Современные криминалистические лаборатории сталкиваются с кризисом объёмов данных. Когда в ходе обыска изымаются десятки ноутбуков, серверов и накопителей, традиционный подход «снять образ, работать с копией данных» становится узким местом, которое тормозит расследование. Одно из возможных решений — методы цифрового триажа, в процессе которого в автоматическом или полуавтоматическом режиме отбираются наиболее важные для расследования данные, а неважные (как системные файлы или исполняемые файлы приложений) — отбрасываются.

Именно здесь на сцену выходит наш новый инструмент Elcomsoft Quick Triage. Наш продукт разработан для быстрого сбора данных в полевых условиях; его использование может помочь эксперту найти ключевые улики за считанные минуты. Да, работать с копией данных, оставляя оригинальный накопитель в исходном состоянии — правильно, и именно так и должна работать лаборатория. Однако этот подход создаёт огромные очереди в лабораториях, из-за чего следствие простаивает, а оперативные данные теряют актуальность. В цифровую эпоху на первое место в расследовании выходит именно триаж — предварительный анализ, отбор и сортировка цифровых доказательств. Смещая фокус с анализа всего объёма данных на поиск только значимых артефактов, EQT позволяет существенно продвинуть расследование на начальном этапе. Фактически, Elcomsoft Quick Triage — классический инструмент, совмещающий возможности сбора и экспресс-анализа цифровых улик.

Анатомия триажа: источники, артефакты и оперативная информация

В компьютерной криминалистике для эффективной сортировки важно различать понятия «источник данных» и «артефакт». Источник данных — это файл, контейнер или структура, где хранится информация: например, файл Outlook .pst, база данных SQLite мессенджера или файлы реестра Windows. Это своего рода «цифровые картотеки» системы. Артефакт же — это конкретная единица доказательной информации, извлечённая из этого источника: отдельное сообщение в чате, отправленное письмо с вложением или временная метка открытия файла.

Цифровой триаж работает с этой иерархией, собирая сотни источников данных для последующего подробного исследования в лаборатории, но фокусируясь на конкретных типах артефактов для быстрого анализа. Инструменты экспресс-анализа обычно группируют их в приоритетные категории: коммуникации (чаты мессенджеров и электронная почта), действия пользователя в интернете (история браузера, поисковые запросы, скачанные файлы), пароли (извлечённые из браузеров и менеджеров паролей) и данные об использовании системы (данные SRUM, записи реестра, таймлайны и логи выполнения программ). Выделяя эти ключевые группы, следователь может вместо терабайтного накопителя (часто — не единственного) сконцентрироваться на анализе набора из нескольких тысяч конкретных артефактов и нескольких сотен источников, отобранных в процессе триажа. Такой подход позволяет принимать оперативные решения прямо на месте, не дожидаясь извлечения и создания полного образа накопителя.

Триаж как способ обхода защиты мобильных устройств

Цифровая криминалистика — это не только и даже не столько о компьютерах. В ряде случаев основной массив данных собирается и хранится на смартфоне — устройстве, которое всегда с собой. В то же время мобильные устройства надёжно защищены Secure Enclave в iOS и TEE в Android. Однако расследование не может ждать месяцами, пока появятся эксплойты для разблокировки телефона. Нужна новая тактика и новый вектор атаки. Облачная криминалистика — один из вариантов решения, но пробиться в облако на практике далеко не просто, а компании, которым принадлежат облачные сервисы, могут реагировать на запросы месяцами — или вовсе не реагировать.

Один из вариантов решения — анализ компьютера пользователя. С одной стороны, облачные данные (такие, как история посещений, пароли в браузере, переписка и чаты в мессенджерах и даже фотографии) часто синхронизируются между устройствами пользователя; с другой — защита компьютеров обычно намного слабее, чем у смартфонов. Всё это позволяет получить доступ к данным, собранным на мобильном устройстве, анализом компьютера с Windows.

Современные настольные компьютеры могут как не иметь защиты вообще (такое встречается всё реже), так и использовать шифрование диска BitLocker — и именно его проще всего обойти как раз при анализе «живой» системы в процессе триажа. Зашифрованный с помощью BitLocker системный раздел практически бесполезно пытаться взломать (если, конечно, не удастся получить ключ шифрования — к примеру, депонированный в облако Microsoft). Файлы Dropbox? Синхронизируются. Мессенджеры? Их рабочие базы данных практически недоступны на современных смартфонах без эксплойта, но легко извлекаются из активной сессии Windows. Электронная почта? Она не попадает в резервные копии iOS, но доступна в файлах Outlook на ПК. Пароли? Их крайне сложно извлечь из iPhone и почти невозможно из iCloud без знания пароля, PIN-кода и доступа ко второму фактору аутентификации, но на компьютере с Windows эти данные тривиально извлекаются из браузеров при анализе авторизованной сессии, а зачастую доступны и в образе диска.

Мессенджеры — самый яркий пример, который на слуху. Масштабные преступные операции (например, мошеннические колл-центры) вынуждены использовать полноценные компьютеры просто в силу эргономики, «работая» через десктопные клиенты Telegram Desktop, Signal или WhatsApp Web. В отличие от мобильных сред, где базы данных изолированы в «песочнице» и зашифрованы, Windows предоставляет к ним доступ с минимальной защитой или вовсе без неё. Например, Telegram хранит данные в каталоге tdata, где содержатся токены сессии и локальный кэш. Получив доступ к этим папкам, можно извлечь ключи или даже перехватить активную сессию без физического доступа к заблокированному смартфону.

Синхронизация данных веб-браузеров — ещё один хороший пример. Если подозреваемый использует аккаунт Google на мобильном устройстве, то его пароли, формы автозаполнения и история поиска, как правило, синхронизируются с браузером Chrome на компьютере. Доступ к этим данным может продемонстрировать умысел или опровергнуть алиби прямо на месте, без необходимости отправлять сложные международные запросы провайдерам услуг (Google, Apple), ответы на которые могут идти месяцами или не прийти вовсе.

Наконец, собственные артефакты операционной системы Windows предоставляют контекст, который не могут дать файлы, создаваемые пользователем. Ветки реестра, такие как ShimCache (AppCompatCache) и AmCache, действуют как «черный ящик» системы, записывая факт наличия и запуска программ, даже если они были впоследствии удалены. Для эксперта анализ этих артефактов даёт понимание, пытался ли подозреваемый зачистить следы, использовались ли программы шифрования или вредоносное ПО, запускались ли какие-то программы с внешних накопителей.

А что на практике?

Теоретическая ценность цифрового триажа лучше всего подтверждается реальными расследованиями. В приведённых ниже случаях успех был достигнут не взломом смартфона, а анализом конкретных артефактов, которые помогли установить связь подозреваемого с преступлением. Эти примеры показывают, как доступные источники данных в Windows — от кэша браузера до метаданных документов — обеспечили доказательную базу там, где другие способы зашли в тупик.

• Дело «Nth Room» (Файлы Telegram Desktop): Следователи обошли шифрование мобильных телефонов, проанализировав файлы Telegram, найденные на ноутбуках подозреваемых. Это позволило полиции получить доступ к «секретным чатам» и установить личности участников преступной сети без взлома паролей от телефонов. HANKYOREH
• Дело Содружества против Брайана Уолша (Синхронизированная история поиска): Дело об убийстве, в котором умысел мужа был доказан поисковыми запросами в Google, такими как «как избавиться от тела». Поиск осуществлялся на планшете iPad, но запросы синхронизировались с историей браузера на его ПК с Windows. Этот случай идеально иллюстрирует концепцию: подозреваемый может использовать защищённое мобильное устройство (iPad), но поскольку он вошёл в аккаунт Google, синхронизированная история Chrome на Windows помогла раскрыть его действия. CNN
• Мошенничество с Heartland Tri-State Bank (Кэш WhatsApp Web): Масштабная крипто-схема, раскрытая благодаря анализу следов в кэше браузера WhatsApp Web на ПК участников преступной сети. CNBC
• Кассандра Круз (Сохранённые пароли и куки): Дело о киберсталкинге, в котором женщина преследовала жертву, используя вымышленное имя «Джованни». Полиция доказала её вину, обнаружив логин и пароль от поддельного аккаунта, сохранённые в браузере на её собственном компьютере. FBI
• Росс Ульбрихт / Silk Road (Дамп оперативной памяти): Агенты арестовали оператора Silk Road, выхватив его ноутбук, пока тот был открыт и авторизован в системе. Это позволило им извлечь логи чатов и ключи шифрования из оперативной памяти (RAM) компьютера до того, как он успел заблокировать устройство. FBI
• Кейси Энтони (Анализ истории браузера): Известное дело, во многом опиравшееся на историю посещений. Прокуроры утверждали, что подозреваемая искала «хлороформ» 84 раза. ABC News
• Uber против Waymo (Реестр и логи USB): Дело о корпоративной краже, в которой инженера обвинили в краже коммерческой тайны. Анализ системного реестра его ноутбука и истории USB-подключений доказал, что он подключал конкретный внешний диск и скачал тысячи файлов перед увольнением. wired.com
• «Убийца с Craigslist» (Логи электронной почты и MAC-адрес): Полиция выследила Филипа Маркоффа, связав временный адрес электронной почты с уникальным идентификатором оборудования его компьютера (MAC-адресом). Этот цифровой след напрямую связал его с сообщениями, отправленными жертвам. ABC News

Заключение

В условиях, когда мобильные операционные системы становятся всё более закрытыми, а объёмы изымаемых данных растут в геометрической прогрессии, цифровой триаж перестаёт быть просто «быстрым способом проверки». Сегодня триаж — один из важнейших этапов расследования, который позволяет следствию сохранять темп в первые, самые важные часы после изъятия техники. Фокусируясь на десктопных артефактах и синхронизированных данных, эксперт получает возможность исследовать как данные, созданные на компьютере, так и данные, синхронизированные на него с мобильных устройств.

Elcomsoft Quick Triage ускоряет и автоматизирует этот процесс, позволяя получить ответы на простые вопросы здесь и сейчас — и провести углублённый анализ впоследствии. В конечном счёте, успех расследования в цифровую эпоху зависит не от того, сколько терабайт данных было скопировано, а от того, насколько быстро эти данные превратились в неоспоримые доказательства.