Програмні інструменти криміналістів: чи можна порушити закон в онлайні і залишитися неспійманих?

1. «Міські легенди» і будні поліції
2. Збір цифрових доказів: не все так просто
3. Цифрові докази з жорстких дисків
4. А що потім?
5. * * *

У сучасному насиченому інформацією світі значна частка криміналу переміщається з темних підворіть в онлайнове середовище. Це не настільки ризиковано і нерідко простіше, але головне - у правопорушника є відчуття безкарності, адже Інтернет анонімний. Тому планування, організація, а часто і здійснення злочинів все більшою мірою відбуваються онлайн. Однак і такі злочини успішно розслідуються, а правопорушники притягуються до відповідальності. У цій статті мова піде про засоби, якими користуються правоохоронні органи різних країн для розслідування кіберзлочинів.

«Міські легенди» і будні поліції

У світі існує безліч міфів і «міських легенд», пов'язаних з можливостями поліції і спецслужб по виявленню на комп'ютерах користувачів так званих цифрових доказів (деяких даних, що вказують на причетність користувача до скоєного злочину). Але так чи широкі ці можливості? Подивимося на ситуацію очима самих працівників служб правопорядку.

«У мене вся ділянка завалений цими ... айфона, - з невимовним виразом вимовляє начальник поліцейської дільниці одного з південних штатів Америки, з характерною зовнішністю і манерами персонажа фільму« Смертельна зброя ». - Що мені з ними накажете робити? »

Питання було поставлене на одній з американських конференцій, присвячених боротьбі з кіберзлочинністю. Серед учасників - поліцейські і начальники ділянок, спецагенти і інструктори, працівники спецслужб і Secret Service (все як один - «Джоні Смити»), армійські та державні чини.

Відповідаючи на питання поліцейського, можна сказати, що спеціалізоване ПО здатне за лічені хвилини отримати весь вміст пам'яті телефонів iPhone. Вся процедура займає від 20 до 40 хв залежно від обсягу пам'яті пристрою.

Інструмент, який підійшов би поліцейському, розробляється, наприклад, московською компанією «Елкомсофт». Він називається Elcomsoft iOS Forensic Toolkit і являє собою спеціалізоване ПО для криміналістичного дослідження пристроїв на основі Apple iOS. За допомогою програми можна витягти весь вміст пам'яті телефону, а це і листування, і комунікації в соціальних мережах, і навіть повна історія дій користувача, супроводжувана - мабуть, спеціально для зручності спецслужб - інформацією про точне місцезнаходження користувача, яка визначається датчиками GPS або обчислюється за силою сигналу найближчих сот. Більш того, за допомогою iOS Forensic Toolkit можна відновити оригінальний пароль користувача на включення телефону, що відкриває повний доступ до так званим секретам пристрої - інформації, що знаходиться в спеціальному зашифрованому сховище.

Що цікаво, вся процедура вилучення і розшифровки інформації відбувається в режимі реального часу - криміналіста не потрібно очікувати, поки буде зламаний пароль від резервної копії даних. Потрібно відзначити, що більшість конкурентів - в тому числі і великих зарубіжних компаній - досі здатні відновлювати інформацію з телефонів Apple виключно шляхом атаки на резервну копію даних, створювану програмою iTunes на комп'ютері користувача.

Після вилучення і розшифровки інформації настає черга аналітики. Тут допоможе інший продукт - цього разу російської компанії Oxygen. Програмно-апаратний комплекс «Мобільний криміналіст» (в комплекті з програмою поставляються кабелі до найпопулярніших марок і моделей телефонів) здатний не тільки отримати інформацію з декількох тисяч моделей телефонів (на сьогоднішній день заявлена ​​підтримка 6300 моделей), а й пропонує потужний аналітичний функціонал.

Одна з дійсно цікавих особливостей «Мобільного криміналіста» (вона досить рідко зустрічається у конкурентів) - можливість виявлення не тільки контактів конкретного користувача, але і взаємозв'язку між користувачами різних пристроїв. Досить витягти дані з телефонів, конфіскованих у групи зловмисників, і програма не тільки відновить активність всіх членів групи, збудувавши всі дії користувачів телефонів у вигляді хронологічної стрічки подій, а й видасть чіткий графік, на якому легко відстежити всі взаємодії та взаємозв'язку членів групи.

Проблеми, що цікавлять поліцейських, пов'язані не тільки з мобільними телефонами. «На мене звалюють все конфісковані комп'ютери. Їх стільки, що на обробку кожного у мене є хвилин двадцять, не більше. - каже інший відвідувач виставки. - Що можна встигнути за цей час? »Дійсно, як можна за двадцять хвилин обробити жорсткий диск в 2 Тбайт, заповнений даними? Виявляється, цілком можливо - якщо правильним чином застосувати потрібні інструменти.

Збір цифрових доказів: не все так просто

Припустимо, у нас є жорсткий диск, витягнутий з комп'ютера підозрюваного, або навіть весь комп'ютер цілком. Що з цим можна зробити? У роботі «цифрового» криміналіста важливо не просто виявити докази, але і чітко слідувати при цьому певним процедурам, ретельно документуючи кожен крок по вилученню доказів. Просто вважати дані з диска недостатньо. Необхідно задокументувати весь процес - і зуміти при необхідності довести, що саме ці докази були вилучені саме з даного жорсткого диска. Дуже важлива при цьому гарантія незмінності інформації - дані на самому диску ні в якому разі не повинні бути модифіковані. (У дужках зауважимо, що в реальності справи йдуть трохи інакше навіть в Сполучених Штатах. Незмінними даних іноді доводиться жертвувати на користь оперативності; іноді незмінність «цифрових доказів» вимушено приноситься в жертву обставинам. Втім, документування кожного кроку і чітке письмове вказівку того, які саме дані і яким чином змінилися при втручанні поліцейського, дозволяє представляти і такі докази в якості речових доказів.)

Слідувати цим вимогам вельми непросто. У файлової системи NTFS, що використовується у всіх сучасних версіях Windows, передбачені механізми поділу доступу, автоматичного створення «тіньових копій» важливих файлів, записи відміток про час останнього доступу до файлів. Спробували отримати доступ до диска засобами Windows - і «наслідили» на диску так, що довести що-небудь в суді за допомогою зібраних доказів можна буде тільки при дуже безграмотному адвоката. Відповідно, для дослідження дисків застосовуються спеціалізовані програми, а при можливості (в США - практично завжди) і спеціальна апаратура, яка блокує будь-які спроби записи на диск.

А ще бувають віддалені дані, інформація, захована (користувачем або вірусом) в системних і маловідомих місцях диска (MBR-записи, slack space). Зустрічаються дані, які ніколи не зберігалися в файли (а тільки в спеціальні області), пошкоджені (випадково або навмисно), зашифровані, в тому числі в дисках-криптоконтейнера, іноді - у вкладених, «прихованих» контейнерах.

Крім того, неприпустимо відкривати файли історії засобами самої програми - наприклад, відкривати базу даних повідомлень електронної пошти в форматі PST за допомогою Microsoft Outlook. І ні в якому разі не можна проводити так званий live box analysis (аналіз включеного комп'ютера) - адже на машині може бути запущено все що завгодно, від шкідливих програм, які деформують дані, до спеціалізованих утиліт, здатних знищити або закрити доступ до даних (наприклад, що знаходяться в зашифрованому контейнері) при настанні певних подій. Єдиним винятком є ​​зняття з працюючого комп'ютера способу оперативної пам'яті - такий образ може містити дуже цінну інформацію, не потрапляє на жорсткий диск.

Цифрові докази з жорстких дисків

Існує лінійка продуктів під назвою Belkasoft Evidence Center, яка призначена для збору доказів з жорстких дисків і образів пам'яті комп'ютерів. При розробці програми враховані всі вимоги до подібного класу продуктів: забезпечується збереження оригінального стану диска, а доступ до інформації відбувається безпосередньо, незважаючи на всі заборони файлової системи. При виявленні докази слідчий отримує точний фізичну адресу, однозначно ідентифікує місце на диску, де зберігаються ці дані. Якщо виникне питання автентичності знайдених доказів - інформацію завжди можна перевірити ще раз будь-яким інструментом низкоуровневого аналізу диска.

Що ж цікавого можна отримати, аналізуючи вміст жорстких дисків? В першу чергу слідчого цікавлять дії користувача: його листування і переговори за допомогою програм миттєвого обміну повідомленнями (ICQ, Skype і ін.), Чати і комунікації в соціальних мережах ( «ВКонтакте», «Однокласники», Facebook та ін.) Цікавим є і історія відкриваються в браузері сторінок, а також наявність на комп'ютері інформації певного типу - наприклад, фотографій і відеороликів, що містять обличчя людей або зображення перезняті (сфотографованих або відсканованих) документів. Нарешті, це можуть бути зображення і відеокліпи з нелегальним вмістом - таким, як дитяча порнографія.

Спробуємо поставити себе на місце експерта. На аналіз диска, витягнутого з комп'ютера підозрюваного, у заваленого роботою співробітника правоохоронних органів є в кращому випадку кілька годин. Що можна знайти за цей час, якщо вручну переглядати вміст диска (а саме так до сих пір працюють багато)? Можна знайти фотографії і відеоролики - по розширенню файлів. Можна навіть використовувати якусь програму для відновлення даних, щоб спробувати знайти віддалене користувачем. Можна спробувати переглянути вміст стандартних папок, де зазвичай зберігаються логи двох-трьох найпопулярніших програм обміну миттєвими повідомленнями. Однак реальне число таких програм вже перевалило за сотню, і знати місця зберігання і формати файлів історії кожної абсолютно неможливо. Історію ж, якою ви спілкуєтесь в соціальних мережах відновити категорично не вдасться: логи спілкування в соціальних мережах, як і в будь-яких інших браузерних додатках, не ведуться.

Разом, що ми встигли зібрати за кілька годин? Деяка кількість картинок (які ще потрібно переглянути), відеороликів (переглядати в режимі швидкого перегляду?), Логи ICQ, Skype, ще однієї-двох відомих слідчому програм. Час минув, а улов невеликий.

Все те, що експерт годинами буде шукати вручну, ПО Belkasoft Evidence Center може виявити автоматично під час сканування диска (автоматичний режим роботи - це дуже важливо, щоб не витрачати час користувача). Будуть знайдені і розшифровані в текстовий вигляд логи більш ніж 80 програм миттєвого обміну повідомленнями. Знайдуться фотографії та відеоролики, причому останні будуть представлені у вигляді галереї ключових кадрів - слідчому буде достатньо побіжного погляду для ознайомлення і прийняття рішення, чи варто звернути на цей відеоряд більш пильну увагу або це всього лише чергова серія «Зоряних воєн». Будуть виявлені і розшифровані дані про відвідування веб-сайтів, причому не тільки «браузером за замовчуванням», а й у всіх підтримуваних браузерах для всіх користувачів системи.

Але і це ще не все. Частина файлів може бути видалена як зловмисником, так і самої ОС (наприклад, тимчасові файли або переповнений журнал подій). Тим часом найцікавіше може зберігатися як раз в таких файлах. Тут допоможе сканування всієї поверхні жорсткого диска з метою виявлення знищених доказів по характерних ділянках ( «сигнатурам»). Процес давно відпрацьований творцями антивірусних програм, тільки в даному випадку він використовується не для пошуку вірусів, а для виявлення віддаленої інформації.

А тепер згадаємо про деякі типи доказів, які не потрапляють в логи. Це в першу чергу спілкування в соціальних мережах, а також листування через служби Mail.ru, Gmail і їм подібні. Такі дані виловити дуже важко (вручну практично неможливо), проте Belkasoft Evidence Center дозволить проаналізувати файли підкачки і глибокого сну комп'ютера, а також образ оперативної пам'яті комп'ютера, якщо є можливість отримати такий образ. Звідти можна витягти тільки невеликі розрізнені уривки інформації - але і це вже краще, ніж нічого.

А що потім?

Витяг інформації - всього лише перший і, мабуть, самий захоплюючий етап роботи аналітика. А потім настає час звітності, і складання купи паперів займає не менше, а часто і набагато більше часу, ніж власне аналіз доказів. Навіть наявність незаперечних, здавалося б, доказів потрібно формально задокументувати, інакше це не докази, а всього лише набір даних з диска. Так що після аналітики настає час рутинного етапу, коли поліцейський повинен скласти звіт, скрупульозно описати не тільки знайдені докази, але і що і як було зроблено, які заходи були прийняті для захисту інформації від змін, привести докази автентичності інформації і відзвітувати, звідки саме, яким чином і за допомогою яких інструментів були вилучені дані. В результаті звіт повинен дати можливість незалежним експертам при необхідності повністю відтворити всі дії аналітика.

Саме на рутинному етапі дуже важливий факт використання «правильних», сертифікованих інструментів, отриманих офіційним шляхом. Просто завантажити утиліту з Інтернету для аналітика немислимо: йому доведеться самостійно доводити в суді, що дана програма відповідає всім описаним вище вимогам. Цілком ймовірно, що суд вимагатиме відповідного експертного висновку або просто відкине отримані докази.

У російському діловодстві існує ще одна особливість: використання безкоштовних і зарубіжних продуктів часто виявляється досить накладним. Адвокат завжди може зажадати інформацію, що підтверджує факт офіційної закупівлі програмного забезпечення.

* * *

Отже, загадковий світ слідчого по high-tech crime ... Програмні продукти в ньому здатні помітно полегшити життя правоохоронних органів, автоматизуючи пошук цифрових доказів і полегшуючи збір доказової бази. І продукти вітчизняних компаній на рівних конкурують в цьому з аналогами від найбільших західних виробників. Чудес проте не відбувається: дані не виникають нізвідки, а час, який працівник слідчих органів може витратити на дослідження одного диска, як і раніше дуже обмежено. Так що фахівцеві, що проводить аналіз мобільного пристрою, комп'ютера або жорсткого диска, рано чи пізно доведеться зупинитися - знаючи, що проведено лише частковий аналіз вмісту пристрою і якась частина доказів залишилася непоміченою. Спеціалізовані програми допомагають слідчим органам більш ефективно розпорядитися часом, виявивши при цьому максимальну кількість можливих доказів.

Криміналістичне ПО компанії «Белкасофт»
Олег Афонін, директор відділу маркетингу, компанія «Белкасофт»

Рішення Belkasoft Evidence Center компанії «Белкасофт» полегшує роботу слідчих і криміналістів, автоматизуючи збір і аналіз «цифрових доказів» з жорстких дисків і з оперативної пам'яті комп'ютерів. За допомогою Belkasoft Evidence Center проведення криміналістичної експертизи комп'ютерів істотно спрощується: програма здатна автоматично проаналізувати вміст жорсткого диска, надаючи експертам можливість швидкого аналізу знайденої інформації.
Читати далі