Интернет и информационные технологии (ИТ) уже не новинка, а необходимость почти во всех аспектах жизни людей, охватывающих самые разные сферы, от бизнеса, образования и здравоохранения до развлечений, торговли и даже больше.
Киберпреступность, включая участие ИТ-инфраструктур в мелких и крупных преступных деяниях, привела к созданию новой дисциплины, а именно цифровой криминалистики, эквивалентной классической криминалистике, где
анализ доказательств осуществляется с использованием данных, полученных с любого вида цифровых электронных устройств.
Хотя цифровое устройство может участвовать в преступлении различными способами,
если само оборудование не является контрабандой, уликами, орудием или плодом преступления, оно является всего лишь средством для доказательств.
Технологии, касающиеся мобильных устройств, за последнее десятилетие претерпели революционный рост. Мобильные телефоны, оснащенные аппаратными и программными возможностями, служат не только средством коммуникации, но и небольшими портативными компьютерами с расширенными коммуникационными возможностями.
В дополнение к традиционным кибератакам и вредоносным угрозам, которые доставляют злоумышленникам удовольствие, смартфоны представляют собой перспективную цель для разработчиков вредоносного ПО, которые пытаются раскрыть конфиденциальные данные пользователей, взломать устройство или манипулировать популярными службами. Кроме того, за последние несколько лет резко возросло количество украденных или утерянных смартфонов.
Вне всякого сомнения, широкое использование портативных, мало масштабных устройств значительно повышает вероятность того, что такие устройства будут вовлечены в преступную деятельность.
Согласно Jansen and Ayers (2007):
MF - это наука о восстановлении цифровых доказательств с мобильных устройств в криминалистически обоснованных условиях с помощью общепринятых методов. Область MF по умолчанию является сложной из-за того, что смартфоны имеют ограниченные ресурсы процессора и памяти, различную архитектуру процессора и различные хорошо защищенные версии операционных систем (ОС) по сравнению с версиями персональных компьютеров, что делает криминалистическую обработку сложной задачей.
Эти проблемы усугубляются быстрыми темпами изменений в технологии мобильных устройств. Хотя некоторые методы судебной экспертизы могут быть эффективными для определенного устройства или версии ОС, они могут оказаться бесполезными для его преемника.
Разнообразие моделей и операционных систем также может создать барьер для обучения по использованию. Следователи, на которых возложена задача взаимодействия с устройствами, должны быть опытными пользователями, чтобы свести к минимуму риск ошибок, обусловленных действиями человека.
С другой стороны, объем данных, полученных с небольших устройств, может быть значительно меньше, чем объем данных, полученных с персональных компьютеров .
Наконец, когда речь заходит о потреблении энергии, которое приводит к тому, что ресурсы исчезают быстрее, в таких устройствах, как ноутбуки, хотя криминалистические лаборатории оснащены кабелями питания, единственная проблема возникает, когда батарея почти разряжена после захвата.
Областью МФ является общее отсутствие стандартизации аппаратных средств, программного обеспечения и интерфейсов в отрасли. Этот факт делает судебную экспертизу сложной задачей, особенно для объединенных исследований. Сложности функциональности смартфонов в сочетании с растущим количеством таких устройств, которые используются во всем мире, привели к решению ограничить исследование только сферой смартфонов.
Наличие мощной фундаментальной инфраструктуры будет способствовать эффективной и действенной адаптации. В результате, новички или даже специалисты в области МФ смогут получить компактное изображение современного уровня техники.
Методы сбора доказательств
Методы приобретения
Судебно-медицинская экспертиза приборов подразделяется на три категории: ручная, логическая и физическая.
Каждый из них использует различные атрибуты устройства для извлечения необходимого количества данных.
Ручной сбор данных определяется как то, что человек способен получить, взаимодействуя с самим устройством. Эта процедура может состоять из двух отдельных этапов: ведение журнала предпринятых действий и взаимодействие с установленными приложениями для копирования имеющихся данных . Дополнительные средства, такие как камеры, могут быть использованы для записи состояния устройства. Поскольку вероятность человеческой ошибки очень высока, и критические элементы можно обойти, этот метод следует использовать в качестве дополнительного.
В связи с тем, что ручной сбор данных является единственной методикой, возвращающей данные в интерпретируемом человеком формате, необходимо проводить его одновременно с двумя другими видами. В результате этого он не будет рассматриваться в качестве отдельной категории, а будет включен в две другие категории.
Логическое приобретение позволяет получить побитовую копию таких объектов, как файлы и каталоги, которые находятся в логическом хранилище и
предоставляет контекстную информацию для ранее упомянутых объектов, такую как отметки времени и местоположение в файловой системе целевого мобильного устройства.
Это в основном касается данных, которые не были удалены и достигаются путем доступа к файловой системе устройства . Тем не менее, информация, которая практически не удалена, но замаскирована под имеющееся пространство для дальнейшей перезаписи в базах данных, может быть получена путем доступа к файловой системе.
Вероятность получения данных, которые уже были удалены, ниже. Логические методы и инструменты сбора взаимодействуют с файловой системой, в то время как физические методы сбора данных имеют доступ к более низким областям. Это приводит к выводу, что физическое и логическое приобретение демонстрирует различные сильные и слабые стороны в отношении файлов, которые они получают.
Физическое и логическое приобретение демонстрирует различные сильные и слабые стороны в отношении файлов, которые они получают. Например, физическое получение извлекает удаленные файлы, в то время как логическое получение более эффективно для восстановления пользовательских данных (журналы вызовов и SMS, контакты). Иногда логическое получение невозможно, например, когда устройство выходит из строя без ремонта или когда устройство не имеет стандартного интерфейса для выполнения логического сбора данных.
Физическое приобретение может также проводиться до логического завершения, если нет другого способа обойти механизмы безопасности пользователей, такие как пароли и блокировки экрана.
Подводя итог: логическое приобретение можно разделить на следующие категории: создание образов разделов, копирование папок с файлами, контент-провайдер и режим восстановления. С другой стороны, физическое приобретение относится исключительно к физическому носителю данных. Такая техника также упоминается как побитовая копия внутренней флэш-памяти. Такой вид сбора данных с большей вероятностью приведет к извлечению удаленных данных, которые рассматриваются как не распределенные, но все еще существуют в памяти.
Такие методы не только технически сложны и требуют частичной или полной разборки устройства, но и требуют глубокого анализа после извлечения для сборки файловой системы. Тем не менее в судебно-экспертном контексте вполне допустимо, чтобы физическое приобретение превалировало над логическим, поскольку оно позволяет изучать удаленные файлы и любые имеющиеся остатки данных . Однако иногда, как и в случае с Windows Mobile OS , исследования приводили к разработке альтернативных методов сбора данных, которые лежат где-то между физическим измерением и логическим обычно называемым псевдофизическим.