Содержание статьи:
Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных, которые они содержат, является сравнительно молодым направлением компьютерной криминалистики или форензики. Это ответвление обусловлено тем, что традиционные методы форензики не всегда могли быть применены к мобильным устройствам, что обусловило необходимость разработки новых методик для их исследования и изучения.
Форензика – это прикладная наука о раскрытии преступлений, связанных с компьютерной информацией. Об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. А криминалистическое исследование мобильных устройств или мобильная криминалистика – это подраздел форензики, занимающийся поиском, извлечением и фиксацией цифровых доказательств, имеющихся в мобильных устройствах, таких как сотовые телефоны, смартфоны, планшеты и др.
Необходимо отметить, что подавляющее количество цифровых носителей информации, поступающих в судебные лаборатории, составляют именно мобильные устройства - более 70% от общего числа поступивших устройств, а в отдельных лабораториях, более 95% от общего числа. К тому же, с течением времени, значительно меняются требования сотрудников следственных органов к качеству и количеству извлекаемой из мобильных устройств информации. К примеру, если десять-пятнадцать лет назад следователя устраивало, что эксперт извлекал из мобильного устройства: вызовы, контакты, SMS-сообщения, то сейчас, обязательным условием экспертного исследования мобильного устройства является поэтапное восстановление удаленной информации, извлечение истории обмена сообщениями в различных мессенджерах, истории совершения платежей в различных платежных приложениях, извлечение геоданных и т.п. К большому сожалению не все категории этих данных, даже при условии наличия их в мобильном устройстве, доступны для извлечения. Прежде всего, это связано с аппаратными и программными особенностями хранения данных в конкретном мобильном устройстве конкретного производителя.
Профессиональные аппаратно-программные комплексы для проведения исследований очень дороги, однако существуют и бесплатные инструменты, сведения о которых будут приложены в конце статьи.
Сам процесс получения цифровых доказательств из мобильных устройств состоит из семи стадий:
1. Представление объекта на экспертизу
На данном этапе следственным органом (органом дознания, судом) готовится постановление о назначении компьютерной (компьютерно-технической) экспертизы, которое впоследствии поступает в экспертное учреждение вместе с объектом исследования. Необходимо отметить важность предварительного согласования вопросов, ставящихся на разрешение эксперту, следственным органом. Кроме того, необходимо удостовериться в отсутствии повреждений упаковки объекта, а также соответствии представляемых на экспертизу объектов тем, что указаны в постановлении о назначении экспертизы.
2. Идентификация объекта
Эксперт, которому поручено производство экспертизы, предварительно сфотографировав упаковку, извлекает из нее поступивший на исследование объект. Производится сопоставление извлеченного из пакета устройства с устройством, указанным в постановлении о назначении экспертизы. Фиксируется производитель, модель и серийный номер устройства, IMEI, а также иные индивидуальные особенности - цвет, тип корпуса, повреждения и т.д. Устанавливается наличие в корпусе мобильного устройства SIM-карт и карт памяти.
3. Подготовка к исследованию
Необходимая для этой стадии информация уже собрана экспертом при идентификации объекта. Получив сведения о производителе и модели, криминалист может найти и изучить документацию на устройство, подобрать соответствующий кабель, программное обеспечение, необходимое для проведения исследования, в том числе драйверы, необходимые для взаимодействия мобильного устройства с рабочей станцией эксперта. При выборе программного обеспечения необходимо руководствоваться задачами исследования, ресурсами, находящимися в распоряжении экспертно-криминалистического подразделения, типом мобильного устройства, а также наличием в нем сменных носителей информации.
4. Изоляция объекта
Большинство мобильных устройств взаимодействуют с сетями сотовой связи и иными через «Bluetooth», ИК-порт и Wi-Fi-модуль. На данной стадии эксперт изолирует устройство от всех этих сетей. Это позволяет избежать внесения изменений в данные, имеющиеся в памяти устройства, например, входящими вызовами, SMS-сообщениями и т.п. Кроме того, некоторые устройства поддерживают удаленный доступ, воспользовавшись которым подозреваемый может уничтожить цифровые доказательства. Для этих целей может быть использована, например, клетка Фарадея, которая экранирует устройство от внешних электромагнитных полей. Кроме того, большинство смартфонов и планшетных компьютеров имеют встроенный режим «В самолете», который также позволяет отключить устройство от всех сетей.
5. Извлечение данных
Изолировав мобильное устройство от сетей, эксперт приступает к непосредственному извлечению и анализу данных посредством избранного программного обеспечения (и аппаратно-программных комплексов). Необходимо отметить, что внешние носители информации (карты памяти) должны исследоваться отдельно, так как существует вероятность внесения изменений в данные, хранящиеся на ней, во время исследования мобильного устройства. При исследовании карт памяти необходимо применять традиционные методы компьютерной криминалистики, которые позволяют сохранить исследуемую компьютерную информацию в первозданном виде.
Разберемся более подробно с уровнями извлечения данных. Существует пять основных уровней извлечения данных из мобильных устройств, каждый из которых имеет свои недостатки и преимущества. Данные уровни были представлены Сэмом Бразерсом, в 2009 году, в виде пирамиды, по мере приближения к вершине которой методы становятся более сложными с технической стороны, правильными с точки зрения криминалистики и наукоемкими. Пирамида, иллюстрирующая все пять уровней извлечения данных из мобильных устройств представлена на рисунке.
Рисунок. Уровни извлечения данных из мобильных устройств
Ручное извлечение данных
Данный уровень подразумевает обеспечение доступа к компьютерной информации, имеющейся в памяти мобильного устройства, посредством его клавиатуры или сенсорного экрана. Обнаруженная в ходе исследования информация документируется путем фотосъемки экрана телефона или планшета. Данные метод является наиболее простым и подходит для любого устройства. Важно отметить, что на данном уровне невозможно получить все данные, а также произвести восстановление удаленных файлов и записей. Несмотря на кажущуюся простоту данного метода, некоторые типы данных например, сведения об электронной почте, хранимой в мобильном устройстве фирмы Apple, возможно получить только данным способом.
Извлечение данных на логическом уровне
Данный уровень подразумевает подключение мобильного устройства к рабочей станции эксперта посредством USB-кабеля, ИК-порта или «Bluetooth». После этого производится побитовое копирование файлов и каталогов, находящихся на логических дисках мобильного устройства. При этом используется интерфейс прикладного программирования, разработанный производителем и предназначенный для синхронизации телефона или планшета с персональным компьютером. Тем не менее, данный уровень извлечения данных также обеспечивает ограниченный доступ к компьютерной информации, и не позволяет восстановить удаленные данные. Исключением могут служить удаленные записи из баз данных SQLite, использование которых характерно для операционных систем iOS и Android. Стертые записи в указанных базах данных не перезаписываются сразу, а помечаются как «удаленные» до тех пор, пока место, занимаемое ими, не понадобится для записи новых данных. Также, на этом уровне возможно извлечение баз миниатюр, содержащих миниатюры графических и видео файлов, содержащихся в устройстве, в том числе, и удаленных файлов данных типов.
Извлечение данных на физическом уровне
Этот уровень подразумевает получение побитовой копии всей внутренней памяти мобильного устройства, что позволяет, в том числе, восстановить удаленные записи и файлы. Несмотря на привлекательность данного метода, осуществить извлечение данных на этом уровне представляется возможным далеко не всегда: производители зачастую ограничивают возможность чтения внутренней памяти мобильного устройства в целях обеспечения максимальной безопасности. Чтобы обойти данные ограничения, разработчики программного обеспечения для криминалистического исследования мобильных устройств разрабатывают собственные загрузчики, которые позволяют не только получить доступ к внутренней памяти, но и, иногда, обойти пароли, установленные пользователями.
Извлечение данных из интегральной схемы памяти или «Chip-off»
Данный уровень подразумевает извлечение данных непосредственно из интегральной схемы памяти мобильного устройства. Интегральная схема извлекается из телефона или планшета и помещается в соответствующее устройство для чтения или аналогичное мобильное устройство. Использовать данный метод достаточно сложно, так как интегральные схемы памяти, используемые в производстве мобильных устройств, весьма разнообразны. Преимуществом же извлечения данных на этом уровне является возможность получить компьютерную информацию даже из памяти неисправных мобильных устройств.
Отдельного внимания заслуживает метод извлечения данных из интегральной схемы памяти посредством отладочного интерфейса JTAG - Joint Test Action Group. Устройство подключается через порт тестирования TAP и его процессор получает команду на копирование данных, имеющихся на интегральной схеме памяти.
Извлечение данных на микроуровне
Данный процесс подразумевает изучение интегральной схемы памяти посредством электронного микроскопа и последующее преобразование полученных данных сначала в последовательность нулей и единиц, затем – ASCII-символы. Данный метод не нашел широкого применения ввиду его высокой стоимости и наукоемкости.
6. Верификация полученных результатов
К сожалению, довольно часто программные продукты, предназначенные для криминалистического исследования мобильных устройств, извлекают данные не полностью. Поэтому верификация полученных в ходе исследования цифровых улик является неотъемлемой частью производства судебной экспертизы.
Существует несколько способов верификации полученных результатов. К наиболее распространенным относятся следующие:
Заключение должно содержать:
ПРИЛОЖЕНИЕ: Бесплатные инструменты для проведения криминалистического исследования мобильных устройств: Ежегодный список, предоставлен cybersecurity & computer forensics company.
- Представление объекта на экспертизу
- Идентификация объекта
- Подготовка к исследованию
- Изоляция объекта
- Извлечение данных
- Ручное извлечение данных
- Извлечение данных на логическом уровне
- Извлечение данных на физическом уровне
- Извлечение данных из интегральной схемы памяти или «Chip-off»
- Извлечение данных на микроуровне
- Верификация полученных результатов
- Составление заключения
Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных, которые они содержат, является сравнительно молодым направлением компьютерной криминалистики или форензики. Это ответвление обусловлено тем, что традиционные методы форензики не всегда могли быть применены к мобильным устройствам, что обусловило необходимость разработки новых методик для их исследования и изучения.
Форензика – это прикладная наука о раскрытии преступлений, связанных с компьютерной информацией. Об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. А криминалистическое исследование мобильных устройств или мобильная криминалистика – это подраздел форензики, занимающийся поиском, извлечением и фиксацией цифровых доказательств, имеющихся в мобильных устройствах, таких как сотовые телефоны, смартфоны, планшеты и др.
Необходимо отметить, что подавляющее количество цифровых носителей информации, поступающих в судебные лаборатории, составляют именно мобильные устройства - более 70% от общего числа поступивших устройств, а в отдельных лабораториях, более 95% от общего числа. К тому же, с течением времени, значительно меняются требования сотрудников следственных органов к качеству и количеству извлекаемой из мобильных устройств информации. К примеру, если десять-пятнадцать лет назад следователя устраивало, что эксперт извлекал из мобильного устройства: вызовы, контакты, SMS-сообщения, то сейчас, обязательным условием экспертного исследования мобильного устройства является поэтапное восстановление удаленной информации, извлечение истории обмена сообщениями в различных мессенджерах, истории совершения платежей в различных платежных приложениях, извлечение геоданных и т.п. К большому сожалению не все категории этих данных, даже при условии наличия их в мобильном устройстве, доступны для извлечения. Прежде всего, это связано с аппаратными и программными особенностями хранения данных в конкретном мобильном устройстве конкретного производителя.
Профессиональные аппаратно-программные комплексы для проведения исследований очень дороги, однако существуют и бесплатные инструменты, сведения о которых будут приложены в конце статьи.
Сам процесс получения цифровых доказательств из мобильных устройств состоит из семи стадий:
1. Представление объекта на экспертизу
На данном этапе следственным органом (органом дознания, судом) готовится постановление о назначении компьютерной (компьютерно-технической) экспертизы, которое впоследствии поступает в экспертное учреждение вместе с объектом исследования. Необходимо отметить важность предварительного согласования вопросов, ставящихся на разрешение эксперту, следственным органом. Кроме того, необходимо удостовериться в отсутствии повреждений упаковки объекта, а также соответствии представляемых на экспертизу объектов тем, что указаны в постановлении о назначении экспертизы.
2. Идентификация объекта
Эксперт, которому поручено производство экспертизы, предварительно сфотографировав упаковку, извлекает из нее поступивший на исследование объект. Производится сопоставление извлеченного из пакета устройства с устройством, указанным в постановлении о назначении экспертизы. Фиксируется производитель, модель и серийный номер устройства, IMEI, а также иные индивидуальные особенности - цвет, тип корпуса, повреждения и т.д. Устанавливается наличие в корпусе мобильного устройства SIM-карт и карт памяти.
3. Подготовка к исследованию
Необходимая для этой стадии информация уже собрана экспертом при идентификации объекта. Получив сведения о производителе и модели, криминалист может найти и изучить документацию на устройство, подобрать соответствующий кабель, программное обеспечение, необходимое для проведения исследования, в том числе драйверы, необходимые для взаимодействия мобильного устройства с рабочей станцией эксперта. При выборе программного обеспечения необходимо руководствоваться задачами исследования, ресурсами, находящимися в распоряжении экспертно-криминалистического подразделения, типом мобильного устройства, а также наличием в нем сменных носителей информации.
4. Изоляция объекта
Большинство мобильных устройств взаимодействуют с сетями сотовой связи и иными через «Bluetooth», ИК-порт и Wi-Fi-модуль. На данной стадии эксперт изолирует устройство от всех этих сетей. Это позволяет избежать внесения изменений в данные, имеющиеся в памяти устройства, например, входящими вызовами, SMS-сообщениями и т.п. Кроме того, некоторые устройства поддерживают удаленный доступ, воспользовавшись которым подозреваемый может уничтожить цифровые доказательства. Для этих целей может быть использована, например, клетка Фарадея, которая экранирует устройство от внешних электромагнитных полей. Кроме того, большинство смартфонов и планшетных компьютеров имеют встроенный режим «В самолете», который также позволяет отключить устройство от всех сетей.
5. Извлечение данных
Изолировав мобильное устройство от сетей, эксперт приступает к непосредственному извлечению и анализу данных посредством избранного программного обеспечения (и аппаратно-программных комплексов). Необходимо отметить, что внешние носители информации (карты памяти) должны исследоваться отдельно, так как существует вероятность внесения изменений в данные, хранящиеся на ней, во время исследования мобильного устройства. При исследовании карт памяти необходимо применять традиционные методы компьютерной криминалистики, которые позволяют сохранить исследуемую компьютерную информацию в первозданном виде.
Разберемся более подробно с уровнями извлечения данных. Существует пять основных уровней извлечения данных из мобильных устройств, каждый из которых имеет свои недостатки и преимущества. Данные уровни были представлены Сэмом Бразерсом, в 2009 году, в виде пирамиды, по мере приближения к вершине которой методы становятся более сложными с технической стороны, правильными с точки зрения криминалистики и наукоемкими. Пирамида, иллюстрирующая все пять уровней извлечения данных из мобильных устройств представлена на рисунке.
Рисунок. Уровни извлечения данных из мобильных устройств
Ручное извлечение данных
Данный уровень подразумевает обеспечение доступа к компьютерной информации, имеющейся в памяти мобильного устройства, посредством его клавиатуры или сенсорного экрана. Обнаруженная в ходе исследования информация документируется путем фотосъемки экрана телефона или планшета. Данные метод является наиболее простым и подходит для любого устройства. Важно отметить, что на данном уровне невозможно получить все данные, а также произвести восстановление удаленных файлов и записей. Несмотря на кажущуюся простоту данного метода, некоторые типы данных например, сведения об электронной почте, хранимой в мобильном устройстве фирмы Apple, возможно получить только данным способом.
Извлечение данных на логическом уровне
Данный уровень подразумевает подключение мобильного устройства к рабочей станции эксперта посредством USB-кабеля, ИК-порта или «Bluetooth». После этого производится побитовое копирование файлов и каталогов, находящихся на логических дисках мобильного устройства. При этом используется интерфейс прикладного программирования, разработанный производителем и предназначенный для синхронизации телефона или планшета с персональным компьютером. Тем не менее, данный уровень извлечения данных также обеспечивает ограниченный доступ к компьютерной информации, и не позволяет восстановить удаленные данные. Исключением могут служить удаленные записи из баз данных SQLite, использование которых характерно для операционных систем iOS и Android. Стертые записи в указанных базах данных не перезаписываются сразу, а помечаются как «удаленные» до тех пор, пока место, занимаемое ими, не понадобится для записи новых данных. Также, на этом уровне возможно извлечение баз миниатюр, содержащих миниатюры графических и видео файлов, содержащихся в устройстве, в том числе, и удаленных файлов данных типов.
Извлечение данных на физическом уровне
Этот уровень подразумевает получение побитовой копии всей внутренней памяти мобильного устройства, что позволяет, в том числе, восстановить удаленные записи и файлы. Несмотря на привлекательность данного метода, осуществить извлечение данных на этом уровне представляется возможным далеко не всегда: производители зачастую ограничивают возможность чтения внутренней памяти мобильного устройства в целях обеспечения максимальной безопасности. Чтобы обойти данные ограничения, разработчики программного обеспечения для криминалистического исследования мобильных устройств разрабатывают собственные загрузчики, которые позволяют не только получить доступ к внутренней памяти, но и, иногда, обойти пароли, установленные пользователями.
Извлечение данных из интегральной схемы памяти или «Chip-off»
Данный уровень подразумевает извлечение данных непосредственно из интегральной схемы памяти мобильного устройства. Интегральная схема извлекается из телефона или планшета и помещается в соответствующее устройство для чтения или аналогичное мобильное устройство. Использовать данный метод достаточно сложно, так как интегральные схемы памяти, используемые в производстве мобильных устройств, весьма разнообразны. Преимуществом же извлечения данных на этом уровне является возможность получить компьютерную информацию даже из памяти неисправных мобильных устройств.
Отдельного внимания заслуживает метод извлечения данных из интегральной схемы памяти посредством отладочного интерфейса JTAG - Joint Test Action Group. Устройство подключается через порт тестирования TAP и его процессор получает команду на копирование данных, имеющихся на интегральной схеме памяти.
Извлечение данных на микроуровне
Данный процесс подразумевает изучение интегральной схемы памяти посредством электронного микроскопа и последующее преобразование полученных данных сначала в последовательность нулей и единиц, затем – ASCII-символы. Данный метод не нашел широкого применения ввиду его высокой стоимости и наукоемкости.
6. Верификация полученных результатов
К сожалению, довольно часто программные продукты, предназначенные для криминалистического исследования мобильных устройств, извлекают данные не полностью. Поэтому верификация полученных в ходе исследования цифровых улик является неотъемлемой частью производства судебной экспертизы.
Существует несколько способов верификации полученных результатов. К наиболее распространенным относятся следующие:
- сравнение полученных в ходе исследования данных с данными, отображающимися мобильным устройством;
- сравнение полученных данных с данными в шестнадцатеричном представлении, имеющимися в побитовой копии внутренней памяти мобильного устройства;
- использование нескольких программных продуктов при извлечении данных из мобильного устройства и последующее сравнение полученных результатов.
Заключение должно содержать:
- дату и время начала и окончания исследования;
- сведения о физическом состоянии мобильного устройства, фотографии его внешнего вида, наклейки с идентифицирующей его информацией, а также SIM-карты и карты памяти (если имеются);
- сведения о состоянии телефона, в котором он поступил на экспертизу (включен/выключен);
- сведения о производителе, модели и других идентификационных данных устройства;
- сведения об используемом при производстве экспертизы программном обеспечении;
- сведения о методиках, используемых при производстве экспертизы;
- сведения о категориях данных, обнаруженных в ходе исследования и их содержании.
ПРИЛОЖЕНИЕ: Бесплатные инструменты для проведения криминалистического исследования мобильных устройств: Ежегодный список, предоставлен cybersecurity & computer forensics company.
Ссылка скрыта от гостей
