Новости

МВД России

Москва

Москва

Лента новостей

Главная Статьи

21 ноября 2022 года

Как цифровая криминалистика может помочь в решении судебных дел

Возможно, вы видели в одном из современных голливудских блокбастеров, как детектив пытается взломать устройство, чтобы узнать больше о своем подозреваемом.

Но насколько реалистично такое изображение цифровой криминалистики?

Как развивалась цифровая криминалистика на протяжении многих лет и какое значение она играет в юридических делах сейчас, по сравнению с десятилетием назад, когда цифровой мир был совсем другим?

С точки зрения мобильных устройств, последние десять лет принесли огромные изменения в мир цифровой криминалистики. За это время телефоны радикально изменились, особенно с появлением и развитием смартфонов (оригинальный iPhone был выпущен в 2007 году). В начале этого периода телефоны обычно создавались для хранения ограниченного количества контактных данных (в основном короткого имени и номера), совершения звонков и отправки/получения SMS - с ограниченным объемом памяти. Современные смартфоны теперь способны хранить огромное количество данных, начиная от контактов, звонков и сообщений (которые охватывают стандартные SMS, сообщения приложений, мультимедийные сообщения, электронную почту) и заканчивая медиафайлами, такими как музыка, изображения и документы. Телефоны способны хранить 512 Гб данных и еще 1024 Гб с помощью карт памяти - потенциальный объем памяти составляет 1,5 Тб. Огромное количество бесплатных и платных приложений позволяет пользователям общаться вдали от стандартных сетей, отправлять зашифрованные данные и автоматически уничтожать сообщения/изображения. Приложения также взаимодействуют с камерами/видеорегистраторами и GPS-локаторами устройства, предоставляя органайзеры, средства навигации, обработку документов, данные медицинских приложений и т. д.

Дополнительные функции безопасности на телефонах, такие как PIN-код, пароли и шифрование данных (в зависимости от телефона и приложения), значительно влияют на возможность восстановления данных с телефонов.

Объем и тип данных увеличили важность информации, восстановленной с цифровых устройств, от вспомогательных данных до ключевых доказательств.

Примерами этого могут быть: GPS-данные, извлеченные из телефонов, позволяющие установить местонахождение подозреваемых на месте преступления; коммуникационные данные о преступлении, которое должно быть совершено, или о преступлении после его совершения; документы, касающиеся мошенничества; файлы незаконных изображений, хранящиеся на телефоне или в дополнительном хранилище; данные медицинского приложения, показывающие активность пользователя во время совершения преступления, включая пульс/физическую нагрузку.

В настоящее время данные распределяются между хранилищами на физических устройствах и данными, хранящимися в облаке. Поскольку приложения кэшируют данные на устройствах, а полные данные хранятся на серверах создателей приложений, таких как Facebook Messenger, Dropbox и т. д., пришлось разработать новые методы восстановления данных непосредственно с отдельных серверов, чтобы объединить их с данными, восстановленными непосредственно с телефона.

За этот период изменились и методы криминалистики, такие как: методы подключения, например, инфракрасные и многоконтактные кабели; все более быстрые USB, извлечение данных через Bluetooth и разработка передовых методов, таких как удаление чипа (когда чип памяти извлекается из устройства и данные считываются непосредственно с него), ISP (внутрисистемное программирование, когда соединения припаиваются непосредственно к плате, обеспечивая связь непосредственно с чипом); инструменты обхода паролей и методы дешифровки; а также изменения в способе хранения данных на телефоне с растущим использованием базы данных SQLite для хранения приложений. Объем и сложность восстановленных данных также изменились, что привело к увеличению времени, затрачиваемого на изучение и анализ.

После того как устройство было предварительно визуализировано, мы переходим к этапу извлечения/анализа.

Как собрать воедино цифровую "цепочку событий"?

Данные рассматриваются вместе с заданием клиента. Дополнительная информация, предоставленная в задании, позволяет аналитику лучше понять суть дела и требования. Затем аналитик вручную просматривает данные по заданию клиента в поисках информации, относящейся к делу.

Это может быть поиск конкретных данных, например контактов с конкретным человеком или поиск конкретных файлов. Это может быть более сложный анализ данных: просмотр временной шкалы данных для построения картины событий и интерпретации ее в нечто более доступное, попытка определить, откуда взялись данные или как они появились на устройстве.

Сколько данных можно реально восстановить в ходе судебного расследования?

Объем данных может варьироваться в зависимости от приложения или марки, модели и ОС (операционной системы) телефона. По сути, все живые данные можно восстановить либо с помощью инструментов судебной экспертизы, либо с помощью современных методов, либо, в крайнем случае, вручную. Удаленные данные могут варьироваться в зависимости от приложения, ОС, марки и модели телефона - на это также может повлиять наличие и тип шифрования телефона.

Обычный просмотр веб-страниц обычно выполняется в таких приложениях, как "Chrome", "Safari", "Samsung Internet". Из них мы можем восстановить различные наборы данных в зависимости от приложения или марки/модели телефона/ОС.

Данные приложения могут варьироваться в зависимости от того, что приложение предпочитает кэшировать (хранить в памяти приложения). Такие приложения, как Facebook Messenger, не хранят полные сообщения на телефоне - все сообщения хранятся на серверах Facebook, а в памяти телефона кэшируются избранные сообщения. Приложение будет временно хранить копию, чтобы ускорить ее получение в следующий раз, когда пользователь захочет получить доступ к тем же данным из Интернета. В основном это делается для экономии места на телефоне, повышения производительности и обеспечения доступа к данным с широкого спектра устройств.

Какие доказательства можно получить из просмотра веб-страниц и социальных сетей и как это может изменить ход судебного дела?

На мобильных устройствах приложения обычно разделяют данные веб-браузинга и социальных сетей, причем для каждой социальной сети существуют специальные приложения.

Обычный просмотр веб-страниц обычно выполняется в таких приложениях, как "Chrome", "Safari", "Samsung Internet". Из них мы можем восстановить различные наборы данных в зависимости от приложения или марки/модели телефона/ОС. Это может быть история веб-поиска и закладки, веб-поиск и данные автозаполнения, данные Cookie, пароль и информация об учетной записи. С некоторых устройств также можно восстановить кэшированные изображения и веб-страницы. Это может быть очень актуально во многих случаях. Данные могут относиться к: доступу/загрузке нелегальных файлов; поиску, связанному с местами/местами до того, как подозреваемый оказался там; часто преступники ищут ответы в Интернете в связи с комментированием/сокрытием преступлений, что может быть важным при построении дела.

Наряду с данными приложений, с телефонов восстанавливаются учетные записи пользователей. Это позволяет легко отследить улики.

Данные социальных сетей могут быть восстановлены непосредственно из приложений. Они могут включать кэшированные данные (такие как сообщения на стене и прямые сообщения), учетные записи пользователей, активность пользователей (в некоторых случаях это может включать объемы данных, переданных в сеть), данные сообщений, включая мультимедиа, данные о местоположении. Все это может быть использовано при построении версии и просмотре хронологии событий, а может и содержать инкриминирующие данные, важные для дела.

Насколько легко отследить доказательства до обвиняемого? Какие проблемы могут возникнуть у вас?

Устройства, заблокированные PIN-кодом или паролем, могут облегчить процесс отнесения данных телефона к его владельцу. Часто заблокированное устройство доступно только владельцу, без доступа к инструментам судебной экспертизы.

Большинство приложений активируются с помощью учетной записи пользователя. Наряду с данными приложений, учетные записи пользователей восстанавливаются из телефонов.

Это может оказаться сложной задачей, если учетная запись была создана для маскировки данных с использованием общих имен или данных, не связанных с владельцем, однако наличие этой учетной записи на устройстве позволяет нам привязать данные к владельцу.

  • Главная
  • Статьи
  • Как цифровая криминалистика может помочь в решении судебных дел

Свежие статьи

30 ноября 2022 года Компания «SMSint»
17 ноября 2022 года Судебные приставы
Все статьи