В цифровой криминалистике важно не только современное оборудование и набор программ, о которых мы постоянно пишем, но и разнообразные адаптеры и переходники, позволяющие подключать исследуемые устройства к компьютеру. Мы собрали комплект адаптеров, который решает специфические проблемы подключения исследуемых устройств к компьютеру в условиях криминалистического анализа.

Оснащение лаборатории: оборудование

В нашем блоге мы пишем о программном обеспечении для компьютерной и мобильной криминалистики, но программы — это далеко не всё, что нужно для оборудования лаборатории цифрового криминалиста. Для эффективной работы важно иметь в распоряжении не только набор программ, покрывающий весь спектр решаемых задач, но и широкий ассортимент оборудования. Оборудование для цифровой криминалистики включает в себя как компьютеры (часто — работающие на разных операционных системах), так и хранилища данных. Однако не стоит забывать и о том, что для подключения устройств и носителей, которые приносят на анализ, вам понадобятся разнообразные специфические переходники и адаптеры.

При исследовании данных криминалисты сталкиваются с огромным количеством различных устройств, как с привычными интерфейсами, так и с более специфическими. Более того, в рамках расследования к таким адаптерам предъявляются специфические требования; к примеру, адаптеры для подключения носителей информации должны надёжно предотвращать возможность случайной модификации снимаемых с носителя данных, а адаптеры для часов Apple Watch должны поддерживать режим DFU.

Создание полноценной лаборатории требует значительных усилий; важно предусмотреть всё необходимое для работы как в лабораторных условиях, так и в полевых. Мы уже рассказывали о некоторых аспектах, связанных с использованием нашего инструментария Elcomsoft iOS Forensic Toolkit в лаборатории: дополнительное оборудование для EIFT. Но на этом спектр необходимого оборудования не заканчивается.

Недавно мы выпустили новый комплект, включающий в себя ряд адаптеров и переходников, разработанных в нашей компании специально для нужд криминалистов. Рассмотрим его подробнее.

Адаптеры для Apple Watch и других устройств Apple

Чуть выше мы уже упоминали адаптеры для Apple Watch. На рынке существует несколько популярных решений, таких как MagicAWRT и S-DOCK, однако они не всегда обеспечивают надежное соединение. Более того, некоторые из представленных на рынке решений не поддерживают режим DFU, что делает их бесполезными в контексте низкоуровневого извлечения через эксплойт загрузчика. Учитывая эти недостатки, мы разработали собственные адаптеры, которые включены в новый комплект.

Наши адаптеры для Apple Watch отличаются высокой надежностью и совместимостью с различными моделями часов, что особенно важно при работе с данными. Они легко интегрируются с EIFT, обеспечивая быструю и безопасную работу с данными, хранящимися на часах.

Переходники для Apple Watch обеспечивают подключение и взаимодействие с ПК часов Apple Watch всех моделей, на которых имеется специальный диагностический разъём (5 или 6 контактов). Для поддерживаемых моделей возможно извлечение данных с помощью Elcomsoft iOS Forensic Toolkit для дальнейшего анализа.

• поддерживаемые серии: S0, S1, S2, S3, S4, S5
• размеры: 32, 40, 42, 44 мм
• подставка для устойчивого расположения и надёжного подключения
• интерфейс для подключения к ПК: Apple Lightning
• защита от переполюсовки и короткого замыкания

Переходники комплектуются универсальным кабелем, предназначенным как для обмена данными с Apple Watch, так и для беспроводной зарядки.

Несмотря на то, что часы Apple Watch не так часто поступают на экспертизу, как другие устройства, они содержат множество полезных данных, которые могут быть важны для расследования. Гораздо реже в лабораторию попадают устройства Apple TV, однако мы предусмотрели адаптер для модели 4K. В этом случае вместо разработки собственного адаптера мы выбрали надёжную копию оригинального переходника Apple (оригинал в свободной продаже отсутствует), который доказал свою эффективность. Этот адаптер также вошёл в комплект.

Поддержка дисков с интерфейсом SATA

Мобильная криминалистика — это далеко не всё, с чем приходится сталкиваться экспертам. Основная часть данных, исследуемых криминалистами, находится на дисках с интерфейсами SATA, как HDD, так и SSD. В последние годы всё чаще в лаборатории попадают накопители SSD в форм-факторе m.2. Некоторые производители используют нестандартные разъёмы, физически несовместимые с обычными коммерческими переходниками m.2, что дополнительно усложняет работу.

Представленные на рынке переходники для m.2 часто страдают от проблем, таких как низкая производительность, ограниченная совместимость или ненадежность соединения, что может привести к сбоям в процессе работы. Кроме того, некоторые адаптеры могут даже повредить данные, сам носитель или порт компьютера. Мы решили эти проблемы, разработав и тщательно протестировав шесть различных адаптеров для самых популярных форматов m.2. Кроме того, мы включили в комплект коннектор для micro SATA, который будет полезен в работе с дисками из ряда моделей ноутбуков.

Поддерживаются как стандартные накопители в форм-факторе М.2 (Key B), так и менее распространённые и экзотические варианты mSATA, Apple 6+12pin, Apple 8+18pin, ASUS 6+12pin и Lenovo 6+20pin. Накопители перечисленных стандартов можно встретить в ряде моделей портативных компьютеров, ноутбуков и устройств «два-в-одном» от многочисленных производителей как на устаревших моделях, так и на современных устройствах нижнего ценового сегмента. В частности, накопители с интерфейсом SATA в форм-факторах Apple 6+12pin и Apple 8+18pin устанавливались компанией в компьютеры 2010–2021 модельных годов. Установленный в соответствующий переходник проприетарный накопитель подключается к компьютерам, оборудованным стандартным интерфейсом SATA 7+15pin, или к другому оборудованию.

В перечисленных форм-факторах поддерживаются только накопители, работающие по протоколу SATA. Устройства, работающие по протоколу NVME, в том числе диски в форм-факторе M.2 (Key M), не поддерживаются.

Блокираторы записи: защита данных и надежность

Отдельное внимание заслуживают блокираторы записи. Они играют ключевую роль в цифровой криминалистике, предотвращая любые изменения на исследуемом носителе данных. Это особенно важно при работе с оригинальными носителями, чтобы сохранить их целостность. Мы уже подробно рассказывали о необходимости использования блокираторов записи в статье Аппаратная блокировка записи при снятии образа диска, а в статье Как добиться максимальной скорости при снятии образов дисков привели рекомендации по работе с блокираторами записи, позволяющие добиться максимальной скорости работы. Отметим, что с нашим блокиратором нам удалось достичь пиковой скорости чтения SSD в 510 МБ/с, что близко к теоретическому пределу пропускной способности интерфейса SATA.

Аппаратные блокираторы записи SATA — аппаратные средства, не позволяющие случайно или намеренно модифицировать данные на исследуемом накопителе, что является важным условием чистоты и криминалистической значимости приобретаемых в процессе экспертизы цифровых вещественных доказательств. В наших переходниках блокировка реализована на микропрограммном уровне, эффективно обеспечивая полный запрет на запись любых команд SATA и SCSI, которые потенциально могли бы модифицировать данные. Качество и полнота блокирования подтверждается результатами тестирования по методике NIST.

Наш блокиратор компактный и портативный; его можно брать с собой на выездные осмотры.

Планы на будущее

Мы продолжаем работу над расширением линейки адаптеров и блокираторов записи. Запланирована разработка адаптеров для и USB-накопителей, карт памяти (SD, microSD, CompactFlash), старых IDE/PATA-дисков; блокиратор для современных NVMe-дисков — в финальной стадии разработки. Наши специалисты, как всегда, тщательно тестируют каждое новое устройство, чтобы обеспечить максимальную скорость и надежность работы.