Мобильная криминалистика прочно заняла одно из важных мест в работе правоохранительных органов. Техническая сложность извлечения, обработки и анализа массивов данных, полученных из различных источников, сформировали запрос на универсальные решения «всё в одном». Мы же хотим подчеркнуть важность каждого этапа мобильной криминалистики, критическое значение стадии извлечения данных и важность использования нескольких инструментов для перекрёстного контроля.
Криминалистическая экспертиза мобильных устройств включает в себя несколько важнейших этапов, каждый из которых важен по-своему. Сюда входит предварительный этап (изоляция устройства, транспортировка и документирование), после которого следует процесс извлечения информации, который, в свою очередь, сопровождается анализом и созданием отчётов.
Извлечение данных — один из важнейших этапов в мобильной криминалистике. Данные, извлечённые правильным или неправильным способом, могут как помочь расследованию, так и развалить дело. Выбор правильного метода извлечения критически важен; ошибка может повредить устройство или привести к потере важных данных. Ошибки, сделанные даже при успешном, казалось бы, извлечении, могут привести к тому, что собранные цифровые доказательства будут отвергнуты судом.
В мобильной криминалистике существует множество методов извлечения: расширенное логическое извлечение, извлечение на основе эксплойта загрузчика, извлечение на основе агентов и, наконец, облачный анализ. Каждый метод имеет как преимущества, так и ограничения; важно понимать и те, и другие. Ознакомьтесь с этой статьёй и подпишитесь на наш блог, чтобы всегда быть в курсе последних событий.
Правильный выбор программного обеспечения имеет решающее значение для успешного извлечения данных. При этом следует учитывать такие факторы, как совместимость с различными устройствами, надёжность и скорость работы. Немаловажное значение имеет и платформа, на которой работает программное обеспечение; так, ряд действий (например, извлечение через эксплойт загрузчика) можно произвести только с компьютера Mac.
Прежде, чем инвестировать в тот или иной продукт, важно провести тщательное исследование, которое позволит убедиться, что продукт будет отвечать именно вашим требованиям. Такое исследование может оказаться непростой работой: поставщики криминалистического ПО часто не раскрывают важную информацию (часть 1 и часть 2). Важно понимать, что не существует универсального решения, способного полностью удовлетворить все разнообразные потребности эксперта. Полагаться на маркетинговые материалы не стоит; попробуйте хотя бы навести справки о выбранном продукте.
Эксперту-криминалисту может быть доступно несколько методов извлечения. Сюда входят расширенное логическое извлечение, низкоуровневое извлечение на основе загрузчика и на основе агента-экстрактора, а также облачное извлечение. Каждый метод имеет свои преимущества и ограничения, которые важно чётко понимать.
Для устройств с iOS самый эффективный метод — вариации на тему низкоуровневого извлечения, которое позволяет получить полный образ файловой системы и расшифровать связку ключей, в которой, в свою очередь, содержатся такие данные, как пароли и ключи шифрования. Низкоуровневое извлечение остаётся единственным способом доступа к зашифрованным чатам в защищённых мессенджерах (например, Signal). В то же время доступность низкоуровневого извлечения ограничена старыми устройствами или версиями iOS, что приводит к задержкам в поддержке новых версий iOS. Быстрая череда обновлений и исправлений превращает извлечение данных в постоянную проблему для экспертов-криминалистов.
Самые распространённые виды низкоуровневого извлечения — на основе эксплойта загрузчика и с использованием агента-экстрактора; их сравнение проводится в статье Сравнение методов извлечения данных из iPhone.
Метод извлечения с использованием эксплойта загрузчика — самый мощный и (в нашей реализации) единственный криминалистически чистый метод извлечения. В теории этот метод доступен для всех моделей, оснащённых процессорами поколений SoC от A5 до A11 включительно. Фактически же возможность извлечения данных ограничена: установка эксплойта — лишь первая часть работы; следующий этап (собственно, извлечение данных) требует дополнительных усилий. У iPhone, основанных на SoC A11 (это модели iPhone 8/X и некоторые модели iPad) под управлением iOS 16, похоже, не существует способа добраться до раздела с данными, если на устройстве когда-либо был установлен код блокировки экрана. Удаление кода блокировки не поможет; в результате о криминалистически чистом извлечении из этих устройств с iOS 16 можно забыть.
На помощь приходит другой метод, использующий агента-экстрактора. Принцип работы агента в том, что устанавливаемое на iPhone приложение в автоматическом режиме пытается получить необходимый уровень привилегий для доступа к файловой системе и связке ключей. Для этого используются известные нам уязвимости в разных версиях iOS. Поскольку анализ требует загруженной операционной системы, этот метод не является криминалистически чистым в полном смысле этого слова; тем не менее, в ряде случаев это — лучшее из доступного из низкоуровневых методов.
Если же недоступен и агент-экстрактор, то единственным оставшимся методом будет расширенное логическое извлечение, посредством которого извлекаются такие данные, как резервная копия в формате iTunes, медиа-файлы, некоторые системные журналы и данные приложений.
Наконец, облачное извлечение поможет в случаях, когда само устройство недоступно: Данные из облака: когда другого способа нет. Посредством облачного анализа можно восстановить ценные данные, такие как резервные копии, фотографии, контакты, текстовые сообщения и другую важную информацию. Elcomsoft Phone Breaker — единственный инструмент на рынке, который может извлечь из облака не только резервные копии и фотографии, но и данные, защищённые сквозным шифрованием.
В число ошибок, приводящих к потере данных во процессе работы, относятся:
Эти ошибки могут иметь серьёзные последствия и привести к потере важнейших данных, поэтому для успешного проведения экспертизы необходимо соблюдать осторожность, точно следовать инструкциям и учитывать все доступные источники данных.
На этапе анализа для эффективной обработки и интерпретации извлечённых данных потребуется мощное оборудование, определённые навыки и много времени. В отличие от извлечения, анализ требует вдумчивого подхода. Исключительно важно хорошо знать, как работает тот или иной инструмент. Например, отключение некоторых «тяжёлых», но редко приносящих реальную пользу функций, таких как распознавание образов, может значительно ускорить процесс. Лучше всего использовать несколько разных продуктов для перекрёстной проверки и сравнивать их результаты для уточнения выводов, а также с осторожностью относиться к поставщикам, выдающих нереалистичные цифры в числе обнаруженных артефактов.
Да, решение «всё в одном», реализующее как функции извлечения, так и анализа, может показаться привлекательным, но только на первый взгляд. Некоторые поставщики предлагают мощные возможности извлечения из устройств под управлением iOS, в то время как другие специализируются на устройствах Android, иногда даже только на конкретных чипсетах (например, ACELab специализируется на Android-устройствах на базе MTK). Во многих случаях использование отдельных инструментов для извлечения и анализа даёт лучшие результаты и позволяет избежать лишних расходов.
Несбыточная мечта многих специалистов — продукт, который просто решит проблему, желательно — после нажатия единственной кнопки. К сожалению, в области мобильной криминалистики это, в общем-то, справедливое желание так и остаётся несбыточной мечтой. Эффективная следственная работа невозможна без выбора правильного программного обеспечения с учётом всех дополнительных требований, подготовки устройства и выбора подходящего метода извлечения. Каждый метод извлечения (логический, с использованием эксплойта загрузчика или с помощью агента) имеет свои особенности и ограничения, которые были описаны в этой статье. Только с полным пониманием всех особенностей и нюансов использования каждого метода эксперты смогут успешно справляться со сложностями мобильной криминалистики.