Theo NIST, pháp y có thể trích xuất dữ liệu từ chiếc điện thoại hỏng của tội phạm.

Nhà khoa học máy tính Rick Ayers khai thác dữ liệu từ điện thoại di động tại Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) ngày 30/1/2020. Ảnh: Rich Press/NIST.

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST), cơ quan thuộc bộ phận Quản trị Công nghệ của Bộ Thương mại Hoa Kỳ, gần đây đã công bố kết quả nghiên cứu về các biện pháp thu thập dữ liệu từ điện thoại hỏng. Các nhà nghiên cứu cho biết điện thoại di động dù bị hư hỏng nhưng vẫn chứa rất nhiều dữ liệu hữu ích. Qua thử nghiệm các công cụ hack điện thoại, các nhà nghiên cứu nhận thấy rằng ngay cả khi tội phạm cố gắng đốt, ném xuống nước hay đập vỡ điện thoại, các công cụ pháp y vẫn có thể trích xuất thành công dữ liệu từ các thành phần điện tử của điện thoại.

Theo chuyên gia pháp y kỹ thuật số của NIST – Rick Ayers, “các kỹ thuật pháp y hiện nay có thể trích xuất được dữ liệu điện thoại ngay cả khi điện thoại bị hư hỏng hoàn toàn do nhiệt, nước, hay bị hư hỏng một phần.”

Sự phát triển của ngành giám định di động

Ayers đã làm giám định di động cho chính phủ Hoa Kỳ trong 17 năm. Trong thời gian đó, ông đã chứng kiến sự phát triển của điện thoại di động cũng như các công cụ pháp y để điều tra chúng. Ông vào nghề năm 2003, khởi đầu với các thiết bị PDA như PalmPilot và Windows mobile PDA, sau đó là điện thoại tính năng cơ bản và dòng iPhone đầu tiên.

Thời điểm đó, mặc dù các thiết bị di động trở thành sản phẩm đột phá, nhưng do tính năng còn hạn chế nên không mang lại nhiều bằng chứng hữu ích cho việc điều tra. Ngoài ra, không có nhiều công cụ pháp y đáng tin cậy để trích xuất dữ liệu. Các công cụ thời đó không được chuẩn hóa, vì vậy chúng chỉ có thể sử dụng trên một số dòng điện thoại nhất định, chẳng hạn như một công cụ chỉ có thể hack điện thoại Nokia.

Hiện tại, điện thoại di động đã trở thành vật bất ly thân của nhiều người; đồng nghĩa với việc nó có thể chứa nhiều bằng chứng hơn, các công cụ giám định cũng trở nên hiện đại, phổ quát hơn để trích xuất dữ liệu.

Các tính năng trên điện thoại thông minh cũng rất hữu ích cho việc điều tra tội phạm. Chúng ghi lại mọi hoạt động, thông tin của người dùng, từ việc mua sắm, địa điểm hay bạn bè. Tất cả các ứng dụng, video và trình duyệt internet đều đi kèm với siêu dữ liệu có thể được trích xuất bằng các phương pháp pháp y hiện đại.

Thử nghiệm các phương pháp giám định

Các nhà nghiên cứu đưa dữ liệu vào điện thoại và sau đó cố gắng trích xuất nó bằng các công cụ pháp y.

Ayers giải thích rằng: “Chúng tôi đã thử nghiệm và tìm hiểu khoảng 40-50 loại thiết bị Android, iOS và các điện thoại phổ thông khác để biết chính xác những tính năng trên điện thoại. Chúng tôi sử dụng từng chiếc điện thoại giống như một người dùng bình thường.”

Nhà khoa học máy tính Jenise Reyes-Rodriguez sử dụng phương pháp JTAG thu thập dữ liệu từ điện thoại di động bị hỏng.

Các nhà khoa học thêm thông tin liên hệ, lập các tài khoản ảo trên mạng xã hội, tạo nhiều tài khoản ảo nói chuyện qua lại với nhau, hay cầm theo điện thoại và lái xe xung quanh để kích hoạt dữ liệu GPS. Họ cũng thêm và xóa dữ liệu để kiểm tra xem các công cụ có thể trích xuất được cả dữ liệu đang hoạt động và bị xóa hay không. Sau đó, họ sử dụng hai kỹ thuật giám định xâm nhập vào điện thoại để xem liệu dữ liệu có thể được phục hồi hay không.

Hai phương pháp tiếp cận dữ liệu từ điện thoại hỏng

Theo Ayers: “Phương pháp JTAG và chip-off là hai kỹ thuật cho phép lấy một byte cho byte memory dump của dữ liệu trên thiết bị di động”.

JTAG là viết tắt của Joint Task Action Group, được thành lập để thiết lập tiêu chuẩn cho sản xuất vi mạch. Nghiên cứu của NIST chỉ bao gồm các thiết bị Android vì hầu hết các thiết bị Android là “J-taggable”, trong khi các thiết bị iOS thì không. Kỹ thuật pháp y tận dụng các tap, viết tắt của test access ports, thường được các nhà sản xuất sử dụng để kiểm tra bảng mạch. Bằng cách hàn dây vào các tap, các nhà điều tra có thể truy cập dữ liệu từ các chip.

Để thực hiện trích xuất JTAG, trước tiên Reyes-Rodriguez dỡ chiếc điện thoại và lấy bảng mạch in PCB ra; cẩn thận hàn những sợi dây mỏng bằng sợi tóc vào các tap to bằng đầu ngón tay cái.

Ayers cho biết: “JTAG rất phức tạp và yêu cầu nhiều kỹ thuật. Bạn cần phải có đôi mắt tinh tường và đôi tay vững vàng.”

Trong khi JTAG được thực hiện tại NIST, phương pháp chip-off – một kỹ thuật giám định khác được thực hiện bởi Phòng thí nghiệm pháp y kỹ thuật số của Sở cảnh sát Fort Worth và một công ty pháp y tư nhân ở Colorado có tên là VTO Labs.

Ở phương pháp này, các pin kim loại kết nối chip với bảng mạch điện thoại. Trước đây, các chuyên gia thường nhẹ nhàng rút chip ra khỏi PCB, nhưng cách này có thể làm hỏng các pin tí hon, gây khó khắn cho việc thu thập dữ liệu. Nhưng hiện nay, kỹ thuật này đã được cải tiến, các chuyên gia pháp y nghiền PCB xuống các chân bên dưới chip và sau đó đặt chip vào đầu đọc.

Ayers giải thích rằng: “Cách này sẽ thu thập được nhiều dữ liệu hơn so với việc trích xuất tệp thông qua phần mềm.”

Các chuyên gia pháp y kỹ thuật số thường sử dụng phương pháp JTAG để trích xuất dữ liệu từ điện thoại di động bị hư hỏng.

Kết quả nghiên cứu

Sau khi trích xuất dữ liệu, Ayers và Reyes-Rodriguez sử dụng phần mềm giám định phân tích dữ liệu. Hai nhà khoa học đã phục hồi danh bạ, địa điểm, dữ liệu mạng xã hội… và so sánh chúng với dữ liệu gốc. Từ đó, họ đưa ra kết luận rằng cả hai phương pháp JTAG và chip-off đều trích xuất dữ liệu từ điện thoại hiệu quả.

Nghiên cứu này chỉ tập trung về các công cụ giám định trích xuất dữ liệu, chứ không về các phương pháp mã hóa dữ liệu. Tuy nhiên, các nhà nghiên cứu cho rằng các cơ quan thực thi pháp luật rất cần khôi phục lại mật khẩu của tội phạm trong quá trình điều tra.

Theo Zdnet

Tin liên quan: