Tìm kiếm chứng cứ số qua điều tra thiết bị di động

09:39 | 14/01/2015

Việc sử dụng các thiết bị di động trên thị trường (đặc biệt là điện thoại thông minh) với mục đích phạm tội đã phát triển rộng rãi trong những năm gần đây. Tuy nhiên, các nghiên cứu về việc điều tra dựa trên thiết bị di động còn ít được đề cập tới và hoạt động điều tra các thiết bị di động để thu thập các chứng cứ số còn gặp nhiều khó khăn và khó có thể đáp ứng bằng các kỹ thuật điều tra máy tính hiện tại. Bài báo này cung cấp một cách thức tiến hành điều tra thiết bị di động.

Các yếu tố cần thiết để tiến hành điều tra thiết bị di động

Cũng như các loại hình điều tra số khác, kỹ thuật điều tra các thiết bị di động phải liên tục phát triển để theo kịp các công nghệ điện tử - viễn thông mới, qua đó có thể phát hiện các chứng cứ số có liên quan đến cuộc điều tra. Dữ liệu di động có thể được trích xuất và sử dụng để đưa vào các báo cáo cung cấp thông tin liên lạc, thói quen di chuyển về một cá nhân cụ thể. Các câu hỏi thường được đặt ra khi tiến hành một cuộc điều tra thiết bị di động như: xử lý thiết bị di động như thế nào khi tiếp nhận để không làm mất các chứng cứ số? và làm thế nào để kiểm tra được các dữ liệu ẩn hoặc có giá trị liên quan chứa trên thiết bị?....

Chìa khóa để trả lời những câu hỏi này chính là các đặc tính kỹ thuật của các hệ thống thông tin di động và bản thân thiết bị di động.

Hệ thống thông tin di động

Hệ thống bao gồm các cột thu phát sóng, thiết bị chuyển tiếp và công nghệ của mạng di động. Có 2 công nghệ chi phối hầu hết các mạng di động là đa truy cập (Code Division Multiple Access - CDMA) và hệ thống toàn cầu cho truyền thông di động (Global System for Mobile - GSM). CDMA sử dụng công nghệ trải phổ (Spread spectrum) để tối ưu hóa sử dụng băng thông. Trong khi đó, GSM sử dụng công nghệ phổ nhọn (Wedge spectrum) để cung cấp sóng mang (carrier). GSM sử dụng cả hai phương thức phân chia theo thời gian (Time Division Multiple Access - TDMA) và theo tần số (Frequency Division Multiple Access - FDMA). Đối với mạng GSM, các nhà mạng cung cấp một môđun định danh (Subscriber Identity Module - SIM) để xác định người dùng. Chức năng chính của SIM là phải xác thực người sử dụng của điện thoại di động khi truy cập vào mạng, để sử dụng các dịch vụ đăng ký. SIM cũng cung cấp khả năng lưu trữ thông tin cá nhân như danh bạ điện thoại, tin nhắn văn bản, các dịch vụ thông tin liên quan. Trong khi đó, các mạng CDMA sẽ đối chiếu một chiếc điện thoại với danh sách thuê bao của họ. Chính vì lý do này mà hầu hết các điện thoại sử dụng mạng CDMA không có thẻ SIM. Mặc dù khác nhau về công nghệ, nhưng các mạng di động được tổ chức tương tự nhau. Sự hiểu biết về các đặc điểm của hệ thống mạng di động giúp nhận dạng thiết bị, xác định vị trí địa lý, thông tin sơ bộ về thiết bị di động một cách nhanh chóng.

Thiết bị di động 

Thiết bị di động ở đây được hiểu là bất kỳ các thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng. Thiết bị di động có chứa đầy đủ các thành phần như một máy tính cá nhân gồm: bộ vi xử lý, bộ nhớ chỉ đọc (ROM), bộ nhớ truy cập ngẫu nhiên (RAM), bộ xử lý tín hiệu kỹ thuật số, màn hình.... Các thiết bị di động cơ bản và tiên tiến thường sử dụng một hệ điều hành độc quyền của công ty như Palm, Windows Phone, RIM, Symbian, Linux....

Việc nắm rõ đặc điểm, cấu trúc của thiết bị di động sẽ giúp xác định được chính xác phương thức tiến hành điều tra số.

Các bước thực hiện điều tra thiết bị di động

Theo tài liệu của Viện Tiêu chuẩn và Kỹ thuật Quốc gia Hoa Kỳ (NIST), điều tra thiết bị di động được chia làm 5 giai đoạn chính: Chuẩn bị (Preparation), thu thập dữ liệu (Acquisition), kiểm tra (Examination), phân tích (Analysis) và lập báo cáo (Reporting).



Giai đoạn 1: Chuẩn bị

Giai đoạn này bao gồm các bước trao đổi thông tin ban đầu, xây dựng kế hoạch và chuẩn bị cho các bước điều tra. Trước khi điều tra một đối tượng phải được sự thoả thuận và ký kết chính thức từ các bên tham gia, nhằm tạo cơ sở pháp lý đảm bảo trong quá trình điều tra, những thông tin quan trọng không bị rò rỉ. Những mô tả lại thông tin hệ thống, những hành vi đã xảy ra, các dấu hiệu để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ được sử dụng trong suốt quá trình điều tra.

Giai đoạn 2: Thu thập dữ liệu

Qua tiếp xúc trực tiếp với thiết bị, dữ liệu thu thập càng nhiều thì khả năng thu được những bằng chứng số càng lớn. Đối với thiết bị không yêu cầu về mật khẩu hoặc các kỹ thuật xác thực truy cập, người điều tra có thể truy cập dữ liệu người dùng ở những vùng nhớ khác nhau, từ đó thực hiện hướng điều tra tiếp theo. Nhưng với các thiết bị yêu cầu mật khẩu và các kỹ thuật xác thực người dùng, thì người điều tra cần phải vượt qua cơ chế xác thực. Nếu việc này không thành công thì dễ dẫn đến hiện tượng bị mất hoàn toàn dữ liệu và việc khôi phục thông tin sẽ rất khó khăn. Khi đó, người điều tra cần phải sử dụng phần mềm khác hoặc can thiệp tới nền tảng phần cứng để vượt qua lớp xác thực trên thiết bị. Sau khi tiếp cận được dữ liệu, cần tiến hành thực hiện nhận dạng và kiểm tra bộ nhớ thiết bị di động. 

Nhận dạng thiết bị di động: Để nhận dạng được thiết bị di động, cần tiến hành thực hiện việc kiểm tra đặc điểm của thiết bị, đặc điểm của phụ kiện thiết bị, nhãn hiệu thiết bị và thông tin nhà cung cấp, nhà mạng xác định vị trí thiết bị. Trên mỗi thiết bị di động thường có chứa các thông số định danh duy nhất, mà có thể dễ nhận thấy trên bản thân thiết bị hoặc các phụ kiện đi kèm như: dãy số nhận dạng thiết bị di động (IMEI), Model, ESN, thông tin thẻ SIM,… từ đó thực hiện tra cứu các thông tin về thông số kỹ thuật, tính năng, loại và nhà sản xuất của điện thoại cần điều tra.

Kiểm tra bộ nhớ: Cần phải tiến hành kiểm tra toàn bộ các bộ nhớ của thiết bị di động nhằm thu được nhiều chứng cứ số. Việc kiểm tra có thể được tiến hành trên 2 bộ nhớ phổ biến như:

- Bộ nhớ điện thoại dùng để lưu trữ hệ điều hành, bao gồm: nhân, trình điều khiển và hệ thống hàm thư viện dùng để thực thi ứng dụng, hệ điều hành. Ngoài ra, nó còn được dùng để lưu trữ ứng dụng của người dùng và các dữ liệu khác (văn bản, hình ảnh, âm thanh, video....).

- Bộ nhớ SIM gồm các dữ liệu về các dịch vụ, định danh duy nhất cho SIM, số thuê bao, danh bạ và thông tin về các liên lạc đã được thực hiện.

Giai đoạn 3, 4: Kiểm tra và phân tích

Quá trình kiểm tra và phân tích thường được tiến hành song song. Kiểm tra nhằm phát hiện ra bằng chứng số, gồm các bằng chứng bị ẩn hoặc bị che khuất, nhằm hiển thị nội dung và trạng thái của các dữ liệu một cách đầy đủ cả nguồn thông tin và ý nghĩa tiềm ẩn. Quá trình phân tích dựa trên kết quả kiểm tra để xác định các thông tin có ý nghĩa trực tiếp đối với từng trường hợp điều tra. Kết quả của giai đoạn này gồm các bằng chứng tiềm năng và hồ sơ thuê bao.

Giai đoạn 5: Báo cáo 

Đây là quá trình chuẩn bị một bản báo cáo chi tiết tất cả các bước đã thực hiện và kết luận đạt được trong cuộc điều tra của một trường hợp cụ thể. Báo cáo kết quả điều tra số phải mang tính khách quan, phản ánh trung thực những tình tiết xảy ra, có liên quan trực tiếp hoặc gián tiếp tới vụ việc và mang tính hợp pháp. Nội dung báo cáo phải cung cấp đầy đủ các thông tin cần thiết để xác định nguồn gốc, tình tiết, đưa ra những chứng cứ số được phát hiện trong quá trình điều tra.

Một số công cụ phục vụ trong điều tra thiết bị di động 

Nhiều công cụ hỗ trợ phục vụ quá trình điều tra thiết bị di động được phát triển bởi các hãng nổi tiếng hoặc tự bản thân nhà lập trình, chuyên gia điều tra số phát triển trong quá trình tác nghiệp. Để thu được các chứng cứ số, cần phải vận dụng và kết hợp linh hoạt các loại công cụ này. Một số công cụ điều tra thiết bị di động thông dụng: Network Connections, WPDeviceManager, PwnageTool, OXYGEN, Apktool, IPhone Analyzer, Wireshark,….

- Network Connection là ứng dụng nhỏ và miễn phí, dành riêng cho thiết bị di động sử dụng hệ điều hành Android, cho phép người dùng theo dõi được những tiến trình nào đang hoạt động trên thiết bị di động thực hiện kết nối ra bên ngoài và luồng dữ liệu trên các kết nối đó. Công cụ này có thể xác định thiết bị di động có ứng dụng gián điệp nào đang âm thầm hoạt động và lấy trộm các dữ liệu cá nhân hay không. Khi thực thi, Network Connection không gây tốn bộ nhớ và hiệu năng xử lý của hệ thống, khi kích hoạt không cần Root máy.

- WireShark là phần mềm dùng để xử lý các sự cố mạng, giám sát, theo dõi các kết nối mạng, chặn bắt và phân tích gói tin. WireShark phát hành những phiên bản đầu tiên năm 1998 với tên gọi Ethereal. Từ đó đến nay, WireShark phát triển mạnh mẽ, trở nên phổ biến và là công cụ hữu hiệu thường được các chuyên gia an ninh mạng sử dụng. WireShark cài đặt được trên đa hệ điều hành, hỗ trợ tới 850 giao thức và có thể tùy biến, giao diện thân thiện với người dùng, Wireshark cung cấp cả bản thương mại và bản miễn phí cho người sử dụng.

- Apktool là bộ công cụ để dịch ngược các ứng dụng chạy trên Andoird. Bản chất các file .apk là một dạng file đóng gói, tuy có thể giải nén và thu được những file đã được dịch nhưng không thể đọc được mã nguồn. Trong quá trình điều tra Apktook giúp dịch ngược file .apk thành dạng file .smali hoặc .dex để tìm hiểu hoạt động cốt lõi của ứng dụng.

- Windows Phone Device Manager là công cụ đồng bộ hóa dữ liệu trên thiết bị di động với máy tính, dành cho hệ điều hành Windows phone. Phần mềm này còn giúp can thiệp vào hệ thống thông qua máy tính nhằm điều chỉnh, quản lý, kiểm tra sự thay đổi các ứng dụng trước và sau khi cài đặt lên thiết bị di động, dễ dàng sử dụng các chức năng tin nhắn, mail trực tiếp trên máy tính, chia sẻ với máy tính cả về tiện ích lẫn hiệu suất phần cứng.

Sử dụngWP Device Manager để trích xuất SMS

Kết luận

Cùng với việc các thiết bị di động ngày càng phổ biến trong cuộc sống, hoạt động điều tra thiết bị di động sẽ cung cấp một nguồn bằng chứng số vô cùng quan trọng trong quá trình điều tra, truy tố trách nhiệm dân sự và hình sự. Tuy vậy, một trong những thách thức mà các nhà điều tra số phải đối mặt là luôn phải nắm bắt công nghệ tiên tiến nhất trong lĩnh vực CNTT - TT; phải có những phương án sẵn sàng đối mặt với giới tội phạm cũng như những hiểm họa tiềm tàng khi mà nhận thức của người dùng về bảo mật thiết bị di động còn chưa cao. Công tác điều tra thiết bị di động tại Việt Nam còn đang ở giai đoạn ban đầu và cần được đẩy mạnh đầu tư nghiên cứu và triển khai tác nghiệp.

 
Điều tra số điện thoại thông minh của hãng XiaoMi

Cuối tháng 7/2014, trang thông tin công nghệ Ocworkbench đã đăng tải thông tin tố cáo điện thoại thông minh Redmi Note của hãng điện thoại Xiaomi Trung Quốc âm thầm gửi dữ liệu thu thập được của người dùng về máy chủ tại Trung Quốc. Liên tiếp sau đó là phản hồi, đơn kiện của người dùng sản phẩm này trên toàn thế giới. Trước những cáo buộc đó, các cuộc điều tra số về nguy cơ an ninh mạng trên thiết bị di động của Xiaomi được thực hiện từ chính phủ Đài Loan, Singapore, công ty bảo mật F-Secure và các nhóm bảo mật khác. 

Thực hiện điều tra thiết bị di động được thực hiện trên đối tượng điện thoại Xiaomi Redmi Note, với thông số kỹ thuật gồm: bộ xử lý MT6592 MediaTek 8 nhân, tốc độ 1.4 GHz, RAM 1 GB….

Quá trình điều tra được chia làm hai giai đoạn: trước và sau khi cập nhật firmware MIUI JHECNBF30 của hãng.

Trước khi cập nhật firmware MIUI JHECNBF30

Lúc đầu khi không đăng nhập dịch vụ MiCloud của Xiaomi nhận thấy các dịch vụ trên máy thực hiện kết nối tới các máy chủ của Xiaomi tại Trung Quốc. Dịch vụ  này luôn chạy dù chế độ tự đồng bộ dữ liệu được tắt.

Thực hiện đăng nhập tài khoản MiCloud và tiến hành kiểm tra phân tích thiết bị. Sử dụng công cụ Javadecompile phân tích file CloudService.jar thấy dữ liệu danh bạ được gửi lên đám mây của Xiao.



Tiếp tục sử dụng công cụ Network Connections để theo dõi các kết nối của điện thoại sẽ nhận thấy dữ liệu trên thiết bị được gửi tới các máy chủ của Xiaomi, bao gồm hình ảnh, file nhạc, tin nhắn, ghi chú, danh bạ….


Kết Luận: Điện thoại đã gửi dữ liệu lên máy chủ Xiaomi mà không được sự cho phép của người sử dụng.

Sau khi cập nhật firmware MIUI JHECNBF30 

Tiến hành lần lượt thực hiện các bước điều tra như trên. Bước đầu tắt chế độ đồng bộ trên điện thoại. Dịch vụ MiCloudframework vẫn chạy ngầm và kết nối tới máy chủ “54.255.183.200” ở Singapore, “223.202.68.51” ở  Bắc Kinh – Trung Quốc,  “54.230.75.219” ở Mỹ. Nhưng các dịch vụ trên máy không còn thực hiện kết nối tới các máy chủ của Xiaomi tại Trung Quốc. 

Bật đồng bộ trên điện thoại và đăng nhập dịch vụ MiCloud, các kết nối vẫn được giữ nguyên, thêm vào đó là dữ liệu cũng được gửi lên máy chủ để đồng bộ dữ liệu người dùng với máy chủ, ở đây là được sự cho phép của người dùng.

Kết luận: Sau khi cập nhật firmware MIUI JHECNBF30 chưa phát hiện được hành vi âm thầm lấy dữ liệu của người dùng.