Программные инструменты криминалистов: можно ли нарушить закон в онлайне и остаться непойманным?

 

«Городские легенды» и будни полиции

 

В миру бытует множество мифов и «городских легенд», связанных с возможностями полиции и спецслужб по обнаружению на компьютерах пользователей так называемых цифровых улик (неких данных, указывающих на сопричастность пользователя к совершенному преступлению). Но так ли широки эти возможности? Посмотрим на ситуацию глазами самих работников служб правопорядка.

«У меня весь участок завален этими… айфонами, – с непередаваемым выражением произносит начальник полицейского участка одного из южных штатов Америки, с характерной внешностью и манерами персонажа фильма «Смертельное оружие». – Что мне с ними прикажете делать?»

Вопрос был задан на одной из американских конференций, посвященных борьбе с киберпреступностью. Среди участников – полицейские и начальники участков, спецагенты и инструкторы, работники спецслужб и Secret Service (все как один – «Джоны Смиты»), армейские и государственные чины.

Отвечая на вопрос полицейского, можно сказать, что специализированное ПО способно за считаные минуты извлечь все содержимое памяти телефонов iPhone. Вся процедура занимает от 20 до 40 мин в зависимости от объема памяти устройства.

Инструмент, который подошел бы полицейскому, разрабатывается, к примеру, московской компанией «Элкомсофт». Он называется Elcomsoft iOS Forensic Toolkit и представляет собой специализированное ПО для криминалистического исследования устройств на основе Apple iOS. С помощью программы можно извлечь все содержимое памяти телефона, а это и переписка, и коммуникации в социальных сетях, и даже полная история действий пользователя, сопровождаемая – видимо, специально для удобства спецслужб – информацией о точном местоположении пользователя, определяемой датчиками GPS или вычисляемой по силе сигнала ближайших сот. Более того, с помощью iOS Forensic Toolkit можно восстановить оригинальный пароль пользователя на включение телефона, что открывает полный доступ к так называемым секретам устройства – информации, находящейся в специальном зашифрованном хранилище.

Что интересно, вся процедура извлечения и расшифровки информации происходит в режиме реального времени – криминалисту не нужно ожидать, пока будет взломан пароль от резервной копии данных. Нужно отметить, что большинство конкурентов – в том числе и крупных зарубежных компаний – до сих пор способны восстанавливать информацию с телефонов Apple исключительно путем атаки на резервную копию данных, создаваемую программой iTunes на компьютере пользователя.

После извлечения и расшифровки информации наступает очередь аналитики. Здесь поможет другой продукт – на сей раз российской компании Oxygen. Программно-аппаратный комплекс «Мобильный криминалист» (в комплекте с программой поставляются кабели к самым популярным маркам и моделям телефонов) способен не только извлечь информацию из нескольких тысяч моделей телефонов (на сегодняшний день заявлена поддержка 6300 моделей), но и предлагает мощнейший аналитический функционал.

Одна из действительно интересных особенностей «Мобильного криминалиста» (она достаточно редко встречается у конкурентов) – возможность выявления не только контактов конкретного пользователя, но и взаимосвязи между пользователями различных устройств. Достаточно извлечь данные из телефонов, конфискованных у группы злоумышленников, и программа не только восстановит активность всех членов группы, выстроив все действия пользователей телефонов в виде хронологической ленты событий, но и выдаст четкий график, на котором легко отследить все взаимодействия и взаимосвязи членов группы.

Проблемы, интересующие полицейских, связаны не только с мобильными телефонами. «На меня сваливают все конфискованные компьютеры. Их столько, что на обработку каждого у меня есть минут двадцать, не больше. – говорит другой посетитель выставки. – Что можно успеть за это время?» Действительно, как можно за двадцать минут обработать жесткий диск в 2 Тбайт, заполненный данными? Оказывается, вполне возможно – если правильным образом применить нужные инструменты.

 

Сбор цифровых улик: не всё так просто

 

Допустим, у нас имеется жесткий диск, извлеченный из компьютера подозреваемого, или даже весь компьютер целиком. Что с этим можно сделать? В работе «цифрового» криминалиста важно не просто обнаружить улики, но и четко следовать при этом определенным процедурам, тщательно документируя каждый шаг по извлечению улик. Просто считать данные с диска недостаточно. Необходимо задокументировать весь процесс – и суметь при необходимости доказать, что именно эти улики были извлечены именно с данного жесткого диска. Очень важна при этом гарантия неизменности информации – данные на самом диске ни в коем случае не должны быть модифицированы. (В скобках заметим, что в реальности дела обстоят несколько иначе даже в Соединенных Штатах. Неизменностью данных иногда приходится жертвовать в пользу оперативности; иногда неизменность «цифровых улик» вынужденно приносится в жертву обстоятельствам. Впрочем, документирование каждого шага и четкое письменное указание того, какие именно данные и каким образом изменились при вмешательстве полицейского, позволяет представлять и такие улики в качестве вещественных доказательств.)

Следовать этим требованиям весьма непросто. В файловой системе NTFS, использующейся во всех современных версиях Windows, предусмотрены механизмы разделения доступа, автоматического создания «теневых копий» важных файлов, записи отметок о времени последнего доступа к файлам. Попытались получить доступ к диску средствами Windows – и «наследили» на диске так, что доказать что-либо в суде с помощью собранных улик можно будет только при очень неграмотном адвокате. Соответственно, для исследования дисков применяются специализированные программы, а при возможности (в США – практически всегда) и специальная аппаратура, блокирующая любые попытки записи на диск.

А еще бывают удаленные данные, информация, спрятанная (пользователем или вирусом) в системных и малоизвестных местах диска (MBR-записи, slack space). Встречаются данные, которые никогда не сохранялись в файлы (а только в специальные области), поврежденные (случайно или намеренно), зашифрованные, в том числе в дисках-криптоконтейнерах, иногда – во вложенных, «скрытых» контейнерах.

Кроме того, недопустимо открывать файлы истории средствами самой программы – например, открывать базу данных сообщений электронной почты в формате PST с помощью Microsoft Outlook. И ни в коем случае нельзя проводить так называемый live box analysis (анализ включенного компьютера) – ведь на машине может быть запущено все что угодно, от вредоносных программ, искажающих данные, до специализированных утилит, способных уничтожить или закрыть доступ к данным (например, находящимся в зашифрованном контейнере) при наступлении определенных событий. Единственным исключением является снятие с работающего компьютера образа оперативной памяти – такой образ может содержать весьма ценную информацию, не попадающую на жесткий диск.

 

Цифровые улики с жестких дисков

 

Существует линейка продуктов под названием Belkasoft Evidence Center, которая предназначена для сбора улик с жестких дисков и образов памяти компьютеров. При разработке программы учтены все требования к подобному классу продуктов: обеспечивается сохранность оригинального состояния диска, а доступ к информации происходит напрямую, несмотря на все запреты файловой системы. При обнаружении улики следователь получает точный физический адрес, однозначно идентифицирующий место на диске, где хранятся эти данные. Если возникнет вопрос подлинности найденных улик – информацию всегда можно перепроверить любым инструментом низкоуровневого анализа диска.

Что же интересного можно получить, анализируя содержимое жестких дисков? В первую очередь следователя интересуют действия пользователя: его переписка и переговоры с помощью программ мгновенного обмена сообщениями (ICQ, Skype и др.), чаты и коммуникации в социальных сетях («ВКонтакте», «Одноклассники», Facebook и др.) Представляет интерес и история открываемых в браузере страниц, а также наличие на компьютере информации определенного типа – например, фотографий и видеороликов, содержащих лица людей или изображения переснятых (сфотографированных или отсканированных) документов. Наконец, это могут быть изображения и видеоклипы с нелегальным содержанием – таким, как детская порнография.

Попробуем поставить себя на место эксперта. На анализ диска, извлеченного из компьютера подозреваемого, у заваленного работой сотрудника правоохранительных органов есть в лучшем случае несколько часов. Что можно найти за это время, если вручную просматривать содержимое диска (а именно так до сих пор работают многие)? Можно найти фотографии и видеоролики – по расширению файлов. Можно даже использовать какую-нибудь программу для восстановления данных, чтобы попытаться найти удаленное пользователем. Можно попробовать просмотреть содержимое стандартных папок, где обычно хранятся логи двух-трех самых популярных программ обмена мгновенными сообщениями. Однако реальное число таких программ уже перевалило за сотню, и знать места хранения и форматы файлов истории каждой совершенно невозможно. Историю же общения пользователя в социальных сетях восстановить категорически не удастся: логи общения в социальных сетях, как и в любых других браузерных приложениях, не ведутся.

Итого, что мы успели собрать за несколько часов? Некоторое количество картинок (которые еще требуется просмотреть), видеороликов (просматривать в режиме быстрого просмотра?), логи ICQ, Skype, еще одной-двух известных следователю программ. Время ушло, а улов невелик.

Все то, что эксперт часами будет искать вручную, ПО Belkasoft Evidence Center может обнаружить автоматически во время сканирования диска (автоматический режим работы – это очень важно, чтобы не тратить время пользователя). Будут найдены и расшифрованы в текстовый вид логи более чем 80 программ мгновенного обмена сообщениями. Найдутся фотографии и видеоролики, причем последние будут представлены в виде галереи ключевых кадров – следователю будет достаточно беглого взгляда для ознакомления и принятия решения, стоит ли обратить на этот видеоряд более пристальное внимание или это всего лишь очередная серия «Звездных войн». Будут обнаружены и расшифрованы данные о посещении веб-сайтов, причем не только «браузером по умолчанию», но и во всех поддерживаемых браузерах для всех пользователей системы.

Но и это еще не все. Часть файлов может быть удалена как злоумышленником, так и самой ОС (к примеру, временные файлы или переполненный журнал событий). Между тем самое интересное может храниться как раз в таких файлах. Здесь поможет сканирование всей поверхности жесткого диска с целью обнаружения уничтоженных улик по характерным участкам («сигнатурам»). Процесс давно отработан создателями антивирусных программ, только в данном случае он используется не для поиска вирусов, а для обнаружения удаленной информации.

А теперь вспомним о некоторых типах улик, которые не попадают в логи. Это в первую очередь общение в социальных сетях, а также переписка через службы Mail.ru, Gmail и им подобные. Такие данные выловить очень трудно (вручную практически невозможно), однако Belkasoft Evidence Center позволит проанализировать файлы подкачки и гибернации компьютера, а также образ оперативной памяти компьютера, если есть возможность получить такой образ. Оттуда можно извлечь только небольшие разрозненные обрывки информации – но и это уже лучше, чем ничего.

 

А что потом?

 

Извлечение информации – всего лишь первый и, пожалуй, самый захватывающий этап работы аналитика. А потом наступает время отчетности, и составление вороха бумаг занимает не меньше, а часто и гораздо больше времени, чем собственно анализ улик. Даже наличие неопровержимых, казалось бы, улик требуется формально задокументировать, иначе это не улики, а всего лишь набор данных с диска. Так что после аналитики наступает время рутинного этапа, когда полицейский должен составить отчет, скрупулезно описать не только найденные улики, но и что и как было сделано, какие меры были приняты для защиты информации от изменений, привести доказательства аутентичности информации и отчитаться, откуда именно, каким образом и с помощью каких инструментов были извлечены данные. В результате отчет должен дать возможность независимым экспертам при необходимости полностью воспроизвести все действия аналитика.

Именно на рутинном этапе очень важен факт использования «правильных», сертифицированных инструментов, полученных официальным путем. Просто скачать утилиту из Интернета для аналитика немыслимо: ему придется самостоятельно доказывать в суде, что данная программа соответствует всем описанным выше требованиям. Вполне вероятно, что суд потребует соответствующего экспертного заключения либо просто отвергнет полученные доказательства.

В российском делопроизводстве существует еще одна особенность: использование бесплатных и зарубежных продуктов часто оказывается весьма накладным. Адвокат всегда может затребовать информацию, подтверждающую факт официальной закупки ПО.

* * *

Итак, загадочный мир следователя по high-tech crime… Программные продукты в нем способны заметно облегчить жизнь правоохранительных органов, автоматизируя поиск цифровых улик и облегчая сбор доказательной базы. И продукты отечественных компаний на равных конкурируют в этом с аналогами от крупнейших западных производителей. Чудес тем не менее не происходит: данные не возникают из ниоткуда, а время, которое работник следственных органов может потратить на исследование одного диска, по-прежнему весьма ограниченно. Так что специалисту, проводящему анализ мобильного устройства, компьютера или жесткого диска, рано или поздно придется остановиться – зная, что проведен лишь частичный анализ содержимого устройства и какая-то часть улик осталась необнаруженной. Специализированные программы помогают следственным органам более эффективно распорядиться временем, обнаружив при этом максимальное количество возможных улик.

 

 

Уведомление о
0 Комментарий
Inline Feedbacks
Просмотр всех комментариев
X
X