В статье «Защита украденного устройства» — новая проблема для криминалистов мы рассмотрели влияние системных настроек iOS на возможность извлечения данных из защищённых iPhone, и пришли к выводу, что даже известный код блокировки больше не является гарантией успеха. В качестве альтернативы мы предложили вариант с ручным осмотром устройства. Как его правильно проводить и какую информацию можно, а какую — нельзя получить таким образом?

Что такое «ручной осмотр»

Под термином «ручной осмотр» мы подразумеваем визуальную инспекцию устройства в ручном режиме как в полевых условиях, так и в лаборатории. Если осмотр проводится в рамках следственных действий или оперативно-розыскных мероприятий, просмотр содержимого устройства должен быть соответствующим образом документирован; с этой целью часто используется фото- и видеофиксация и создание скриншотов непосредственно на исследуемом устройстве с последующей их пересылкой на устройство эксперта.

По сравнению с другими способами исследования устройств ручной осмотр как способ доступа к данным считается наиболее инвазивным. При проведении осмотра эксперт вынужден запускать приложения (даже если это всего лишь приложение «Настройки»); при просмотре переписки неизбежно меняются метаданные (например, статус сообщений (прочитано/доставлено)); могут в зависимости от настроек пользователя отправляться подтверждения о просмотре сообщений. Ручной осмотр устройства, подключённого к сети интернет, в дополнение к хорошо изученным рискам (таким, как удалённая блокировка устройства) сопряжён с рядом других, специфических рисков, влияющих на валидность доказательств, связанных с нежелательным изменением самих данных в процессе осмотра. Так, после неправильно документированного осмотра невозможно будет с уверенностью утверждать не только было ли просмотрено то или иное сообщение, но и сам факт его наличия или отсутствия.

При проведении осмотра необходимо тщательно соблюдать все предосторожности по работе с устройством и вести подробное документирование каждого шага процесса.

Когда использовать

Визуальная инспекция применяется в нескольких случаях.

1. В рамках оперативно-розыскной деятельности, когда фактор времени играет решающую роль.
2. В рамках следственных действий, когда другие способы извлечения данных недоступны.
3. В качестве дополнительного способа доступа к данным, позволяющего извлечь информацию, недоступную в рамках расширенного логического анализа (например, историю переписки в защищённых программах мгновенного обмена сообщениями). В этом случае ручной осмотр дополняет возможности логического анализа и расширяет набор доступных для исследования данных.

Как это работает: техническая сторона

Существует несколько вариантов осмотра, использующихся в различных обстоятельствах. Если речь идёт об исследовании в лаборатории, то может использоваться следующий алгоритм:

• Настраивается фото-видеофиксация; устройство изолируется от сети и разблокируется.
• Содержимое устройства просматривается последовательно. Осуществляется доступ как к отдельным файлам, так и к перепискам.
• В процессе осмотра эксперт запускает приложения (например, программы мгновенного обмена сообщениями, почтовый клиент) и вручную просматривает переписки. Важно документировать состояние переписок на момент начала исследования.
• В процессе исследования можно как создавать скриншоты, так и фиксировать содержимое экрана другими способами (видеосъёмка, детальные фотографии или комбинация того и другого).
• Интересующие данные передаются способом, не требующим подключения к интернет.
• В условиях, когда время крайне ограничено, возможна передача скриншотов через AirDrop, однако делать это необходимо с крайней осторожностью и только в условиях изоляции от внешней сети Интернет (например, в экранированном помещении или с использованием контролируемой Wi-Fi точки доступа без выхода в WAN), так как для работы AirDrop требуется активация интерфейсов Bluetooth и Wi-Fi.

Специализированные комплексы для фотовидеофиксации

В профессиональных криминалистических лабораториях для ручного анализа уже давно отошли от съёмки «с рук» в пользу стационарных рабочих станций. Типовая установка представляет собой жёстко закреплённый на репро-штативе фотоаппарат с макрообъективом, направленный перпендикулярно экрану исследуемого устройства. Ключевым элементом таких комплексов является система освещения: чтобы избежать паразитных бликов от глянцевых экранов смартфонов, используются источники света с поляризационными фильтрами или кольцевые осветители, дающие равномерный бестеневой свет. Продвинутые модели оснащаются предметными столами с микролифтами для точной фокусировки и фиксаторами, удерживающими устройство неподвижно на протяжении всего процесса съёмки.

На международном рынке эталоном долгое время считались комплексы вроде Cellebrite UFED Camera Kit или рабочие станции от Projectina, однако в российской практике эксперты чаще используют адаптированные решения — например, приборы компании «Регула», которые изначально создавались для проверки документов, но благодаря качественной оптике и режимам подсветки подходят для детальной съёмки экранов мобильных устройств.

Устройства для автоматизации прокрутки и съёмки экрана

Отдельный класс устройств — это роботизированные установки для автоматизации прокрутки и съёмки экрана, которые имитируют палец пользователя. Подобные устройства встречаются достаточно редко, но сама идея автоматизации рутины крайне востребована. Этот пробел мы попытались закрыть с помощью доступного решения на базе микроконтроллеров, которое можно использовать для более удобного создания так называемых «длинных скриншотов». С этой целью мы разработали аппаратно-программное решение, описанное в статье Длинные скриншоты с микроконтроллером Raspberry Pi Pico.

Плюсы и минусы ручного осмотра

У метода ручного осмотра по сравнению с методами извлечения данных есть свои достоинства и недостатки:

Достоинства метода

• Быстро и просто.
• Можно проделать с любыми устройствами (если они разблокированы).

Недостатки и ограничения ручного анализа

• Не является криминалистически чистым (а часто — даже допустимым).
• Множество изменений в данных.
• Достоверность полученных таким образом цифровых улик сомнительна, а возможность их представления в качестве цифровых доказательств требует тщательной фиксации и подробного документирования каждого шага.
• Доступен лишь ограниченный объем данных. Чувствительные данные (например, пароли) могут оказаться защищёнными функцией «защиты украденного устройства», и получить к ним доступ в таком случае не удастся (в некоторых случаях это возможно, если осмотр происходит в одном из «знакомых мест»; см. статью Защита украденного устройства).
• Не все приложения позволяют делать скриншоты. В таких случаях поможет только фото-видеофиксация.
• Далеко не все данные доступны в режиме просмотра. Недоступны многие метаданные, системные данные, журналы и многое другое, к чему можно получить доступ только другими способами.

Ручной осмотр, как правило, рекомендуется использовать лишь в случаях, когда того требует обстановка, а другие подходы недоступны. Однако следует учитывать его ограничения, особенно если требуется юридическая чистота процесса.