Блог Элкомсофт

«…Восстановление паролей, расшифровка данных,
мобильная и облачная криминалистика… »


Готовы ли правоохранительные органы к цифровому веку?

Декабрь 6th, 2018 by Vladimir Katalov
  • 11
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    11
    Shares

Широкое распространение смартфонов привело к возникновению в доказательной базе новой категории: в дополнение к «вещественным» доказательствам на головы следователей обрушились «цифровые». Цифровые улики ворвались в нашу жизнь стремительно и внезапно; по историческим меркам событие произошло буквально «вчера». Правоохранительная система не успела адаптироваться к новым правилам игры ни с точки зрения законодательства, ни в виде нужных знаний и навыков у персонала правоохранительных органов.

Цифровая криминалистика – относительно молодое направление; мобильная и «облачная» криминалистика находятся в зачаточном состоянии. В то же время преступными группировками вполне эффективно используются такие инструменты, как криптовалюты и «теневой интернет». Преступники не стесняются пользоваться шифрованием, встроенным во все современные смартфоны, получая практический иммунитет от существующих методов расследования. Расследование как традиционных преступлений, совершаемых с использованием современных технологий, так и относительно недавно возникших видов цифрового мошенничества и вымогательства становится чрезвычайно сложным и затратным процессом, который требует как усилий специалистов высокой квалификации, так и серьёзных денежных вложений в технические средства.

Вольно или невольно, но основные производители мобильных операционных систем играют на руку преступникам. И если сквозное шифрование пользовательских данных в мобильных устройствах защищает в первую очередь обычных пользователей, то некоторые шаги, предпринятые компанией Apple, в первую очередь предназначены для противодействия именно усилиям правоохранительных органов.

Данные пользователей смартфонов, в том числе нечистых на руку, достаточно хорошо защищены. Использование всё более стойкого шифрования и появление выделенных аппаратно-программных подсистем защиты (Secure Enclave у Apple, Titan у Google), вероятно, поставит крест на возможности извлечения данных непосредственно из устройства – по крайней мере, без приложения экстраординарных усилий.

В то же время и Apple, и Google, и Microsoft успешно продвигают собственные «облачные» сервисы. Данные в «облаке» (iCloud, Google Drive или OneDrive) защищены иначе: у владельцев «облака» есть возможность самостоятельно расшифровать данные пользователей в силу того, что ключи шифрования депонируются в то же облако. Количество данных, попадающих в «облака», продолжает расти. Это и многолетняя история местоположения пользователя, на основе данных которой уже было доказано несколько преступлений; и журналы звонков, и текстовые сообщения, фотографии и даже данные о сердечном ритме пользователей фитнес-трекеров. Все эти данные можно как извлечь из облака самостоятельно, так и запросить у владельцев облачного сервиса соответствующим постановлением.

Но даже «облачные» данные – отнюдь не панацея. С одной стороны, собранным таким образом уликам нельзя доверять со стопроцентной вероятностью: в нашей лаборатории мы имели возможность наблюдать многочисленные расхождения между фактической информацией и тем, что возвращалось из «облака». С другой стороны, компании (в частности, Apple) начинают применять многоуровневое шифрование отдельных видов данных. Так, в 2013 году смартфоны и планшеты Apple получили возможность синхронизировать в облачный сервис пароли, которые пользователи сохраняли в веб-браузере Safari. Эти пароли получили дополнительный уровень защиты: ключ шифрование более не депонируется, в результате чего у Apple нет доступа к паролям пользователя. Сам же ключ шифрования вычисляется на основе кода блокировки, который известен только самому пользователю.

В 2018 году дополнительное шифрование в облаке получили ещё две категории данных: сообщения (SMS и iMessage) и данные приложения «Здоровье» (те самые сердечные ритмы пользователя, количество пройденных шагов, виды активности и многое другое). Мы не видим серьёзных технических препятствий к полному шифрованию всех данных из «облака» при помощи таких ключей. Возможно, в Apple всё же понимают важность цифровых улик для правоохранительных органов, потому и не спешат с переходом.

Всё это не мешает компаниям эффективно сотрудничать с правоохранительными органами – в пределах чётко очерченных рамок, которые регулируются нормами законодательства соответствующих стран. Так, в Соединённых Штатах у компании Apple есть чёткое описание шагов, которые должны предпринять правоохранительные органы для получения данных о пользователе из «облака». Компания приводит и образец анкеты. Для пользователей доступен документ, описывающий политику компании в области таких запросов. Наконец, компания публикует ежегодный отчёт, в котором отчитывается о количестве поступивших и удовлетворённых запросов от правоохранительных органов.

Соответствующие политики, описания и отчёты существуют и для России.

В Китае вопросы национальной безопасности превалируют над соблюдением прав отдельных пользователей. Данные китайских пользователей хранятся в «облаке», серверы которого контролируются государственной компанией. В то же время, ключи шифрования по-прежнему сохраняются на серверах Apple в американской штаб-квартире компании в Купертино.

Перспективы цифровых расследований

Объём и разнообразие цифровых улик трудно переоценить. Объём и важность цифровых улик уже можно сравнить с важностью вещественных доказательств. В ближайшем будущем мы предполагаем существенный сдвиг в сторону улик, полученных при помощи цифровых технологий.

Для корректной работы с цифровыми уликами и для того, чтобы из полученных данных и извлечённой информация сформировать доказательную базу требуется не только инструментарий, но и знания и навыки. Необходимо понимание процесса и чёткая координация действий между всеми звеньями правоохранительной цепочки от патрульного, осуществляющего конфискацию мобильного устройства и его транспортировку в лабораторию, до эксперта, который будет заниматься извлечением информации. Ошибочные действия на этапе конфискации и транспортировке устройства могут привести (и неоднократно приводили) к безвозвратной потере данных, дистанционному уничтожению улик и автоматической блокировке устройства, которая сделает физически невозможным использование технических средств для разблокирования телефона и извлечения из него информации.

Роль компании «Элкомсофт» не ограничивается разработкой и поставкой правоохранительным органам технических средств для доступа к информации в мобильных устройствах. Не менее, если не более важной составляющей успеха «цифровых» расследований является грамотность всех вовлечённых звеньев личного состава, понимание процесса и навыки работы с мобильными устройствами. Мы предлагаем полноценную линейку продуктов для извлечения цифровых улик из физических устройств iPhone и iPad (Elcomsoft iOS Forensic Toolkit), локальных и «облачных» резервных копий смартфонов под управлением iOS, Windows и BlackBerry (Elcomsoft Phone Breaker), а также улик, собранных компанией Google у пользователей смартфонов под управлением Android (Elcomsoft Cloud Explorer). Нами разработан ряд специализированных инструментов, позволяющих расшифровывать защищённые тома TrueCrypt, PGP и BitLocker (Elcomsoft Forensic Disk Decryptor), извлекать данные приложения для обмена мгновенными сообщениями WhatsApp (Elcomsoft Explorer for WhatsApp), просматривать и анализировать цифровые улики (Elcomsoft Phone Viewer).

Мы осуществляем обучение правоохранительных органов как в России, так и за рубежом. Наши обучающие программы собственной разработки уделяют основное внимание методологии работы с цифровыми уликами, делая упор на координацию следственных действий всеми звеньями цепочки. Мы обучаем, в каких ситуациях, каким образом и в каком порядке нужно применять всё разнообразие доступных технические средств. В наших обучающих программах используются реальные смартфоны с большим объёмом собранной информации. Задачей участников обучающей программы является успешное извлечение и анализ улик с использованием предоставленных технических средств.


  • 11
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    11
    Shares

Tags:

Подписаться на рассылку о новостях и новинках компании ElcomSoft

Комментирование статьи отключено