Новые вызовы в киберсудебной экспертизе

Новые вызовы в киберсудебной экспертизе

Новые вызовы в киберсудебной экспертизе

С каждым днем в нашу жизнь приходит все больше и больше технологий. Дроны, криптовалюта, IoT – далеко не все новшества, которыми торопятся воспользоваться преступники и которые должны иметь возможность анализировать киберэксперты. Сегодня новые проблемы приносят те технологии, о которых мало кто задумывался еще несколько лет тому назад.

Чуть более десяти лет назад работа судебного киберэксперта была в основном связана с компьютерами. Затем появились цифровые фотографии, iPhone, Android и проблема широкого распространения портативных устройств. Чтобы докопаться до истины, сегодняшний киберэксперт должен научиться извлекать данные из систем беспилотных летательных аппаратов, зашифрованных портативных устройств, растущего спектра приборов и устройств, определяемых как IoT, разбираться в технических нюансах криптовалютных сделок.

Дроны

В последние два года одним из самых популярных подарков, найденных под рождественскими елками средних американцев, были различные дроны. Эти небольшие дистанционно управляемые летающие устройства выглядят как игрушки, однако на самом деле это чрезвычайно сложные аппараты, способные снимать видео с качеством 4К, переносить полезную нагрузку и летать по запрограммированным маршрутам далеко за пределами видимости. Неудивительно, что преступники и даже террористы стали все чаще их использовать.

Чаще всего — как летающих контрабандистов, ведь каждое такое устройство может переносить несколько килограммов наркотиков, мобильных телефонов или другого груза через границу. Одна такая неудачная попытка была обнаружена к югу от калифорнийского пограничного города Сан-Исидро в 2015 году. С тех пор еще несколько раз были найдены разбитые дроны. А сколько было удачных попыток контрабанды? Неизвестно!

 

Рисунок 1. Управление дронами сейчас популярное хобби в США, и эти летательные аппараты все чаще используются для организации преступлений

Управление дронами сейчас популярное хобби в США, и эти летательные аппараты все чаще используются для организации преступлений

 

Кстати, дроны с полезным грузом залетали и в тюрьмы. Случаи такого применения уже были в США и многих других странах.

Не менее часто летающие аппараты выполняют функцию видеонаблюдения. Под прицелом объектива оказывается как рядовая добыча криберпреступников, так и представители правоохранительных органов.

Кроме того, отдельно стоит отметить распространение беспилотных летательных аппаратов в зонах боевых действий. Так, например, в Ираке террористы используют рои беспилотных летательных устройств для совершения нападений. Так что атака на склад вооружения единственным беспилотным летательным аппаратом, снабженным термитной гранатой, уже не кажется фантастикой, ведь вызванный таким образом пожар может полностью уничтожить склад. На сегодня огромное количество коммерческих летательных аппаратов может вполне справиться с этой задачей.

Независимо от того, как используемый в преступлении беспилотник попадет в руки правоохранительных органов, вытаскивание из него доказательств будет связано с цифровой судебной экспертизой. К тому же сбор данных усложнится тем, что системы дрона, скорее всего, будут разрушены из-за падения или из-за того, что аппарат будет умышленно сбит.

Значит, правоохранительные и судебные органы должны четко себе представлять, как действовать, чтобы не потерять важные данные. К примеру, нельзя обращаться с ним без надлежащего протокола о месте преступления, ведь вы можете невольно испортить вещественные доказательства. Ни в коем случае не включайте его, ведь это может изменить вещественные доказательства, оставленные на устройстве. Кроме того, не повторяйте ошибки некоторых агентств, выставляющих на аукционе БПЛА (беспилотные летательные аппараты) в качестве изъятого имущества, не анализируя их данные вовсе.

Дроны стали настолько широко распространенной проблемой для судебных экспертов, что трое крупнейших разработчиков программного обеспечения для анализа кибернетических данных — Cellebrite (www.cellebrite.com), MSAB (www.msab.com) и Oxygen Forensics (www.oxygen-forensic.com) — недавно продемонстрировали свои новые инструменты анализа дронов на конференции Techno Security & Digital Forensics, прошедшей в Myrtle Beach, SC.

Эти новые инструменты анализа БПЛА внедряются в основные программные продукты для киберкриминалистов и могут интерпретировать данные, полученные беспилотными летательными аппаратами, включая траекторию полета, высоту и скорость. Они также могут помочь аналитикам восстановить видео и фотографии, сделанные дроном, и метаданные любых восстановленных фотографий или видео.

Эксперты говорят, что количество доказательств, которые могут быть сняты с беспилотного летательного аппарата, ограничено тем, что фактически захвачено правоохранительными органами. А что касается данных, хранящихся в облаке, то восстановить их маловероятно, потому что серверы зачастую находятся в Китае или контролируются китайскими компаниями. Но, по крайней мере, вам доступны два хранилища кибердоказательств: камера и внутренняя память.

Кстати, Cellebrite, MSAB и Oxygen предлагают обучение цифровых судебных экспертов правильному обращению с БПЛА и анализу снятых с них данных.

Криптовалюта

Одной из самых серьезных проблем, стоящих перед правоохранительными органами, является разработка криптовалют, таких как Bitcoin. По некоторым данным, 25% всех пользователей Bitcoin в той или иной степени связаны с преступной деятельностью. Это означает, что сбор доказательств использования криптовалюты (получение выкупа) не редок в судебной практике.

 

Рисунок 2. Пример биткойн-кошелька

Пример биткойн-кошелька

 

Подсчитано, что сейчас существует порядка 1600 видов криптовалют. Только около четырех из них действительно распространены: Bitcoin, Litecoin, Ethereum и Monero. Есть причина, почему эти криптовалюты настолько популярны у злоумышленников: они почти не отслеживаются, если у вас нет открытых и закрытых ключей.

Предположим, вы расследуете преступление, где кто-то совершил атаку с помощью вредоноса-вымогателя. Не думайте, что это маловероятно. Вам не обязательно быть компьютерным гением, чтобы заразить внутреннюю сеть организации или чей-либо компьютер простеньким вымогателем. Наборы для запуска таких атак доступны в даркнете. Причем злоумышленникам не обязательно стараться самим, они запросто могут нанять кого-то, чтобы осуществить задуманное.

Так вот, вы исследуете дом или офис подозреваемого. Одна из основных целей вашего поиска — его криптовалютный кошелек. Код кошелька может быть частью программного обеспечения устройства, или частью аппаратного обеспечения, зависящей от отпечатка пальца, или попросту рядом слов или цифр на бумаге, зачастую целых 16 разных последовательностей. В ходе поиска не выключайте устройства и не отсоединяйте диски. Попросите экспертов захватить содержимое оперативной памяти.

Голосовые помощники

Технология Wi-Fi в наших домах и офисах позволила разработать широкий спектр устройств, подключенных к интернету, — интеллектуальные телевизоры, холодильники, которые отслеживают потребление продуктов питания и создают списки покупок, а также интеллектуальные динамики, например, Amazon Echo.

Умный динамик, чаще всего Amazon Echo с программным обеспечением Alexa или Google Home, на сегодняшний день является самым популярным устройством интернета вещей (IoT) — самой быстрорастущей категории цифровых устройств на рынке. По оценкам, к 2020 году в Америке будет больше устройств IoT, чем людей.

Уже сегодня в некоторых домах и офисах США есть по несколько устройств Amazon или Google. Эти устройства будят пользователей, выполняют их голосовые команды — скажут время, настроят сигнал тревоги, прослушают онлайн-радиостанции и ответят на простые вопросы. Они также могут манипулировать дополнительными аксессуарами — термостатами, подсветкой и другими элементами управления умными устройствами.

Все чаще и чаще данные со смарт-динамиков являются доказательствами в криминальных делах. На конференции Techno Security & Digital Forensics четыре из порядка 50 аналитиков цифровой криминалистики, присутствовавших на презентации устройств IoT, заявили, что им приходилось иметь дело с умными динамиками в ходе расследования.

Наличие таких устройств в местах преступлений означает, что офицеры и эксперты должны знать, как с ними работать. Например, не говорите фразы, с помощью которых вы можете «разбудить» устройство, — например, Ok, Google! Если вы это сделаете и система услышит фразу, вы уничтожите доказательства. Дело в том, что устройство имеет очень ограниченную память, и конкретно это действие стирает одну из последних команд.

Однако большинство данных со смарт-динамиков записывается в приложении на телефоне или планшете владельца или в облаке. Эти устройства не являются компьютерами, скорее — порталами, которыми Alexa или Home связывают компьютеры и облако для выполнения ваших команд. Вот почему они в основном являются бесполезными, когда теряют Wi-Fi-соединение.

Хорошая новость с точки зрения расследований заключается в том, что все, что когда-либо спрашивали у этих устройств, хранится в облаке, пока пользователь не удалит приложение. Плохо то, что облачные серверы контролируются огромными компаниями, которые склонны игнорировать полицейские ордера. Если вам действительно нужны данные с умного динамика, лучше всего получить доступ к нему из приложения на телефоне или планшете владельца. И, конечно, самый простой способ сделать это — вынудить подозреваемого дать вам имя пользователя и пароль. Например, как случилось в округе Бентон Каунти, штат Арканзас. Прокурор запросил у Amazon данные подозреваемого из облака Alexa с места убийства. Amazon проигнорировал ордер, поскольку, вероятно, не хотел создавать прецедент передачи таких данных. После нескольких месяцев юридических пререканий данные все же не были предоставлены. В итоге адвокат подозреваемого передал обвинению имя пользователя и пароль для приложения.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru