«Защита украденного устройства» в её текущей реализации кардинально меняет правила игры для криминалистов. С точки зрения специалиста, функция делает простую вещь: требует Face ID или Touch ID для того, чтобы установить привязку устройства к компьютеру. Даже зная код блокировки, но не имея возможности авторизовать процедуру по лицу или отпечатку пальца владельца, привязать iPhone к рабочей станции для извлечения данных из него больше не выйдет. С весны 2026 года Apple включает эту защиту прямо «из коробки»; мы же готовим решение по её обходу, позволяющее установить и использовать агент-экстрактор при активной защите.

Основной целью «защиты устройства» по версии Microsoft была полностью прозрачная защита данных: системный диск зашифрован, а пользователю об этом не нужно даже знать. Шифрование на современных сборках Windows может происходить автоматически, ключи восстановления — так же автоматически загружаются в облако Microsoft (или в корпоративную сеть, Entra ID); пользователь никогда (по мнению Microsoft) не должен сталкиваться с паролями или ключами шифрования.

12 мая 2026 года исследователь, известный под никами Chaotic Eclipse и Nightmare-Eclipse, выложил на GitHub рабочий PoC для уязвимости нулевого дня в Windows под названием YellowKey. Эксплойт позволяет выйти в командную строку и получить доступ к зашифрованному BitLocker системному диску любому, у кого есть физический доступ к компьютеру с Windows 11, Windows Server 2022 или Windows Server 2025. Без пароля, ключа восстановления или сложного оборудования для перехвата данных TPM. Достаточно USB-накопителя и комбинации клавиш во время перезагрузки.

В последнем обновлении iOS Forensic Toolkit мы добавили поддержку низкоуровневого извлечения iOS 26 и 26.0.1. В новой версии инструментария доступно извлечение полного образа файловой системы и связки ключей, где хранятся пароли и токены авторизации. Не обошлось и без подводных камней: метод работает на всех моделях iPhone и iPad, на которых можно запустить iOS 26, за исключением семейства iPhone 17 и планшетов iPad на процессоре M5. Почему так получилось? Ответ — в новом методе аппаратной защиты целостности памяти, который появился в чипах A19 и M5.

Цифровая криминалистика долго опиралась на простой принцип: отключить питание, снять образ диска, анализировать в лаборатории. Этот подход работал, пока объёмы данных измерялись гигабайтами, а расследование касалось одного-двух компьютеров. Сегодня эти условия выполняются редко. В расследованиях часто фигурируют десятки устройств с терабайтными накопителями, и классический подход порождает очереди в лабораториях, растянутые на недели и месяцы. Пока образы ждут своей очереди, оперативная ценность улик падает.

Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).

В предыдущей версии iOS Forensic Toolkit агент-экстрактор научился работать с iOS 18.7.1 — на iPhone и iPad на чипах А, а сегодня мы добавили поддержку планшетов с iPadOS на архитектуре M (Apple M1, M2, M3, M4). Работу немного затормозили особенности распределения памяти в старших моделях iPad Pro на 1 и 2 ТБ, оснащённых 16 ГБ оперативной памяти, но нам удалось обойти и эту проблему.

Чем больше мы зависим от мобильных устройств, тем больше производители стараются обезопасить нас и наши данные от злоумышленников. Технически сложные методы разблокировки, надёжное шифрование, выделенные сопроцессоры безопасности с собственной ОС — лишь вершина айсберга. Но что происходит, когда защищаться приходится вовсе не от злоумышленников? Повсеместное использование шифрования всё чаще приводит к тому, что полиция упирается в глухую стену: получить доступ к данным без участия владельца часто невозможно технически. Этот технологический тупик спровоцировал конфликт между стремлением государства получить доступ к цифровым уликам и фундаментальным правом человека не свидетельствовать против самого себя.

В июле 2025 года пятидесятилетняя Анджела Липпс из штата Теннесси стала жертвой полицейской ошибки. Расследуя серию банковских мошенничеств, полиция города Фарго (Северная Дакота) получила наводку от коллег: искусственный интеллект распознал лицо Липпс на поддельном удостоверении, использованном преступниками. В результате вооружённые федеральные маршалы ворвались в её дом и арестовали женщину на глазах её внуков, что положило начало длинной цепочке событий: Липпс провела за решёткой около шести месяцев, получив статус беглой преступницы в штате, в котором не была ни разу в жизни.

Классические материальные улики — отпечатки пальцев или микроскопические частицы ткани — всё чаще дополняются цифровыми следами, а судьбы людей решаются в пространстве нулей и единиц. В современном правосудии цифровая криминалистика выходит на первый план. В отличие от орудия убийства, которое нельзя незаметно переплавить прямо в сейфе вещдоков, виртуальную информацию можно подделать, исказить или стереть так искусно, что следы стороннего вмешательства будет трудно выявить без специальной проверки.