Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

Prosperity

#1code Điều tra số

Prosperity
Prosperity Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 439

Danh vọng : 769

Uy tín : 0

Điều tra số: Hành trình truy tìm dấu vết

Trong lĩnh vực an toàn, an ninh thông tin, cùng với việc đảm bảo an toàn vận hành hệ thống là khả năng ứng phó và giải quyết sự cố xảy ra để đưa hệ thống trở về trạng thái hoạt động bình thường trong thời gian nhanh nhất, giảm thiểu thiệt hại đến mức thấp nhất. Quá trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm có liên quan đến một ngành khoa học là Điều tra số - Digital forensics.


Điều tra số là gì ?

Điều tra số (còn gọi là Khoa học điều tra số) là một nhánh của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong các thiết bị kỹ thuật số. Thuật ngữ điều tra số ban đầu được sử dụng tương đương với thuật ngữ điều tra máy tính. Sau đó, khái niệm này được mở rộng để bao quát toàn bộ việc điều tra các thiết bị có khả năng lưu trữ dữ liệu số.

Điều tra số có thể được hiểu là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện, nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống.

Điều tra số thường hay liên quan đến tội phạm máy tính. Cũng như điều tra hình sự, trước khi thực hiện điều tra số, cần có những cơ sở pháp lý để phân định rõ những quyền hạn, trách nhiệm của cơ quan điều tra.

Lịch sử điều tra số

Tội phạm máy tính đầu tiên xuất hiện từ những năm 1960 và lịch sử của nó gắn liền với lịch sử điều tra số.

Năm 1978, tội phạm máy tính lần đầu tiên được đề cập trong Luật Tội phạm máy tính Floria, với quy định về việc chống sửa đổi trái phép hay xóa dữ liệu trên một hệ thống máy tính.

Giai đoạn năm 1980 đến 1990: Trước sự gia tăng tội phạm máy tính những năm này, các cơ quan thực thi pháp luật đã tiến hành thành lập các nhóm chuyên ngành cấp quốc gia để xử lý các khía cạnh kỹ thuật của việc điều tra. Các kỹ thuật điều tra số cũng đã phát triển và thuật ngữ “Computer Forensics” xuất hiện và được sử dụng trong các tài liệu học thuật.
Năm 1983, Canada là quốc gia đầu tiên thực thi các luật về tội phạm máy tính. Năm 1986, Tổ chức chống Gian lận và Lạm dụng máy tính của Mỹ ra đời. Năm 1989, Úc sửa đổi luật về tội phạm máy tính. Đạo luật của Anh xuất hiện năm 1990 quy định về các hành vi lạm dụng máy tính.

Từ năm 2000, các tiêu chuẩn được phát triển để đáp ứng yêu cầu tiêu chuẩn hóa; các cơ quan và các hội đồng khác nhau đã công bố các tài liệu hướng dẫn kỹ thuật điều tra số.

Năm 2002, nhóm công tác khoa học về chứng cứ số đã xuất bản một bài báo với tiêu đề “Các bước thực thi điều tra tội phạm máy tính” (Best practices for Computer Forensics).

Năm 2004, Hiệp định về tội phạm máy tính đã được ký kết bởi 43 quốc gia có hiệu lực, các quốc gia thỏa thuận liên kết với nhau trong việc điều tra các tội phạm liên quan đến công nghệ cao.

Từ năm 2005, nhiều tiêu chuẩn của ISO đề cập đến các yêu cầu về thẩm quyền giám định, kiểm chuẩn được công bố.

Tại sao phải tiến hành điều tra số?

Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệt đối an toàn trước những nguy cơ, rủi ro, tấn công ác ý của tội phạm mạng. Quá trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác. Một cuộc điều tra số được tiến hành nhằm:

- Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó đưa ra giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của hệ thống.

- Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với hệ thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, biến hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác,.… Việc tiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể xảy ra.

- Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra: phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích.

- Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội phạm công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật.

Các bước thực hiện điều tra số

Theo SANS (SysAdmin, Audit, Networking, and Security) - công ty chuyên đào tạo an toàn thông tin và an ninh mạng, một cuộc điều tra số thường bao gồm 4 gian đoạn: chuẩn bị, tiếp nhận dữ liệu, phân tích và lập báo cáo.

Điều tra số Antoan10

Chuẩn bị: Bước này thực hiện việc mô tả lại thông tin hệ thống, những hành vi đã xảy ra, các dấu hiệu để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.

Tiếp nhận dữ liệu: là bước tạo ra một bản sao chính xác các dữ liệu (chứng cứ số) hay còn gọi là nhân bản điều tra các phương tiện truyền thông. Để đảm bảo tính toàn vẹn của chứng cứ thu được thì những dữ liệu này phải được sử dụng một kỹ thuật mật mã là “băm” dữ liệu (sử dụng SHA1 hoặc MD5), trong quá trình điều tra cần phải xác minh độ chính xác của các bản sao thu được.

Phân tích: là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng thu được.

Lập báo cáo: Những chứng cứ thu thập được phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho các bộ phận có trách nhiệm xử lý chứng cứ theo quy định.

Các loại hình điều tra số

Với nhiều loại hình điều tra số như: điều tra Internet, điều tra điện tử, điều tra mạng, điều tra ứng dụng... có các cách phân chia khác nhau, nhưng về cơ bản điều tra số được chia thành 3 loại hình chính là điều tra máy tính, điều tra mạng và điều tra thiết bị di động.

Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều tra số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu trữ kỹ thuật số như:

Điều tra bản ghi (Registry Forensics) là việc trích xuất thông tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết được những thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong bản ghi (Register).

Điều tra bộ nhớ (Memory Forensics) là việc ghi lại bộ nhớ khả biến (bộ nhớ RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống. Để xác định các hành vi đã xảy ra trong hệ thống, người ta thường sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ.

Điều tra phương tiện lưu trữ (Disk Forensics) là việc thu thập, phân tích dữ liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích xuất dữ liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo ra những thay đổi dữ liệu trên thiết bị được phân tích.

Điều tra mạng (network forensic) là một nhánh của khoa học điều tra số liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập vào hệ thống máy tính này. Điều tra mạng có thể được thực hiện như một cuộc điều tra độc lập hoặc kết hợp với việc điều tra máy tính (computer forensics) – thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội.

Điều tra mạng bao gồm việc chặn bắt, ghi âm và phân tích các sự kiện mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự cố của một vấn đề nào đó. Không giống các loại hình điều tra số khác, điều tra mạng xử lý những thông tin dễ thay đổi và biến động. Lưu lượng mạng được truyền đi và không được lưu lại, do đó việc điều tra mạng thường phải rất linh hoạt, chủ động.

Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu từ các thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng.

Việc sử dụng điện thoại với mục đích phạm tội đã phát triển mạnh trong những năm gần đây, nhưng các nghiên cứu điều tra về thiết bị di động là một lĩnh vực tương đối mới. Sự gia tăng các loại hình điện thoại di động trên thị trường (đặc biệt là điện thoại thông minh) đòi hỏi nhu cầu giám định về tính an toàn của các thiết bị này mà không thể đáp ứng bằng các kỹ thuật điều tra máy tính hiện tại.

Kết luận

Sự phục hồi của các chứng cứ số ngày càng trở nên quan trọng. Không chỉ về mặt kỹ thuật, điều tra số xác định chính xác những gì đang xảy ra, nguyên nhân hệ thống bị tấn công và đưa ra chứng cứ thuyết phục về vấn đề cần làm sáng tỏ. Nó còn cung cấp chứng cứ về mặt pháp lý giúp cho việc điều tra tố tụng và áp dụng chế tài xử phạt đối với hành vi phạm pháp của tội phạm mạng máy tính. Hiện nay, điều tra số được đánh giá là một trong 5 kỹ năng cần thiết đưa vào cuộc thi về kỹ năng thực thi an toàn thông tin như Capture the Flag (CTF), được tổ chức thường niên, thu hút sự tham gia của giới hacker, chuyên gia bảo mật và các sinh viên chuyên ngành ATTT và CNTT. Việc đẩy mạnh nghiên cứu về điều tra số để cung cấp các căn cứ cho việc khắc phục sự cố về máy tính và mạng, cũng như đưa ra các chứng cứ số phục vụ quá trình điều tra tội phạm mạng là một vấn đề hết sức cần thiết đối với nước ta trong giai đoạn hiện nay.

KS. Trần Ngọc Mai - antoanthongtin.vn
      
Prosperity
Prosperity Tích cực

Cấp bậc: Tích cực

Giới tính : Nam

Bài viết : 439

Danh vọng : 769

Uy tín : 0

Tìm kiếm chứng cứ số qua điều tra thiết bị di động

Việc sử dụng các thiết bị di động trên thị trường (đặc biệt là điện thoại thông minh) với mục đích phạm tội đã phát triển rộng rãi trong những năm gần đây. Tuy nhiên, các nghiên cứu về việc điều tra dựa trên thiết bị di động còn ít được đề cập tới và hoạt động điều tra các thiết bị di động để thu thập các chứng cứ số còn gặp nhiều khó khăn và khó có thể đáp ứng bằng các kỹ thuật điều tra máy tính hiện tại. Bài báo này cung cấp một cách thức tiến hành điều tra thiết bị di động.

Điều tra số Img_fo10

Các yếu tố cần thiết để tiến hành điều tra thiết bị di động

Cũng như các loại hình điều tra số khác, kỹ thuật điều tra các thiết bị di động phải liên tục phát triển để theo kịp các công nghệ điện tử - viễn thông mới, qua đó có thể phát hiện các chứng cứ số có liên quan đến cuộc điều tra. Dữ liệu di động có thể được trích xuất và sử dụng để đưa vào các báo cáo cung cấp thông tin liên lạc, thói quen di chuyển về một cá nhân cụ thể. Các câu hỏi thường được đặt ra khi tiến hành một cuộc điều tra thiết bị di động như: xử lý thiết bị di động như thế nào khi tiếp nhận để không làm mất các chứng cứ số? và làm thế nào để kiểm tra được các dữ liệu ẩn hoặc có giá trị liên quan chứa trên thiết bị?....

Chìa khóa để trả lời những câu hỏi này chính là các đặc tính kỹ thuật của các hệ thống thông tin di động và bản thân thiết bị di động.

Hệ thống thông tin di động

Hệ thống bao gồm các cột thu phát sóng, thiết bị chuyển tiếp và công nghệ của mạng di động. Có 2 công nghệ chi phối hầu hết các mạng di động là đa truy cập (Code Division Multiple Access - CDMA) và hệ thống toàn cầu cho truyền thông di động (Global System for Mobile - GSM). CDMA sử dụng công nghệ trải phổ (Spread spectrum) để tối ưu hóa sử dụng băng thông. Trong khi đó, GSM sử dụng công nghệ phổ nhọn (Wedge spectrum) để cung cấp sóng mang (carrier). GSM sử dụng cả hai phương thức phân chia theo thời gian (Time Division Multiple Access - TDMA) và theo tần số (Frequency Division Multiple Access - FDMA). Đối với mạng GSM, các nhà mạng cung cấp một môđun định danh (Subscriber Identity Module - SIM) để xác định người dùng. Chức năng chính của SIM là phải xác thực người sử dụng của điện thoại di động khi truy cập vào mạng, để sử dụng các dịch vụ đăng ký. SIM cũng cung cấp khả năng lưu trữ thông tin cá nhân như danh bạ điện thoại, tin nhắn văn bản, các dịch vụ thông tin liên quan. Trong khi đó, các mạng CDMA sẽ đối chiếu một chiếc điện thoại với danh sách thuê bao của họ. Chính vì lý do này mà hầu hết các điện thoại sử dụng mạng CDMA không có thẻ SIM. Mặc dù khác nhau về công nghệ, nhưng các mạng di động được tổ chức tương tự nhau. Sự hiểu biết về các đặc điểm của hệ thống mạng di động giúp nhận dạng thiết bị, xác định vị trí địa lý, thông tin sơ bộ về thiết bị di động một cách nhanh chóng.

Thiết bị di động

Thiết bị di động ở đây được hiểu là bất kỳ các thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng. Thiết bị di động có chứa đầy đủ các thành phần như một máy tính cá nhân gồm: bộ vi xử lý, bộ nhớ chỉ đọc (ROM), bộ nhớ truy cập ngẫu nhiên (RAM), bộ xử lý tín hiệu kỹ thuật số, màn hình.... Các thiết bị di động cơ bản và tiên tiến thường sử dụng một hệ điều hành độc quyền của công ty như Palm, Windows Phone, RIM, Symbian, Linux....

Việc nắm rõ đặc điểm, cấu trúc của thiết bị di động sẽ giúp xác định được chính xác phương thức tiến hành điều tra số.

Các bước thực hiện điều tra thiết bị di động

Theo tài liệu của Viện Tiêu chuẩn và Kỹ thuật Quốc gia Hoa Kỳ (NIST), điều tra thiết bị di động được chia làm 5 giai đoạn chính: Chuẩn bị (Preparation), thu thập dữ liệu (Acquisition), kiểm tra (Examination), phân tích (Analysis) và lập báo cáo (Reporting).

Điều tra số Antoan11

Giai đoạn 1: Chuẩn bị

Giai đoạn này bao gồm các bước trao đổi thông tin ban đầu, xây dựng kế hoạch và chuẩn bị cho các bước điều tra. Trước khi điều tra một đối tượng phải được sự thoả thuận và ký kết chính thức từ các bên tham gia, nhằm tạo cơ sở pháp lý đảm bảo trong quá trình điều tra, những thông tin quan trọng không bị rò rỉ. Những mô tả lại thông tin hệ thống, những hành vi đã xảy ra, các dấu hiệu để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ được sử dụng trong suốt quá trình điều tra.

Giai đoạn 2: Thu thập dữ liệu

Qua tiếp xúc trực tiếp với thiết bị, dữ liệu thu thập càng nhiều thì khả năng thu được những bằng chứng số càng lớn. Đối với thiết bị không yêu cầu về mật khẩu hoặc các kỹ thuật xác thực truy cập, người điều tra có thể truy cập dữ liệu người dùng ở những vùng nhớ khác nhau, từ đó thực hiện hướng điều tra tiếp theo. Nhưng với các thiết bị yêu cầu mật khẩu và các kỹ thuật xác thực người dùng, thì người điều tra cần phải vượt qua cơ chế xác thực. Nếu việc này không thành công thì dễ dẫn đến hiện tượng bị mất hoàn toàn dữ liệu và việc khôi phục thông tin sẽ rất khó khăn. Khi đó, người điều tra cần phải sử dụng phần mềm khác hoặc can thiệp tới nền tảng phần cứng để vượt qua lớp xác thực trên thiết bị. Sau khi tiếp cận được dữ liệu, cần tiến hành thực hiện nhận dạng và kiểm tra bộ nhớ thiết bị di động.

Nhận dạng thiết bị di động: Để nhận dạng được thiết bị di động, cần tiến hành thực hiện việc kiểm tra đặc điểm của thiết bị, đặc điểm của phụ kiện thiết bị, nhãn hiệu thiết bị và thông tin nhà cung cấp, nhà mạng xác định vị trí thiết bị. Trên mỗi thiết bị di động thường có chứa các thông số định danh duy nhất, mà có thể dễ nhận thấy trên bản thân thiết bị hoặc các phụ kiện đi kèm như: dãy số nhận dạng thiết bị di động (IMEI), Model, ESN, thông tin thẻ SIM,… từ đó thực hiện tra cứu các thông tin về thông số kỹ thuật, tính năng, loại và nhà sản xuất của điện thoại cần điều tra.

Kiểm tra bộ nhớ: Cần phải tiến hành kiểm tra toàn bộ các bộ nhớ của thiết bị di động nhằm thu được nhiều chứng cứ số. Việc kiểm tra có thể được tiến hành trên 2 bộ nhớ phổ biến như:

- Bộ nhớ điện thoại dùng để lưu trữ hệ điều hành, bao gồm: nhân, trình điều khiển và hệ thống hàm thư viện dùng để thực thi ứng dụng, hệ điều hành. Ngoài ra, nó còn được dùng để lưu trữ ứng dụng của người dùng và các dữ liệu khác (văn bản, hình ảnh, âm thanh, video....).

- Bộ nhớ SIM gồm các dữ liệu về các dịch vụ, định danh duy nhất cho SIM, số thuê bao, danh bạ và thông tin về các liên lạc đã được thực hiện.

Giai đoạn 3, 4: Kiểm tra và phân tích

Quá trình kiểm tra và phân tích thường được tiến hành song song. Kiểm tra nhằm phát hiện ra bằng chứng số, gồm các bằng chứng bị ẩn hoặc bị che khuất, nhằm hiển thị nội dung và trạng thái của các dữ liệu một cách đầy đủ cả nguồn thông tin và ý nghĩa tiềm ẩn. Quá trình phân tích dựa trên kết quả kiểm tra để xác định các thông tin có ý nghĩa trực tiếp đối với từng trường hợp điều tra. Kết quả của giai đoạn này gồm các bằng chứng tiềm năng và hồ sơ thuê bao.

Giai đoạn 5: Báo cáo

Đây là quá trình chuẩn bị một bản báo cáo chi tiết tất cả các bước đã thực hiện và kết luận đạt được trong cuộc điều tra của một trường hợp cụ thể. Báo cáo kết quả điều tra số phải mang tính khách quan, phản ánh trung thực những tình tiết xảy ra, có liên quan trực tiếp hoặc gián tiếp tới vụ việc và mang tính hợp pháp. Nội dung báo cáo phải cung cấp đầy đủ các thông tin cần thiết để xác định nguồn gốc, tình tiết, đưa ra những chứng cứ số được phát hiện trong quá trình điều tra.

Một số công cụ phục vụ trong điều tra thiết bị di động

Nhiều công cụ hỗ trợ phục vụ quá trình điều tra thiết bị di động được phát triển bởi các hãng nổi tiếng hoặc tự bản thân nhà lập trình, chuyên gia điều tra số phát triển trong quá trình tác nghiệp. Để thu được các chứng cứ số, cần phải vận dụng và kết hợp linh hoạt các loại công cụ này. Một số công cụ điều tra thiết bị di động thông dụng: Network Connections, WPDeviceManager, PwnageTool, OXYGEN, Apktool, IPhone Analyzer, Wireshark,….

- Network Connection là ứng dụng nhỏ và miễn phí, dành riêng cho thiết bị di động sử dụng hệ điều hành Android, cho phép người dùng theo dõi được những tiến trình nào đang hoạt động trên thiết bị di động thực hiện kết nối ra bên ngoài và luồng dữ liệu trên các kết nối đó. Công cụ này có thể xác định thiết bị di động có ứng dụng gián điệp nào đang âm thầm hoạt động và lấy trộm các dữ liệu cá nhân hay không. Khi thực thi, Network Connection không gây tốn bộ nhớ và hiệu năng xử lý của hệ thống, khi kích hoạt không cần Root máy.

- WireShark là phần mềm dùng để xử lý các sự cố mạng, giám sát, theo dõi các kết nối mạng, chặn bắt và phân tích gói tin. WireShark phát hành những phiên bản đầu tiên năm 1998 với tên gọi Ethereal. Từ đó đến nay, WireShark phát triển mạnh mẽ, trở nên phổ biến và là công cụ hữu hiệu thường được các chuyên gia an ninh mạng sử dụng. WireShark cài đặt được trên đa hệ điều hành, hỗ trợ tới 850 giao thức và có thể tùy biến, giao diện thân thiện với người dùng, Wireshark cung cấp cả bản thương mại và bản miễn phí cho người sử dụng.

- Apktool là bộ công cụ để dịch ngược các ứng dụng chạy trên Andoird. Bản chất các file .apk là một dạng file đóng gói, tuy có thể giải nén và thu được những file đã được dịch nhưng không thể đọc được mã nguồn. Trong quá trình điều tra Apktook giúp dịch ngược file .apk thành dạng file .smali hoặc .dex để tìm hiểu hoạt động cốt lõi của ứng dụng.

- Windows Phone Device Manager là công cụ đồng bộ hóa dữ liệu trên thiết bị di động với máy tính, dành cho hệ điều hành Windows phone. Phần mềm này còn giúp can thiệp vào hệ thống thông qua máy tính nhằm điều chỉnh, quản lý, kiểm tra sự thay đổi các ứng dụng trước và sau khi cài đặt lên thiết bị di động, dễ dàng sử dụng các chức năng tin nhắn, mail trực tiếp trên máy tính, chia sẻ với máy tính cả về tiện ích lẫn hiệu suất phần cứng.

Điều tra số Antoan12

Sử dụngWP Device Manager để trích xuất SMS

Kết luận

Cùng với việc các thiết bị di động ngày càng phổ biến trong cuộc sống, hoạt động điều tra thiết bị di động sẽ cung cấp một nguồn bằng chứng số vô cùng quan trọng trong quá trình điều tra, truy tố trách nhiệm dân sự và hình sự. Tuy vậy, một trong những thách thức mà các nhà điều tra số phải đối mặt là luôn phải nắm bắt công nghệ tiên tiến nhất trong lĩnh vực CNTT - TT; phải có những phương án sẵn sàng đối mặt với giới tội phạm cũng như những hiểm họa tiềm tàng khi mà nhận thức của người dùng về bảo mật thiết bị di động còn chưa cao. Công tác điều tra thiết bị di động tại Việt Nam còn đang ở giai đoạn ban đầu và cần được đẩy mạnh đầu tư nghiên cứu và triển khai tác nghiệp.


Điều tra số điện thoại thông minh của hãng XiaoMi

Cuối tháng 7/2014, trang thông tin công nghệ Ocworkbench đã đăng tải thông tin tố cáo điện thoại thông minh Redmi Note của hãng điện thoại Xiaomi Trung Quốc âm thầm gửi dữ liệu thu thập được của người dùng về máy chủ tại Trung Quốc. Liên tiếp sau đó là phản hồi, đơn kiện của người dùng sản phẩm này trên toàn thế giới. Trước những cáo buộc đó, các cuộc điều tra số về nguy cơ an ninh mạng trên thiết bị di động của Xiaomi được thực hiện từ chính phủ Đài Loan, Singapore, công ty bảo mật F-Secure và các nhóm bảo mật khác.

Thực hiện điều tra thiết bị di động được thực hiện trên đối tượng điện thoại Xiaomi Redmi Note, với thông số kỹ thuật gồm: bộ xử lý MT6592 MediaTek 8 nhân, tốc độ 1.4 GHz, RAM 1 GB….

Quá trình điều tra được chia làm hai giai đoạn: trước và sau khi cập nhật firmware MIUI JHECNBF30 của hãng.

Trước khi cập nhật firmware MIUI JHECNBF30

Lúc đầu khi không đăng nhập dịch vụ MiCloud của Xiaomi nhận thấy các dịch vụ trên máy thực hiện kết nối tới các máy chủ của Xiaomi tại Trung Quốc. Dịch vụ  này luôn chạy dù chế độ tự đồng bộ dữ liệu được tắt.

Thực hiện đăng nhập tài khoản MiCloud và tiến hành kiểm tra phân tích thiết bị. Sử dụng công cụ Javadecompile phân tích file CloudService.jar thấy dữ liệu danh bạ được gửi lên đám mây của Xiao.

Điều tra số Antoan13

Tiếp tục sử dụng công cụ Network Connections để theo dõi các kết nối của điện thoại sẽ nhận thấy dữ liệu trên thiết bị được gửi tới các máy chủ của Xiaomi, bao gồm hình ảnh, file nhạc, tin nhắn, ghi chú, danh bạ….

Điều tra số Antoan14

Kết Luận: Điện thoại đã gửi dữ liệu lên máy chủ Xiaomi mà không được sự cho phép của người sử dụng.

Sau khi cập nhật firmware MIUI JHECNBF30

Tiến hành lần lượt thực hiện các bước điều tra như trên. Bước đầu tắt chế độ đồng bộ trên điện thoại. Dịch vụ MiCloudframework vẫn chạy ngầm và kết nối tới máy chủ “54.255.183.200” ở Singapore, “223.202.68.51” ở  Bắc Kinh – Trung Quốc,  “54.230.75.219” ở Mỹ. Nhưng các dịch vụ trên máy không còn thực hiện kết nối tới các máy chủ của Xiaomi tại Trung Quốc.

Bật đồng bộ trên điện thoại và đăng nhập dịch vụ MiCloud, các kết nối vẫn được giữ nguyên, thêm vào đó là dữ liệu cũng được gửi lên máy chủ để đồng bộ dữ liệu người dùng với máy chủ, ở đây là được sự cho phép của người dùng.

Kết luận: Sau khi cập nhật firmware MIUI JHECNBF30 chưa phát hiện được hành vi âm thầm lấy dữ liệu của người dùng.

KS. Trần Ngọc Mai - antoanthongtin.vn
      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | © PunBB | Free forum support | Liên hệ | Báo cáo lạm dụng | Thảo luận mới nhất