В предыдущей статье мы разобрались с основными принципами цифровой криминалистики — неизменностью, повторяемостью и проверяемостью данных, с законодательной базой и практикой правоприменения. Теперь пора перейти к конкретике: к тем устройствам и носителям, с которых эти данные извлекаются. Говорить о «чистоте» процесса и целостности данных — это одно, и совсем другое — обеспечить эту чистоту и гарантировать целостность и аутентичность извлечённых данных при работе с реальными источниками: смартфонами, накопителями, видеорегистраторами и прочими цифровыми устройствами.

Список источников, с которыми приходится иметь дело в цифровой криминалистике, мы активно обсуждали с коллегами; в реальности список настолько широк, что «источником» можно считать буквально всё — от «умного» телевизора с Android до кофеварки с Wi-Fi. В итоге решили сосредоточиться на том, что встречается чаще всего и где вопрос криминалистической чистоты особенно критичен. А именно:

• смартфоны, как одни из самых насыщенных по данным и самых капризных в работе устройств;
• устройства с цифровыми носителями, вроде видеорегистраторов, навигаторов или «умной» техники, где носитель встроен и напрямую не достаётся;
• носители данных — как отдельные (USB-накопители, диски), так и те, что извлекаются из устройств (например, карты памяти или SSD из видеорегистраторов).

С каждым из этих типов источников возникают свои технические и процессуальные нюансы, о которых и пойдёт речь дальше.

Смартфоны: баланс желаемого и возможного

Смартфоны — один из самых насыщенных и ценных источников цифровых данных. Но при этом они же — одни из самых защищённых. Даже если не ставить цель обеспечить криминалистическую чистоту, просто извлечь информацию с них бывает непросто.

С iPhone всё зависит от модели и архитектуры. Устройства до iPhone X (а по факту — до iPhone 7 и 7 Plus) уязвимы к эксплойту загрузчика checkm8, что даёт возможность извлекать данные на низком уровне, с сохранением их неизменности. Для 32-битных моделей такая методика уже реализована в iOS Forensic Toolkit. С 64-битными всё сложнее: образ диска снять можно, но расшифровать раздел пока не выходит. Тем не менее, извлечение полного образа файловой системы — прекрасно работающая альтернатива, которая даёт ту самую повторяемость и воспроизводимость.

С более новыми моделями всё куда печальнее. Аппаратная защита не позволяет снять ни образ диска, ни даже файловой системы. Максимум — логический дамп или резервная копия. Ни о какой полноценной криминалистической чистоте речи здесь не идёт.

С Android — ещё сложнее. Архитектур, прошивок, производителей и уровней доступа — великое множество. Где-то физический съём возможен (например, с помощью PC-3000 Mobile), где-то — нет. В большинстве случаев приходится довольствоваться тем, что даёт загруженное устройство. Это уже компромисс — между тем, что нужно, и тем, что вообще удаётся получить. Так что со смартфонами всё непросто: это всегда зона риска. Здесь нет идеальных решений, только более или менее «чистые» варианты.

Устройства с цифровыми носителями: возможное — не значит воспроизводимое

Речь о тех случаях, когда носитель встроен в устройство и напрямую недоступен: видеорегистраторы, навигаторы, IoT-устройства, «умная» техника (да-да, и телевизоры), камеры наблюдения и даже банкоматы. Данные вроде бы есть, но извлечь их криминалистически чисто и повторяемо — задача, мягко говоря, нетривиальная.

Проблема в том, что доступ к носителю идёт через «чёрный ящик» — со своей ОС, файловой системой и интерфейсами. Прямой контролируемый доступ невозможен, а значит, ни о какой гарантированной неизменности речи не идёт.

Пример — видеорегистратор. Сам он может на лету переписывать фрагменты, менять формат, вести логи. Если же накопитель извлекается и подключается к Windows — достаточно согласиться на «инициализацию», и начальные сектора будут затёрты. Восстановление — долгое и не всегда успешное.

Навигаторы и камеры с внутренними накопителями — та же история. Получить данные можно только через интерфейс устройства, а любое подключение — уже потенциальное вмешательство.

Иногда ситуация лучше. Например, у некоторых автомобильных систем возможен доступ по JTAG-интерфейсу — что уже даёт шанс на аккуратное извлечение данных. Дальше — как повезёт: бывает, что внутри Android с файловым шифрованием, а бывает — ничего не зашифровано. В ряде случаев помогает и chip-off: снятие микросхемы памяти и чтение напрямую с помощью лабораторного оборудования. Это — «чистый» способ, но далеко не всегда простой.

Так что в большинстве случаев повторяемость здесь недостижима, а неизменность — под большим вопросом. Иногда помогает физический доступ к микросхемам памяти, но это — отдельная процедура с отдельным уровнем сложности.

Накопители: наконец-то уверенное «да»

После всего сказанного выше мы, наконец, переходим к категории, где криминалистическая чистота действительно достижима — это цифровые носители как таковые. То есть те случаи, когда у нас на руках уже есть сам накопитель: физически извлечённый из устройства или переданный в изолированном виде. Здесь, в отличие от смартфонов и встроенных устройств, всё зависит от нас. Мы можем обеспечить неизменность, воспроизводимость и прозрачность процедуры извлечения данных — с первых шагов и до финального отчёта, особенно если используются правильные инструменты.

Самые распространённые типы носителей, с которыми приходится работать:

• Накопители с протоколом SATA: жёсткие диски HDD и твердотельные SSD — классика жанра, активно используются;
• NVMe SSD (форм-фактор m.2) — массово устанавливаются в ноутбуки, часто попадаются и в настольных компьютерах;
• относительная экзотика: стандарты EDSFF и U.2
• карты памяти — в основном SD и microSD, но встречаются и вариации на тему CompactFlash, особенно в видеокамерах, регистраторах, дронах и бытовых устройствах;
• разнообразные USB-накопители.

Для всех этих типов и форм-факторов мы разработали блокираторы записи, которые позволяют подключать носитель в режиме только для чтения — без риска изменения структуры данных или случайной перезаписи (вспоминаем случай случайной инициализации накопителя, извлечённого из поточного видеорегистратора). Именно они дают необходимый уровень уверенности, при котором можно говорить о реальной криминалистической чистоте и повторяемости.

Тем не менее, и здесь не всё идеально. С SSD даже с использованием блокиратора есть риск — при подключении SSD фоновые процессы сборки мусора могут перезаписать (а точнее — обнулить) содержимое секторов, из которых пользователь ранее удалил данные. А с повреждёнными HDD или USB-накопителями ситуация ещё сложнее: одно только подключение может усугубить состояние или изменить содержимое, что можно обойти только с использованием специализированных средств.

А что, если носитель не входит в стандартный список? IDE, SAS, eSATA, даже старые CompactFlash — всё это можно подключить через переходники, позволяющие конвертировать экзотику в один из поддерживаемых форм-факторов. На выходе — тот же гарантированный контроль.

В следующей статье мы подробнее расскажем о наших блокираторах и переходниках: какие уже есть, какие на стадии разработки, и какие особенности важно учитывать при работе с разными типами носителей. А пока можно сказать главное: именно здесь — на уровне работы с «железом» — принцип криминалистической чистоты становится не идеей, а практикой.