10.06.2019 07:31
EditorGIB 51 20100 Источник


Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.

Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB.

Чемоданчик киберкриминалиста


Компьютерная экспертиза исследует большое количество разнообразных цифровых устройств и источников данных. В ходе исследований могут использоваться как программные, так и аппаратные средства — многие из них стоят недешево. Не каждая компания, а тем более отдельный специалист, могут позволить себе подобные расходы. Мы, в Group-IB, не экономим на инструментах, что позволяет проводить исследования качественно и оперативно.

Естественно, список программ, находящихся в моем рейтинге, отличается от общемирового. Это обусловлено как региональными особенностями — например, часть зарубежных программ не умеют извлекать данные из российских мессенджеров, да и вообще с русским языком не дружат (в поисковых задачах) — так и экспортными ограничениями, из-за которых российские специалисты не имеют возможности использовать весь мировой арсенал подобных средств.

Мобильная криминалистика, аппаратные средства


Cellebrite UFED Touch 2 — продукт, изначально разрабатывавшийся для работы в полевых условиях. Концептуально разделен на две части:
· фирменный планшет Cellebrite UFED Touch 2 (или UFED 4PC — программный аналог Cellebrite UFED Touch 2, устанавливаемый на компьютер или ноутбук специалиста): используются только для извлечения данных
· UFED Physical Analyzer — программная часть, предназначенная для анализа данных, извлеченных из мобильных устройств.

Концепция использования оборудования предполагает, что с помощью Cellebrite UFED Touch 2 специалист извлекает данные в полевых условиях, а потом в лаборатории производит их анализ с помощью UFED Physical Analyzer. Соответственно, лабораторный вариант представляет собой два самостоятельных программных продукта — UFED 4PC и UFED Physical Analyzer — установленных на компьютере исследователя. На сегодняшний день этот комплекс обеспечивает извлечение данных из максимально возможного количества мобильных устройств. При проведении анализа часть данных может быть упущена программой UFED Physical Analyzer. Это происходит потому, что в новых версиях программы периодически всплывают старые баги, которые вроде бы как пофиксили, но потом они почему-то проявляются вновь. Поэтому рекомендуется проводить контроль полноты анализа данных, осуществленный программой UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field — аналог продуктов Cellebrite, разрабатываемый шведской компанией Micro Systemation. В отличие от парадигмы Cellebrite, компания Micro Systemation предполагает, что в большинстве случаев их продукты будут использоваться на стационарных компьютерах или ноутбуках. К продаваемому продукту прилагается фирменный USB-хаб, называемый на сленге «шайба», и комплект переходников и дата-кабелей для подключения различных мобильных устройств. Компания также предлагает версии MSAB XRY Field и MSAB XRY Kiosk — аппаратные продукты, предназначенные для извлечения данных из мобильных устройств, реализованные в виде планшета и киоска. Данный продукт менее распространен на территории России, чем продукция Cellebrite. MSAB XRY хорошо зарекомендовал себя при извлечении данных из устаревших мобильных устройств.

С определенного момента стали пользоваться популярностью аппаратные решения для проведения chip-off (метод извлечения данных напрямую из чипов памяти мобильных устройств), разработанные польской компанией Rusolut. С помощью этого оборудования можно извлекать данные из поврежденных мобильных устройств или из устройств, заблокированных PIN-кодом или графическим паролем. Rusolut предлагает несколько наборов адаптеров для извлечения данных из определенных моделей мобильных устройств. Например, комплект адаптеров для извлечения данных из чипов памяти, преимущественно используемых в «китайских телефонах». Однако повсеместное использование производителями мобильных устройств шифрования пользовательских данных в топовых моделях привело к тому, что это оборудование постепенно теряет актуальность. Извлечь данные из чипа памяти с его помощью можно, но они будут в зашифрованном виде, а их расшифровка является нетривиальной задачей.

Мобильная криминалистика, программные средства


Наблюдая за развитием мобильной криминалистики, можно легко увидеть, что по мере развития функционала мобильных устройств происходило и развитие программ для их анализа. Если раньше лицо, производящее следствие, или иной заказчик довольствовались данными из телефонной книги, СМС, ММС, вызовами, графическими и видео-файлами, то сейчас специалиста просят извлечь большее количество данных. Кроме перечисленных, как правило, требуется извлечь:

  • данные из программ обмена сообщениями
  • электронную почту
  • историю посещения ресурсов сети Интернет
  • данные о геолокации
  • удаленные файлы и иную удаленную информацию

И этот список постоянно расширяется. Все эти типы артефактов можно извлечь программным обеспечением, описанным ниже.

«Мобильный Криминалист»: сегодня это одна из лучших программ для анализа данных, извлеченных из мобильных устройств. Если вы хотите извлечь максимальное количество данных из мобильного устройства, используйте эту программу. Интегрированные просмотрщики баз данных SQLite и plist-файлов позволят более досконально исследовать определенные SQLite-базы данных и plist-файлы вручную.

Изначально программа разрабатывалась для использования на компьютерах, поэтому использовать ее на нетбуке или планшете (устройствах с размером экрана 13 дюймов и менее) будет некомфортно.

Особенностью программы является жесткая привязка путей, по которым расположены файлы — базы данных приложений. То есть если структура базы данных какого-либо приложения осталась прежней, но изменился путь, по которому база данных находится в мобильном устройстве, «Мобильный Криминалист» просто пропустит такую базу данных в ходе анализа. Поэтому исследование подобных баз данных придется производить вручную, используя файловый браузер «Мобильного Криминалиста» и вспомогательные утилиты.

Результаты исследования мобильного устройства в программе Мобильный Криминалист:


Тенденцией последних лет является «смешение» функционала программ. Так, производители, традиционно занимавшиеся разработкой программ для мобильной криминалистики, внедряют в свои продукты функционал, позволяющий исследовать жесткие диски. Производители криминалистических программ, ориентированных на исследование жестких дисков, добавляют в них функционал, необходимый для исследования мобильных устройств. И те, и другие добавляют функционал по извлечению данных из облачных хранилищ и так далее. В итоге получаются универсальные «программы-комбайны», с помощью которых можно производить и анализ мобильных устройств, и анализ жестких дисков, и извлечение данных из облачных хранилищ, и аналитику данных, извлеченных из всех этих источников.

В нашем рейтинге программ для мобильной криминалистики именно такие программы занимают следующие два места: Magnet AXIOM — программа канадской компании Magnet Forensics, и Belkasoft Evidence Center — разработка питерской компании Belkasoft. Эти программы по своим функциональным возможностям в извлечении данных из мобильных устройств, конечно же, уступают программным и аппаратным средствам, описанным выше. Но они хорошо производят их анализ и могут использоваться для контроля полноты извлечения различных типов артефактов. Обе программы активно развиваются и стремительно наращивают свой функционал в части исследования мобильных устройств.

Окно выбора источника мобильных данных программы AXIOM:



Результаты исследования мобильного устройства программой Belkasoft Evidence Center:


Компьютерная криминалистика, аппаратные блокираторы записи


Tableau T35U — аппаратный блокиратор компании Tableau, позволяющий безопасно подключать исследуемые жесткие диски к компьютеру исследователя по шине USB3. Данный блокиратор имеет разъемы, позволяющие подключать к нему жесткие диски по интерфейсам IDE и SATA (а при наличии переходников и жесткие диски с другими типами интерфейсов). Особенностью этого блокиратора является возможность эмуляции операций «чтение—запись». Это бывает полезным при исследовании накопителей, зараженных вредоносным программным обеспечением.

Wiebitech Forensic UltraDock v5 — аппаратный блокиратор компании CRU. Имеет функционал, аналогичный блокиратору Tableau T35U. Дополнительно этот блокиратор можно сопрячь с компьютером исследователя по большему числу интерфейсов (кроме USB3 доступно сопряжение по интерфейсам eSATA и FireWire). Если к этому блокиратору будет подключен жесткий диск, доступ к данным на котором ограничен ATA-паролем, на дисплее блокиратора появится соответствующее сообщение. Кроме того, при подключении жесткого диска, имеющего технологическую зону DCO (Device Configuration Overlay), эта зона автоматически будут разблокирована, для того, чтобы специалист мог скопировать данные, находящиеся в ней.

Оба блокиратора записи в качестве основного подключения используют подключение к компьютеру исследователя по шине USB3, что обеспечивает комфортные условия работы исследователя при клонировании и анализе носителей информации.

Компьютерная криминалистика, программные средства


Старички для нестандартных ситуаций


15 лет назад бесспорными лидерами компьютерной экспертизы являлись программы Encase Forensics и AccessData FTK. Их функционал естественным образом дополнял друг друга и позволял извлекать максимальное количество различных типов артефактов из исследуемых устройств. В наши дни эти проекты являются аутсайдерами рынка. Текущая функциональность Encase Forensics значительно отстает от предъявляемых сегодня требований к программному обеспечению для исследования компьютеров и серверов под управлением Windows. Использование Encase Forensics остается актуальным в «нестандартных» случаях: когда надо исследовать компьютеры под управлением OC MacOS или сервера под управлением ОС Linux, извлекать данные из файлов редких форматов. Встроенный в Encase Forensics макроязык Ensripts содержит огромную библиотеку готовых скриптов, реализованных производителем и энтузиастами: с помощью них возможен анализ большого числа различных операционных и файловых систем.

AccessData FTK пытается поддерживать функционал продукта на необходимом уровне, но время обработки накопителей им значительно превышает разумное количество времени, которое может позволить себе потратить среднестатистический специалист на подобное исследование.

Особенности AccessData FTK:

  • поиск по ключевым словам, реализованный на очень высоком уровне
  • аналитика различных кейсов, позволяющая выявлять взаимосвязи в устройствах, изъятых по разным делам
  • возможность настройки интерфейса программы под себя
  • поддержка файлов редких форматов (например, баз данных Lotus Notes)

И Encase Forensics, и AccessData FTK могут обрабатывать огромные массивы исходных данных, измеряемые сотнями терабайт.

Молодые и растущие


Бесспорным лидером программных средств для компьютерной криминалистики является Magnet Axiom. Программа не просто постепенно развивается, а покрывает добавляющимся функционалом целые сегменты: исследование мобильных устройств, извлечение из облачных хранилищ, исследование устройств под управлением операционной системы MacOS и так далее. Программа имеет удобный и функциональный интерфейс, в котором все под рукой, и может применяться для расследования инцидентов информационной безопасности, связанных с заражением компьютеров или мобильных устройств вредоносным программным обеспечением или с утечками данных.

Российским аналогом Magnet AXIOM является Belkasoft Evidence Center. Belkasoft Evidence Center позволяет извлекать и анализировать данные из мобильных устройств, облачных хранилищ и жестких дисков. При анализе жестких дисков доступно извлечение данных из веб-браузеров, чатов, информации об облачных сервисах, детектирование зашифрованных файлов и разделов, извлечение файлов по заданному расширению, данных о геолокации, электронной почты, данных из платежных систем и социальных сетей, миниатюр, системных файлов, системных журналов и так далее. Имеет гибкий настраиваемый функционал по извлечению удаленных данных.

Достоинства программы:

  • широкий спектр артефактов, извлекаемых из различных носителей информации
  • хороший встроенный просмотрщик баз данных SQLite
  • сбор данных с удаленных компьютеров и серверов
  • интегрированный функционал по проверке обнаруженных файлов на Virustotal

Программа в базовой комплектации продается за относительно небольшую сумму. Остальные модули, расширяющие функционал Belkasoft Evidence Center, могут быть приобретены отдельно. Настоятельно рекомендуется дополнительно к базовой конфигурации докупать модуль «Файловые системы», без которого работа с исследуемыми носителями в программе не всегда удобна.

Недостатками программы являются неудобный интерфейс и неочевидность выполнения отдельных действий в программе. Для эффективного использования программы необходимо пройти соответствующее обучение.

Основное окно программы Belkasoft Evidence Center, отображающее статистику найденных криминалистических артефактов при исследовании конкретного устройства:


Постепенно российский рынок завоевывает X-Ways Forensics. Эта программа — швейцарский нож компьютерной криминалистики. Универсальная, точная, надежная и компактная. Особенностью программы является большая скорость обработки данных (по сравнению с другими программами этой категории) и оптимальный функционал, покрывающий основные потребности специалиста по компьютерной криминалистике. Программа имеет встроенный механизм, позволяющий минимизировать ложноположительные результаты. То есть исследователь, проводя восстановление файлов с жесткого диска объемом 100 Гб, видит не 1 Тб восстановленных файлов (большая часть из которых является ложноположительным результатами, как это обычно происходит при использовании программ восстановления), а именно те файлы, которые реально были восстановлены.

С помощью X-Ways Forensics можно:

  • находить и анализировать данные электронной почты
  • анализировать историю веб-браузеров, журналы ОС Windows и прочие системные артефакты
  • отфильтровать результаты, избавиться от ненужного, оставить только ценное и актуальное
  • построить временную шкалу и посмотреть активности в интересующий период
  • реконструировать рэйды (RAID)
  • монтировать виртуальные диски
  • осуществлять проверку на наличие вредоносного программного обеспечения

Эта программа очень хорошо себя зарекомендовала при ручном анализе жестких дисков, извлеченных из видеорегистраторов. С помощью функционала X-Tension есть возможность подключения в программе модулей сторонних разработчиков.

Недостатки X-Ways Forensics:

  • аскетичный интерфейс
  • отсутствие полноценного встроенного просмотрщика баз данных SQLite
  • необходимость глубокого изучения программы: выполнение некоторых действий, необходимых для получения нужного специалисту результата, не всегда очевидно

Восстановление данных, аппаратные средства


В настоящее время на российском рынке доминирует только один производитель подобного оборудования — компания ACELab, которая производит аппаратные средства для анализа, диагностики и восстановления жестких дисков (комплексы PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS), SSD накопителей (комплекс PC-3000 SSD), флеш-накопителей (комплекс PC-3000 Flash), RAID (комплексы PC-3000 Express RAID, PC-3000 UDMA RAID, PC-3000 SAS RAID). Доминирование ACELab на рынке аппаратных решений по восстановлению данных обусловлено высоким качеством вышеперечисленных продуктов и ценовой политикой ACELab, которая не позволяет конкурентам войти на этот рынок.

Восстановление данных, программные средства


Несмотря на большое количество различных программ восстановления, как платных, так и бесплатных, очень трудно найти программу, которая бы корректно и полно производила восстановление различных типов файлов в разнообразных файловых системах. На сегодняшний день существуют только две программы, обладающие примерно одинаковым функционалом, которые позволяют это делать: R-Studio и UFS Explorer. Тысячи программ восстановления иных производителей либо не дотягивают по своим функциональным возможностям до указанных программ, либо существенно уступают им.

Открытое программное обеспечение



Autopsy — удобный инструмент для анализа компьютеров под управлением операционной системы Windows и мобильных устройств под управлением операционной системы Android. Имеет графический интерфейс. Может быть использован при расследовании компьютерных инцидентов.

Photorec — одна из лучших бесплатных программ для восстановления данных. Хорошая бесплатная альтернатива платным аналогам.

Eric Zimmerman Tools – комплект бесплатных утилит, каждая из которых позволяет исследовать какой-то отдельный артефакт Windows. Как показала практика, использование Eric Zimmerman Tools повышает эффективность работы специалиста при реагировании на инцидент в «полевых условиях». В настоящее время, эти утилиты доступны в виде пакета программ — Kroll Artifact Parser and Extractor (KAPE).

Дистрибутивы на основе Linux



SIFT — Linux-дистрибутив, разработанный и поддерживаемый коммерческой организацией SANS Institute, которая специализирующаяся на обучении специалистов в области кибербезопасности и расследовании инцидентов. SIFT содержит большое количество актуальных версий бесплатных программ, которые могут быть использованы как для извлечения данных из различных источников, так и для их анализа. SIFT используется в рамках проводимых компанией обучений, и его содержимое постоянно актуализируется. Удобство работы определяется конкретным инструментом, находящемся в данном дистрибутиве, с которым приходится работать исследователю.

Kali Linux – уникальный Linux-дистрибутив, который используется специалистами как для проведения аудита безопасности, так и для проведения расследований. В 2017 году издательство «Packt Publishing» опубликовало книгу Шива В.Н. Парасрама (Shiva V. N Parasram) «Digital Forensics with Kali Linux». В данной книге приводятся советы о том, как проводить копирование, исследование и анализ компьютеров, отдельных накопителей, копий данных из оперативной памяти и сетевого траффика с помощью утилит, входящих в этот комплект.

Подведем итог


Это исследование является результатом моего эмпирического опыта работы с описанным аппаратным и программным обеспечением, применяемых в ходе криминалистического исследования компьютерной техники и мобильных устройств. Надеюсь, что изложенные сведения будут полезны специалистам, планирующим приобретать программы и аппаратные средства для проведения компьютерной криминалистики и расследования инцидентов.

Комментарии (51)


  1. murochny
    10.06.2019 12:18
    #20265115
    -1

    Как страшно жить


    1. EditorGIB Автор
      10.06.2019 16:27
      #20266424

      image


  1. MMik
    10.06.2019 12:38
    #20265205

    Как у этих программно-аппаратных комплексов обстоят дела с работой с шифрованными дисками и шифрованными телефонами? Какие операционные системы поддерживаются?


    1. EditorGIB Автор
      10.06.2019 16:26
      #20266420

      Частично, ответ на этот вопрос будет дан в последующий статьях. Следите за нашими публикациями. Если же вас интересует конкретная ситуация, напишите об этом (с указанием производителя устройства, модели, версии ОС и т.д.).


      1. MMik
        10.06.2019 19:46
        #20267230

        Типичные комбинации для корпоративных ноутбуков и телефонов:

        • Windows + BitLocker
        • Windows + Check Point Full Disk Encryption
        • Windows + MacAfee Complete Data Protection
        • Windows + Sophos SafeGuard
        • Windows + Symantec Endpoint Encryption
        • Linux + LUKS 2
        • Apple OS X + FileVault 2 (с чипом T2, и старые модели без него)
        • шифрование iPhone iOS


  1. amarao
    10.06.2019 12:53
    #20265315

    Ничего не описали, одна вода. Главный же вопрос — каким образом chain of custody поддерживается? Как гарантируется, что на устройстве не появилось новых данных в процессе исследования?


    1. EditorGIB Автор
      10.06.2019 15:46
      #20266257

      Вопросы о том, что мы рекомендуем купить из криминалистического софта и какие продукты (в определенной категории, например, для исследования мобильных устройств) лучше других и почему, нам задают постоянно. Как минимум раз в неделю. Собственно, это и послужило стимулом для написания этой статьи.

      Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.

      Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.

      Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
      Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
      Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.

      Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.


      1. amarao
        10.06.2019 15:59
        #20266308

        Вот, расскажите, каким образом "видно" подложенные доказательства? Допустим, мы обсуждаем кражу Главного Секрета. Есть жёсткий диск, изъятый из компьютера подозреваемого.


        Кто и каким образом гарантирует, что в процессе передачи диска от следователя к forensic'у следователь не подвоткнёт диск в первый попавшийся компьютер с смещённой датой и не подложит файл "Главный Секрет (2).rar" на рабочий стол профиля?


        1. EditorGIB Автор
          10.06.2019 16:25
          #20266414

          Подобный случай произошел с одним из наших коллег несколько лет назад. Все было точь-в-точь как вы написали. Файл «Главный Секрет.rar» неожиданным образом появился на рабочем столе профиля владельца компьютера. Доказательство того, что файл был подброшен было построено экспертом на анализе временных штампов, хранящихся в метафайлах файловой системы NTFS.


          1. amarao
            10.06.2019 16:41
            #20266476

            О, а теперь, цитата:
            "первый попавшийся компьютер с смещённой датой".


            1. Выставить кривую дату на компьютере.
            2. Подключить диск
            3. Положить файл
            4. Вынуть диск.


            1. EditorGIB Автор
              10.06.2019 18:53
              #20267066

              Похоже, это что-то из серии «вредных советов».


              1. Krapivnik
                10.06.2019 19:40
                #20267210

                Стоит ли это понимать как то, что ваши специалисты не смогут доказать подлог в этом случае?


                1. JerleShannara
                  10.06.2019 19:43
                  #20267222

                  Кстати, если автор будет согласен, можно будет попытаться сделать соревнование «определите, что было подкинуто на этот НЖМД» с несколькими уровнями сложности.


              1. amarao
                10.06.2019 20:03
                #20267270

                А расскажите, почему? Я не знаю, пишет ли винда в файловую систему id последнего монтировавшего хоста, но если нет — то как обнаружить подлог?


                Ещё интереснее, если монтируют из линуксов.


                1. msuhanov
                  10.06.2019 22:13
                  #20267696

                  В NTFS есть набор характерных признаков, позволяющих определить факт «подкидывания» данных с компьютера (с Windows), на котором системное время установлено «задним числом». Есть еще ряд косвенных признаков (например, можно показать, что следов работы с искомым файлом нет или что файл записывали как на внешний накопитель).

                  А если кто-то пишет данные с помощью ntfs-3g, то, извините, каждый созданный файл будет иметь весьма кричащий «флаг» «я был записан не с помощью ntfs.sys».


                  1. amarao
                    10.06.2019 23:08
                    #20267922

                    Ок, с линуском понятно. А вот как винда на уровне файловой системы может определить, что ей время назад отмотали?


                    1. Выставить время вручную, на T -1ч от времени изъятия PC.
                    2. Загрузить систему с подключенным диском.
                    3. Записать файл.
                    4. Выключить PC.

                    Мне это реально интересно.


        1. stepan000
          10.06.2019 17:17
          #20266646

          Еще есть процедура изъятия вещественных доказательств, которые упаковываются и подписываются понятыми и специалистом который принимал участие в изъятии. Эксперт при производстве компьютерной экспертизы производит детальную фотосъемку в том числе упаковки объекта и отражает ее целостность в заключении эксперта. Также в случае не возможность изъять носитель информации снимается побитовая копия и ее контрольная сумма которая отражается в протоколе и эксперт при производстве экспертизы верифицирует значение контрольной суммы.


          1. amarao
            10.06.2019 17:38
            #20266726

            А каким образом считается контрольная сумма для данных на жёстком диске при невозможности его изъять из устройства? live cd? Каким образом понятые могут понять, что была посчитана контрольная сумма диска? Каким образом обеспечивается отсутствие модификации данных во время подсчёта контрольной суммы?


            1. stepan000
              10.06.2019 18:02
              #20266824

              Носитель информации демонтируется, подключается через аппаратный блокиратор записи, снимается с помощью программного обеспечения образ жесткого диска считается алгоритм (например MD5) после окончания создания образа производится еще раз верификация все процедуры производятся в присутствии понятых, с записями в протокол.


              1. amarao
                10.06.2019 19:58
                #20267254

                Каким образом демонтируется носитель, для которого не допускается демонтаж? Распаянная SSD на мамку и т.д.?


            1. EditorGIB Автор
              10.06.2019 18:44
              #20267036

              Live CD сейчас используются очень редко по причине отсутствия CD/DVD-приводов в исследуемых устройствах. Обычно, используется загрузочная флешка. Контрольную сумму можно посчитать, например, использовав соответствующую команду Linux. Криминалистические утилиты, как правило, делают это автоматически при клонировании накопителя.
              Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
              Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.


              1. stepan000
                10.06.2019 19:11
                #20267124

                Коллега, поправлю Вас, все процессуальные действия описаны в УПК. Специалист может привлекаться как со стороны правоохранительных органов, так и просто с улицы (естественно в том и ином случае имеющий специальные познания). А понятые могут и не иметь знаний в интересующей нас области.


                1. msuhanov
                  10.06.2019 21:38
                  #20267568

                  > А понятые могут и не иметь знаний в интересующей нас области.

                  Это сейчас так принято считать. А вот в статье 60 УПК написано, что понятой удостоверяет, в том числе, содержание следственного действия. Таким образом, понятой должен понимать, что делает специалист (иначе содержание следственного действия ему, понятому, не понятно).


              1. amarao
                10.06.2019 20:01
                #20267268

                А можно поподробнее про "предварительное тестирование"? Вот я понятой. Смотрю на флешку. Как я знаю, что там считается только контрольная сумма, а не подкладывается ГлавныйСекрет(2).rar во все файловые системы ещё на этапе initrd самой флешки?


                1. msuhanov
                  10.06.2019 22:06
                  #20267674

                  Автор публикации не разделяет умышленную модификацию данных и случайную (или неосторожную) модификацию данных. «Предварительное тестирование» (в правильной терминологии – валидацию) программные и аппаратные средства проходят лишь в контексте случайной (или неосторожной) модификации данных. Строго говоря, УПК никаких требований к программным или аппаратным средствам не предъявляет и валидация, тем более в NIST, не имеет юридического значения (был законопроект по обязательной валидации средств судебной экспертизы, но это все еще законопроект, который не могут принять уже годы, впрочем, механизм валидации в законопроекте – это весьма сомнительная с точки зрения эффективности вещь).

                  Вот я понятой. Смотрю на флешку. Как я знаю, что там считается только контрольная сумма, а не подкладывается ГлавныйСекрет(2).rar во все файловые системы ещё на этапе initrd самой флешки?


                  Никак. Защита от умышленного «подкидывания» данных только юридическая – специалист не должен быть заинтересован в исходе дела (в противном случае он подлежит отводу); существует уголовная ответственность за фальсификацию доказательств; специалист несет уголовную ответственность за дачу заведомо ложных показаний; лицо, у которого производится обыск, вправе наблюдать за процессом обыска и за действиями специалиста.

                  Понятой, если ему это принципиально, может настоять на включении в протокол подробных сведений о том, как копировались данные и (или) как считался от них хеш, а также описания «вилки достоверности» (специалист произвел именно те действия, которые наблюдал понятой, если введенные специалистом команды запускали исполняемые файлы, которые делали именно то, что должны были делать, каких-либо фоновых процессов, затрагивающих искомые данные, не было и т. п.). У понятого, во всяком случае, есть право делать замечания к протоколу, которое не может быть ограничено.

                  В принципе, если действия с данными производились только из определенного live-дистрибутива, то его носитель можно приобщить к протоколу обыска (например, чтобы подтвердить неизменность программы sha256sum), но на практике такого я не видел. Это, конечно, не исключает тему «закладок» в BIOS/UEFI (которые каким-то образом исказили данные) или тему подмены корневой ФС live-дистрибутива, но все-таки у всего, даже у сомнений, должен быть (и есть) разумный предел.


                  1. Anthony_K
                    10.06.2019 23:04
                    #20267900

                    Браво. Приятно читать человека, имеющего представление о юридической стороне вопроса.

                    Защита от умышленного «подкидывания» данных только юридическая – специалист не должен быть заинтересован в исходе дела...; существует уголовная ответственность за фальсификацию доказательств; специалист несет уголовную ответственность за дачу заведомо ложных показаний

                    Хочу в этом ключе напомнить про т.н. «дело пьяного мальчика». Где экспертиза была признана недостоверной, но эксперту, к сожалению, смогли натянуть только халатность, а не подлог.


                    1. rusbaron
                      11.06.2019 15:05
                      #20270314

                      может подлог был до эксперта, курьер ему уже принёс другую кровь с алкоголем(свою), а тот и выложил результат.


                      1. Anthony_K
                        11.06.2019 15:09
                        #20270346

                        Какой курьер??? Эксперт САМ делает забор крови у тела.


                        1. rusbaron
                          11.06.2019 15:15
                          #20270380

                          Спасибо за информацию


          1. Anthony_K
            10.06.2019 22:57
            #20267870

            Еще есть процедура изъятия вещественных доказательств, которые упаковываются и подписываются понятыми и специалистом который принимал участие в изъятии. Эксперт при производстве компьютерной экспертизы производит детальную фотосъемку

            Вы бы хоть УПК для начала прочитали, что ли. И методические инструкции МВД.


            1. u_235
              10.06.2019 23:07
              #20267920

              Вы про это?

              УПК РФ Статья 164.1
              Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий
              (введена Федеральным законом от 27.12.2018 N 533-ФЗ)

              1. При производстве по уголовным делам, указанным в части четвертой.1 статьи 164 настоящего Кодекса, изъятие электронных носителей информации не допускается, за исключением случаев, когда:
              1) вынесено постановление о назначении судебной экспертизы в отношении электронных носителей информации;
              2) изъятие электронных носителей информации производится на основании судебного решения;
              3) на электронных носителях информации содержится информация, полномочиями на хранение и использование которой владелец электронного носителя информации не обладает, либо которая может быть использована для совершения новых преступлений, либо копирование которой, по заявлению специалиста, может повлечь за собой ее утрату или изменение.
              2. Электронные носители информации изымаются в ходе производства следственных действий с участием специалиста. По ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в следственном действии, в присутствии понятых с изымаемых электронных носителей информации осуществляется копирование информации. Копирование информации осуществляется на другие электронные носители информации, предоставленные законным владельцем изымаемых электронных носителей информации или обладателем содержащейся на них информации. Копирование информации не осуществляется при наличии обстоятельств, указанных в пункте 3 части первой настоящей статьи. Электронные носители информации, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации. Об осуществлении копирования информации и о передаче электронных носителей информации, содержащих скопированную информацию, законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации в протоколе следственного действия делается запись.
              3. Следователь в ходе производства следственного действия вправе осуществить копирование информации, содержащейся на электронном носителе информации. В протоколе следственного действия должны быть указаны технические средства, примененные при осуществлении копирования информации, порядок их применения, электронные носители информации, к которым эти средства были применены, и полученные результаты. К протоколу прилагаются электронные носители информации, содержащие информацию, скопированную с других электронных носителей информации в ходе производства следственного действия.


            1. stepan000
              11.06.2019 11:11
              #20269128

              Я рекомендую Вам для начала прочитать УПК, а также порядок упаковки вещественных доказательств.


              1. Anthony_K
                11.06.2019 11:16
                #20269146

                Я второй раз рекомендую вас самому последовать вашему совету -статья УПК выше, там нет ни слова про «упаковку». В процессуалке вообще нет понятия «упаковка», там есть понятие «изъятие».
                зы. вы всегда там лихо комментируете темы, в которых не разбираетесь?


  1. Pro-invader
    10.06.2019 13:56
    #20265709
    +1

    И еще один вопрос: Knox Самсунга ломается или нет?


    1. EditorGIB Автор
      10.06.2019 15:42
      #20266233

      Уточните, пожалуйста, что вы имели ввиду?
      Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
      Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.


      1. Pro-invader
        10.06.2019 17:44
        #20266744

        Да, я имел ввиду прочитать данные. Про вводные: допустим, серия Note на ОС от 6.0 и выше.


  1. SongOfBird
    10.06.2019 15:35
    #20266199

    Интересно было бы почитать статью, в которой рассказывалось бы о таких же средствах в других странах. Или о защите современных телефонов от подобных средств.


    1. JerleShannara
      10.06.2019 18:28
      #20266958

      Убейте USB в своём телефоне и наслаждайтесь жизнью.


    1. pfemidi
      10.06.2019 19:06
      #20267108

      Вы не поверите! В других странах точно те же средства! (я про телефоны, за компьютеры не знаю) Ну разве что только российского производства поменьше, а так Cellebrite и XRY на первых местах.


  1. d_olex
    10.06.2019 19:50
    #20267236

    ACAB


  1. Anthony_K
    10.06.2019 22:51
    #20267850

    Прочитал я это и вот какая аналогия пришла мне на ум: лет 20 назад на рынок стали выходить программы восстановления ошибочно удаленных файлов, всякие GetDataBack и любой пионер, освоивший такую программу, гордо именовал себя «специалистом по восстановлению данных», при этом, зачастую, не представляя, как на логическом уровне организовано хранение информации на HDD.
    Теперь наблюдаем похожее на рынке т.н. «киберкриминалистики». По сути, статья — реклама дорогих «игрушек» для восстановления данных с разных типов носителей, к которым для солидности добавлено слово «киберкриминалистика» хотя на самом деле к криминалистике это не имеет отношения. Нет разницы, чем я «достал» удаленный файл: форенсисом, PC3000 или AnyRecovery. Криминалистика начинается со слов: «УПК», «ЗоОРД», «приказ (инструкция) МВД РФ», с процедур изъятия вещдоков, протоколов и понятых, продолжается методиками экспертиз и заканчивается написанием экспертного заключения. А всё, что вы тут написали — это рекламная вода в духе «я знаю у-шу, тхэквандо, каратэ, айкидо и ещё много других страшных слов!»


    1. EditorGIB Автор
      11.06.2019 10:44
      #20268998

      Экспертная деятельность в России регламентируется федеральным законом «О государственной судебно-экспертной деятельности в Российской Федерации», часть положений которого распространяется на негосударственных экспертов.


      1. Anthony_K
        11.06.2019 10:58
        #20269066

        Я в курсе.


  1. vsantonov
    10.06.2019 23:19
    #20267956

    Судя по резонансности скандалов, запароленный пин кодом больше 6 символов айфон все еще никому не доступен для взлома? Недавно перекрыли аппаратную уязвимость, которая позволяла его подбирать.


    1. EditorGIB Автор
      11.06.2019 10:45
      #20269006

      Это какие-то старые скандалы. Они были обусловлены не невозможностью взлома подобных устройств в принципе, а в цене, которую компании просили за эту услугу.
      В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
      Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.


  1. spaceoberon
    11.06.2019 09:47
    #20268734

    А вот такой вопрос. Есть методы надежного удаления данных. Они основаны на многократной перезаписи свободного пространства после удаления файлов. Позволяют ли современные средства восстанавливать такие перезаписанные данные? Раньше слышал только, что какие-то очень недоступные простым людям программы могут по следам намагниченности это делать. Но что-то плохо мне в это верилось.
    А еще как быть с использованием виртуальных операционок? Установил человек виртуалку. Все делает там. Потом взял и удалил. Мало того, что сама виртуалка уже полноценно защищена паролем и прочими делами внутри, так она и внешне удалена и неизвестно какие кластеры там успели чем-то перезаписаться. Не восстановить же, по идее.
    Криминалом не занимаюсь, но иногда посещают параноидальные мысли насчет сохранения персональной информации. В наше время крадут все, что ни попадя, к сожалению((( А без использования цифровой техники уже никуда.
    ЗЫ: Я стал использовать внешние сервисы для кратковременного хранения личных данных. Например, пароли к сайтам. Но я их сам шифрую своим шифром, потом записываю результат в письмо и посылаю сам себе в ящик. Полученное письмо кладу в папку, которая открывается опять под дополнительным паролем. То есть, несколько ступеней защиты: шифр пароля, пароль от ящика, пароль от папки. Когда необходимость в пароле от сайта отпадает, просто удаляю письмо и все. Думаю, от хакеров защита от чтения персональных данных на носителе вполне достаточная. За исключением возможного трояна, который может считать вводимые пароли. Но это уже другая история.


    1. Anthony_K
      11.06.2019 11:03
      #20269094

      Раньше слышал только, что какие-то очень недоступные простым людям программы могут по следам намагниченности это делать

      Программы это делать не могут. Есть методики, но они ненадежны и требуют оборудования класса «туннельный микроскоп». К данной статье это уже не относится.


      1. spaceoberon
        11.06.2019 16:41
        #20270834

        А что насчет виртуальных систем?


  1. ProstoUser
    11.06.2019 11:52
    #20269364
    -1

    По-моему, самым интересным в подобной статье могло бы стать подробное описание того, что конкретно надо делать, чтобы все эти замечательные программные и аппаратные средства оказались абсолютно бесполезными, будучи примененными против моего смартфона.

    Наверняка ведь есть какие-то тулзы, начиная с штатного андроидного шифрования, которые сделаны специально для того, чтобы подобный шпионский софт не позволял извлечь из телефона информацию в обход желания его владельца.


    1. rusbaron
      11.06.2019 15:10
      #20270350

      начиная с штатного андроидного шифрования, которые сделаны специально для того, чтобы подобный шпионский софт не позволял извлечь из телефона информацию

      Чужой шпионский софт


  1. rostislav-zp
    11.06.2019 22:46
    #20271838

    Может кому пригодится.по старой работе несколько раз восстанавливал отформатированные hdd и удаленные файлы с ssd на макбуках.бесплатных альтернатив не нашел.они максимум- восстанавливали файлы общей кучей. Купил ease us data recovery for mac. В триальном режиме дает возможность увидеть все файлы с сохранением пути к папкам.ну и нужно учитывать, что с ssd удавалось все вернуть при условии запрета перезагрузки и гибернации. Стоило ssd после удаления файлов из корзины отключится-программа уже не помогала.но один раз в таком варианте она здорово выручила. Обычные же hdd восстанавливались без проблем