В современной следственной практике ценность данных, извлечённых из веб-браузеров, трудно переоценить. Об извлечении паролей мы недавно писали, но паролями и даже историей посещений дело не ограничивается. Так, история поисковых запросов помогает установить и доказать умысел, а данные, синхронизированные через облако с мобильных устройств подозреваемого, позволяют получить доступ к его действиям, осуществлённым на других, более защищённых устройствах.

С момента появления интерфейса защиты данных DPAPI в Windows 2000 методика сбора цифровых доказательств при работе с веб-браузерами оставалась неизменной: изолировать компьютер, создать побитную копию накопителя, извлечь данные и расшифровать, используя пароль от учётной записи. В те времена пароля пользователя Windows было достаточно для расшифровки данных, но сегодня этот подход устарел. С внедрением технологии App-Bound Encryption компании Google и Microsoft закрыли возможность расшифровки данных из браузеров, даже если в распоряжении эксперта есть образ диска, а пароль от учётной записи известен. Для доступа к сохранённым в браузере паролям нужно действовать быстро — и однозначно перед тем, как обесточить компьютер.

Всего несколько лет назад практически всё, что эксперт видел на экране компьютера, можно было найти на пластинах жёсткого диска. Найти, извлечь и внимательно исследовать. Сегодня же ситуация другая. Отключить компьютер, вынуть диски, снять образы… Подход — правильный, но почему, когда компьютер работал, на экране были видны сотни файлов, а в образе диска их нет?  Возможно, дело в частичной синхронизации, или синхронизации «по запросу», а сами файлы спокойно лежат в «облаке» Dropbox или OneDrive. Как добраться до этих данных, не затерев случайно другие улики? Попробуем разобраться.

Современные криминалистические лаборатории сталкиваются с кризисом объёмов данных. Когда в ходе обыска изымаются десятки ноутбуков, серверов и накопителей, традиционный подход «снять образ, работать с копией данных» становится узким местом, которое тормозит расследование. Одно из возможных решений — методы цифрового триажа, в процессе которого в автоматическом или полуавтоматическом режиме отбираются наиболее важные для расследования данные, а неважные (как системные файлы или исполняемые файлы приложений) — отбрасываются.