Мобильный Криминалист

Основы криминалистического исследования мобильных устройств

Значимость криминалистического исследования мобильных устройств трудно переоценить: с каждым годом на рынок выходят все новые модели, многие их которых хранят массу данных о пользователе и его действиях, которые могут представлять интерес для следственных органов, органов дознания, суда при расследовании самых разных преступлений.

Несмотря на тот факт, что мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно, криминалистический анализ данных, которые они содержат, является сравнительно молодым направлением компьютерной криминалистики или «форензики» [1], появившемся лишь в начале 2000-х. Такое ответвление обусловлено тем, что традиционные методы форензики не могли быть применены ко многим мобильным устройствам, что обусловило необходимость разработки новых методик для их исследования [2].

Таким образом, если форензика – это «прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств» [1], то криминалистическое исследование мобильных устройств или мобильная криминалистика – подраздел форензики, занимающийся поиском, извлечением и фиксацией цифровых доказательств, имеющихся в мобильных устройствах, таких как сотовые телефоны, смартфоны, планшетные компьютеры и т.п.

Стоит отметить, что основное количество цифровых носителей информации, поступающих в судебные лаборатории, составляют именно мобильные устройства (более 70% от общего числа поступивших объектов, а в отдельных лабораториях, более 95% от общего числа). Также, с течением времени, меняются требования сотрудников следственных огранов к качеству и количеству извлекаемой из мобильных устройств информации. Если десять лет назад следователя устраивало, что эксперт извлекал из мобильного устройства: контакты, вызовы, СМС-сообщения, то сейчас, обязательным условием экспертного исследования мобильного устройства является восстановление удаленной информации, извлечение истории обмена мгновенными сообщениями,  истории совершения платежей различных платежных приложений, извлечение геоданных и т.п. Однако, не все категории этих данных, даже при условии наличия их в мобильном устройстве, доступны для извлечения. Прежде всего, это связано с аппаратными и программными особенностями хранения данных в конкретном мобильном устройстве.

Процесс получения цифровых доказательств из мобильных устройств включает семь стадий [3]:

  1. Представление объекта на экспертизу. На данном этапе следственным органом (органом дознания, судом) готовится постановление о назначении компьютерной (компьютерно-технической) экспертизы, которое впоследствии поступает в экспертное учреждение вместе с объектом исследования. Необходимо отметить важность предварительного согласования вопросов, ставящихся на разрешение эксперту, последним. Кроме того, необходимо удостовериться в отсутствии повреждений упаковки объекта, а также соответствии представляемых на экспертизу объектов тем, что указаны в постановлении о назначении экспертизы.
  2. Идентификация объекта. Эксперт, которому поручено производство экспертизы, предварительно сфотографировав упаковку, извлекает из нее поступивший на исследование объект. Производится сопоставление извлеченного из пакета устройства с устройством, указанным в постановлении о назначении экспертизы. Фиксируется производитель, модель и серийный номер устройства, IMEI, а также иные особенности его индивидуализирующие (цвет, тип корпуса, повреждения и т.п.). Устанавливается наличие в корпусе мобильного устройства SIM-карт и карт памяти.
  3. Подготовка к исследованию. Необходимая для этой стадии информация уже собрана экспертом при идентификации объекта. Получив сведения о производителе и модели, криминалист может найти и изучить документацию на устройство, подобрать соответствующий кабель, программное обеспечение, необходимое для проведения исследования, в том числе драйверы, необходимые для взаимодействия мобильного устройства с рабочей станцией эксперта. При выборе программного обеспечения необходимо руководствоваться задачами исследования, ресурсами, находящимися в распоряжении экспертно-криминалистического подразделения, типом мобильного устройства, а также наличием в нем сменных носителей информации.
  4. Изоляция объекта. Большинство мобильных устройств взаимодействуют с сетями сотовой связи и иными через «Bluetooth», ИК-порт и Wi-Fi-модуль. На данной стадии эксперт изолирует устройство от всех этих сетей. Это позволяет избежать внесения изменений в данные, имеющиеся в памяти устройства, например, входящими вызовами, SMS-сообщениями и т.п. Кроме того, некоторые устройства поддерживают удаленный доступ, воспользовавшись которым подозреваемый может уничтожить цифровые доказательства. Для этих целей может быть использована, например, клетка Фарадея, которая экранирует устройство от внешних электромагнитных полей. Кроме того, большинство смартфонов и планшетных компьютеров имеют встроенный режим «В самолете», который также позволяет отключить устройство от всех сетей.
  5. Извлечение данных. Изолировав мобильное устройство от сетей, эксперт приступает к непосредственному извлечению и анализу данных посредством избранного программного обеспечения (и аппаратно-программных комплексов). Необходимо отметить, что внешние носители информации (карты памяти) должны исследоваться отдельно, так как существует вероятность внесения изменений в данные, хранящиеся на ней, во время исследования мобильного устройства. При исследовании карт памяти необходимо применять традиционные методы компьютерной криминалистики, которые позволяют сохранить исследуемую компьютерную информацию в первозданном виде.

Остановимся более подробно на уровнях извлечения данных, обратившись к книге «Практическая мобильная криминалистика» [4]. Итак, существует пять основных уровней извлечения данных из мобильных устройств, каждый из которых имеет свои недостатки и преимущества. Данные уровни были представлены Сэмом Бразерсом, в 2009 году, в виде пирамиды [5], по мере приближения к вершине которой методы становятся более сложными с технической стороны, правильными с точки зрения криминалистики и наукоемкими. Пирамида, иллюстрирующая все пять уровней извлечения данных из мобильных устройств представлена на рисунке 1.

Рисунок 1. Уровни извлечения данных из мобильных устройств

Рисунок 1. Уровни извлечения данных из мобильных устройств

Ручное извлечение данных. Данный уровень подразумевает обеспечение доступа к компьютерной информации, имеющейся в памяти мобильного устройства, посредством его клавиатуры или сенсорного экрана. Обнаруженная в ходе исследования информация документируется путем фотосъемки экрана телефона или планшета. Данные метод является наиболее простым и подходит для любого устройства. Важно отметить, что на данном уровне невозможно получить все данные, а также произвести восстановление удаленных файлов и записей. Несмотря на кажущуюся простоту данного метода, некоторые типы данных (например, сведения об электронной почте, хранимой в мобильном устройстве фирмы Apple), возможно получить только данным способом.

Извлечение данных на логическом уровне. Данный уровень подразумевает подключение мобильного устройства к рабочей станции эксперта посредством USB-кабеля, ИК-порта или «Bluetooth». После этого производится побитовое копирование файлов и каталогов, находящихся на логических дисках мобильного устройства. При этом используется интерфейс прикладного программирования, разработанный производителем и предназначенный для синхронизации телефона или планшета с персональным компьютером. Тем не менее, данный уровень извлечения данных также обеспечивает ограниченный доступ к компьютерной информации, и не позволяет восстановить удаленные данные. Исключением могут служить удаленные записи из баз данных SQLite, использование которых характерно для операционных систем iOS и Android. Стертые записи в указанных базах данных не перезаписываются сразу, а помечаются как «удаленные» до тех пор, пока место, занимаемое ими, не понадобится для записи новых данных. Также, на этом уровне возможно извлечение баз миниатюр, содержащих миниатюры графических и видео файлов, содержащихся в устройстве, в том числе, и удаленных файлов данных типов.

Извлечение данных на физическом уровне. Этот уровень подразумевает получение побитовой копии всей внутренней памяти мобильного устройства, что позволяет, в том числе, восстановить удаленные записи и файлы. Несмотря на привлекательность данного метода, осуществить извлечение данных на этом уровне представляется возможным далеко не всегда: производители зачастую ограничивают возможность чтения внутренней памяти мобильного устройства в целях обеспечения максимальной безопасности. Чтобы обойти данные ограничения, разработчики программного обеспечения для криминалистического исследования мобильных устройств разрабатывают собственные загрузчики, которые позволяют не только получить доступ к внутренней памяти, но и, иногда, обойти пароли, установленные пользователями.

Извлечение данных из интегральной схемы памяти или «Chip-off». Данный уровень подразумевает извлечение данных непосредственно из интегральной схемы памяти мобильного устройства. Интегральная схема извлекается из телефона или планшета и помещается в соответствующее устройство для чтения или аналогичное мобильное устройство. Использовать данный метод достаточно сложно, так как интегральные схемы памяти, используемые  в производстве мобильных устройств, весьма разнообразны. Преимуществом же извлечения данных на этом уровне является возможность получить компьютерную информацию даже из памяти неисправных мобильных устройств.

Отдельного внимания заслуживает метод извлечения данных из интегральной схемы памяти посредством отладочного интерфейса JTAG (Joint Test Action Group). Устройство подключается через порт тестирования (TAP) и его процессор получает команду на копирование данных, имеющихся на интегральной схеме памяти.

Извлечение данных на микроуровне. Данный процесс подразумевает изучение интегральной схемы памяти посредством электронного микроскопа и последующее преобразование полученных данных сначала в последовательность нулей и единиц, затем – ASCII-символы. Данный метод не нашел широкого применения ввиду его высокой стоимости и наукоемкости.

  1. Верификация полученных результатов. К сожалению, довольно часто программные продукты, предназначенные для криминалистического исследования мобильных устройств, извлекают данные не полностью. Поэтому верификация полученных в ходе исследования цифровых улик является неотъемлемой частью производства судебной экспертизы.

Существует несколько способов верификации полученных результатов. К наиболее распространенным относятся следующие: 

    • сравнение полученных в ходе исследования данных с данными, отображающимися мобильным устройством;
    • сравнение полученных данных с данными в шестнадцатеричном представлении, имеющимися в побитовой копии внутренней памяти мобильного устройства;
    • использование нескольких программных продуктов при извлечении данных из мобильного устройства и последующее сравнение полученных результатов. 
  1. Составление заключения. Заключение должно содержать:
    • дату и время начала и окончания исследования;
    • сведения о физическом состоянии мобильного устройства, фотографии его внешнего вида, наклейки с идентифицирующей его информацией, а также SIM-карты и карты памяти (если имеются);
    • сведения о состоянии телефона, в котором он поступил на экспертизу (включен/выключен);
    • сведения о производителе, модели и других идентификационных данных устройства;
    • сведения об используемом при производстве экспертизы программном обеспечении;
    • сведения о методиках, используемых при производстве экспертизы;
    • сведения о категориях данных, обнаруженных в ходе исследования и их содержании.

Выводы, к которым эксперт пришел по итогам производства судебной экспертизы, должны быть краткими и однозначными, соответствовать поставленным на разрешение эксперта вопросам.

В заключении необходимо отметить, что растущий интерес органов следствия и дознания к криминалистическому исследованию компьютерной информации, имеющейся в мобильных устройствах, обуславливает необходимость разработки единых теоретических основ производства экспертиз данного вида, что и было предпринято в рамках данной статьи.

Использованная литература

  1. Федотов, Н.Н. Форензика – компьютерная криминалистика / Н.Н. Федотов. – М.: Юридический мир, 2007. – 360 с.
  2. Casey, E. Digital Evidence and Computer Crime, Third Edition: Forensic Science, Computers, and the Internet / E. Casey. – NYC: Academic Press, 2011. – 840 p.
  3. Murthy, C.A. Developing Process for Mobile Device Forensics [Электронный ресурс] / C.A. Murthy. – Режим доступа: https://digital-forensics.sans.org/media/mobile-device-forensic-process-v3.pdf. – (Дата обращения: 05.05.2015).
  4. Bommisetty, S., Tamma, R., Mahalik, H. Practical Mobile Forensics / S. Bommisetty, R. Tamma, H. Mahalik. – Birmingham: Packt Publishing, 2014. – 328 p.
  5. Brothers, S. iPhone Tool Classification [Электронный ресурс] / S. Brothers. – Режим доступа: http://www.appleexaminer.com/iPhoneiPad/Tool Classification/ToolClassification.html. – (Дата обращения: 10.05.2015).

 

Игорь Михайлов.

Ноябрь 2016.