Thẻ SIM (hay còn gọi là Module nhận dạng thuê bao) là một loại thẻ thông minh đƣợc dùng trong các điện thoại di động sử dụng mạng GSM (Global System for Mobile communication – Hệ thống thông tin di động toàn cầu)
Các chức năng chính của thẻ SIM bao gồm:
+ Cung cấp chức năng xác thực thuê bao cho phép ngƣời sử dụng truy cập vào các dịch vụ đã đăng ký, bảo mật cho các thuê bao trong mạng.
+ Lƣu trữ các thông tin cá nhân.
+ Cung cấp các dịch vụ phi thoại khác…
1.2.1. Cấu tạo thẻ SIM
Cấu tạo tổng quát của thẻ SIM đƣợc mô tả trong hình vẽ sau:
Hình 1.12: Cấu tạo thẻ SIM
SIM có kích thƣớc nhỏ tƣơng đƣơng một con tem bƣu chính (chiều dài là 25 mm, chiều rộng là 15 mm, và độ dày là 0,76 mm). Bộ nhớ của SIM có dung lƣợng từ 16 KB đến 128 KB. Tại lõi của nó chứa một bộ vi xử lý, bộ nhớ chỉ đọc (EPROM) có khả năng lập trình và xóa bằng tín hiệu điện, nó cũng bao gồm bộ nhớ truy cập ngẫu nhiên (RAM) cho việc thực hiện các chƣơng trình và bộ nhớ chỉ đọc (ROM) cho hệ điều hành, xác thực ngƣời sử dụng, các thuật toán mã hóa dữ liệu và các ứng dụng khác.
Thẻ SIM lƣu trữ đƣợc rất nhiều thông tin, từ các thông tin về nhà cung cấp dịch vụ đến các thông tin về ngƣời sử dung. Tuy nhiên, tùy thuộc vào từng loại điện thoại, một số thông tin cũng có thể cùng tồn tại trong bộ nhớ của điện thoại hoặc nằm hoàn toàn trong bộ nhớ của điện thoại thay cho thẻ SIM.
Ngoài các thông tin trên thẻ SIM mà ngƣời sử dụng có thể thay đổi cài đặt và lƣu trữ nhƣ:
Các số đã gọi (LDN)
Phonebook/Contacts (ADN)
LOCI (thông tin định vị) từ vị trí sử dụng cuối cùng Thông tin liên quan đến dịch vụ
SIM còn lƣu trữ các thông tin khác mà ngƣời sử dụng không thể thay đổi nhƣ: + Số se-ri SIM: Xác định nhà sản xuất, phiên bản hệ điều hành, số của SIM. + Thông tin về trạng thái của SIM: SIM bị chặn hay không bị chặn.
+ Mã dịch vụ (cho mạng GSM).
+ Các thuật toán nhận thực và bảo mật A3, A8, A5. + Khoá nhận thực thuê bao riêng Key.
+ Số nhận diện thuê bao di động quốc tế ISMI. + Số điện thoại di động quốc tế MSISDN + Các khoá cho quá trình cá nhân hoá SIM.
- Khoá mật mã Kc
- Số trình tự khoá mật mã CKSN.
- Số nhận diện thuê bao di động tạm thời TMSI.
- Số nhận dạng vùng định vị LAI
- Các vùng dịch vụ (PLMN) cấm sử dụng
- Lớp điều khiển truy nhập của thuê bao.
- Mã giải khoá cá nhân PUK
Trong SIM không lƣu thông tin về số điện thoại đang sử dụng hay còn gọi là MSISDN (Mobile Subscriber Identify Number). Khi đăng nhập và xác thực vào mạng GSM, thiết bị đầu cuối MS (Bao gồm Mobile và SIM) sẽ phải gửi một số thông số nhất định đến Tổng đài. Các thông số đó là Ki, IMSI, ICCD, IMEI. Tổng đài sẽ tra cứu trên các cơ sở dữ liệu xem các giá trị thông số trên có hợp lệ hay không. Nếu hợp lệ, tổng đài sẽ tìm số điện thoại tƣơng ứng với các giá trị thông số trên. Và cho phép thuê bao đăng nhập sử dụng số điện thoại đó để đảm nhận các chức năng Voice (Gửi, nhận cuộc gọi và nhắn tin) các chức năng Data (GPRS, EDGE)...
Dữ liệu duy nhất từ Mobile có thể đọc đƣợc từ SIM đó là khu vực dữ liệu ngƣời dùng (User Data), nơi chứa Danh bạ, SMS, một số Model có thể đọc đƣợc IMSI (Sony Ericsson).
Việc SIM và Mobile trao đổi những thông tin gì đã đƣợc định nghĩa và chỉ định trong các tiêu chuẩn về GSM, bất kể loại điện thoại nào chạy ở hệ điều hành nào cũng phải tuân theo các tiêu chuẩn đó, và do đó từ điện thoại không thể nào đọc đƣợc các thông tin khác từ SIM Card. Trừ các loại SIM "thông minh" cho phép lập trình một số ứng dụng can thiệp vào nó (Thông qua SIM Tool Kit hoặc Java)
1.2.2. Sơ đồ cấu trúc Data trong SIM
Sơ đồ cấu trúc dữ liệu:
Hình 1.13: Sơ đồ cấu trúc file trên thẻ SIM
Kiểu File:
Có 3 kiểu file sau:
+ MF: Master File file chủ.
+ EF: Elementary File file thành phần.
Theo nhƣ hình vẽ trên MF là các file DF uỷ nhiệm đƣợc phân bố tại phần đầu của tổ chức logic bộ nhớ và đƣợc phân ở mức 0. Các DF khác tƣơng ứng đƣợc phân chia ở mức 1,2,3. Cấu trúc phân cấp logic này đƣợc dành riêng cho môi trƣờng đa ứng dụng và cho mục đích quản trị.
Các thông tin lƣu trữ trên thẻ SIM đƣợc tổ chức lƣu trữ trên các thƣ mục và các file dành riêng. Những file này lƣu trữ bằng chứng có giá trị pháp lý, do đó những dữ liệu này đƣợc khai thác phân tích trong quá trình điều tra giám định. Thông tin dữ liệu đƣợc lƣu trữ trên thẻ SIM cụ thể nhƣ sau:
Hình 1.14: Sơ đồ cấu trúc dư liệu trên thẻ SIM
Tùy chọn ngôn ngữ (ELP-Extender Language Preferences)
File thành phần EF thƣờng sử dụng 10 byte để lƣu trữ danh sách mở rộng của các ngôn ngữ trên giao diện ngƣời dùng. Mỗi mã quốc gia đƣợc tạo thành từ 2 chữ số theo chuẩn ISO 693 sử dụng 7 bit bảng chữ cáimặc định GSM.
Mã hóa khóa (KC- Ciphering Key) GSM xác thực các thông tin liên quan đến thẻ SIM trong thiết bị điện thoại di động và trung tâm xác thực (AC - Authentication Center).
Thuê bao có một bản sao của mã khóa bí mật (KC) đƣợc lƣu trữ trong thẻ SIM và một bản sao khác đƣợc lƣu trữ trong AC, EF lƣu trữ khóa KC để giải mã dữ liệu. Kích thƣớc EF thƣờng đƣợc cấp phát 9 byte và mã hóa theo sơ đồ sau:
Các byte từ 1-8: sử dụng lƣu trữ khóa KC
Byte 9: sử dụng để xác định số tiếp theo trong khóa.
Thông tin địa điểm (LOCI), Số Se-ri (ICCID), ID thuê bao (IMSI), Số điện thoại (MSISDN)
5-9 byte của tệp tin LOCI chứa thông tin khu vực mạng (LAI) nơi điện thoại di động đang sử dụng. Dữ liệu này đƣợc lƣu trữ khi điện thoại ngắt nguồn. Với các thông tin này cung cấp cho quá trình điều tra có thể xác định đƣợc vị trí của đối tƣợng.
Mạch tích hợp thẻ (ICCID-Integrated Circuit Card Identifier), nhận dạng thuê bao di động quốc tế (IMSI) và Trạm di động ISDN MSISDN) cung cấp nhận dạng khác hàng. Số se-ri (ICCID) tƣơng ứng với số điện thoại in trên thẻ SIM. ID thuê bao (IMSI) tƣơng ứng với số ID duy nhất cho tất cả các thuê bao trên mạng di động. MSISDN là số điện thoại của điện thoại di động.
Số danh bạ (AND)
Hầu hết thiết bị điện thoại di động có khả năng lƣu trữ số điện thoại thƣờng gọi đã thực hiện. Mỗi thẻ SIM thƣờng lƣu khoảng hơn 100 số mỗi số đƣợc lƣu kích thƣớc thƣờng là 32 byte. Mỗi số đƣợc lƣu trữ này đƣợc lƣu trong file (EF) đƣợc gọi là số điện thoại danh bạ. Mỗi số gồm các thông tin: tên và số điện thoại liên quan. Khi số điện thoại này bị xóa, các vị trí lƣu đã hết với giá trị FF vì vậy các số điện thoại trong trƣờng hợp này không thể khôi phục đƣợc. Tuy nhiên từ các vị trí này đƣợc phân bổ tuần tự, các vị trí trống ở giữa vị trí đã đƣợc sử dụng mà ở vị trí đó một hoặc nhiều số đã bị xóa bỏ từ file.
Số mới gọi (LND – Last Numbers Dialed)
Thẻ Sim cũng có thể lƣu trữ thông tin liên quan đến số gọi gần nhất. Hầu hết thẻ dành lƣu khoảng 5- 10 số gọi gần nhất. Tuy nhiên hầu hết các số gọi gần nhất đƣợc lƣu trong bộ nhớ của điện thoại tính năng này và file này để trống. Trong bất kỳ vụ án nào,
đây là thông tin quan trong cần khai thác ở hai vị trí này nhằm tìm kiếm bằng chứng cho vụ án. Nếu đƣợc sử dụng thì thông tin này cũng tƣơng tự nhƣ file AND EF.
Dịch vụ tin nhắn (SMS)
Tin nhắn SMS đƣợc lƣu trữ trong các tập tin tiểu EF_SMS ở trong thƣ mục DF_TELECOM. Mỗi tin nhắn đƣợc lƣu trữ trong tập tin này đƣợc cố định chiều dài. Tin nhắn. Chiều dài của tin nhắn SMS đƣợc lƣu trữ trên thẻ SIM là 176 byte. Cấu trúc của một tin nhắn SMS trên thẻ SIM đƣợc thể hiện nhƣ sau:
Hình 1.15: Biểu diễn cấu trúc tin nhắn SMS trên thẻ SIM
Byte đầu tiên trong cấu trúc tin nhắn dành xác định trạng thái tin nhắn. Byte này mang một trong các giá trị sau:
00000000 - chƣa sử dụng
00000001 - tin nhắn nhận, đọc
00000011 – Tin nhắn nhận, chƣa đọc
00000101 – Tin nhắn khởi tạo, gửi
00000111 – Tin nhắn khởi tạo, không đƣợc gửi
Khi một tin nhắn SMS bị xóa byte trang thái thiết lập giá trị x/00 để tin nhắn mới có thể đƣợc lƣu vào vị trí đó. Nội dung của tin nhắn bị xóa sẽ đƣợc lƣu lại cho đến khi có một tin nhắn mới ghi đề lên vị trí đó. Khi một tin nhắn đƣợc ghi đè lên tin nhắn bị xóa trƣớc đó có kích thƣớc nhỏ hơn so với dung lƣợng đƣợc cấp phát (176 byte), Nhƣ vậy, kích thƣớc còn lại bằng x/FF. Đây là một lý do quan trong để ngăn các tin nhắn mới bị xóa ghi đè lên cùng một bản ghi. Phần TPDU các tin nhắn SMS cũng có chứa các thông tin liên quan (175 byte). Tuy nhiên có một yếu tô quan tâm cho quá trình khai thác thông tin đó là:
Các dịch vụ tích hợp mạng kỹ thuật số (ISDN) số lƣợng các dịch vụ trung tâm tin nhắn SMS.
Các dịch vụ tích hợp kỹ thuật số (ISDN) số của ngƣời gửi hoặc ngƣời nhận tùy thuộc vào tình trạng của tin nhắn.
Ngày và thời gian (tính bằng giây) khi tin nhắn đã đƣợc nhận từ trung tâm dịch vụ tin nhắn SMS.
Số danh bạ trên trạm di động (Ví dụ hộp thƣ nhận, gửi, dự thảo)
Tin nhắn đƣợc mã hóa theo tiêu chuẩn (phổ biến nhất là mã hóa 7 bit GSM)
1.2.3. Cấu trúc các File
Mỗi file đƣợc gán một mã nhận dạng duy nhất 2 byte mà đƣợc sử dụng bởi hệ điều hành lựa chọn file:
+ Byte thứ nhất của file nhận dạng đƣợc gọi là nhận dạng hệ thống. + Byte thứ hai nhận dạng file nguồn của nó.
3F 00 file chủ
7F xx file dành riêng ở mức 1 5F xx file dành riêng ở mức 2 2F xx file thành phần dƣới file chủ
6F xx file thành phần dƣới mức 1 của file dành riêng 4F xx file thành phần dƣới mức 2 của file dành riêng.
Master File (MF): Master file điểu khiển toàn bộ bộ nhớ FPROM, nhận dạng Master file là 3F00.
Dedicated File (DF): DF bao gồm một nhóm các file EF, bộ nhớ lớn nhất là 255 bytes. DF gồm 3 loại:
+ DF GSM (7F 20) bao gồm thông tin liên quan đến mạng GSM + DFSERVICE (7F 10) bao gồm các thông tin liên quan đến dịch vụ + Các file ứng dụng DF APPLI.
Ngoài ra DFGSM có 5 file ứng dụng khác dành cho vệ inh và DCS. Elementary File (EF): EF gồm có 4 kiểu:
+ Transparent EFs: các file EF trong suốt: bao gồm một chuỗi các byte, dung lƣợng lớn nhất của EF là 255 Byte.
+ Linear fixed EFs: các file EF tuyến tính chứa các bản ghi kích thƣớc cố đinh: đƣợc tạo các bản ghi chiều dài cố định, các file này có thể bao gồm 255 bản ghi bao gồm cả phần mở rộng và các bản ghi này có thể đƣợc tạo lên tới 255 byte, hình sau đây đƣa ra cấu trúc của file thành phần cố định tuyến tính.
+ Cyclic EFs: các file EF chu kỳ: bao gồm một chuỗi hoặc các bản ghi có chiều dài cố định và bằng nhau đƣợc sử dụng để lƣu data theo thứ tự thời gian. Các file thành phần chu kỳ có thể bao gồm lớn nhất 255 bản ghi, mỗi bản ghi có thể có chiều dài 255 byte, bản ghi cƣối cùng đƣợc tạo nằm kề với bản ghi đầu tiên đã đƣợc tạo. Khi một bản ghi đƣợc viết đầy ở một file thì bản ghi cuối cùng đƣợc ghi đè và trở thành bản ghi 1 (record 1) nhƣ trong hình vẽ sau:
Hình 1.16: cấu trúc chung tổ chức file dữ liệu trên thẻ SIM
Tất cả các file EF bao gồm file header và file vật thể (body). Header bao gồm cấu trúc của file về data hệ thống và body lƣu giữ data. Còn các file DF chỉ chứa file header vì các DF này không có data.
- EFsms : File này chứa đựng tất cả các bản tin. EFsms là file bản ghi. Một bản tin đƣợc lƣu trong bản ghi và có chiều dài 176 bytes. Số bản tin mà có thể đƣợc lƣu trong thẻ SIM sẽ phụ thuộc vào dung lƣợng bộ nhớ thẻ SIM.
- EFsmsp: file này đƣợc định nghĩa trƣớc (pre-defined) những tham số về SMS, tức là Số SMSC.
+ Script files: các file hệ thống.
1.3 Kết chương
Nhƣ vậy, tác giả đã tổng hợp những kiến thức cơ bản về tính năng kỹ thuật, hình thức tổ chức và các chức năng của smartphone trên hệ điều hành WM. Đồng thời tác giả nghiên cứu thành phần cơ bản, hình thức tổ chức dữ liệu trên thẻ SIM.
Thông qua Chƣơng 1 tác giả đã phân tích và xác định các đối tƣợng khai thác dữ liệu trên smartphone. Trong nội dung chƣơng tiếp theo của luận văn, tác giả sẽ đi sâu nghiên cứu các phƣơng pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone.
Chương 2. Các phương pháp kỹ thuật khai thác thông tin dữ liệu trên smartphone phục vụ công tác phòng, chống tội phạm công nghệ cao
2.1. Các thông tin lưu trữ trên điện thoại di động
Điện thoại di động có thể lƣu trữ các thông tin ở nhiều nơi khác nhau: Thẻ SIM
Bộ nhớ trong
Thẻ nhớ ngoài (đối với những loại máy có khe cắm thẻ nhớ)
Ngoài ra, một số thông tin về thuê bao và chi tiết các cuộc gọi còn đƣợc lƣu lại bởi nhà cung cấp dịch vụ.
2.1.1. Thông tin lưu trữ trên SIM
Thẻ SIM là một loại thẻ thông minh đƣợc dùng trong các loại máy sử dụng mạng GSM, nó cho phép ngƣời sử dụng kết nối tới mạng và xác định tính duy nhất của thuê bao trong mạng. Thẻ SIM chứa các thông tin bao gồm thông tin về thuê bao di đông, và một số thông tin cá nhân khác, nhƣ:
− Các tin nhắn SMS đã nhận và đã gửi (thông thƣờng SIM có thể lƣu đƣợc khoảng 20- 30 tin nhắn SMS)
− Nhật ký điện thoại: chứa các thông tin về các cuộc liên lạc. Tùy thuộc vào từng hãng sản xuất điện thoại mà SIM có thể chứa hoặc không chứa các thông tin về nhật ký điện thoại.(Các loại điện thoại Nokia không lƣu nhật ký điện thoại trên SIM)
− Danh bạ điện thoại: Tùy thuộc vào từng loại SIM, thông thƣờng một SIM có thể cho phép lƣu đƣợc từ 250 đến 500 số điện thoại.
− Số Se-ri: Xác định nhà sản xuất, phiên bản hệ điều hành, số của SIM
− Thông tin về trạng thái của SIM: Cho biết SIM bị chặn hay không bị chặn.
− Số nhận dạng thuê bao di động quốc tế IMSI, đảm bảo mỗi thuê bao là duy nhất trong mạng GSM trên toàn thế giới.s
− Mã dịch vụ (cho mạng GSM)
− Khoá nhận thực thuê bao riêng Key.
− Số điện thoại di động quốc tế MSISDN
− Các khoá cho quá trình cá nhân hoá SIM
− Thông tin về vị trí hiện tại (hoắc tại thời điểm gần nhất) của điện thoại.
− Mã số nhận dạng cá nhân PIN
− Mã số mở khóa cá nhân PUK
2.1.2. Thông tin lưu trữ trên Phone Memory
Từ cuối những năm 1990, các nhà sản xuất đã tích hợp thêm bộ nhớ vào trong các điện thoại di động để chúng có thể lƣu trữ đƣợc nhiều thông tin hơn. Ngoài việc lƣu trữ trên SIM, dữ liệu còn đƣợc lƣu trữ trên bộ nhớ trong của điện thoại di động. Tùy thuộc vào dung lƣợng bộ nhớ mà có thể lƣu đƣợc nhiều hay ít thông tin. Thông thƣờng bộ nhớ trong của điện thoại lƣu những thông tin sau đây:
− Chế độ cài đặt điện thoại
− Các file hệ thống của hệ điều hành
− Tin nhắn SMS/MMS. Khi SIM đã chứa đầy các tin nhắn SMS (khoảng 20-30 tin nhắn) thì các tin nhắn đƣợc lƣu vào bộ nhớ của điện thoại. Hoặc tùy theo cài đặt của ngƣời sử dụng mà toàn bộ tin nhắn có thể đƣợc lƣu trên điện thoại.