5 lỗi thường mắc phải trong quá trình giám định kỹ thuật số trên các thiết bị iOS

Trên tay bạn là một chiếc điện thoại iPhone bị khóa màn hình cần được giám định kỹ thuật số để thu thập dữ liệu bên trong nó. Việc đầu tiên bạn sẽ làm là gì? Tắt máy, rút thẻ SIM và chuyển nó cho các chuyên gia giám định? Thế là bạn vừa mắc phải ba trong số năm lỗi phổ biến nhất khiến các lần mở khóa và khai thác dữ liệu tiếp theo trở nên khó khăn hơn rất nhiều. Dưới đây là 5 sai lầm phổ biến nhất trong quá trình giám định một thiết bị iOS và hậu quả của chúng.

1. Tắt nguồn thiết bị

Bước đầu tiên và có lẽ là quan trọng nhất là “bảo quản” dữ liệu để đảm bảo rằng nội dung dữ liệu trên thiết bị không bị thay đổi, thiết bị sẽ không bị khóa hoặc xóa từ xa, v.v… Rất nhiều kỹ thuật viên, thay vì bật chế độ máy bay hoặc đặt thiết bị vào túi Faraday (túi chuyên giúp ngăn sóng Radio khỏi thiết bị cần bảo vệ), họ đã làm gì?

Họ tắt nó đi.

Đúng là thiết bị tắt nguồn sẽ không tạo ra kết nối ngẫu nhiên, tuy nhiên, nếu thiết bị bị tắt nguồn, bạn đang làm cho thiết bị chuyển từ chế độ AFU (chế độ “thân thiện” trong quá trình giám định kỹ thuật số điện tử sang chế độ BFU (bị khóa). Kết quả dẫn đến là:

• Các khóa mã hóa bị xóa khỏi RAM của thiết bị (không thể trích xuất AFU tức thì)
• Tấn công khôi phục mật mã giảm xuống tốc độ BFU (chậm hơn nhiều so với tấn công AFU)
• Không thể xác thực sinh trắc học
• Các bản ghi ghép nối thiết bị trở nên vô tác dụng và không thể trích xuất logic thiết bị được nữa
• Trích xuất BFU cực kỳ hạn chế

AFU (After First Unlock ): Tình trạng thiết bị đã được mở khóa bằng mật mã ít nhất một lần sau khi được bật nguồn hoặc khởi động lại.

BFU (Before First Unlock): Tình trạng thiết bị khởi động lại hoặc bật nguồn và chưa bao giờ được mở khóa.

2. Tháo SIM

Sai lầm phổ biến nhất tiếp theo trong việc giám định thiết bị di động là việc tháo thẻ SIM, thường chỉ để đảm bảo rằng thiết bị đó không vô tình kết nối với mạng di động. Và đây là những gì sẽ xảy ra, ít nhất là khi thiết bị đang chạy iOS 11, 12 hoặc 13:

• Điện thoại bị khóa ngay lập tức
• Mở khóa sinh trắc học bị vô hiệu hóa (cho đến khi được mở khóa bằng mật mã)
• Đã kích hoạt chế độ hạn chế USB

Với những hậu quả này,  bạn hoàn toàn có thể mất cơ hội mở khóa hoặc phân tích sâu hơn thiết bị.

3. Chạm vào cảm biến vân tay

Nếu bạn cầm một chiếc iPhone có tính năng Face ID, bạn có thể sẽ lãng phí một hoặc nhiều lần thử mở khóa thiết bị bằng cách hướng nó về phía kẻ tình nghi. Đối với iPhone có Touch ID, hãy đảm bảo không bao giờ chạm vào cảm biến vân tay. Nếu không, bạn sẽ mất một trong năm lần mở khóa sinh trắc học.

4. Đặt lại mật khẩu sao lưu

Trong hầu hết các trường hợp, bản sao lưu iTunes là nguồn dữ liệu chính. Tuy nhiên, sao lưu iPhone khá đặc biệt và bạn cần lưu ý. Nếu bản sao lưu được bảo vệ bằng mật khẩu, nó có thể là một bất lợi cho bạn. Bắt đầu từ iOS 10.1, việc khôi phục mật khẩu brute-force hầu như không thể thực hiện được. Tuy nhiên, iOS 11 khiến cho việc chuyển đổi logic trở nên đơn giản hơn, khi nó cho phép đặt lại mật khẩu sao lưu iTunes.

Vấn đề là tất cả các mật khẩu trong hệ sinh thái của Apple đều được kết nối với nhau. Và nếu bạn đặt lại mật khẩu sao lưu, thì mật mã của iPhone cũng được đặt lại. Và điều đó có hậu quả thực sự tồi tệ. Đầu tiên, bạn sẽ mất mật khẩu Wi-Fi đã lưu, lịch sử giao dịch Apple Pay, mail Exchange đã tải xuống và một số dữ liệu khác. Tiếp theo, bạn mất tất cả những thứ bạn có thể làm với mật khẩu, quyền truy cập vào dữ liệu được mã hóa đầu cuối trong iCloud bao gồm chuỗi khóa iCloud, tin nhắn được đồng bộ hóa, dữ liệu Sức khỏe, v.v.

5. Chuyển đổi logic iOS

Trên thực tế, chuyển đổi logic không đơn giản như nhiều người vẫn tưởng. Chỉ cần tạo bản sao lưu kiểu iTunes và thế là xong? Không hẳn vậy, ở một số trường hợp điều này có thể sai.

• Tạo bản sao lưu với iTunes: Điều này có thể chấp nhận được vì tất cả các gói giám định đều tạo các bản sao lưu giống hệt như iTunes. Trên thực tế, các bản sao lưu được thực hiện bởi chính dịch vụ chạy trên iPhone chứ không phải bởi phần mềm máy tính để bàn. Tuy nhiên, nếu bạn quên tắt tính năng đồng bộ iTunes (trước khi kết nối iPhone với máy tính), nội dung trên thiết bị có thể thay đổi.
• Sao lưu không cần mật khẩu: Một bản sao lưu không có mật khẩu có thể sẽ dễ phân tích hơn Nhưng những bản sao lưu không có mật khẩu này thường chứa ít dữ liệu hơn bản sao lưu được bảo vệ bằng mật khẩu. Bạn sẽ không nhận được chuỗi khóa, dữ liệu về sức khỏe, lịch sử duyệt Safari và nhật ký cuộc gọi.
• Bỏ lỡ một cái gì đó: Trên thực tế, sao lưu chỉ là bước khởi đầu. Bạn cũng có thể lấy các tệp phương tiện (và không chỉ tệp mà còn cả siêu dữ liệu, đôi khi ngay cả trên các tệp đã xóa), dữ liệu được chia sẻ ứng dụng, nhật ký chẩn đoán bất kể người dùng có mật khẩu dự phòng hay không.

Trên đây là những sai lầm phổ biến nhất của các giám định viên trong quá trình giám định kỹ thuật số điện tử. Việc tuân thủ nghiêm ngặt quy trình làm việc chính xác, ghi lại từng bước thực hiện, đảm bảo rằng các bước của bạn có thể lặp lại và kết quả có thể kiểm chứng được, đối sánh chéo các kết quả và báo cáo là điều cần thiết. Chỉ sử dụng một “công cụ” cho việc giám định kỹ thuật số điện tử là gần như không đủ, ngay cả khi đó là công cụ tốt nhất trên thị trường. Đó cũng là lý do vì sao các đơn vị thực hiện công việc giám định cần được đào tạo bài bản và chi tiết, lựa chọn đúng cách thức, sử dụng thiết bị phù hợp để kết quả giám định đạt được là tốt nhất. Đội ngũ chuyên gia của HTI Services đã có trên 15 năm kinh nghiệm trong lĩnh vực pháp y kỹ thuật số cùng hệ thống máy móc chuyên dụng tiên tiến nhất hiện nay sẽ đem đến những phân tích chi tiết, chuyên sâu nhất nhằm phục vụ công tác điều tra.