DỮ LIỆU ĐIỆN TỬ TRÊN THIẾT BỊ DI ĐỘNG VÀ SỬ DỤNG THIẾT BỊ CELLEBRITE UFED TIẾN HÀNH HOẠT ĐỘNG PHỤC HỒI, PHÂN TÍCH DỮ LIỆU ĐIỆN TỬ TRÊN THIẾT BỊ DI ĐỘNG — Trang tin hoạt động khoa học công nghệ và môi trường công an

Trang chủ → Hoạt động KHCN và MT → Viễn thông

DỮ LIỆU ĐIỆN TỬ TRÊN THIẾT BỊ DI ĐỘNG VÀ SỬ DỤNG THIẾT BỊ CELLEBRITE UFED TIẾN HÀNH HOẠT ĐỘNG PHỤC HỒI, PHÂN TÍCH DỮ LIỆU ĐIỆN TỬ TRÊN THIẾT BỊ DI ĐỘNG (06/09/2014)

Dữ liệu điện tử trên thiết bị di động

Dữ liệu trong thiết di động là một thành phần trong dữ liệu điện tử của các thiết bị số (bao gồm: máy tính, điện thoại di động, các thiết bị lưu trữ dữ liệu khác…), nó có đầy đủ các đặc điểm của dữ liệu điện tử. Do vậy, tội phạm sử dụng công nghệ cao sử dụng thiết di động là một thiết bị lưu trữ dữ liệu, xử lý dữ liệu và đặc tính quan trọng của thiết di động khác với máy tính là nó có thể nhắn tin, gọi điện thông qua thẻ SIM được cung cấp bởi một mạng viễn thông nào đó. Quá trình thu thập, trích xuất, phục hồi, phân tích dữ liệu điện tử trên thiết bị di động chính là hoạt động củng cố chứng cứ, phục vụ hoạt động đấu tranh phòng chống tội phạm sử dụng công nghệ cao. Trong hoạt động thu thập, phục hồi, phân tích dữ liệu của thiết bị di động cần chú ý trình tự sau:

Thứ nhất, tiến hành thu giữ điện thoại theo đúng quy định để tránh làm mất thông tin trên điện thoại và đảm bảo đúng thủ tục pháp lý.

Thứ hai, kiểm tra xem điện thoại có dùng SIM không. Nếu điện thoại dùng SIM thì cần tiến hành hoạt động khai thác SIM. Nếu điện thoại sử dụng mạng CDMA thì việc phân tích dữ liệu chỉ tiến hành trên điện thoại.

Thứ ba, kiểm tra các đặc điểm của điện thoại, xem hãng sản xuất, tên điện thoại, điện thoại dùng hệ điều hành hay chỉ hoạt động bằng phần mềm nạp sẵn để có thể đưa ra phương pháp thu thập dữ liệu hợp lý. Điều này đòi hỏi cán bộ kỹ thuật phải có kiến thức, am hiểu về các loại điện thoại và đặc điểm của chúng.

Thứ tư, cũng giống như trong hoạt động thu thập, phục hồi, phân tích dữ liệu điện tử trên máy tính; lực lượng tiến hành hoạt động này trên thiết bị di động cần sử dụng thiết bị chuyên dụng, có khả năng phục hồi, phân tích tốt, có giá trị về mặt pháp lý. Có một số thiết bị đã được sử dụng trên thế giới và tại Việt Nam, lực lượng Cảnh sát phòng chống tội phạm sử dụng công nghệ cao ở một số đơn vị, địa phương đã được trang bị thiết bị chuyên dụng Cellebrite UFED.

Sử dụng thiết bị Cellebrite UFED tiến hành hoạt động phục hồi, phân tích dữ liệu điện tử trên thiết bị di động

Đặc điểm của UFED

UFED dược thiết kết bằng vỏ nhựa bền, chắc chắn. UFED được đựng trong một cặp nhựa, hoặc bằng cao su, trong đó có đầy đủ bộ nguồn, các loại dây cáp cho hầu hết các loại điện thoại trên thị trường, có 01 mã key USB bản quyền để cắm vào máy tính khi phân tích dữ liệu, thẻ SIM trắng, CD cài đặt phần mềm, sách hướng dẫn sử dụng…

UFED tiêu chuẩn có thể trích xuất các loại dữ liệu từ điện thoại di động như:

+ Danh bạ điện thoại;

+ Hình ảnh;

+ Video;

+ Tin nhắn;

+ Nhật ký cuộc gọi;

+ Thông tin ESN và IMEI….

UFED liên tục cập nhật các dạng điện thoại mới và có khả năng hỗ trợ trên 95% điện thoại di động trên thị trường hiện nay.

Trích xuất dữ liệu không cần máy tính, do đó UFED được sử dụng ngay trong quá trình bắt, khám xét đối tượng phạm tội, file trích xuất được đóng gói để phân tích dữ liệu trên máy tính.

Các chức năng trên UFED

- Extract Phone Data: Trích xuất dữ liệu kiểu logic;

- Extract SIM/USIM Data: Trích xuất dữ liệu của thẻ SIM trong máy điện thoại;

- Clone SIM ID: Nhân bản SIM từ SIM gốc thu giữ được;

- Physical Extraction: Trích xuất dữ liệu kiểu vật lý;

- File System Extraction: Trích xuất các file hệ thống;

- Extract Passwords: Trích xuất Password của thiết bị;

- Device Tools: Cho phép chạy các hoạt động khác nhau trên thiết bị như: quét Bluetooth, chuyển sang chế độ offline CDMA; kiểm tra điện thoại có được UFED hỗ trợ hay không,…

- Services: Cung cấp các dịch vụ như cập nhật UFED, cài đặt các thông số mặc định cho UFED…

Thực hiện trích xuất, phục hồi dữ liệu

Quy trình thực hiện trích xuất, phục hồi với các chức năng như trên là tương tự nhau,theo sơ đồ sau:

- Thực hiện kết nối nguồn (Source) và đích (Target) như hình bên. Với mỗi loại điện thoại cán bộ kỹ thuật sử dụng loại dây cáp thích hợp để kết nối điện thoại với cổng Source; với cổng Target là nơi lưu dữ liệu trích xuất có thể lựa chọn: USB, SD Card (với điện thoại có dung lượng lưu trữ nhỏ), ổ cứng gắn ngoài hoặc PC (với điện thoại có dung lượng lưu trữ lới hơn).

- Lựa chọn một chức năng trích xuất: Extract Phone Data, Extract SIM/USIM Data, Physical Extraction, Extract Passwords… Làm theo hướng dẫn để UFED thực hiện trích xuất dữ liệu rồi lưu sang đích.

- Sau khi kết thúc quá trình khai thác, màn hình UFED sẽ hiển thị thông báo: “Extraction completed successfully”. Quá trình thực hiện thành công

Lúc này, ta có thể ngắt các kết nối nguồn và đích ra khỏi thiết bị UFED.

Kết các thiết bị đích đến máy tính qua cổng USB hoặc đầu đọc thẻ SD. Trong thiết bị đích lưu thư mục có tên theo định dạng tùy vào chức năng vừa thực hiện, ví dụ: Physical_Tên hãng_Tên máy_ngày trích xuất, trong thư mục có các files: - *.UFD – file trích xuất của UFED;

- File Image.

Thực hiện phân tích dữ liệu và tạo báo cáo

Để xem và phân tích dữ liệu đã trích xuất, ta dùng ứng dụng UFEDPhysical Analyzerkèm theo bộ Cellebrite UFED, mỗi bộ Cellebrite UFED có 1 key bản quyền dạng USB để sử dụng cho phần mềm này.

-Cắm key này vào cổng USB và mở ứng dụngUFED Physical Analyzer

- Từ trình đơn Menu, chọn File>Open, hoặc kích nút Open trên thanh công cụ.

- Tìm đến vị trí của tập tin cần khai thác, file cần lựa chọn có định dạng *.UFD

- Toàn bộ thông tin trích xuất hiển thị ở cột bên trái của ứng dụng, trong đó có đầy đủ các thông tin đã trích xuất, như: Contacts, SMS Messenger, Image, Videos, Audio, Text…

- Thực hiện tạo báo cáo, in kết quả để làm chứng cứ cho vụ án đang tiến hành.

Ta có thể tạo ra một báo cáo tóm tắt tất cả các thông tin tìm thấy trong thiết bị đã trích bằng các cách: Lựa chọn Report>Generate Reporttừ thực đơn menu

Hộp thoại Generate Report hiển thị bao gồm các lựa chọn sau:

- Report Type: Định dạng tập tin báo cáo. Có các định dạng: HTML, MS Excel (*.xlsx), XML, hoặc PDF.

- Thẻ Report Data:

+ Report Dataset:Lựa chọn nội dung cần thể hiện trong báo cáo: SMS Messages, Contacts, Audio, Image, Videos

+ Additional Fields: Các thông tin cần thiết được bổ sung bởi người dùng:

•Case number: Mã số vụ án.

•Case name: Tên vụ án

•Evidence number: Mã số chứng cứ

•Examiner name: Tên người lập báo cáo.

•Department: Tên cơ quan, đơn vị lập báo cáo

•Location: Địa chỉ

•Notes: Ghi chú

Nhập các nội dung cần thiết khác và kích nút Generate để xuất báo cáo. Một báo cáo sẽ thể hiện như hình bên.

Chú ý: - UFED thường cập nhật thiết bị mới. Do đó, cần tiến hành kết nối UFED với internet để tiến hành cập nhật theo hướng dẫn.

- UFED có khả năng trích xuất được khoảng 90% loại thiết bị trên thị trường. Do vậy, với những thiết bị không được hỗ trợ, cán bộ kỹ thuật cần thực hiện phương pháp khác để thu thập, phục hồi, phân tích dữ liệu để chuyển hóa thành chứng cứ.