В данной статье описан метод получения информации, расположенной в облачных хранилищах, при расследовании преступлений, а также исследование сервисов Google для получения геоданных. Сведения, приведенные в данной статье, могут способствовать повышению эффективности раскрываемости преступлений.
4. Использование сервисов Google для получения геоданных
Введение
Раскрывать преступления в сфере информационных технологий сложно, так как нередко преступники прибегают к различным методам сокрытия значимой для следствия информации.
Актуальность работы в данном направлении определяется современными возможностями криминалистической техники, позволяющей в короткие сроки получить значимую информацию (включая удаленную) из облачных хранилищ и мобильных устройств участников инцидента.
Для выявления преступлений, совершенных с использованием мобильных устройств и облачных хранилищ, специалисты используют криминалистические методы, применяемые при производстве экспертиз.
В практике известны случаи, когда информация, извлеченная из облачного хранилища, способствовала раскрытию уголовных преступлений.
Например, при рассмотрении одного уголовного дела было установлено, что отец снимал видео во время избиения своего несовершеннолетнего сына. Выяснилось, что отец удалил видео с мобильного устройства, но не учел, что его данные синхронизируются с облачным хранилищем. С помощью специализированного программно-аппаратного обеспечения удалось получить данные из облачного хранилища, и преступник понес наказание.
Важную информацию, хранимую в облачном хранилище, можно выявить, скажем, и при расследовании заказных убийств, восстанавливая обмен фотографиями между киллером и заказчиком убийства, а также геоданные.
UFED Cloud Analyzer
Облачные хранилища данных — это виртуальная база потенциальных доказательств для экспертов-криминалистов и следователей. Она часто содержит информацию о важных связях, которые помогают раскрывать преступления. Тем не менее доступ к облачному хранилищу часто ограничен.
UFED Cloud Analyzer дает возможность специалисту своевременно извлекать, сохранять и анализировать личные данных из социальных сетей — Facebook, Twitter, Kik, Instagram. Это касается хранилища файлов и другого контента, который хранится в облаке.
Рисунок 1. UFED Cloud Analyzer
Данное решение — часть серии UFED PRO — представляет собой уникальный инструмент для расследований, позволяющий автоматически собирать существующие облачные данные и метаданные и упаковывать их таким образом, чтобы их можно было использовать в суде.
UFED Cloud Analyzer дает возможность:
- выполнять мгновенное извлечение частных данных пользователя;
- унифицировать и организовывать разрозненные данные в единую форму;
- передавать и интегрировать данные для последующего анализа.
Основные функции UFED Cloud Analyzer:
- Извлечение данных с мобильных устройств: доступ к личным данным, расположенным в облачном хранилище, с помощью информации для входа в систему, извлеченной из мобильного устройства.
- Извлечение на базе имени пользователя: доступ к персональным облачным данным с помощью имени пользователя и пароля, извлеченного из личных файлов, контактов или с помощью других средств обнаружения.
- Обеспечение сохранности криминалистических данных: извлечение информации из облачных источников данных с протоколированием и отслеживанием всего процесса с целью обеспечения достоверности данных. Каждая часть извлеченных данных разделяется и позднее может быть сопоставлена с оригинальными данными.
- Визуализация данных в едином формате: приведение данных разных облачных услуг к единому виду; просмотр данных в унифицированном формате и в формате хронологии; предварительный просмотр файлов, контактов или карт.
- Отчеты, совместное использование и экспорт: создание и передача удобочитаемых отчетов в формате .pdf для всех данных или отфильтрованной информации; экспорт извлеченных данных в другие инструменты для анализа с целью более глубокого анализа и перекрестного сравнения со сторонними данными.
Получение информации из облачных хранилищ с помощью программного комплекса «Мобильный Криминалист»
Программа «Мобильный Криминалист» — технико-криминалистическая экспертная программа, позволяющая извлекать данные из облачного хранилища. На рисунке 2 отображено меню модуля «Извлечение данных из облачных сервисов».
Рисунок 2. Меню «Мастера извлечения данных из облачных сервисов»
На рисунке 3 приведен список сервисов, из которых можно извлечь данные.
Рисунок 3. Выбор облачного сервиса
Для входа в облачный сервис программному комплексу «Мобильный Криминалист» необходимо использовать извлеченные из мобильных устройств пароли или токены. После импорта данных из облака их можно посмотреть и проанализировать в интерфейсе ПО «Мобильный Криминалист», в том числе в аналитических разделах: «Модуль карт», «Граф связей», «Лента событий», «Объединенные контакты» и т. д.
Многие пароли и токены можно извлечь из мобильного устройства с помощью «Мобильного Криминалиста». Если в устройстве хранятся пароли и токены к учетным записям, программа их автоматически найдет и расшифрует. В настоящее время поддерживается извлечение паролей/токенов из устройств iOS, Android и Windows Phone. На рисунке 4 приведен пример выполнения аутентификации в сервис iCloud Photos.
Рисунок 4. Поле ввода логина и пароля
Как только соединение с сервисом установлено, «Мобильный Криминалист» начинает извлечение данных. После этого эксперту становится доступна следующая информация: данные об учетной записи, информация об альбомах, фотографии, видео и геоданные.
На рисунках 5 и 6 показан процесс извлечения данных из облачного хранилища iCloud.
Рисунок 5. Извлечение данных из iCloud
Рисунок 6. Извлечение данных из iCloud
На рисунке 7 представлена карта с отображенными геоданными после извлечения данных из iCloud.
Рисунок 7. Карта с геоданными
Использование сервисов Google для получения геоданных
Не все пользователи мобильных устройств на платформе Android знают, что при использовании приложения Google Play, Gmail и других приложений компании Google пользователь автоматически дает согласие на отправку геоданных. Геоданные — информация о географическом местоположении устройства, хранящаяся в формате, который может быть использован в географических информационных системах. Это необходимо для работы сервисов Google, чтобы ускорить поиск на картах Google или повысить качество рекламных объявлений, которые пользователь видит на сервисах Google и сторонних сайтах.
Отправка геоданных позволяет сохранять новые сведения о местоположении мобильного устройства, в том числе если пользователь идет по улице или едет на автомобиле. Периодичность отправки геоданных зависит от уровня заряда батареи и скорости передвижения мобильного устройства.
Многие пользователи используют браузер Google Chrome, в котором устанавливают синхронизацию между мобильным устройством, компьютером или облачным хранилищем. Тем самым они дают возможность получить доступ к аккаунту пользователя Google и увидеть историю местоположений.
Для того чтобы получить историю местоположений мобильного устройства, достаточно зайти на официальный сайт Google по ссылке: https://maps.google.com/locationhistory/ выполнить аутентификацию и выбрать интересующий временной интервал.
На рисунках 8 и 9 приведены примеры, на которых можно увидеть схемы передвижения мобильного устройства.
Рисунок 8. История местоположений
Рисунок 9. История местоположений
Информация об истории местоположений хранится в закрытом формате на серверах Google и в облачном хранилище, если установлена синхронизация между мобильным устройством и облачным хранилищем.
Выводы
Сегодня получение данных из облачного хранилища усложняет технико-криминалистический анализ. Однако программные комплексы UFED Cloud Analyzer и «Мобильный Криминалист» способны извлечь и проанализировать полученные данные для дальнейшей работы с ними. Исследование информации, расположенной в облачных хранилищах, — развивающаяся сфера в информационной безопасности. При этом следует учитывать совершенствование облачных хранилищ.
Получение информации из облачного хранилища требует от специалиста глубоких знаний и компетентности, а также основательной подготовки и значительного количества времени.
Описанные выше методы могут способствовать повышению эффективности исследования информации, расположенной в облачных хранилищах.