Мир разработчиков инструментов для цифровой судебной экспертизы тесен, как, впрочем, и любой другой нишевый рынок. Число поставщиков такого рода инструментов ограничено, особенно когда речь идёт о таких специфических потребностях, как разблокировка мобильных устройств или взлом шифрования. Однако, несмотря на яркие рекламные буклеты, в которых обещаются самые передовые технологии и воистину революционные решения, всегда есть ряд ограничений, раскрывать которые своим клиентам поставщики очень не любят. Эти ограничения могут значительно сказаться как на скорости и эффективности работы инструментов, так и на их применимости в конкретных условиях.

Движущаяся мишень

Цель эксперта-криминалиста — получить доступ к информации, которая хранится в защищённых устройствах или в зашифрованном виде. Средства защиты мобильных устройств постоянно совершенствуются; соответственно, усложняется и процесс их разблокировки и извлечения данных. Разработчики программ для судебной экспертизы должны постоянно обновлять свои знания особенностей новых устройств, операционных систем и методов шифрования. Предоставляемые ими инструменты не всегда совместимы со свежими устройствами, но не только с ними: иногда поставщики могут заявить о поддержке той или иной модели, умолчав о наличии многочисленных (и различающихся между собой) вариаций — таких, как региональные или операторские версии смартфонов.

Инструмент — это всего лишь инструмент

Другое ограничение, которое поставщики инструментов судебной экспертизы стараются не афишировать, — возможность ложноположительных или ложноотрицательных результатов в анализе. Инструменты цифровой судебной экспертизы предназначены для извлечения и анализа данных из различных источников, включая устройства, сетевые и облачные сервисы. Однако сложность цифровых экосистем и огромный объем данных может приводить к ошибкам в интерпретации. Используемые алгоритмы могут неправильно определять или неправильно интерпретировать данные, что приводит к неточным выводам и, в свою очередь, представляет серьёзную проблему для следователей, которые иногда излишне полагаются на результаты инструментального анализа. Результатом ошибок могут стать как ложные выводы, так и дезавуирование полученных таким образом цифровых доказательств.

Защита конфиденциальности как сдерживающий фактор

Ограничения, связанные с конфиденциальностью, также играют значительную роль в ограничениях используемыми экспертами-криминалистами инструментов. В последние годы уделяется всё большее внимание конфиденциальности и защите данных, что приводит к постоянному усилению шифрования и мер безопасности. Хотя это полезно для лиц и организаций, стремящихся защитить свою информацию, для экспертов-криминалистов постоянно совершенствующиеся средства защиты представляют серьёзную проблему. Ужесточение законодательной базы, связанной с защитой персональных данных и конфиденциальной информации, с одной стороны, и усиление мер безопасности с другой означают, что возможности разработчиков ПО для криминалистов ограничены, что затрудняет или делает невозможным получение необходимой информации.

Иллюстрацией этого тезиса служит внедрённая компанией Apple расширенная защита облачных данных, в которой сквозное шифрование применяется не только к чувствительным данным, но и практически ко всей информации, которую пользователь хранит в iCloud. Сюда входят даже такие данные, как резервные копии и фотографии в облаке, которые традиционно можно было извлечь из облака или запросить у компании Apple посредством несложной юридической процедуры. Теперь при включении пользователем дополнительной защиты Advanced Data Protection зашифрованные данные из облака не сможет получить не только эксперт-криминалист, но и сама компания Apple. Отметим, однако, что дополнительная защита недоступна пользователям российских учётных записей.

Излишняя секретность приводит к отсутствию прозрачности

Если упомянутых выше проблем недостаточно, расскажем ещё об одной. Это — избыточная степень секретности многих и многих поставщиков криминалистического ПО. Мы не говорим о той секретности, которая призвана защитить коммерческую тайну компаний-разработчиков и внутренние алгоритмы программного обеспечения. Нет, мы имеем в виду ту секретность, из-за которой многие поставщики держат в секрете такую важную информацию, как совместимость их продуктов с различными моделями устройств, что затрудняет возможность потенциальных клиентов оценить пригодность их продукта для решения конкретной задачи. Многие поставщики заходят настолько далеко, что не раскрывают до подписания сделки даже такую критическую информацию, как лицензионные соглашения. Отсутствие прозрачности вызывает разумные опасения относительно применимости и совместимости инструментов и, что ещё важнее, достоверности цифровых доказательств, получаемых с помощью этих инструментов.

В частности, доступные на рынке инструменты могут иметь ограничения при работе с заблокированными или защищёнными паролем смартфонами. В то время как поставщики криминалистических продуктов часто упоминают возможность разблокировать сотни (а у некоторых вендоров — десятки тысяч!) моделей устройств, на практике подробные списки совместимости бывают неполны или и вовсе являются конфиденциальной информацией, часто недоступной заказчику даже после покупки. В результате у эксперта могут возникнуть трудности при разблокировке любого конкретного устройства, особенно если это устройство является работает под управлением «слишком новой» или «слишком старой» версии прошивки в сравнении с тем набором, который был протестирован в лаборатории компании-разработчика, в результате чего эксперт может не получить доступа к цифровым уликам.

Мы в нашей компании стараемся обеспечить максимальную степень прозрачности, подробно и полностью раскрывая информацию о совместимости и ограничениях наших инструментов. Мы понимаем важность предоставления точной и надёжной информации нашим пользователям, давая им возможность принимать информированные и взвешенные решения, не требуя совершения покупки для получения полных спецификаций или лицензионных соглашений к нашим продуктам. Мы свободно говорим о моделях устройств, версиях операционных систем и методах шифрования, которые поддерживаются нашими инструментами, чтобы наши клиенты имели чёткое представление о возможностях наших решений. Кроме того, мы всегда в явном виде говорим о потенциальных ограничениях наших инструментов, подчёркивая необходимость использования различных методов и подходов к извлечению и анализу данных. Мы верим в то, что такая степень прозрачности относительно возможностей и ограничений наших продуктов способствует укреплению доверия наших пользователей и даёт знания, необходимые для эффективного использования наших решений.

Заключение

Обладание точной информацией о совместимости и ограничениях использующихся в процессе судебной экспертизы инструментов критически важно для экспертов-криминалистов. В то же время поставщики подобных решений не спешат раскрывать эту информацию и не любят говорить об ограничениях в использовании их продуктов. Непрерывно совершенствующиеся средства защиты, проблемы доступа к данным, связанные мерами конфиденциальности и безопасности, а также ограниченная прозрачность ряда поставщиков всё более усложняют работу экспертов-криминалистов. Понимание этих ограничений может помочь экспертам и следователям в принятии решений и использовании дополнительных методов, обеспечивающих комплексный подход к цифровым расследованиям.