Как нельзя дважды войти в одну и ту же реку, так и невозможно извлечь две одинаковых копии данных из современных моделей iPhone. Почему так происходит, что с этим можно сделать и как сделать так, чтобы полученные цифровые улики можно было предъявить в суде – в этой статье.

Цифровые улики и цифровые доказательства

Перед тем, как приступить к анализу устройства и извлечению данных, нужно иметь чёткий ответ на вопрос: с какой целью проводится извлечение и для чего будут использованы полученные из устройства данные?

В контексте мобильной криминалистики полученная из устройства (или из облака) информация обретает статус «цифровых улик». Разумеется, сырые данные, какими бы они ни были, крайне редко являются уликами или, тем более, доказательствами. Извлечённые данные необходимо анализировать, трактовать, часто связывать между собой (иногда из разных источников). В этой статье мы говорим только о самом первом этапе, извлечении. Анализ данных — отдельная необъятная тема.

Сам термин «улика» имеет как юридическое, так и следственное применение. Далеко не всегда найденные улики, которые использовались в процессе следственных действий, могут быть предъявлены в суде; это полностью справедливо и для цифровых улик.

Во избежание путаницы, цифровые улики, которые могут быть предъявлены в суде, назовём «цифровыми доказательствами». На сегодняшний день требования к юридической допустимости цифровых улик слабо закреплены законодательно, поэтому допустимость использования цифровых улик в качестве доказательств устанавливается в процессуальном порядке.

Подытожим вышесказанное:

• Термин «цифровые улики» используется в следственном контексте
• Термин «цифровые доказательства» – в юридическом
• «Цифровые доказательства» — это «цифровые улики», которые можно представить в суде
• Обеспечение криминалистической чистоты процесса обработки данных позволяет использовать цифровые улики в качестве цифровых доказательств

Для того, чтобы извлечённые из iPhone данные имели шанс получить статус «цифровых доказательств», необходимо точно выполнять все этапы процесса криминалистически чистого извлечения.

Что такое «криминалистически чистое» извлечение?

Криминалистически чистой считается такая методика сбора информации, которая позволяет предъявлять цифровые улики в качестве доказательств в суде. Для этого необходимо, чтобы вся цепочка обработки цифровых данных была непрерывной и криминалистически чистой, что достигается точным следованием плану обработки цифровых доказательств с защитой цифровых улик. Защита цифровых улик гарантирует целостность и неизменность цифровых данных, которые, в свою очередь, обеспечиваются грамотным использованием специальных средств.

Криминалистическая чистота извлечения необходима именно для того, чтобы «цифровые улики» стали полноценными «цифровыми доказательствами», которые можно представить в суде. Фактически, криминалистическая чистота состоит из двух моментов: криминалистической чистоты самого извлечения и гарантии неизменности (проверяемой на всех этапах) данных по пути от эксперта в суд.

На сегодняшний день не существует формальных юридических требований, относящихся к допустимости в качестве улик цифровых данных, полученных при анализе данных, полученных путём извлечения любых цифровых носителей информации, включая компьютеры, смартфоны, камеры наблюдения и т.п. Возможность использовать собранные улики в качестве доказательств как в нашей стране, так и во многих других, определяется в суде в рамках состязательного процесса. Демонстрация соблюдения криминалистической чистоты извлечения – важный и зачастую определяющий фактор, влияющий на то, будут ли допущены в качестве доказательств те или иные цифровые улики.

Достижима ли криминалистическая чистота извлечения в современных устройствах?

В ряде случаев идеальную криминалистическую чистоту в её формальном определении обеспечить невозможно ни физически, ни даже теоретически: данные, получаемые из современных мобильных устройств или, тем более, из облачных сервисов, извлекаются из работающего устройства или системы. Этот процесс невозможно проконтролировать полностью, и часть данных на устройстве неизбежно меняется в процессе извлечения.

Данные Шредингера

Как происходило извлечение данных из телефонов до того, как в них появились аппаратные сопроцессоры, отвечающие за безопасность и шифрование данных? Эксперт переводил устройство в режим обновления прошивки или загружал его в отладочный режим, используя специализированный загрузчик, после чего снимал образ раздела данных или всего хранилища целиком. Как вариант – устройство подключалось через диагностический порт либо из него извлекался чип памяти, с которого точно так же снимался образ данных. Внедрение шифрования усложнило эту процедуру, а последующее внедрение аппаратных сопроцессоров безопасности и использование кода блокировки экрана для генерации ключа и вовсе сделало эти методы бесполезными – по крайней мере, на современных устройствах.

Как же происходит извлечение данных из современного смартфона? Для моделей iPhone, оборудованных сопроцессором Secure Enclave (а это – все 64-разрядные модели начиная с iPhone 5s) существует несколько разных способов добраться до информации. Основные из них:

• Расширенное логическое извлечение: из телефона извлекается резервная копия данных, медиа-файлы и некоторые другие данные.
• Облачный анализ: данные скачиваются из облака (в данном случае – из iCloud).
• Запрос у производителя: правоохранительные органы могут запросить копию данных из облака непосредственно у Apple. Компания предоставляет не все данные, зато цифровые улики юридически грамотно оформляются.
• Низкоуровневый анализ: на работающем устройстве эксперт пытается получить права суперпользователя для доступа к файловой системе.
• Эксплойт загрузчика (checkm8): единственный способ, которым можно получить полностью повторяемый, криминалистически чистый результат. К сожалению, он доступен только для старых моделей – в теории до iPhone 8/8 Plus/X включительно, а на практике – лишь до iPhone 7/7s Plus.

Таким образом, практически все методы извлечения являются инвазивными, то есть, само использование метода подразумевает, что целостность данных будет нарушена, либо, как минимум, что нельзя доказать обратное, за редкими исключениями. Примерами таких исключений являются снятие образа диска через устройство блокировки записи, запуск телефона с образа ОС в оперативной памяти (а не из основного хранилища) с использованием эксплойта загрузчика, разделы данных монтируются в режиме «только для чтения».

О криминалистически чистом извлечении через эксплойт загрузчика мы поговорим в следующей статье, сегодня же я хочу затронуть другую тему: каким образом нужно действовать для того, чтобы данные, извлечённые из устройства инвазивными методами, смогли выступать не только в качестве улик, использующихся в процессе следственных действий, но и в качестве доказательств, которые можно представить в суде.

Расширенное логическое извлечение

Анализ iPhone методом расширенного логического извлечения – самый простой, универсальный и оттого распространённый способ извлечения цифровых улик. В рамках расширенного логического анализа создаётся резервная копия данных, извлекаются фотографии с сопутствующими метаданными (включая данные о местоположении), копируются некоторые системные журналы и данные приложений, доступные штатным образом.

При этом необходимо чётко понимать: логический анализ – это всегда извлечение из работающего устройства. Более того, в терминах компьютерной криминалистики логический анализ iPhone является, по сути, исследованием работающего устройства с авторизованной пользовательской сессией. На устройстве загружена операционная система, работают приложения. Если устройство подключится к беспроводной сети, то существует риск блокировки или удаления данных по команде извне.

С технической точки зрения, о криминалистической чистоте извлечения в процессе логического анализа не может быть и речи: две последовательно созданных резервных копии будут отличаться; их контрольные суммы не совпадут.

Несмотря на это, судебная практика говорит об обратном: данные из резервных копий iPhone и извлечённые из устройств фотографии довольно часто используются в суде в качестве доказательств несмотря на известные недостатки процесса. Для того, чтобы собранные данные можно было представить в суде, необходимо придерживаться чётких правил во время всего процесса взаимодействия с устройством:

• Изолировать устройство от беспроводных сетей и задокументировать время и способ, которым это было сделано.
• Документировать, документировать и ещё раз документировать! Каждый этап взаимодействия с устройством должен быть подробно описан, начиная с детального описания самого устройства.
• При извлечении данных создавать и сохранять контрольные суммы для каждого файла или образа. Повторное извлечение логическим способом выдаст другой результат, но ряд файлов (например, фотографии) не изменится независимо от числа попыток.

Правильно извлечённая, документированная и подписанная (хэш SHA-1 или более стойкий) копия данных зачастую может быть представлена в суде в качестве цифровых доказательств

Облачный анализ

В процессе облачного анализа данные извлекаются из удалённого сервера, контролируемого сторонней компанией (часто иностранной). Более того, за тот временной промежуток, который проходит между изъятием устройства и доступом в облако, данные могут быть неоднократно изменены, удалены или дополнены любым авторизованным пользователем. Единственный способ предотвратить такое развитие событий – выдача предписания владельцам облачного сервиса (впрочем, если у вас есть возможность выдать подобное предписание, то, скорее всего, вы сможете и получить данные непосредственно у владельца сервиса).

В случае с Apple данные в облаке хранятся в одном виде, а возвращаются по запросу в другом. Из облака скачиваются блоки (в случае с резервными копиями), файлы (фотографии, файлы из iCloud Drive) или отдельные записи (в остальных случаях). Для доступа к данным в процессе скачивания из облака необходимо сохранить их в формате, доступном для анализа.

Обеспечить криминалистическую чистоту полученных в результате облачного анализа данных с использованием сторонних инструментов; судебная практика в достаточном объёме не наработана. В то же время данные, полученные в процессе облачного анализа, могут оказаться ценными уликами, которые помогут в расследовании.

Рекомендуем придерживаться установленной процедуры, соблюдая правила документирования и сохраняя контрольные суммы извлечённых данных.

Запрос облачных данных у производителя

В ряде случаев данные можно запросить у производителя ОС устройства (Apple, Google, Microsoft). На соответствующим образом оформленный запрос производитель возвращает юридически грамотно оформленные данные, криминалистическую чистоту которых гарантирует владелец облачного сервиса.

Если у вас есть возможность запросить данные у производителя – обязательно воспользуйтесь ей. Следуйте установленной процедуре, соблюдая правила документирования, при получении данных сверяйте (если есть) или создавайте (если нет) цифровые подписи предоставленных файлов.

Обратите внимание: Apple не предоставляет некоторые типы данных из облака, ссылаясь на защиту методом сквозного шифрования, которую сама компания преодолевать отказывается. Сюда входят пароли пользователя из облачной связки ключей, данные приложения «Здоровье», а в новых версиях iOS – даже история браузера Safari. Все эти данные можно извлечь из облака при помощи Elcomsoft Phone Breaker, указав логин и пароль от учётной записи, пройдя двухфакторную аутентификацию и указав код блокировки одного из устройств пользователя, привязанных к той же учётной записи.

Низкоуровневое извлечение

Современные устройства iPhone оборудованы аппаратным сопроцессором безопасности, отвечающим за шифрование большей части содержимого хранилища устройства. Таким образом, любые методики низкоуровневого извлечения из iPhone (начиная с модели iPhone 5s) являются, по сути, извлечением из работающего устройства со всеми вытекающими последствиями. Более того, все методы низкоуровневого анализа, кроме способа, использующего уязвимость загрузчика, являются также анализом авторизованной пользовательской сессии; о юридических последствиях такого анализа мы уже рассказали в разделе, посвящённом логическому анализу.

С точки зрения перфекциониста, даже при низкоуровневом извлечении криминалистическая чистота отсутствует – за исключением ситуации с checkm8, о которой будет рассказано ниже.

Существует несколько принципиально различных способов низкоуровневого анализа iPhone.

С использованием джейлбрейка: эскалация привилегий с применением публично доступного джейлбрейка. Наименее «чистый» подход, при использовании которого обеспечить криминалистическую чистоту невозможно. Помимо вопросов к целостности данных, само устройство после установки джейлбрейка будет невозможно вернуть в оригинальное состояние; его нормальное функционирование будет под вопросом, а штатное получение обновлений операционной системы, скорее всего, будет невозможным.

С использованием агента-экстрактора: эскалация привилегий посредством приложения-агента из состава Elcomsoft iOS Forensic Toolkit. Достаточно, но не идеально «чистый» способ извлечения, оставляющий на устройстве минимум следов использования и оказывающий минимальное влияние на извлекаемые данные. Устройство возвращается в оригинальное состояние; при правильном документировании всего процесса извлечённые цифровые улики могут быть приняты судом в качестве доказательств.

С использованием checkm8 (Elcomsoft iOS Forensic Toolkit): гарантированная криминалистическая чистота и гарантия неизменности данных; загрузка оригинальной ОС не требуется; никакие данные на устройстве не модифицируются. После применения этого способа устройство находится в оригинальном состоянии. Этот способ, использующий Elcomsoft iOS Forensic Toolkit – единственный, после использования которого можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не загружалось после первого извлечения, а было сразу выключено и оставалось выключенным до момента следующего извлечения).

Чтобы проверить криминалистическую чистоту извлечения через checkm8 (сейчас речь исключительно о методике, использованной в Elcomsoft iOS Forensic Toolkit), мы провели следующий эксперимент.

• Выключенный iPhone был переведён в режим DFU
• В Elcomsoft iOS Forensic Toolkit выбран режим checkm8
• Произведено извлечение; создана контрольная сумма образа
• Произведено повторное извлечение; создана контрольная сумма
• Из exploited-режима (с загруженным ramdisk) телефон повторно в режим DFU
• Снова запускается функционал EIFT по использованию эксплойта и загрузке ramdisk
• Снят третий по счёту образ
• Телефон перезагружен в обычный режим (загружается установленная на iPhone версия iOS)
• Запускается функционал EIFT по использованию эксплойта и загрузке ramdisk
• Снят четвёртый образ

Результат: контрольные суммы первых трёх образов совпали. После перезагрузки в обычном режиме образ изменился, контрольная сумма не совпала.

Таким образом, поверяемый результат можно получить в том и только в том случае, если между снятиями телефон будет или оставаться в режиме DFU («чистом» или загруженным с ramdisk), или быть выключенным (для выключения телефона после извлечения необходимо использовать команду из iOS Forensic Toolkit; в противном случае телефон перезагрузится обычным образом, и криминалистическая чистота будет нарушена).

Напомним, что из выключенного состояния, если iPhone не подключён к компьютеру, в режим DFU телефон ввести можно только следующим образом:

• Зажать и удерживать кнопку Home, подключить к компьютеру, дождаться входа в Recovery, из режима Recovery ввести в DFU.
• Альтернативный (небезопасный) способ: подключить к компьютеру; телефон сразу включится, после чего нужно очень быстро ввести устройство в DFU.

Заключение: как превратить улики в доказательства

В заключение ещё раз напомним о важности тщательного документирования каждого шага цепочки извлечения. Подробно опишите как само устройство, так и используемые в процессе работы инструменты; обязательно сохраняйте журналы извлечения, создаваемые используемым программным обеспечением. Если используется Elcomsoft iOS Forensic Toolkit, то контрольные суммы извлекаемых данных вычисляются и сохраняются автоматически. Не забывайте включать эти контрольные суммы в отчёт об извлечении. Точное следование установленным процедурам увеличит вероятность того, что извлечённые данные будут приняты судом в качестве доказательств.