vài phiên bản điện thoại lai công nghệ kép chứa bao gồm cả CDMA và GSM, nó có thể được sử dụng trên cả mạng CDMA và GSM.

Bên trong các điện thoại công nghệ kép là một khe cắm thẻ SIM. Thông tin nhận dạng dưới pin của các điện thoại này có thêm một số IMEI ngoài các số ESN/MEID.

Điện thoại CDMA cũng có hai số nhận dạng khác, cụ thể là Mobile Identification Number (MIN) và Mobile Directory Number (MDN). MIN là một số điện thoại duy nhất 24 bit (10 số). Khi một cuộc gọi được thực hiện, điện thoại sẽ gửi ESN và MIN đến trạm thu phát tín hiệu. MDN là số điện thoại toàn cầu duy nhất của điện thoại.

46

Điện thoại di động GSM:

International Mobile Equipment Identifier (IMEI) là một số duy nhất có 15 chữ số để xác định một chiếc điện thoại GSM trên mạng lưới viễn thông. Con số này thường được tìm thấy dưới pin của điện thoại di động, 8 chữ số đầu là một Type Allocation Code (TAC), 6 số tiếp theo là Device Serial Number (DSN). chữ số cuối cùng là số kiểm tra, thường được thiết lập là 0.

Trên một chiếc điện thoại GSM, sẽ có ít nhất một khe cắm thẻ SIM. Thẻ SIM có thể có các ký tự là tên của mạng mà SIM được đăng ký. Cũng nằm trên thẻ sim là Integrated Circuit Card Identification (ICCID), là một số từ 18-20 chữ số (10 byte) dùng để xác định duy nhất mỗi thẻ SIM. Các số ICCID được gắn với International Mobile Subcriber Identity (IMSI) mà thường là một số 15 chữ số (56 bit) gồm 3 phần là Mobile Country Code (MCC: 3 chữ số), Mobile Network Code (MNC; 3 chữ số ở Mỹ và Canada, 2 chữ số ở nơi khác) và Mobile Station Identification Number (MSIN:9 chữ số ở Mỹ và Canada, 10 chữ số ở nơi khác) được lưu trữ bên trong SIM. IMSI có thể thu được hoặc là thông qua phân tích SIM hoặc từ sóng mang.

Điện thoại di động iDEN

Điện thoại di động iDEN có chứa một thiết bị di dộng nhận dạng quốc tế (IMEI) dùng để xác định một điện thoại trên mạng. Số IMEI này thường tìm thấy ở dưới Pin của điện thoại. Điện thoại di động iDEN cũng có chứa thẻ SIM, với các thông tin nhận dạng được mô tả trên, mặc dù chúng dựa trên công nghệ khác nhau so với thẻ SIM GSM và không tương thích với điện thoại di động GSM.

Điểm độc đáo của điện thoại di động iDEN là Direct Connect Number (DCN) giống như MOTOTalk ID, Radio-Private ID hoặc số iDEN. DCN là số nhận dạng được sử dụng để giao tiếp trực tiếp giữa hai thiết bị. Con số này bao gồm các số có định dạng sau: ### * ### * #####. Trong đó 3 số đầu tiên là ID khu vực, 3 số tiếp theo Network ID (giá trị sóng mang đặc biệt của iDEN) và 5 số cuối cùng là số nhận dạng thuê bao.

Ngoài việc xác định các hãng điện thoại, chúng ta cần phải xác định rõ phiên bản hệ điều hành mà chiêc điện thoại đấy sử dụng, như trong trường hợp này điện thoại sử dụng hệ điều hành Android, và sau khi xác định được hệ điều hành ta cần xác định phiên bản hệ điều hành như các phiên bản phổ biến của Android hiện nay là: Android 4.0 Ice Cream Sandwich, Android 4.1 Jelly Bean, Android 4.2 Jelly Bean, Android 4.3 Jelly Bean, Android 4.4 KitKat, Android 5.0 Lollipop. Và điều quan trọng ta cần phải tìm kiếm các thông tin về hệ điều hành

47

đấy, như tồn tại những lỗ hỗng nào có thể khai thác dễ dàng. Cũng như các nguy cơ mất an toàn còn tồn tại trên hệ điều hành Android nhằm khoanh vùng điều tra rút ngắn lại thời gian điều tra vụ án.

2.2.2.4 Lưu trữ dữ liệu bên ngoài và bộ nhớ di động

Hầu hết điện thoại di động trên thị trường đều có khả năng lưu trữ dữ liệu với một thiết bị lưu trữ di động chẳng hạn như một thẻ nhớ SD. Trong trường hợp thẻ nhớ được cài đặt trên điện thoại di động sẽ được đưa vào điều tra, các điều tra viên cần tiến hành tháo bỏ thẻ nhớ ra khỏi thiết bị đồng thời sử dụng kỹ thuật phục hồi và tìm kiếm bằng chứng tội phạm.

Ngoài ra, điện thoại di động cho phép người dùng lưu mở rộng lưu trữ dữ liệu trên các mạng lưới lưu trữ (dropbox, google driver) và các vùng lưu rữ này có thể sử dụng điện thoại hoặc máy tính để truy cập. Tất cả dữ liệu này được lưu trữ trên mạng của nhà cung cấp dịch vụ, điều này vượt ra ngoài phạm vi điều tra trên điện thoại di động nên để có thể truy cập dữ liệu đó cần phải có sự chấp thuận của pháp luật hoặc của nhà cung cấp.

Hầu hết điện thoại thông minh đều được thiết kế tính năng đồng bộ hóa dữ liệu với máy tính của người sử dụng, tạo điều kiện cho việc sao chép và di chuyển dữ liệu trên điện thoại dễ dàng hơn. Bản sao toàn bộ dữ liệu trên điện thoại có thể được tìm thấy trên máy tính cá nhân của chủ sở hữu. Các kho lưu trữ này là nguồn chứng cứ tiềm năng vì vậy các điều tra viên cần phải xem xét và bổ sung nguồn dữ liệu có nguồn gốc từ điện thoại.

2.2.2.5 Các nguồn bằng chứng tiềm năng

Trước khi bắt đầu điều tra, cần xem xét vấn đề thu thập các nguồn chứng cứ khác tồn tại. Điện thoại di động có thể là nguồn tư liệu tốt của kỹ thuật phân tích DNA, dấu vân tay hoặc bằng chứng sinh học khác nên được kiểm tra trước khi điều tra.

2.2.3 Chuẩn bị

Giai đoạn chuẩn bị bao gồm việc nghiên cứu cụ thể về chiếc điện thoại được điều tra, các công cụ thích hợp để sử dụng trong quá trình điều tra. Đồng thời phải đảm bảo các thiết bị cần thiết như dây cáp, xạc pin, phần mềm và trình điều khiển hỗ trợ điều tra.

48 (adsbygoogle = window.adsbygoogle || []).push({});

Sau khi xác định được điện thoại, các điều tra viên có thể nghiên cứu các điện thoại cụ thể để xác định các công cụ cần thiết để trích xuất dữ liệu mong muốn từ điện thoại. Nguồn tài nguyên như phonescoop.com và mobileforensicscentral.com có thể rất hữu ích trong việc xác định thông tin về điện thoại di động và các công cụ để thực hiện trích xuất dữu liệu trên từng điện thoại cụ thể. Các công cụ tìm kiếm như google.com, search.com là những nguồn bổ sung cho việc điều tra trên điện thoại di động.

Các công cụ thích hợp cho việc điều tra trên điện thoại di động sẽ được xác định bởi các yếu tố như mục tiêu của cuộc điều tra, loại điện thoại được điều tra và bộ nhớ lưu trữ ngoài như thẻ nhớ. Điều đáng chú ý, trên thị trường hiện không có một công cụ nào có khả năng trích xuất tất cả dữ liệu từ tất cả các hãng và dòng điện thoại khác nhau.

2.2.3.1 Các công cụ thích hợp

Các công cụ thích hợp cho việc điều tra một thiết bị di động sẽ được xác định bởi các yếu tố như mục tiêu của cuộc điều tra, loại điện thoại di động được điều tra và bộ nhớ lưu trữ ngoài như thẻ nhớ. Sau đây bảng kiểm tra tính tương thích của một số công cụ với những công nghệ sử dụng trên điện thoại di động (GSM, CDMA và thẻ SIM).

Bảng 3.1 – Tính tương thích giữa công cụ và công nghệ sử dụng điện thoại CDMA GSM iDen SIM Logical

Dump

Physical Dump

BitPim X X

Data Pilot Secure View 2

X X

SIMCon X

iDen Media Manager X

Manufacturer / Other X X X X

49

CellDEK X X X X X X

Oxygen Forensic Suite X X X

XRY / XACT X X X X X X

2.2.3.2 Một sốphương pháp phân tích

- Phân tích tĩnh – phân tích tĩnh trên điện thoại di động liên quan đến các thao tác bằng phím và tài liệu chụp được trên màn hình hiển thị.

- Phân tích logic – Kết nối điện thoại bằng cáp dữ liệu và trích xuất dữ liệu bằng cách sử dụng công cụ như BREW, AT

- Phân tích vật lý (Hex Dump) – Đẩy bộ nạp khởi động (bootloader) vào điện thoại, thực hiện dump bộ nhớ điện thoại và phân tích

- Phân tích vật lý (Chiff - Off) – Tháo bộ nhớ khỏi thiết bị và đọc bằng bộ nhớ bằng đầu đọc EEProm

- Phân tích vật lý (Micro Read) – Sử dụng một kính hiển vi điện tử để xem trạng thái bộ nhớ

Ngoài ra, ta không nên bỏ qua những trang web của các nhà sản xuất và các hãng điện thoại lớn. Chúng có thể chứa các liên kết đến hướng dẫn sử dụng cho hầu hết các thiết bị, đôi khi các nhà sản xuất cũng cung cấp phần mềm miễn phí thiết kế để truy cập và đồng bộ hóa dữ liệu trên thiết bị với máy tính cá nhân. Một số công cụ thường sử dụng cho việc phân tích và điều tra trên nền tảng Android như sau:

- Bộ công cụ sử dụng trong việc thu thập dữ liệu

 ADB  OSAF Toolkit  DD  Oxygen  FTK Imager  Winhex

- Bộ công cụ sử dụng trong việc phân tích điều tra  SQLite Browser

 Autopsy  Apktool  Dex2Jar  JD-GUI

50

 Android SDK (adsbygoogle = window.adsbygoogle || []).push({});

 WhatsApp Extractor

- Bộ công cụ sử dụng trong việc xác minh dữ liệu