Мобильная криминалистика, часть 1: Основы и лучшие инструменты для мобильной криминалистики

[LeSh1y777]

Добро пожаловать обратно, мои начинающие кибервоины!
В июне 2007 года Apple представила смартфон. С тех пор эта модель мобильного устройства стала доминировать на рынке мобильных устройств. По мере распространения смартфонов по всему миру эти устройства стали хранилищами нашей личной и профессиональной жизни. Внутри этих устройств хранятся:

1. Наши текстовые сообщения
2. Наши сообщения электронной почты
3. Наши фотографии
4. Наши специализированные приложения
5. История нашего поиска и просмотра интернет-страниц
6. Наши данные о местоположении отслеживают каждое наше движение

Как следует из этого списка, мобильное устройство может предоставить эксперту-криминалисту чёткую картину действий и мыслей подозреваемого. Именно поэтому экспертиза мобильных устройств может быть важнейшим элементом судебно-медицинского расследования. Эксперты-криминалисты, специализирующиеся на мобильных устройствах, пользуются большим спросом в сфере криминалистики, поскольку практически любое расследование любого рода связано с мобильными устройствами, и многие опытные следователи не обладают знаниями и инструментами для проведения эффективного расследования с использованием мобильных устройств.
Этой статьей я открываю серию статей о мобильной криминалистике. Начнём с некоторых фундаментальных концепций, а затем перейдём к конкретным инструментам и процедурам в последующих руководствах.
Основы
Основы криминалистики мобильных устройств охватывают:

1. процессы
2. методологии
3. и лучшие практики

Используется для извлечения, сохранения, анализа и составления отчетов по цифровым доказательствам с мобильных устройств, таких как смартфоны и планшеты. Передовой опыт имеет решающее значение для принятия результатов анализа и отчетов в юридических инстанциях, например, при рассмотрении уголовных дел.
Эти основы имеют решающее значение для обеспечения целостности и допустимости доказательств в уголовных, гражданских и корпоративных расследованиях.

Объем​

Криминалистика мобильных устройств — это подраздел цифровой криминалистики, направленный на извлечение и анализ данных с мобильных устройств с соблюдением всех необходимых криминалистических требований, что гарантирует достоверность и допустимость доказательств в суде. К исследуемым устройствам относятся смартфоны, планшеты и другие портативные цифровые устройства, которые часто содержат записи сеансов связи, данные о местоположении, файлы приложений и многое другое.

Процесс мобильной криминалистики​

Процесс обычно состоит из следующих четырех основных этапов:

1. Изъятие (подготовка и сбор):
   • Защитите устройство и задокументируйте цепочку поставок.
   • Сохраняйте состояние устройства (например, держите его включенным, если это возможно, изолируйте от сетей с помощью мешков Фарадея для предотвращения удаленного стирания).
   • Запишите идентификаторы устройства (IMEI, данные SIM-карты), статус блокировки и физическое состояние с фотографиями и примечаниями.
2. Приобретение:
   • Создайте криминалистический образ (точную копию) данных устройства с помощью специализированных инструментов.
   • Используйте хеширование для проверки целостности полученного изображения.
   • Выберите метод получения данных (логический, физический или файловая система) в зависимости от типа устройства и ситуации.
3. Анализ:
   • Проверьте извлеченные данные на наличие улик, включая SMS, журналы вызовов, данные приложений, контакты, фотографии, журналы GPS и удаленные файлы.
   • Используйте криминалистические инструменты для анализа баз данных (например, SQLite), журналов и фирменных форматов файлов, часто имея дело с шифрованием и фрагментацией данных.
   • Сопоставляйте данные из нескольких источников, чтобы реконструировать временные рамки и активность пользователей.
4. Отчетность:
   • Документируйте результаты в четком, структурированном отчете, подходящем как для технической, так и для нетехнической аудитории.
   • Убедитесь, что все шаги являются повторяемыми и прозрачными для юридической проверки.

Типы полученных доказательств​

• Записи коммуникаций: SMS, MMS, журналы вызовов, данные чат-приложений (WhatsApp, Signal и т. д.)
• Метаданные: временные метки, информация об отправителе/получателе, данные геолокации.
• Файлы: фотографии, видео, аудио, документы, файлы приложений и журналы.
• Данные SIM-карты: идентификация абонента, контакты, информация о сети
• Удаленные данные: восстанавливаемые фрагменты из нераспределенного пространства или кэшей приложений.

Передовой опыт и правовые аспекты​

• Сохранение: избегайте изменения исходных данных; используйте блокираторы записи и документируйте каждое действие.
• Изоляция: предотвратите удаленный доступ или стирание данных, изолировав устройство от всех сетей.
• Документация: Ведите тщательные записи для обеспечения прозрачности цепочки поставок и процесса.
• Соблюдение законодательства: убедитесь, что все действия разрешены (например, при наличии ордера на обыск) и соответствуют местным законам и стандартам.

Технические и платформенно-специфические проблемы​

• Функции шифрования и безопасности могут усложнить извлечение и анализ, требуя применения передовых методов и современных инструментов.
• Разнообразие операционных систем и экосистем приложений означает, что экспертам необходимо быть в курсе последних разработок как для Android, так и для iOS, а также структур данных сторонних приложений.

Инструменты и навыки​

Эксперты используют специализированное криминалистическое программное обеспечение и оборудование для извлечения и анализа данных.
Лучшими инструментами для мобильной криминалистики являются те, которые позволяют надёжно извлекать, анализировать и составлять отчёты по данным с широкого спектра мобильных устройств, включая заблокированные и зашифрованные смартфоны. Лидеры отрасли и широко рекомендуемые решения включают:

• Cellebrite UFED
  Считающийся золотым стандартом, Cellebrite UFED поддерживает широкий спектр устройств и методов извлечения (логических, файловой системы, физических), включая обход блокировок и доступ к удаленным или скрытым данным.
• Oxygen Forensic Detective.
  Известен своими возможностями глубокого извлечения данных, Oxygen Forensic Detective может восстанавливать данные из приложений, облачных сервисов и зашифрованных устройств. Его хвалят за интуитивно понятный интерфейс и подробные отчеты.
• Magnet AXIOM.
  Magnet AXIOM превосходно справляется со сбором, анализом и составлением отчетов по уликам со смартфонов, облачных сервисов и компьютеров. Он особенно эффективен при анализе данных приложений, восстановлении удалённых файлов и работе с зашифрованной информацией.
• XRY от MSAB
  — это надежный инструмент для безопасного сбора и анализа данных с мобильных устройств. Он ценится за свою скорость, функции безопасности и способность обходить блокировки и извлекать данные с самых разных устройств.
• Belkasoft
  X — это решение, известное своей способностью извлекать и анализировать данные с мобильных устройств, облачных учётных записей и компьютеров, включая зашифрованные и удалённые данные. Оно предлагает анализ временной шкалы, геолокационное картирование и регулярные обновления для поддержки новых устройств и приложений.
• Paraben E3 Universal
  Этот инструмент обеспечивает комплексную проверку цифровых доказательств, поддерживает множество мобильных и IoT-устройств и известен своей широкой совместимостью.
• EnCase.
  EnCase остаётся надёжным инструментом для компьютерной и мобильной криминалистики, предлагая визуализацию, анализ и подробные отчёты. Он широко используется правоохранительными органами и корпоративными расследованиями.
• Autopsy (с набором The Sleuth Kit).
  Хотя Autopsy чаще используется для компьютеров, он может анализировать изображения с мобильных устройств и является ценным вариантом с открытым исходным кодом для криминалистических расследований.

Лучшие инструменты мобильной криминалистики

[th]Инструмент[/th][th]Ключевые сильные стороны[/th] [td]Cellebrite UFED[/td][td]Широкая поддержка устройств, обход блокировок, глубокое извлечение[/td] [td]Детектив-криминалист по кислороду[/td][td]Данные приложений/облака, поддержка зашифрованных устройств[/td] [td]Магнит АКСИОМА[/td][td]Анализ приложения, удаленные данные, зашифрованная информация[/td] [td]XRY (МСАБ)[/td][td]Быстрый, безопасный, обход блокировок, широкий выбор устройств[/td] [td]Белкасофт X[/td][td]Временная шкала/геолокация, зашифрованные/удалённые данные[/td] [td]Парабен E3 Универсальный[/td][td]Широкая поддержка устройств и Интернета вещей[/td] [td]EnCase[/td][td]Визуализация, анализ, отчетность[/td] [td]Вскрытие/Набор сыщика[/td][td]Анализ изображений с открытым исходным кодом[/td]

Эти инструменты регулярно обновляются, чтобы идти в ногу с новыми устройствами, операционными системами и методами противодействия криминалистике, что делает их незаменимыми для современных мобильных криминалистических расследований.
Навыки
Для эффективной работы в области мобильной криминалистики вам в первую очередь необходимо иметь:

1. Необходимы технические знания внутренних компонентов мобильных ОС, файловых систем и сетевых протоколов.
2. Требуется постоянное обучение и адаптация к новым технологиям и мерам противодействия криминалистике, таким как обфускация и шифрование.

Краткое содержание

В основе качественной криминалистики мобильных устройств лежит системный, юридически обоснованный подход к изъятию, получению, анализу и составлению отчетов по цифровым доказательствам с мобильных устройств. Эта дисциплина требует технической экспертизы, строгого соблюдения передовых практик и понимания меняющихся правовых и технологических реалий для обеспечения эффективного сохранения, анализа и представления доказательств.

 

[cortes]

мы кибервоины

 

[qwshe1d]

Здраствуй отец кидервоин!

 

[Ulianiska]

Мечта была когда-то стать криминалистом

 

[sergej13]

Да мечта хорошая