Tìm hiểu kỹ thuật thu thập và phục hồi chứng cứ điện tử từ thiết bị di động
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (742.83 KB, 33 trang )
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO
THU THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH MẠNG
Đề tài: TÌM HIỂU KỸ THUẬT THU THẬP VÀ PHỤC HỒI
CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG
Chuyên ngành: An toàn thông tin
Sinh viên thực hiện:
Phạm Ngọc Vân
Nguyễn Thế Tú
Bạch Trọng Đức
Trần Việt Anh
Trần Đức Trung Kiên
Lớp:
L04 – AT12H
Giảng viên hướng dẫn:
ThS. Phạm Sỹ Nguyên
Khoa An toàn thông tin – Học viện Kỹ thuật Mật mã
Hà Nội, 2019
1
Hà Nội, tháng 9 năm 2018
MỤC LỤC
MỤC LỤC ........................................................................................................................... 2
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU ........................................................................... 4
THÔNG TIN HÌNH VẼ VÀ BẢNG.................................................................................. 5
MỞ ĐẦU .............................................................................................................................. 6
CHƯƠNG I. TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ PHỤC
HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG ................................................. 8
1.1.
Sự ra đời............................................................................................................... 8
1.1.1.
Đôi nét về lịch sử ra đời................................................................................ 8
1.1.
Hình thành các hành lang pháp lý ..................................................................... 10
1.2.
Phân tích khái niệm “Chứng cứ điện tử” ........................................................... 11
1.2.1.
Quan điểm của các quốc gia trên thế giới ................................................... 11
1.2.2.
Quan điểm của Việt Nam ........................................................................... 12
1.3.
Sự cần thiết phải quy định về chứng cứ điện tử ................................................ 14
1.5.
Kết chương ........................................................................................................ 17
CHƯƠNG II. CÁC PHƯƠNG PHÁP KỸ THUẬT, QUY TRÌNH THU THẬP VÀ
PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG................................... 18
2.1.
Các thông tin lưu trữ trên điện thoại di động .................................................... 18
2.1.1.
Thông tin lưu trữ trên SIM: ........................................................................ 18
2.1.2.
Thông tin lưu trữ trên bộ nhớ trong ............................................................ 19
2.1.3.
Các thông tin lưu trữ trên thẻ nhớ ngoài ..................................................... 19
2.2.
Tổng quan về kỹ thuật khai thác dữ liệu trên điện thoại di động ...................... 20
2.3.
Kỹ thuật khai thác dữ liệu trên bộ nhớ trong ..................................................... 20
2.3.1.
Kỹ thuật khai thác dữ liệu qua giao diện sử dụng ...................................... 20
2.3.2.
Kỹ thuật khai thác vật lý ............................................................................. 21
2.3.3.
Kỹ thuật khai thác logic .............................................................................. 22
2.4.
Kỹ thuật khai thác dữ liệu trên SIM .................................................................. 23
2.4.1.
Kết nối SIM với máy tính thông qua đầu đọc SIM .................................... 23
2.5.
Khai thác dữ liệu trên thẻ nhớ ........................................................................... 24
2.6.
Một số phần mềm khai thác dữ liệu điện thoại di động phổ biến ..................... 25
2.7.
Xây dựng quy trình thu thập và phục hồi chứng cứ điện tử từ thiết bị di động 26
2.7.1.
Thu giữ và bảo quản thiết bị ....................................................................... 26
2
2.7.2.
Thu thập dữ liệu trên điện thoại .................................................................. 26
2.7.3.
Kiểm tra và phân tích dữ liệu...................................................................... 30
2.7.4.
Báo cáo ....................................................................................................... 31
2.8.
Kết chương ........................................................................................................ 31
KẾT LUẬN ....................................................................................................................... 32
TÀI LIỆU THAM KHẢO................................................................................................ 33
3
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
Từ viết tắt
Đầy đủ
APDUs
Application Protocol Data
Units
AT
AT Command
OBEX
Object Exchange Protocol
SyscML
Syschronization Markup
Language
Tiếng Việt
APDU là đơn vị kết nối
giữa đầu đọc thẻ SIM và
SIM
Giao thức kết nối
Association of Chief Police
Officers
International Mobile
Equipment Identity
Bộ nạp khởi động
Hội các cảnh sát trưởng
Anh
Mã số nhận dạng thiết bị di
động quốc tế
Global System for Mobile
Communications
Hệ thống thông tin di động
toàn cầu
JTAG
Joint Test Action Group
Các tiêu chuẩn JTAG xác
định một giao diện và các
lệnh có thể được sử dụng
để kiểm thử và gỡ rối của
các thành phần phần cứng
trong các thiết bị điện tử
MSISDN
Mobile Subscriber ISDN
Number
Số điện thoại di động quốc
tế
Bootloader
ACPO
IMEI
GSM
PIM
PUK
Personal Information
Management
Personal unblocking
Quản lý thông tin cá nhân
Mã nhận dạng cá nhân
SIM
Subscriber Identity Module
CDMA
Code Division Multiple
Access
Thẻ nhớ thông minh sử
dụng trên điện thoại di
động
Đa truy nhập (đa người
dùng) phân chia theo mã
PRI
Primary Rate Interface
Giao diện tốc độ sơ cấp
SWGDE/IOCE
Scientific Working Group
on Digital Evidence
/International Organization
on Computer Evidence
Nhóm làm việc khoa học
về bằng chứng số
Tổ chức quốc tế về bằng
chứng số
4
THÔNG TIN HÌNH VẼ VÀ BẢNG
Hình 2.1: Tổng quát quy trình khai thác dữ liệu trên thiết bị điện thoại di động ... 26
Hình 2.2: Quy trình thu thập dữ liệu trên thiết bị điện thoại di động ..................... 28
Hình 2.3: Quy trình khai thác dữ liệu trên SIM ...................................................... 30
Bảng 2.2: Một số phần mềm khai thác dữ liệu trên điện thoại di động .................. 25
5
MỞ ĐẦU
Đặt vấn đề
Sự tiến bộ của khoa học kỹ thuật đã mang lại cho chúng ta nhiều phát minh rất hữu
ích, nó giúp chúng ta rất nhiều trong cuộc sống hàng ngày. Điện thoại di động là một trong
những phát minh như vậy.
Với sự phát triển không ngừng của công nghệ, điện thoại di động đang phát triển và
biến đổi từng ngày, hội tụ mọi công nghệ viễn thông, điện toán, âm thanh, hình ảnh...và trở
thành phương tiện giao tiếp, làm việc chủ yếu của con người.
Ngày nay, điện thoại di động không chỉ dùng để nghe, gọi và nhắn tin mà còn hỗ trợ
nhiều dịch vụ tiện ích khác. Với một chiếc điện thoại di động thông minh (smartphone)
trong tay chúng ta có thể: xem phim, nghe nhạc, chơi game, sử dụng các ứng dụng văn
phòng, dùng file word, excel, .pdf, lướt web, gửi và nhận Email,… Cùng với sự gia tăng
của những chiếc điện thoại thông minh đa chức năng thì số vụ án liên quan đến điện thoại
di động cũng tăng lên, và hình thực vi phạm ngày càng đa dạng, tinh vi và có tổ chức. Trong
nhiều vụ án, điện thoại di động được sử dụng như những công cụ phạm tội. Các đối tượng
có thể sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào các mạng
xã hội, các trang web cá cược bóng đá, chơi lô đề trực tuyến,…
Ở nước ta trong một số vụ án gần đây qua việc thu thập, khai thác các thông tin từ
thiết bị di động của đối tượng, trinh sát đã tìm, xác định được đối tượng, thu thập được
nhiều thông tin để đấu tranh. Qua việc khai thác thông tin từ những thiết bị di động ta có
thể tìm ra được nhiều chứng cứ quan trọng mà phương pháp điều tra truyền thống không
thể có được. Với phương pháp truyền thống để có thể thu được thông tin chứng cứ bằng
việc duyệt nội dung chứa trong thiết bị thông qua giao diện của người sử dụng, nhưng đây
được xem là cách không chắc chắn và được sử dụng như giải pháp cuối cùng. Thay vào đó,
việc sử dụng các công cụ phần mềm giám định theo đúng qui trình là cách khai thác dữ liệu
thích hợp, tránh việc để mất, thay đổi thông tin trên thiết bị gốc, và những thông tin khai
thác sẽ phục vụ cho công tác phòng, chống tội phạm công nghệ cao.
Nội dung của đề tài
-
Tìm hiểu tổng quan về chứng cứ điện tử, thu thập và phục hồi chứng cứ điện tử từ
thiết bị di động.
Quy trình, công cụ thu thập và phục hồi chứng cứ điện tử từ thiết bị di động
Thực hiện tình huống minh hoạ
6
Cấu trúc bài báo cáo
-
Chương 1: Tổng quan về chứng cứ điện tử, thu thập và phục hồi chứng cứ điện tử
từ thiết bị di động.
-
Chương 2: Các phương pháp kỹ thuật, quy trình thu thập và phục hồi chứng cứ điện
-
tử từ thiết bị di động
Chương 3: Tổng kết
7
CHƯƠNG I. TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ
PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG
Trong bối cảnh kinh tế, xã hội liên tục vận động và phát triển, luôn tồn tại song hành
các mặt hoạt động khác nhau của con người. Bên cạnh các hoạt động xây dựng và sản xuất
thì luôn hiện hữu các hành vi trái với lợi chung của cộng đồng, xã hội. Những hành vi này
được coi là hoạt động trái pháp luật. Chúng làm phương hại, tác động xấu đến một đối
tượng, một cá nhân cụ thể, và thậm chí cả một cơ quan, tổ chức, hoặc lớn hơn nữa là ảnh
hưởng đến sự ổn đinh, phát triển bình thường của cả nhân loại.
Bởi theo quy luật phát triển của tự nhiên, có đấu tranh mâu thuẫn mới càng phát triển
hơn nữa. Thì trong xã hội có giai cấp, tồn tại cuộc đấu tranh giữa những người thực thi pháp
luật và những kẻ làm trái pháp luật. Bên cạnh các loại hình tội phạm ngày càng gia tăng,
đồng thời thủ đoạn của chúng cũng tinh vi xảo quyệt hơn. Bước vào thế kỷ XXI, với sự
bùng nổ và phát triển mạnh mẽ của công nghệ thông tin. Việc áp dụng chúng vào hầu hết
các lĩnh vực của đời sống là một điều trở nên tất yếu. Bên cạnh những lợi ích mà nó mang
lại thì nó lại trở thành đối tượng bị lợi dụng làm công cụ đắc lực cho bọn tội phạm. Việc
xuất hiện tội phạm trong lĩnh vực công nghệ thông tin đã làm đau đầu các nhà thực thi pháp
luật. Việc có một công cụ, chế tài xử phạt hợp lý trở nên nan giải.
Đặc biệt hơn, việc phát hiện, đấu tranh, truy tố loại tội phạm này lại càng khó. Bản
thân quá trình tìm kiếm, phát hiện, thu thập chứng cứ tỏ ra hết sức mơ hồ. Vì thế, các nhà
làm luật đã tìm cách quy định một loại chứng cứ để có thể buộc tội các đối tượng này. Và
nó được gọi là "Chứng cứ điện tử".
1.1.
Sự ra đời
1.1.1. Đôi nét về lịch sử ra đời
Để tìm hiểu về sự ra đời của khái niệm chứng cứ điện tử, trước hết ta ngược dòng
thời gian để chứng kiến sự hình thành và biến đổi của các loại tội phạm máy tính. Đôi nét
về lịch sử tội phạm máy tính, loại tội phạm này không chỉ xuất hiện trong lĩnh vực công
nghệ thông tin, mà trên tất cả các lĩnh vực khác có áp dụng tin học. Với nhiều loại hình
khác nhau, và các phương thức thủ đoạn cũng rất đa dạng, nó đang ngày càng tác dộng
mạnh mẽ đến đời sống kinh tế và xã hội.
Tấn công vật lý
Thuở sơ khai của loại tội phạm máy tính, đối tượng thường thực hiện các hành vi
tấn công vật lý tới hệ thống máy tính hoặc đường truyền viễn thông. Vào mùa xuân năm
8
1969, một nhóm sinh viên ở Canada đã tấn công cảnh sát, phá cánh cửa nhà Hiệu bộ, rồi
gây ra đám cháy làm phá hủy hệ thống máy tính, trung tâm cơ sở dữ liệu. Làm thiệt hại 2
tỉ dollar, 97 người đã bị bắt giữ. Bước sang thế kỷ XX, vẫn tồn tại những kẻ thích phá hoại
cơ sở hạ tầng, phá hoại trung tâm dữ liệu bằng tay. Rõ ràng, để đánh sập một mạng máy
tính, không gì nhanh hơn là phá hoại vật lý.
Mạo danh
Năm 1970, một tên tội phạm tuổi teen khét tiếng tên là Jerry Neal Scheilder. Mục
tiêu của anh ta là công ty thiết bị viễn thông PT&T ở Los Angeles. Qua nhiều năm kiên trì
lục lọi thùng rác để thu thập các bản in tài liệu của công ty, đồng thời tham gia các chuyến
tham quan nhà kho, nhà máy sản xuất, anh ta đã có đủ kiên thức và nắm rõ quy trình hoạt
động của công ty này. Mạo danh công ty này, anh ta chiếm đoạt được hàng triệu đô từ tiền
nhập thiết bị. Cuối cũng bị bắt do sự tố cáo của chính nhân viên của y. Và sau khi mãn hạn
tù, anh ta đã thành lập công ty về an ninh máy tính. Ăn cắp thẻ tín dụng Thẻ tín dụng ra đời
vào những năm 1920. Sau đó, nó trở nên phổ biến tại các nước phương Tây vì tính tiện
dụng của nó. Vì thế mà xuất hiện các vụ phạm tội liên quan đến thẻ tín dụng. Vào cuối thế
kỷ XX, tình trạng trở nên trầm trọng. Theo một báo cáo của FBI: "Xét trên phạm vi toàn
cầu, số tiền trong các thẻ VISA, Master-Card của các ngân hàng bị đánh cắp lên tới 110
triệu năm 1980 và lên đến 1.65 tỉ đô năm 1995."
Phone phreak
Thời kỳ đầu, việc giả số điện thoại gọi đến được thực hiện bởi những tổ chức có khả
năng truy cập các đường dây PRI (Primary Rate Interface) đắt tiền mà các công ty điện
thoại cung cấp. Công nghệ này được dùng chủ yếu để hiển thị số điện thoại chính của một
doanh nghiệp trên mọi cuộc gọi đi. Từ đầu những năm 2000, những “phone phreak” hay
gọi tắt là phreak (chuyên gia tấn công các hệ thống điện thoại) bắt đầu sử dụng công nghệ
Orange boxing để giả số điện thoại. Thực chất của cách làm này là dùng một thiết bị (thường
là một phần mềm trên máy tính) để gửi một chuỗi các tín hiệu đa tần (tone) trong những
giây đầu tiên của cuộc gọi, giả làm tín hiệu báo số gọi đến của điện thoại.
Tống tiền
Hacker tìm cách lấy trộm dữ liệu quan trọng của một cá nhân, tổ chức và sau đó yêu
cầu đòi tiền chuộc. Vào những năm 1990, khoảng 300,000 bản ghi về thông tin thẻ tín dụng
được lưu trên website CD Universe đã bị "Maxus" – một thanh niên 19 tuổi người Nga
đánh cắp. Sau nó anh này có gửi đi một thông điệp rằng: "Đưa cho tôi 100.000 đô, tôi sẽ vá
9
lỗi website và quên đi việc mua sắm trên website của các bạn". CD Universe đã từ chối và
kết cục là 25.000 thông tin thẻ đã được công khai.
1.1.
Hình thành các hành lang pháp lý
Với việc tội phạm máy tính ngày càng gia tăng, mức độ phạm tội ngày càng trầm
trọng, thì việc ban hành các quy định pháp lý là yêu cầu bức thiết. Vào năm 1978, thì loại
tội phạm máy tính lần đầu tiên được xác định trong một văn bản với tên gọi "Florida
computer crimes act". Trong đó có chỉ rõ những quy chế nhằm chống lại hành động thay
đổi hoặc xóa bỏ dữ liệu của một hệ thống máy tính. Những năm sau đó, lần lượt các quốc
gia trên thế giới ban hành các đạo luật nhằm ngăn chặn loại tội phạm này. Năm 1983,
Canada trở thành quốc gia đầu tiên thông qua các quy định pháp chế này, tiếp theo đó là
Mỹ vào năm 1986. Australia đã sửa đổi bổ sung vào năm 1989, và sau đó là Anh năm 1990.
Với bộ luật tố tụng hình sự hiện hành (năm 2003) có quy định Điều 64.
Chứng cứ:
1. Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ luật này
quy định mà Cơ quan điều tra, Viện kiểm sát và Toà án dùng làm căn cứ để xác định có
hay không có hành vi phạm tội, người thực hiện hành vi phạm tội cũng như những tình tiết
khác cần thiết cho việc giải quyết đúng đắn vụ án.
2. Chứng cứ được xác định bằng:
a) Vật chứng;
b) Lời khai của người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn dân
sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị
tạm giữ, bị can, bị cáo;
c) Kết luận giám định;
d) Biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ vật khác.
Căn cứ vào Điều luật trên thì rất khó xác định chứng cứ liên quan đến tội phạm máy tính.
Bởi những gì được coi là vật chứng thì nó tồn tại ở dạng dữ liệu số mang tính chất "ảo"
không rõ hình dạng, tính chất. Mặt khác kẻ phạm tội có thể dễ dàng che dấu hành vi, và
thực hiện các thao tác xóa dấu vết rất dễ dàng. Vì vậy nếu chỉ đơn thuần coi vật chứng là
những thứ có thể nhìn thấy bằng mắt, cảm nhận bằng tay thì rất khó có thể có một vật chứng
có tính thuyết phục trong lĩnh vực tội phạm máy tính. Xuất phát từ yêu cầu bức thiết này,
trong bộ luật tố tụng hình sự năm 2015 ban hành ngày 27 tháng 11 năm 2015 có quy định
10
một chi tiết rất quan trọng. Lần đầu tiên, khái niệm "dữ liệu điện tử" được xem là nguồn
của chứng cứ (Điều 87 khoản 1 điểm c). Có thể nói đây là bước tiến quan trọng trong quá
trình hoàn thiện quy chế pháp lý, một bước đi tạo nền tảng vững chắc cho quy trình ban
hành một quy phạm pháp luật mang tính thực tiễn cao. Nó trở thành một căn cứ pháp lý
quan trong, có tầm ảnh hưởng lớn lao đối với công tác đấu tranh, phòng chống loại tội phạm
sử dụng công nghệ cao. Mặt khác đây cũng là cơ sở chắc chắn cho việc xây dựng các điều
luật, hình thành một hành lang pháp lý sâu rộng trong lĩnh vực công nghệ thông tin và các
ứng dụng của nó. Vậy thì khái niệm "dữ liệu điện tử" hay "chứng cứ điện cứ" được hiểu
như thế nào? Những khái niệm nào khác có liên quan, có tác dụng làm rõ nội hàm về chứng
cứ điện tử?
1.2.
Phân tích khái niệm “Chứng cứ điện tử”
Song hành với việc ban hành các quy phạm pháp luật thì việc ban hành các văn bản
hướng dẫn thi hành là rất quan trọng. Việc phân tích chỉ rõ khái niệm, những đặc điểm cụ
thể về "Chứng cứ điện tử" sẽ làm sáng tỏ bản chất của nó. Điều này sẽ tác động tích cực
đến quá trình phát hiện, và thu thập chứng cứ của cơ quan điều tra.
1.2.1. Quan điểm của các quốc gia trên thế giới
Tại Mỹ - nơi sớm có sự xuất hiện của loại tội phạm máy tính, cục điều tra liên bang
(FBI) đã công bố những khái niệm liên quan đến chứng cứ điện tử dựa trên tài liệu của
SWGDE/IOCE:
Quy trình thu thập: Những thông tin hoặc thiết bị vật lý được lưu trữ cho mục đích
điều tra trở thành chứng cứ khi được tòa án công nhận. Quá trình thu thập tuân thủ các điều
luật về chứng cứ. Các đối tượng dữ liệu và thiết bị số chỉ trở thành chứng cứ khi được thu
thập bởi nhân viên thực thi pháp luật hoặc người được chỉ định.
Đối tượng dữ liệu: Là những đối tượng hoặc những thông tin có giá trị chứng minh
tội phạm liên quan đến thiết bị vật lý. Các đối tượng này có thể tồn tại ở các định dạng khác
nhau sao cho không làm thay đổi dữ liệu gốc.
Chứng cứ điện tử (Electronic Evidence): Là thông tin có giá trị chứng minh tội
phạm được lưu trữ và truyền tải dưới dạng dữ liệu số.
Thiết bị số: Những thiết bị lưu trữ và truyền tải các đối tượng dữ liệu.
Dữ liệu gốc: Những dữ liệu nằm trên thiêt bị số tại thời điểm thu thập.
Nhân bản chứng cứ điện tử: Là sự nhân bản dữ liệu gốc một cách đúng đắn.
11
Bản sao: Là sự nhân bản thông tin lưu trữ trên thiết bị gốc mà không phụ thuộc vào
thiết bị đó.
Tại Úc, hiệp hội Digital Forensic cho rằng chứng cứ điện tử là thông tin có giá trị
điều tra liên quan đến các thiết bị số và các định dạng dữ liệu. Những thông tin này được
biểu diễn dưới dạng số, bao gồm: system logs, audit logs, application logs, network logs,
và các file hệ thống. Đồng thời các file do người dùng tạo ra cũng có giá trị chứng minh
hoạt động của tội phạm, siêu dữ liệu của mỗi file này thể hiện rõ quá trình tạo, thay đổi nội
dung file.
Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers) cho rằng:
chứng cứ điện tử có thể là các bản ảnh vật lý và logic của các thiết bị, bản ảnh logic chứa
một phần hoặc toàn bộ dữ liệu được chụp ngay khi tiến trình đang chạy. Điều tra viên phải
dùng các công cụ chụp bản ảnh được pháp luật công nhận. Trường hợp không phải là dữ
liệu cục bộ mà là dữ liệu từ xa, điều này cần thiết phải có người có thẩm quyền lấy dữ liệu
đó về và trao cho tòa án xác nhận, khi đó cơ quan điều tra mới được phép truy cập và điều
tra về dữ liệu đó. Mặt khác quy trình phát hiện, thu thập, điều tra, và bảo quản phải khách
quan, tuân thủ các đạo luật và được tòa án công nhận. Và khi một bên thứ ba lặp lại đúng
quy trình đó và thu được cùng kết quả. Để khách quan hơn, việc đánh giá mức độ rủi ro
dựa trên những yếu tố kỹ thuật và phi kỹ thuật là cần thiết. Chẳng hạn những chứng cứ tiềm
năng cái mà có thể được lưu trên những thiết bị đặc biệt hoặc lịch sử tấn công trước đây
của kẻ bị tình nghi.
1.2.2. Quan điểm của Việt Nam
Quá trình thực hiện các hành vi phạm tội của tội phạm công nghệ cao luôn để lại các
dấu vết điện tử. Đây là những dữ liệu tồn tại dưới dạng những tiến hiệu kỹ thuật số. Nó
được tạo ra một cách tự động, khách quan trong các bộ nhớ của các thiết bị điện tử. Theo
bộ luật Tố tụng hình sự năm 2015 có quy định:
Điều 99. Dữ liệu điện tử:
1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương
tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử.
2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn
thông, trên đường truyền và các nguồn điện tử khác.
3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức khởi tạo,
lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính toàn vẹn của dữ
12
liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phù hợp khác. Trong văn bản
quy định Luật giao dịch điện tử đã làm rõ một số khái niệm có liên quan như:
Dữ liệu: là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc
dạng tương tự.
Phương tiện điện tử: là phương tiện hoạt động dựa trên công nghệ điện, điện tử, kỹ
thuật số, từ tính, truyền dẫn không dây, quang học, điện từ.
Trao đổi dữ liệu điện tử (EDI - electronic data interchange): là sự chuyển thông tin
từ máy tính này sang máy tính khác bằng phương tiện điện tử theo một tiêu chuẩn đã được
thỏa thuận về cấu trúc thông tin.
Thông điệp dữ liệu: là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ
bằng phương tiện điện tử. Thông điệp dữ liệu có giá trị như văn bản nếu thông tin chứa
trong thông điệp đó có thể truy cập, sử dụng được để tham chiếu khi cần thiết và nội dung
của thông điệp dữ liệu được bảo đảm toàn vẹn, không bị thay đổi. Giá trị chứng cứ của
thông điệp dữ liệu được xác định, căn cứ vào độ tin cậy của cách thức khởi tạo, lưu trữ và
truyền gửi, cách thức bảo đảm và duy trì tính toàn vẹn, cách thức xác định người khởi tạo
và các yếu tố phù hợp khác.
Như vậy, căn cứ theo các quy định của pháp luật tố tụng hình sự và luật giao dịch
điện tử thì dữ liệu điện tử có giá trị pháp lý như chứng từ, hồ sơ truyền thống khi đáp ứng
được những yêu cầu của pháp luật quy định.
Qua đó có thể nhận thấy rằng: Chứng cứ điện tử là những chứng cứ được lưu giữ
dưới dạng tín hiệu điện tử trong máy tính hoặc trong các thiết bị có bộ nhớ kỹ thuật số có
liên quan đến vụ án hình sự. Những chứng cứ điện tử có thể thu thập được để chứng minh
hành vi phạm tội bao gồm:
- Những chứng cứ điện tử do máy tính tự động tạo ra như: “cookies”, “URL”, Email logs, web server logs…
- Những thông tin điện tử do con người tạo ra được lưu giữ trong máy tính hoặc các
thiết bị điện tử khác, như các văn bản, bảng biểu, các hình ảnh, thông tin… được lưu giữ
dưới dạng tín hiệu điện tử. Để thu thập được những dấu vết điện tử này, cần sử dụng kỹ
thuật, công nghệ máy tính và phần mềm phù hợp để có thể phục hồi lại những “dấu vết điện
tử” đã bị xóa, bị ghi đè, những dữ liệu tồn tại dưới dạng ẩn, đã mã hóa, những phần mềm,
mã nguồn được cài đặt dưới dạng ẩn, để làm cho có thể đọc được, ghi lại dưới hình thức có
thể đọc được và có thể sử dụng làm bằng chứng pháp lý trước tòa án.
13
1.3.
Sự cần thiết phải quy định về chứng cứ điện tử
Trong thời đại công nghệ thông tin và truyền thông phát triển như hiện nay, không
một cá nhân, tổ chức, doanh nghiệp nào có thể tách rời được máy tính và mạng máy tính.
Chính vì vậy, hoạt động phạm tội của các đối tượng sử dụng công nghệ cao ngày càng phổ
biến, thủ đoạn phạm tội của chúng ngày càng tinh vi. Do đó, việc công nhận chứng cứ từ
dữ liệu điện tử là một bước tiến trong tố tụng hình sự ở nước ta bởi các bước điều tra để
chứng minh quá trình phạm tội ngày càng phụ thuộc lớn vào chứng cứ điện tử. Trên lĩnh
vực an ninh quốc gia, các thế lực thù địch đã không ngừng tập trung lợi dụng công nghệ
thông tin, mạng viễn thông để xuyên tạc, vu khống chống phá Nhà nước. Trên lĩnh vực trật
tự, an toàn xã hội, tình hình an ninh mạng Việt Nam diễn biến phức tạp, nhiều vụ tấn công,
phá hoại, lây nhiễm virus, phầm mềm gián điệp, mã tin học độc hại nhằm vào hệ thống
mạng của cơ quan nhà nước và tư nhân với mức độ, tính chất ngày càng nghiêm trọng; tình
hình lừa đảo trong lĩnh vực thương mại điện tử và thanh toán điện tử gia tăng, làm rối loạn
hoạt động của hệ thống thông tin điện tử. Trong hầu hết các vụ tấn này, thủ phạm chỉ để lại
rất ít dấu vết và dấu vết này ở dạng dữ liệu điện tử như: logfile, IP, mã độc, domain điều
khiển, thời gian, không gian mạng, header và nội dung email, nickname và nội dung chat,
công cụ tấn công, thông tin trao đổi của tội phạm…
Thời gian qua, những dữ liệu điện tử được thu thập được qua các vụ tấn công của
tội phạm sử dụng công nghệ thông tin, mạng viễn thông như đã nêu thường được sử dụng
có hiệu quả trong công tác trinh sát, điều tra, truy tố và xét xử tội phạm dưới nhiều hình
thức khác nhau, được chuyển hóa làm chứng cứ có giá trị chứng minh về tội phạm. Loại
nguồn chứng cứ này gián tiếp phục vụ chứng minh tội phạm có hiệu quả, thậm chí trong
nhiều vụ án chỉ thu được thông tin trong dữ liệu điện tử làm chứng cứ và trong nhiều trường
hợp, loại nguồn chứng cứ này có ý nghĩa quyết định đến thành công của hoạt động tố tụng
hình sự. Tuy nhiên, Bộ luật Tố tụng hình sự năm 2003 chưa công nhận dữ liệu điện tử là
một nguồn chứng cứ, vì vậy cũng chưa có quy định cụ thể về mặt tố tụng hình sự liên quan
đến loại nguồn chứng cứ này.
1.4.
Tổng quan về việc thu thập và phục hồi chứng cứ điện tử từ thiết bị di động
Nhằm che giấu hành vi phạm pháp, khi bị phát hiện hoặc ngay sau sử dụng để thực
hiện hành vi, đối tượng hủy hoại hoặc làm hỏng thiết bị điện tử di động, gây khó khăn cho
công tác thu thập chứng cứ của cảnh sát. Đối phó với việc này, cảnh sát một số nước đã
phát triển những công cụ để có thể khôi phục chứng cứ điện tử từ thiết bị đã bị hư hỏng
nặng.
14
Thiết bị điện tử di động thông thường lưu trữ nhiều loại dữ liệu như thông tin liên
lạc, ảnh, lịch, ghi chú, tin nhắn… và điện thoại thông minh đang ngày càng thịnh hành hiện
nay còn lưu trữ được thư điện tử, video, thông tin vị trí, truy cập Internet…
Việc sử dụng thiết bị nhỏ gọn, di động có khả năng lưu trữ dung lượng lớn dữ liệu,
truyền tải dễ dàng qua Internet thông qua sóng 3G, 4G… khiến người dùng có thêm nhiều
tiện ích nhưng cũng là phương tiện để tội phạm lợi dụng hoạt động phạm tội xuyên quốc
gia, mang tính toàn cầu.
Tội phạm lợi dụng thiết bị này để thực hiện nhiều tội phạm nghiêm trọng như khủng
bố, buôn bán người, buôn bán vũ khí, giết người, tham nhũng hoặc hoạt động gián điệp, do
thám… Tất cả đang đặt ra nhiều yêu cầu mới đối với kỹ thuật hình sự hiện nay.
Chứng cứ được khôi phục từ thiết bị điện tử di động có thể đến từ nhiều nguồn như
ổ cứng, thẻ SIM, thẻ nhớ ngoài… Kỹ thuật hình sự về thiết bị điện tử di động truyền thống
liên quan đến việc khôi phục dữ liệu tin nhắn, lịch sử cuộc gọi, danh sách liên lạc, thông
tin mã IMEI. Tuy nhiên, kỹ thuật hình sự hiện đại yêu cầu cao hơn về việc truy nguyên dữ
liệu từ lịch sử truy cập Internet, cài đặt mạng không dây, thông tin định vị trí, thư điện tử,
thông tin truy cập mạng xã hội…
Với các phương tiện và phương pháp hiện nay, các kỹ thuật viên hình sự có khả năng
xác định được chính xác thời gian ghi hình của bức ảnh hoặc video, thậm chí khôi phục
được tấm ảnh gốc ngay cả khi tấm ảnh kỹ thuật số đã bị chỉnh sửa làm biến dạng một số
đặc điểm.
Luật pháp một số nước bắt buộc người dùng nếu muốn sử dụng thiết bị điện tử di
động phải chấp nhận một số quy định về an ninh trật tự và phục vụ phòng, chống tội phạm.
Liên minh châu Âu yêu cầu tất cả các nước thành viên phải duy trì hệ thống cơ sở dữ liệu
thông tin liên lạc phục vụ điều tra hình sự, trong đó bao gồm tất cả dữ liệu về cuộc gọi đi
và đến. Vị trí của thiết bị điện tử di động cũng phải được xác định và dữ liệu này được lưu
giữ.
Tại Mỹ, tùy theo từng bang mà pháp luật bang đó yêu cầu lưu giữ thông tin tin nhắn
từ 1 - 2 tuần, lịch sử cuộc gọi từ vài tuần đến vài tháng nhưng tất cả các bang đều quy định
khi cơ quan thực thi pháp luật có văn bản yêu cầu các nhà cung cấp dịch vụ mạng cấp dữ
liệu mà nhà cung cấp nào cố tình không cung cấp sẽ bị phạt rất nặng, thậm chí rút ngay giấy
phép hoạt động.
15
Để phòng chống tội phạm tài chính, một số nước yêu cầu tất cả các phần mềm được
cấp phép sử dụng trong lĩnh vực tài chính kế toán phải có chế độ cấm xóa sau khi dữ liệu
đã được nhập hoàn chỉnh và toàn bộ thông tin đó phải được lưu trữ vĩnh viễn để khi cần và
có yêu cầu chính thức của tòa án hoặc các cơ quan tiến hành tố tụng, thông tin đó có thể
được trích xuất phục vụ điều tra hoặc được sử dụng làm chứng cứ buộc tội tại tòa án.
Ngoài việc sử dụng thiết bị khôi phục dữ liệu điện tử đã bị xóa, ghi chèn, ghi đè hoặc
chỉnh sửa… cảnh sát một số nước đã phát triển được những thiết bị và phần mềm để có thể
định vị, thu thập dữ liệu từ xa, chống phá sóng, lọc nhiễu, lọc thông tin liên lạc, khôi phục
dữ liệu từ phần cứng và phần mềm. Kỹ thuật hình sự hiện đại sử dụng tiện ích một số phần
mềm như AccessData, Sleuthkit, EnCase… để trích xuất được dữ liệu từ bộ nhớ hình ảnh
của thiết bị điện tử di động như thông tin về thời gian, địa điểm, đối tượng được ghi hình…
Có loại thiết bị được cảnh sát sử dụng để tìm kiếm, lọc soát trên Internet để xác định
được dữ liệu nào đã được gửi đi qua Internet từ thiết bị di động đang kiểm tra. Để tránh dữ
liệu điện tử bị xóa hay tẩu tán, cảnh sát một số nước đã sử dụng phần mềm khống chế để
cho phép người dùng có thể tiếp tục sử dụng thiết bị di động làm việc hoặc sinh hoạt nhưng
không thể xóa hoặc tẩu tán dữ liệu đang có trên thiết bị.
Để tránh trường hợp một số người dùng thiết bị điện tử bị người khác mượn hoặc sử
dụng trộm thiết bị hoạt động phạm pháp, kỹ thuật hình sự hiện đại ở một số nước đã có khả
năng cung cấp phần mềm xác định "chính chủ".
Có nghĩa là, khi phần mềm này được cài đặt vào thiết bị điện tử với sự xác nhận
bằng giọng nói hoặc vân tay của chủ nhân thiết bị thì khi cảnh sát cần xác minh sự thật,
phần mềm này có thể cung cấp sự xác thực về việc có đúng là người đó đã sử dụng thiết bị
vào thời điểm, địa điểm đó để thiết lập dữ liệu hoặc gửi, nhận, truy cập thông tin đáng ngờ
đó không.
Nhằm che giấu hành vi phạm pháp, khi bị phát hiện hoặc ngay sau sử dụng để thực
hiện hành vi, đối tượng hủy hoại hoặc làm hỏng thiết bị điện tử di động, gây khó khăn cho
công tác thu thập chứng cứ của cảnh sát. Đối phó với việc này, cảnh sát một số nước đã
phát triển những công cụ rất lợi hại để có thể khôi phục chứng cứ điện tử từ thiết bị đã bị
hư hỏng nặng.
16
1.5.
Kết chương
Như vậy, chương I đã nêu, giới thiệu tổng quan về chứng cứ điện tử, thu thập và
phục hồi chứng cứ điện tử từ thiết bị di động.
Ý thức được sự cấp thiết của tình hình, cảnh sát các nước trên thế giới đều quan tâm
đến việc tạo hành lang pháp lý cần thiết cũng như phát triển phương tiện, phần mềm để
phục vụ việc thu thập chứng cứ từ thiết bị điện tử di động phục vụ truy nguyên, điều tra
hình sự.
Tổ chức cảnh sát hình sự quốc tế Interpol cũng đã có nhiều biện pháp để điều phối
nâng cao hiệu quả hợp tác, đào tạo, chia sẻ kinh nghiệm quốc tế trong lĩnh vực này. Tuy
nhiên, dù đã đạt được nhiều tiến bộ trong thu thập chứng cứ phục vụ điều tra hình sự nhưng
sự phát triển và thay đổi nhanh chóng của các loại thiết bị điện tử di động đang đặt ra thách
thức này càng lớn đối với kỹ thuật hình sự hiện nay.
Làm thế nào để hạn chế đến mức thấp nhất khả năng lợi dụng của các đối tượng tội
phạm để hoạt động phạm tội và có thể thu thập được tối đa chứng cứ điện tử khi cần thiết
từ thiết bị điện tử di động để phục vụ hoạt động phòng, chống tội phạm là yêu cầu và bài
toán không hề dễ giải đối với lực lượng cảnh sát trên toàn thế giới hiện nay.
17
CHƯƠNG II. CÁC PHƯƠNG PHÁP KỸ THUẬT, QUY TRÌNH THU THẬP
VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG
2.1.
Các thông tin lưu trữ trên điện thoại di động
Điện thoại di động có thể lưu trữ các thông tin ở nhiều nơi khác nhau:
-
Thẻ SIM
Bộ nhớ trong
Thẻ nhớ ngoài (đối với những loại máy có khe cắm thẻ nhớ)
Ngoài ra, một số thông tin về thuê bao và chi tiết các cuộc gọi còn được lưu lại bởi
nhà cung cấp dịch vụ.
2.1.1. Thông tin lưu trữ trên SIM:
Thẻ SIM là một loại thẻ thông minh được dùng trong các loại máy sử dụng mạng
GSM, nó cho phép người sử dụng kết nối tới mạng và xác định tính duy nhất của thuê bao
trong mạng. Thẻ SIM chứa các thông tin bao gồm thông tin về thuê bao di động, và một số
thông tin cá nhân khác, như:
-
-
Các tin nhắn SMS đã nhận và đã gửi (thông thường SIM có thể lưu được khoảng 2030 tin nhắn SMS)
Nhật ký điện thoại: Chứa các thông tin về các cuộc liên lạc. Tuỳ thuộc vào từng hãng
sản xuất điện thoại mà SIM có thể chứa hoặc không chứa các thông tin về nhật ký
điện thoại.
Danh bạ điện thoại: Tuỳ thuộc vào từng loại SIM, thông thường một SIM có thể cho
phép lưu được từ 250 đến 500 số điện thoại.
Số Se-ri: Xác định nhà sản xuất, phiên bản hệ điều hành, số của SIM.
Thông tin về trạng thái của SIM: Cho biết SIM bị chặn hay không bị chặn.
Số nhận dạng thuê bao di động quốc tế IMSI, đảm bảo mỗi thuê bao là duy nhất
trong mạng GSM trên toàn thế giới.
Mã dịch vụ (cho mạng GSM).
Các thuật toán nhận thực và bảo mật A3, A8, A5.
Khoá nhận thực thuê bao riêng Ki.
Số điện thoại di động quốc tế MSISDN.
Các khoá cho quá trình cá nhân hoá SIM.
Thông tin về vị trí hiện tại (hoặc tại thời điểm gần nhất) của điện thoại.
Mã số nhận dạng cá nhân PIN.
Mã số mở khóa cá nhân PUK.
18
2.1.2. Thông tin lưu trữ trên bộ nhớ trong
Từ cuối những năm 1990, các nhà sản xuất đã tích hợp thêm bộ nhớ vào trong các
điện thoại di động để chúng có thể lưu trữ được nhiều thông tin hơn. Ngoài việc lưu trữ trên
SIM, dữ liệu còn được lưu trữ trên bộ nhớ trong của điện thoại di động. Tuỳ thuộc vào dung
lượng bộ nhớ mà có thể lưu được nhiều hay ít thông tin. Thông thường bộ nhớ trong của
điện thoại lưu những thông tin sau đây:
-
Chế độ cài đặt điện thoại
Các file hệ thống của hệ điều hành
-
Tin nhắn SMS/MMS. Khi SIM đã chứa đầy các tin nhắn SMS thì các tin nhắn được
lưu vào bộ nhớ của điện thoại. Hoặc tuỳ theo cài đặt của người sử dụng mà toàn bộ
-
tin nhắn có thể được lưu trên điện thoại.
Nhật ký điện thoại: Chứa các thông tin về các cuộc liên lạc.
Lịch và ghi nhớ các cuộc hẹn.
Thời gian: ngày và giờ.
Nhạc chuông
Các file âm thanh, hình ảnh (thông thường những file này được lưu ở thẻ nhớ ngoài)
Các chương trình ứng dụng. Tuỳ thuộc vào từng loại máy và hệ điều hành mà người
sử dụng có thể lựa chọn cài đặt ứng dụng nên bộ nhớ của máy hoặc thẻ nhớ ngoài.
2.1.3. Các thông tin lưu trữ trên thẻ nhớ ngoài
Do nhu cầu của người sử dụng điện thoại đòi hỏi chiếc điện thoại phải làm được
chức năng như một chiếc máy tính nên khả năng lưu trữ dữ liệu của điện thoại cũng được
mở rộng. Nhiều loại điện thoại cho phép hỗ trợ thẻ nhớ ngoài, nâng khả năng lưu trữ dữ
liệu của điện thoại lên tới và GB. Một số dữ liệu có thể được lưu trữ trên cả bộ nhớ trong
lẫn thẻ nhớ. Thẻ nhớ ngoài lưu trữ các thông tin cũng giống như bộ nhớ trong như:
-
Các file hệ thống
-
Tin nhắn SMS/MMS
Các chương trình ứng dụng được cài trên điện thoại
Lịch và ghi nhớ các cuộc hẹn
Các file âm thanh, hình ảnh
Các chương trình ứng dụng
Thẻ nhớ ngoài giúp mở rộng khả năng lưu trữ trên điện thoại, nó cho phép người sử
dụng có thể lưu trư được nhiều thông tin hơn so với khả năng của bộ nhớ được tích hợp
19
trong điện thoại. Thẻ nhớ là một thiết bị lưu trữ bất biến, khi tháo thẻ nhớ ra khỏi thiết bị
thì dữ liệu cũng không bị mất đi.
2.2.
Tổng quan về kỹ thuật khai thác dữ liệu trên điện thoại di động
Khai thác dữ liệu trên điện thoại di động hiện nay là một vấn đề khá mới mẻ trong
lĩnh vực điều tra tội phạm, nhưng nó đang dần dần chứng tỏ vai trò của mình trong việc
giải quyết các vụ án. Khai thác dữ liệu từ điện thoại di động giúp cho các nhà điều tra có
thể tìm được nhiều chứng cứ mà các cách điều tra thông thường không thể có được. Khai
thác dữ liệu trên điện thoại di động nhằm mục đích:
-
Trích xuất toàn bộ và không làm thay đổi các thông tin trên điện thoại di động
-
Phân tích các thông tin đã trích xuất và tìm ra các chứng cứ liên quan tới vụ án.
Cung cấp cho điều tra viên những thông tin có độ tin cậy cao có thể được sử dụng
để làm bằng chứng tại tòa án.
Trong những năm gần đây, thu thập, khai thác dữ liệu trên các thiết bị cầm tay nói
chung và trên điện thoại di động nói riêng đã được triển khai ở nhiều nước trên thế giới. Đã
có nhiều tổ chức tham gia vào lĩnh vực này và cũng đã có nhiều công cụ hữu hiệu cho phép
khai thác dữ liệu trên thiết bị di động. Mỗi kỹ thuật có một thế mạnh riêng về một nội dung
cần khai thác.
Khai thác dữ liệu trên điện thoại di động là một bài toán khó và khá mới mẻ. Để giải
quyết được bài toán này đòi hỏi cán bộ điều tra phải có kiến thức nhất định về thiết bị cần
khai thác và các công cụ khai thác, đối với mỗi loại thiết bị phải tìm được phương pháp
khai thác có hiệu quả nhất. Việc khai thác cũng phải được thực hiện theo đúng quy trình
tránh làm mất dữ liệu và đảm bảo giá trị pháp lý của các dữ liệu khai thác được.
2.3.
Kỹ thuật khai thác dữ liệu trên bộ nhớ trong
2.3.1. Kỹ thuật khai thác dữ liệu qua giao diện sử dụng
Kỹ thuật khai thác dữ liệu sử dụng giao diện người dùng để khai thác các nội dung
bộ nhớ điện thoại. Điều tra viên thực hiện chụp ảnh nội dung của mỗi màn hình giao diện
người sử dụng.
Ưu điểm: Kỹ thuật này có ưu điểm đó là không cần thiết phải sử dụng công cụ, các
thiết bị chuyên dụng để khai thác dữ liệu. Trong thực tế phương pháp này được áp dụng
khai thác dữ liệu trên các thiết bị: cell phone, PDA, hệ thống cố định. Và kỹ thuật này luôn
luôn được thực hiện nhằm chăm sóc và bảo vệ tính toàn vẹn cho thiết bị trước khi tiến hành
các kỹ thuật khai thác phức tạp hơn.
20
Nhược điểm: Chỉ khai thác được những dữ liệu được hiển thị, tất cả dữ liệu khai
thác được khai thác dưới dạng hình ảnh và quá trình thực hiện kỹ thuật này tốn nhiều thời
gian.
2.3.2. Kỹ thuật khai thác vật lý
Hiện nay các công cụ khai thác dữ liệu thương mại ngày càng phát triển, đổi mới và
mở rộng hỗ trợ điện thoại tăng khả năng phục hồi dữ liệu. Nhưng trên thực tế có một số
lượng lớn các thiết bị cần khai thác dữ liệu phục vụ cho công tác điều tra vụ án, điều này
tiếp tục thách thức các nhà sản xuất tạo ra công cụ giám định với các chức năng thay thế
cho thiết bị khai thác dữ liệu. Để đáp ứng yêu cầu này cung cấp khai thác dữ liệu bit–by–
bit từ công cụ khai thác thương mại ngày càng tăng, trong nhiều trường hợp kỹ thuật khai
thác vật lý không thể thực hiện được nếu không truy cập trực tiếp vào bộ nhớ. Ngoài ra, đối
với các thiết bị hư hỏng hoặc thiết bị bị khoá mà vượt quá khả năng của các công cụ khai
thác dữ liệu hiện nay. Vì vậy, kỹ thuật khai thác vật lý là giải pháp đáp ứng được các yêu
cầu đảm bảo cho quá trình khai thác dữ liệu trong các trường hợp này.
Kỹ thuật khai thác vật lý là kỹ thuật dữ liệu được khai thác bằng phương pháp đọc
trực tiếp bộ nhớ
Ưu điểm:
-
Toàn bộ dữ liệu được khai thác.
Áp dụng phương pháp này cho trường hợp điện thoại bị hỏng hoặc thiết bị không
có giao diện.
Nhược điểm:
-
Khó thực hiện, rất khó để phân tích dữ liệu,
-
Phần mềm khai thác dữ liệu đắt, cần thiết bị phần cứng riêng biệt để khai thác dữ
liệu.
-
Không an toàn cho dữ liệu đang hoạt động. Thành công của phương pháp này
phụ thuộc vào kinh nghiệm điều tra của kỹ thuật viên, một thao tác không chính
xác trong kỹ thuật điều tra có thể phá hủy toàn bộ thiết bị và dữ liệu trong thiết
bị điện thoại di động.
Trong kỹ thuật khai thác vật lý gồm ba phương pháp:
-
Phương pháp khai thác dữ liệu qua giao diện JTAG
-
Phương pháp khai thác dữ liệu qua chip nhớ
21
-
Phương pháp khai thác dữ liệu qua bộ nạp khởi động (bootloader)
2.3.3. Kỹ thuật khai thác logic
Kỹ thuật khai thác logic là copy từng bit trên các đối tượng lưu trữ logic như là thư
mục, file, mà nằm trong bộ nhớ logic (ví dụ đó là một phân vùng hệ thống file).
Kỹ thuật khai thác dữ liệu logic thực hiện tương tác với hệ điều hành để trích xuất
dữ liệu.
Ưu điểm:
-
Dễ dàng thực hiện, dễ phân tích, an toàn với dữ liệu đang hoạt động.
-
Phần mềm sử dụng khai thác dữ liệu giá cả phải chăng, không cần đến thiết bị
phần cứng chuyên dụng.
Nhược điểm:
-
Việc thiết lập kết nối dữ liệu có thể làm thay đổi dữ liệu.
-
Một số dữ liệu được khai thác, những dữ liệu đã bị xóa vẫn còn trong hệ thống,
có thể bị xóa không thể khôi phục được.
-
Một số trường hợp không thể áp dụng phương pháp này đó là: Khi điện thoại
hỏng không thể sửa chữa, hoặc khi các thiết bị không có giao diện.
Khai thác dữ liệu của một thiết bị là kỹ thuật được sử dụng phổ biến trong các công
cụ giám định hiện nay, khi thực hiện kỹ thuật khai thác này yêu cầu thiết bị còn hoạt động
được. Mục tiêu trong quá trình khai thác dữ liệu không làm thay đổi dữ liệu, ảnh hưởng đến
thiết bị. Để làm được điều này yêu cầu điều tra viên cần có kiến thức về thiết bị và tuân thủ
quy trình điều tra.
Ngày tháng và thời gian trên điện thoại di động là một thông số quan trọng của thông
tin khai thác được. Ngày và thời gian có thể được lấy từ mạng hoặc thiết lập do người sử
dụng. Nghi phạm có thể thiết lập lại thời gian để lấy chứng cứ ngoại phạm trong các cuộc
gọi và tin nhắn được khai thác trên điện thoại. Nếu điện thoại khi thu thập được từ các vụ
án có thời gian đang được thiết lập khác thời gian tham chiếu đồng hồ đã được ghi lại, thì
cần xác nhận lại thông qua quá trình khai thác để có bằng chứng hữu ích. Nếu điện thoại
được tắt khi bị thu giữ, có sự khác biệt thời gian thiết lập và thời gian tham chiếu lên đồng
hồ được ghi lại trong lần khởi động thiết bị đầu tiên. Lưu ý rằng các hành động được thực
hiện trong quá trình khai thác như là tháo pin ra khỏi thiết bị cũng có thể ảnh hưởng đến
giá trị thời gian.
22
Không giống như máy tính để bàn hoặc các máy chủ mạng, chỉ có một vài thiết bị
điện thoại có đĩa cứng và thay thế hoàn toàn bằng bộ nhớ bán dẫn. Phần mềm chuyên dụng
tồn tại để thực hiện khai thác dữ liệu logic dữ liệu PIM cho một số điện thoại, tạo ra hình
ảnh vật lý. Tuy nhiên nội dung của một điện thoại thông thường có tính động và liên tục
thay đổi. Sử dụng hai khai thác dữ liệu liền nhau (back-to-back) cho một thiết bị sử dụng
cùng một công cụ khai thác để có thể cho kết quả tổng quan khác nhau, mặc dù phần lớn
thông tin vẫn không thay đổi.
Dữ liệu được khai thác thông qua giao thức truyền thông phổ biến giữa PC và
mobile: AT, OBEX, SyncML và một số giao thức khác thường được sử dụng trong khai
thác logic của điện thoại di động. Bởi vì, mỗi thiết bị điện thoại di động có thể hỗ trợ nhiều
giao thức, một công cụ có thể hỗ trợ nhiều giao thức nhằm thực hiện quá trình khai thác dữ
liệu nhiều nhất.
Để có thể phục vụ tốt hơn cho người sử dụng, các sản phẩm điện thoại di động được
các hãng sản xuất, phát triển luôn chú ý tới các chuẩn giao tiếp với máy tính – thiết bị được
sử dụng rộng rãi trong thời đại này. Sử dụng các thiết bị hỗ trợ như cáp DKU-2, DKU-5,…
người sử dụng có thể kết nối dễ dàng điện thoại của mình với máy tính qua cổng USB từ
đó tuỳ chỉnh, thay đổi cho phù hợp với sở thích và yêu cầu của cá nhân. Thông qua các thiết
bị này, chúng ta có thể khai thác được các thông tin lưu trong điện thoại di động. Kết hợp
sử dụng các phần mềm hỗ trợ khai thác thông tin trên điện thoại di động, chúng ta có thể
thu thập được thông tin cần thiết cho quá trình điều tra, phục vụ công tác điều tra tội phạm
công nghệ cao.
Có ba cách cho phép điện thoại di động có thể dễ dàng kết nối với máy tính. Đó là:
2.4.
-
Kết nối qua cổng hồng ngoại
-
Kết nối qua Bluetooth
-
Kết nối thông qua cáp dữ liệu
Kỹ thuật khai thác dữ liệu trên SIM
2.4.1. Kết nối SIM với máy tính thông qua đầu đọc SIM
Như chúng ta đã biết, SIM điện thoại thường chứa nhiều thông tin quan trọng như
các tin nhắn SMS, danh bạ… Việc khai thác những thông tin này có thể được tiến hành
ngay trên điện thoại tuy nhiên cách này không hiệu quả và không phục hồi lại được những
thông tin đã bị xoá. Để khai thác được toàn bộ các thông tin trên SIM, ta kết nối SIM trực
23
tiếp với máy tính qua một đầu đọc thẻ SIM. Đầu đọc thẻ SIM là một thiết bị nhỏ cỡ một
chiếc USB, có một đầu tích hợp cổng USB và có một khe để lắp SIM điện thoại.
Phương pháp chụp ảnh trực tiếp dữ liệu trên SIM có thể không thực hiện bởi vì các
cơ chế bảo mật được xây dựng trong các module. Thay vào đó các công cụ giám định gửi
một lệnh chỉ thị gọi là các đơn vị dữ liệu giao thức ứng dụng (APDUs) đến SIM để khai
thác dữ liệu logic, từ mỗi file dữ liệu cơ bản của hệ thống tệp tin. Giao thức APDU trao đổi
đáp ứng một lệnh đơn. Mỗi phần tử của hệ thống tệp tin được định nghĩa trong các tiêu
chuẩn GSM, có một số tên được khai báo, ở đó có thể được sử dụng thông qua hệ thống tệp
tin và khôi phục dữ liệu bằng các tham chiếu một phần tử và thực hiện một số hoạt động,
như là đọc nội dung của định danh đó. Bởi vì, SIM là các thiết bị tiêu chuẩn cao, một số
vấn đề còn tồn tại liên quan đến việc khai thác dữ liệu logic trên SIM. Đó là việc lựa chọn
công cụ mà báo cáo trạng thái mã PIN và khôi phục dữ liệu cần quan tâm. Sự khác biệt còn
tồn tại trong khôi phục dữ liệu bởi công cụ SIM đó là: khôi phục chỉ một số dữ liệu có liên
quan trong cuộc điều tra và khôi phục hoàn toàn của tất cả dữ liệu, mặc dù chỉ liên quan
đến một vài dữ liệu điều tra.
2.5.
Khai thác dữ liệu trên thẻ nhớ
Các điện thoại di động sử dụng một số thẻ nhớ khác nhau. Không giống như RAM
trong thiết bị, đây là phương tiện lưu trữ di động và không yêu cầu cần nguồn nuôi lưu trữ
dữ liệu. Thẻ nhớ dung lượng lưu trữ 8 MB đến 512 GB và có thể hơn. Thẻ nhớ ngày càng
nhỏ hơn và dung lượng lớn hơn. Một vài công cụ giám định có thể cho phép khai thác dữ
liệu trên các thẻ nhớ. Nếu sử dụng kỹ thuật khai thác dữ liệu logic, dữ liệu đã bị xoá hiện
nay không khôi phục lại được. Vì vậy, thiết bị này sẽ được xử lý tương tự như một ổ đĩa
cứng di động, chụp ảnh và phân tích bằng cách sử dụng các công cụ giám định kết hợp với
việc sử dụng một đầu đọc thẻ nhớ bên ngoài.
24
2.6.
Một số phần mềm khai thác dữ liệu điện thoại di động phổ biến
Nguồn
Phân
tích/khai
thác logic
PDA / Cell Seizure
NIST
X
X
X
GSM .XRY / XACT
NIST, IWMF, WMAF
X
X
X
Oxygen PM
NIST
X
MOBILedit! Forensic
NIST
X
TULP2G
NIST
X
CellDEK
NIST
X
Not
stated
Not
stated
PhoneBase
NIST
X
Secure View
NIST
X
IWMF, WMAF
X
X
Universal Forensic
Extraction Device
CWM
X
X
Physical Analyzer
CWM
X
WinHex Forensic
Edition
CWM
X
Forensic Toolkit
CWM
X
Encase
CWM
Foremost
CWM
X
Scalpel
CWM
X
Simple File Carver
CWM
X
Phone Image Carver
CWM
X
Phần mềm khai thác
dữ liệu
ITSUTILS
X
Khai
Phân
thác vật tích vậy
lý
lý
X
Bảng 2.1: Một số phần mềm khai thác dữ liệu trên điện thoại di động
25
X
