Как стать автором
Обновить

Исследование мобильных устройств в условиях санкций – что принципиально изменилось?

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров3.2K

Всем привет! Я - Федор Музалевский, занимаюсь судебной экспертизой в RTM Group. В частности, достаю из смартфонов разную информацию. С приходом санкций это могло стать гораздо сложнее. Так ли это (спойлер – нет)? Разберемся ниже.

Введение санкций в отношении России и уход многих иностранных вендоров не могли не отразиться на такой специфичной области, как мобильная криминалистика. Здесь применяется немало зарубежных решений, а ограничения коснулись работы экспертов и государственных учреждений, и частных организаций. В этом материале мы поговорим о том, какие средства вообще применяются в данной сфере, насколько сократился их арсенал, а также дадим рекомендации – как быть специалистам.

Мобильная криминалистика является направлением цифровой криминалистики – прикладной науки о расследовании и раскрытии преступлений, связанных с цифровой информацией, о методах получения и исследования доказательств в форме цифровой информации, о применяемых для этого технических средствах. Мобильная криминалистика занимается исследованием устройств, функционирующих на базе мобильных операционных систем iOS, Android, Windows Mobile, BlackBerry.

Инструменты, которые использовались при исследовании мобильных устройств до санкций

Инструменты мобильной криминалистики представлены как «Open Source» решениями, так и коммерческими продуктами. Функционал первых гораздо скромнее того, что могут предложить вторые. Так, коммерческие разработки часто покрывают оба этапа криминалистического исследования мобильного устройства, включая извлечение данных и анализ данных, а при помощи бесплатного софта, в основном, можно делать лишь что-то одно.

Ниже приведен краткий список свободно распространяемого ПО, использующегося при исследовании мобильных устройств:

  • Andriller – инструмент для извлечения данных из мобильных устройств под управлением ОС Android;

  • Android Triage – инструмент для извлечения данных из Android-устройств;

  • ArtEx – инструмент, позволяющий анализировать содержимое данных iOS-устройств;

  • Magnet ACQUIRE – инструмент сбора данных с Android и iOS устройств;

  • libimobiledevice – кроссплатформенная библиотека позволяющая получить доступ к iOS-устройствам;

  • DB Browse for SQLite – инструмент для анализа базы данных sqlite;

  • iLEAPP – инструмент анализа журналов событий, а также таблиц в т.ч. с информацией о сотовой связи;

  • plist Editor Pro – инструмент чтения файлов списка свойств формата pslist.

Отметим, что анализ данных не столь специфичен, как их извлечение. Возьмем, к примеру, SleuthKit – инструмент для анализа образов компьютеров и мобильных устройств. Он включен в состав SIFT (SANS Investigate Forensic Toolkit), доступный для установки на Ubuntu, на Windows Subsystem for Linux, в формате виртуальной машины. Решения, разработанные инструкторами SANS (69 в разделе цифровой криминалистики и расследования инцидентов на апрель 2023 года) распространяются свободно.

Наиболее известными коммерческими продуктами иностранного производства для извлечения и анализа данных мобильных устройств являются: UFED 4PC от компании Cellebrite, AXIOM Cyber от компании Magnet Forensics, XRY от компании MSAB, MOBILedit Forensic от компании Compelson.

Азиатские решения в сфере криминалистики мобильных устройств не пользуются большим спросом в российском экспертном сообществе, однако из всего многообразия продуктов можно выделить следующие:

  • SmartPhone Forensic System Professional – систему для извлечения и визуализации данных мобильных устройств от SalvationData Technology INC.;

  • Продукты компании GMDSOFT:

    • MD-NEXT – решение для извлечения данных из смартфонов, дронов, устройств IoT, SD-карт и встроенной памяти;

    • MD-RED –для анализа извлеченных данных и составления отчетов;

    • MD-LIVE – для извлечения и анализа данных на месте сбора доказательств;

    • MD-CLOUD – для извлечения и анализа данных облачных сервисов.

  • Программные и аппаратные инструменты для исследования мобильных устройств компании Xiamen Meiya Pico Information: Mobile Forensic System и Mobile Forensic Tower.

Отечественные разработчики представлены 3 компаниями:

  • Elcomsoft (www.elcomsoft.ru). Это разработчик целой линейки продуктов по цифровой криминалистике. Непосредственно к мобильной криминалистике можно отнести:

    • Elcomsoft iOS Forensic Toolkit – для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Продукт зарегистрирован в Российском реестре программного обеспечения (РПО) за №7361 от 30.11.2020;

    • Elcomsoft Phone Breaker – для извлечения и расшифровки данных из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов;

    • Elcomsoft Phone Viewer – для просмотра информации, извлечённой из резервных копий устройств под управлением iOS, облачных сервисов iCloud и Microsoft;

    • Elcomsoft Cloud Explorer – доступ к информации из Google Account;

    • Elcomsoft Explorer for WhatsApp – извлечение, просмотр и анализ истории сообщений пользователей WhatsApp.

  • Оксиджен софтвер (oxygensoftware.ru). Это разработчик решений в области цифровой криминалистики, аналитики, визуализации для правоохранительных органов и корпоративных клиентов. Решение Мобильный Криминалист Эксперт Плюс позволяет осуществлять криминалистическую экспертизу мобильных устройств, облачных сервисов, компьютеров и дронов. Продукт зарегистрирован в Российском реестре программного обеспечения (РПО) за №11593 от 24.09.2021;

  • ACELab (acelab.ru). Это компания, исторически занимающаяся восстановлением данных с HDD, SSD, Flash. Одно из направлений – создание решений для извлечения данных из мобильных устройств. Программно-аппаратный комплекс PC3000 Mobile (доступен только правоохранительным органам) использует специализированные методики низкоуровневого доступа, разработанные под каждый поддерживаемый процессор.

Отдельно следует упомянуть разработчике Belkasoft (belkasoft.com). У него есть комплексное решение для цифровой криминалистики Belkasoft Evidence Center X, позволяющее извлекать данные из компьютеров, устройств хранения, образов дисков и виртуальных машин, памяти, мобильных устройств, облачных сервисов Google, Apple, сервисов мобильной почты, WhatsApp. Продукт зарегистрирован в Российском реестре программного обеспечения (РПО) за №4103 от 11.12.2017. По данным checko.ru, ООО «Белкасофт» 29.06.2022 переименовано в ООО «Цифровая корпоративная защита».

Инструменты, доступные экспертам в условиях санкций – что изменилось, достаточно ли этого?

Свободно распространяемое программное обеспечение по-прежнему доступно. Однако, его функционала не всегда достаточно для проведения полного и всестороннего исследования.

Очевидно, что санкции, в первую очередь, повлияли на проприетарные решения.

Среди иностранных производителей, разработки которых недоступны российским экспертам из-за санкций, следует отметить:

  • Cellebrite (UFED 4PC);

  • Magnet Forensics (AXIOM Cyber);

  • MSAB (XRY);

  • Compelson (MOBILedit Forensic).

При исследовании мобильных устройств с применением криминалистических «комбайнов» процесс извлечения довольно часто упирается в линейку поддерживаемых устройств.

Инструментарий мобильной криминалистики характерен тем, что ПО разных производителей поддерживает разный набор мобильных устройств с различными версиями операционных систем, чипов памяти, алгоритмами шифрования, а также предлагает различные методы извлечения (физическое, логическое, облачное, chip-off). В связи с чем процесс может осложняться большим количеством комбинаций свойств объекта, и нередки случаи, когда экспертам требуется обращение в техническую поддержку того или иного продукта, что в условиях санкций затруднено.

Например, известен случай, когда перед специалистом стояла задача по поиску криминалистических артефактов, содержащихся в довольно редком мобильном устройстве Huawei Mate X2. Когда в качестве инструмента для извлечения было выбрано UFED 4PC, выяснилось, что данная модель устройства не поддерживается этим продуктом. Так, в ходе исследования в приоритет был поставлен отечественный инструмент «Мобильный Криминалист Эксперт Плюс» с методом извлечения данных из резервной копии Android. В результате, был получены важные данные установленных мобильных приложений.

Таким образом, возможности криминалистических инструментов по извлечению данных из мобильных устройств зависят от модели устройства и дополнительной информации (пасскод, облачный аккаунт и т.д.). Можно сформулировать следующую «криминалистическую максиму»: чем свежее устройство и чем меньше дополнительной информации, тем беднее извлеченные данные.

Верно и обратное: чем старше устройство и чем больше дополнительной информации, тем извлечение богаче.

Для наглядности была сформирована таблица, в которой представлено обзорное сравнение программного обеспечения для извлечения и анализа данных из мобильных устройств. В качестве инструментов применялись: Cellebrite UFED 4PC + UFED Physical Analyzer (зарубежный софт), Elcomsoft iOS Forensic Toolkit + Elcomsoft Phone Viewer (отечественный софт), Magnet ACQUIRE + ArtEx2 (бесплатный софт).

Для тестирования использовались мобильные устройства под управлением операционной системы iOS: iPhone 4s, iPhone 7, iPhone 12.

При извлечении были известны пароли разблокировки, а также аутентификационные данные Apple ID тестируемых iOS-устройств. Информация о методах извлечения для конкретных устройств доступна в технической документации, методических руководствах разработчиков.

Инструменты извлечения + анализа

Метод извлечения

Устройство

iPhone 4s
(iOS 9.3.6)

iPhone 7 (iOS 14.4)

iPhone 12 (iOS 16.4.1)

Cellebrite UFED 4PC + UFED Physical Analyzer

Физическое

+

+

-

Логическое

+

+

-

Резервная копия

+

+

+

Elcomsoft iOS Forensic Toolkit + Elcomsoft Phone Viewer

Физическое

+

+

-

Логическое

+

+

-

Резервная копия

+

+

+

Magnet ICQUIRE+ArtEx

Физическое

-

-

-

Логическое

+

+

-

Резервная копия

+

+

+

Мобильная криминалистика – деятельность эмпирическая. Далеко не всегда заявленные производителем варианты извлечения срабатывают для конкретного устройства и условий. Для свободно распространяемого ПО это еще более актуально.

Поэтому эксперту надо быть готовым к итерационному процессу поиска наиболее результативной комбинации <метод извлечения, инструмент извлечения, инструмент анализа>, что иллюстрирует следующая схема:

Влияние санкций на исследование мобильных устройств: критично ли сокращение инструментария?

Сокращение инструментария российских экспертов произошло еще в 2021 году.

По данным Единой информационной системы в сфере закупок, последний контракт на приобретение UFED был заключен 26.03.2021 (№1770100252021000179), последний контракт на продление лицензии XRY был заключен 27.04.2021 (№2771096064021000023), последний контракт на продление лицензии Belkasoft Evidence Center X был заключен 14.12.2021.

Официальный сайт правообладателя ООО «Белкасофт» не содержит русскоязычных страниц. На сайте не представлено ни одного офиса или контактного телефона на территории РФ или СНГ.

Ограничения повлияли на всех экспертов, однако государственным специалистам приходится сложнее всего. Например, по неофициальной информации от представителей ООО «Цифровая корпоративная защита», продажа их продукции на территории РФ возможна только негосударственным организациям.

При этом, потребности государственных экспертных учреждений в сфере мобильной криминалистики довольно высоки, – их демонстрирует анализ сайта Госзакупок.

Информация по заявкам приведена в таблице, видно переориентирование на отечественных производителей:

Продукт

UFED

XRY

Belkasoft Evidence Center X

Мобильный криминалист

Продукты Elcomsoft

АПК ИАМУ


Год

2020

10

2

55

68

4

1

2021

23

1

21

34

1

9

2022

11

106

8

8

4 мес. 2023

49

7

6

Также следует отметить комплексное решение компании «Лан-проект» – аппаратно-программный комплекс исследования и анализа мобильных устройств (АПК ИАМУ). Все типы АПК ИАМУ могут комплектоваться: Мобильный Криминалист Эксперт, iOS Forensic Toolkit, ПАК PC3000 Mobile.

Однако и использование зарубежных продуктов по-прежнему возможно, если принимать факт отсутствия обновлений. Конечно, в перспективе эффективность таких продуктов будет снижаться, ведь аппаратная и программная составляющая мобильных устройств постоянно обновляется.

Другое дело, что разработки иностранных вендоров не так-то просто купить. В порядке эксперимента мы направили запросы иностранным компаниям от RTM Group на приобретение решений Paraben, ADF Solutions, Magnet Forensics, GMD Soft.

И получили следующие ответы. Paraben отказал в приобретении по причине эмбарго; Magnet Forensics отказал по причине несоответствия продаж в Россию экспортной политике компании (https://www.magnetforensics.com/export-approach).

Законодательные изменения и ограничения

Официальный сайт компании «Cellebrite» содержит сообщение о том, что с 18.03.2021 продажа решений и услуг клиентам в Российской Федерации и Беларуси прекращается.

На официальном сайте MSAB содержится информация, что XRY классифицируется как продукт «двойного назначения».

Экспорт данных продуктов в РФ регулируется такими документами как:

  • Council Regulation (EU) 2022/328of 25 February 2022;

  • Regulation (EU) 2021/821 of the European Parliament and of the Council of 20 May 2021;

  • Council Regulation (EU) No 833/2014 of 31 July 2014.

На сайте Европейской комиссии размещен документ «Frequently Asked Questions on export-related restrictions pursuant to Articles 2, 2a and 2b of Council Regulation No 833/2014 concerning restrictive measures in view of Russia's actions destabilising the situation in Ukraine (hereinafter: the ‘Sanctions Regulation’), as amended by Council Regulation (EU) 2022/328 of 25 February 2022», объясняющий вопросы применения данных документов.

В п.5 указано, что «Экспортные ограничения вступили в силу и стали полностью применяться 26 февраля 2022 года.

С этой даты экспорт товаров и технологий, подпадающих под экспортные ограничения, введенные Постановлением о санкциях, разрешен только в особых случаях, до тех пор, пока такое разрешение не будет предоставлено, торговля не может осуществляться».

При этом, законодательство РФ в части параллельного импорта не распространяется на программное обеспечение. В частности, Минпромторг сообщает, что ПО не считается товаром и не имеет кода товарной номенклатуры, который используют во время таможенных операций. Следовательно, оно не может входить в списки для параллельного импорта.

Выводы и пути решения проблемы

Начиная с 2021 года производители иностранных продуктов в сфере исследования мобильных устройств постепенно приостанавливали продажу нового оборудования и программного обеспечения на рынке мобильной криминалистики. Кроме того, прекращалось обновление и поддержка лицензий, в том числе решений, уже поставленных в государственные учреждения и частные организации.

Анализ ситуации в госзакупках показывает переориентирование заказчиков преимущественно на отечественных разработчиков. При условии отказа от обновлений, использование зарубежных продуктов по-прежнему возможно. Однако, со временем эффективность таких продуктов уменьшается из-за смены поколений мобильных устройств.

Подводя итоги, тем, кто работает в сфере исследования мобильных устройств сегодня, можно дать следующие рекомендации:

  • Для «старых» устройств использовать ранее купленное ПО (UFED, XRY) без обновлений;

  • Ориентироваться на отечественное ПО или программно-аппаратные комплексы типа ИАМУ;

  • При отсутствии возможности пользоваться проприетарными продуктами – осваивать свободно распространяемое ПО;

  • Получать ПО, не имеющее отечественных аналогов через посредников в третьих странах, осознавая возможные трудности с техподдержкой.

Теги:
Хабы:
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

Публикации

Истории

Работа

Ближайшие события

Антиконференция X5 Future Night
Дата30 мая
Время11:00 – 23:00
Место
Онлайн
OTUS CONF: GameDev
Дата30 мая
Время19:00 – 20:30
Место
Онлайн
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Summer Merge
Дата28 – 30 июня
Время11:00
Место
Ульяновская область