Group-IB corporate blog
Information Security
Software
Comments 55
+1
Как у этих программно-аппаратных комплексов обстоят дела с работой с шифрованными дисками и шифрованными телефонами? Какие операционные системы поддерживаются?
0
Частично, ответ на этот вопрос будет дан в последующий статьях. Следите за нашими публикациями. Если же вас интересует конкретная ситуаци��, напишите об этом (с указанием производителя устройства, модели, версии ОС и т.д.).
0
Типичные комбинации для корпоративных ноутбуков и телефонов:
  • Windows + BitLocker
  • Windows + Check Point Full Disk Encryption
  • Windows + MacAfee Complete Data Protection
  • Windows + Sophos SafeGuard
  • Windows + Symantec Endpoint Encryption
  • Linux + LUKS 2
  • Apple OS X + FileVault 2 (с чипом T2, и старые модели без него)
  • шифрование iPhone iOS
+6

Ничего не описали, одна вода. Главный же вопрос — каким образом chain of custody поддерживается? Как гарантируется, что на устройстве не появилось новых данных в процессе исследования?

-2
Вопросы о том, что мы рекомендуем купить из криминалистического софта и какие продукты (в определенной категории, например, для исследования мобильных устройств) лучше других и почему, нам задают постоянно. Как минимум раз в неделю. Собственно, это и послужило стимулом для написания этой статьи.

Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.

Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.

Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.

Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.
0

Вот, расскажите, каким образом "видно" по��ложенные доказательства? Допустим, мы обсуждаем кражу Главного Секрета. Есть жёсткий диск, изъятый из компьютера подозреваемого.


Кто и каким образом гарантирует, что в процессе передачи диска от следователя к forensic'у следователь не подвоткнёт диск в первый попавшийся компьютер с смещённой датой и не подложит файл "Главный Секрет (2).rar" на рабочий стол профиля?

0
Подобный случай произошел с одним из наших коллег несколько лет назад. Все было точь-в-точь как вы написали. Файл «Главный Секрет.rar» неожиданным образом появился на рабочем столе профиля владельца компьютера. Доказательство того, что файл был подброшен было построено экспертом на анализе временных штампов, хранящихся в метафайлах файловой системы NTFS.
+1

О, а теперь, цитата:
"первый попавшийся компьютер с смещённой датой".


  1. Выставить кривую дату на компьютере.
  2. Подключить диск
  3. Положить файл
  4. Вынуть диск.
0

Стоит ли это понимать как то, что ваши специалисты не смогут доказать подлог в этом случае?

0
Кстати, если автор будет согласен, можно будет попытаться сделать соревнование «определите, что было подкинуто на этот НЖМД» с несколькими уровнями сложности.
0

А расскажите, почему? Я не знаю, пишет ли винда в файловую систему id последнего монтировавшего хоста, но если нет — то как обнаружить подлог?


Ещё интереснее, если монтируют из линуксов.

0
В NTFS есть набор характерных признаков, позволяющих определить факт «подкидывания» данных с компьютера (с Windows), на котором системное время установлено «задним числом». Есть еще ряд косвенных признаков (например, можно показать, что следов работы с искомым файлом нет или что файл записывали как на внешний накопитель).

А если кто-то пишет данные с помощью ntfs-3g, то, извините, каждый созданный файл будет иметь весьма кричащий «флаг» «я был записан не с помощью ntfs.sys».
+1

Ок, с линуском понятно. А вот как винда на уровне файловой системы может определить, что ей время назад отмотали?


  1. Выставить время вручную, на T -1ч от времени изъятия PC.
  2. Загрузить систему с подключенным диском.
  3. Записать файл.
  4. Выключить PC.

Мне это реально интересно.

0
Могу ошибаться, но проблема может быть в журнале FS.
То есть, последние записи будут с временными метками T, а следующая за ними транзакция будет с временной меткой T-1.
0

А журнал сохраняется после flush'а? Он же перезаписывается.

0
Опять же, какова глубина журнала? Возможно, операции записи одного нового файла не хватит, чтобы перезаписать предыдущие операции.

В смысле журнала, идеальное решение — откатываем время на T-1, включаем машину и выполняем целый час (до времени T) разные операции на файловой системе. Но тут появляется другой риск — что, если эти операции будут нетипичными, тогда можно будет доказать, что они выполнялись на другой машине.
0
можно показать, что следов работы с искомым файлом нет
Да уж, как будто это снимает все обвинения, если эксперт скажет, что «Главный секрет.rar» обвиняемый не открывал программами WinRAR или Microsoft Word, а только скопировал и хранил на рабочем столе с неизвестной целью (и неизвестно куда ещё мог скопировать).
или что файл записывали как на внешний накопитель
Можно ли отличить подброс от сценария, когда сам пользователь вставил флешку и скопировал с неё «Главный секрет.rar» себе на рабочий стол (если не считать временных меток NTFS, которые в данной ветке обсуждаем отдельно)?
0
Еще есть процедура изъятия вещественных доказательств, которые упаковываются и подписываются понятыми и специалистом который принимал участие в изъятии. Эксперт при производстве компьютерной экспертизы производит детальную фотосъемку в том числе упаковки объекта и отражает ее целостность в заключении эксперта. Также в случае не возможность изъять носитель информации снимается побитовая копия и ее контрольная сумма которая отражается в протоколе и эксперт при производстве экспертизы верифицирует значение контрольной суммы.
0

А каким образом считается контрольная сумма для данных на жёстком диске при невозможности его изъять из устройства? live cd? Каким образом понятые могут понять, что была посчитана контрольная сумма диска? Каким образом обеспечивается отсутствие модификации данных во время подсчёта контрольной суммы?

0
Носитель информации демонтируется, подключается через аппаратный блокиратор записи, снимается с помощью программного обеспечения образ жесткого диска считается алгоритм (например MD5) после окончания создания образа производится еще раз верификация все процедуры производятся в присутствии понятых, с записями в протокол.
0

Каким образом демонтируется носитель, для которого не допускается демонтаж? Распаянная SSD на мамку и т.д.?

0
Live CD сейчас используются очень редко по причине отсутствия CD/DVD-приводов в исследуемых устройствах. Обычно, используется загрузочная флешка. Контрольную сумму можно посчитать, например, использовав соответствующую команду Linux. Криминалистические утилиты, как правило, делают это автоматически при клонировании накопителя.
Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.
0
Коллега, поправлю Вас, все процессуальные действия описаны в УПК. Специалист может привлекаться как со стороны правоохранительных органов, так и просто с улицы (естественно в том и ином случае имеющий специальные познания). А понятые могут и не иметь знаний в интересующей нас области.
0
> А понятые могут и не иметь знаний в интересующей нас области.

Это сейчас так принято считать. А вот в статье 60 УПК написано, что понятой удостоверяет, в том числе, содержание следственного действия. Таким образом, понятой должен понимать, что делает специалист (иначе содержание следственного действия ему, понятому, не понятно).
+1

А можно поподробнее про "предварительное тестирование"? Вот я понятой. Смотрю на флешку. Как я знаю, что там считается только контрольная сумма, а не подкладывается ГлавныйСекрет(2).rar во все файловые системы ещё на этапе initrd самой флешки?

0
Автор публикации не разделяет умышленную модификацию данных и случайную (или неосторожную) модификацию данных. «Предварительное тестирование» (в правильной терминологии – валидацию) программные и аппаратные средства проходят лишь в контексте случайной (или неосторожной) модификации данных. Строго говоря, УПК никаких требований к программным или аппаратным средствам не предъявляет и валидация, тем более в NIST, не имеет юридического значения (был законопроект по обязательной валидации средств судебной экспертизы, но это все еще законопроект, который не могут принять уже годы, впрочем, механизм валидации в законопроекте – это весьма сомнительная с точки зрения эффективности вещь).

Вот я понятой. Смотрю на флешку. Как я знаю, что там считается только контрольная сумма, а не подкладывается ГлавныйСекрет(2).rar во все файловые системы ещё на этапе initrd самой флешки?


Никак. Защита от умышленного «подкидывания» данных только юридическая – специалист не должен быть заинтересован в исходе дела (в противном случае он подлежит отводу); существует уголовная ответственность за фальсификацию доказательств; специалист несет уголовную ответственность за дачу заведомо ложных показаний; лицо, у которого производится обыск, вправе наблюдать за процессом обыска и за действиями специалиста.

Понятой, если ему это принципиально, может настоять на включении в протокол подробных сведений о том, как копировались данные и (или) как считался от них хеш, а также описания «вилки достоверности» (специалист произвел именно те действия, которые наблюдал понятой, если введенные специалистом команды запускали исполняемые файлы, которые делали именно то, что должны были делать, каких-либо фоновых процессов, затрагивающих искомые данные, не было и т. п.). У понятого, во всяком случае, есть право делать замечания к протоколу, которое не может быть ограничено.

В принципе, если действия с данными производились только из определенного live-дистрибутива, то его носитель можно приобщить к протоколу обыска (например, чтобы подтвердить неизменность программы sha256sum), но на практике такого я не видел. Это, конечно, не исключает тему «закладок» в BIOS/UEFI (которые каким-то образом исказили данные) или тему подмены корневой ФС live-дистрибутива, но все-таки у всего, даже у сомнений, должен быть (и есть) разумный предел.
0
Браво. Приятно читать человека, имеющего представление о юридической стороне вопроса.

Защита от умышленного «подкидывания» данных только юридическая – специалист не должен быть заинтересован в исходе дела...; существует уголовная ответственность за фальсификацию доказательств; специалист несет уголовную ответственность за дачу заведомо ложных показаний

Хочу в этом ключе напомнить про т.н. «дело пьяного мальчика». Где экспертиза была признана недостоверной, но эксперту, к сожалению, смогли натянуть только халатность, а не подлог.
0
может подлог был до эксперта, курьер ему уже принёс другую кровь с алкоголем(свою), а тот и выложил результат.
0
Еще есть процедура изъятия вещественных доказательств, которые упаковываются и подписываются понятыми и специалистом который принимал участие в изъятии. Эксперт при производстве компьютерной экспертизы производит детальную фотосъемку

Вы бы хоть УПК для начала прочитали, что ли. И методические инструкции МВД.
0
Вы про это?
УПК РФ Статья 164.1
Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий
(введена Федеральным законом от 27.12.2018 N 533-ФЗ)

1. При производстве по уголовным делам, указанным в части четвертой.1 статьи 164 настоящего Кодекса, изъятие электронных носителей информации не допускается, за исключением случаев, когда:
1) вынесено постановление о назначении судебной экспертизы в отношении электронных носителей информации;
2) изъятие электронных носителей информации производится на основании судебного решения;
3) на электронных носителях информации содержится информация, полномочиями на хранение и использование которой владелец электронного носителя информации не обладает, либо которая может быть использована для совершения новых преступлений, либо копирование которой, по заявлению специалиста, может повлечь за собой ее утрату или изменение.
2. Электронные носители информации изымаются в ходе производства следственных действий с участием специалиста. По ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в следственном действии, в присутствии понятых с изымаемых электронных носителей информации осуществляется копирование информации. Копирование информации осуществляется на другие электронные носители информации, предоставленные законным владельцем изымаемых электронных носителей информации или обладателем содержащейся на них информации. Копирование информации не осуществляется при наличии обстоятельств, указанных в пункте 3 части первой настоящей статьи. Электронные носители информации, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации. Об осуществлении копирования информации и о передаче электронных носителей информации, содержащих скопированную информацию, законному владельцу изымаемых электронных носителей информации и��и обладателю содержащейся на них информации в протоколе следственного действия делается запись.
3. Следователь в ходе производства следственного действия вправе осуществить копирование информации, содержащейся на электронном носителе информации. В протоколе следственного действия должны быть указаны технические средства, примененные при осуществлении копирования информации, порядок их применения, электронные носители информации, к которым эти средства были применены, и полученные результаты. К протоколу прилагаются электронные носители информации, содержащие информацию, скопированную с других электронных носителей информации в ходе производства следственного действия.
0
Я рекомендую Вам для начала прочитать УПК, а также порядок упаковки вещественных доказательств.
0
Я второй раз рекомендую вас самому последовать вашему совету -статья УПК выше, там нет ни слова про «упаковку». В процессуалке вообще нет понятия «упаковка», там есть понятие «изъятие».
зы. вы всегда там лихо комментируете темы, в которых не разбираетесь?
0
Уточните, пожалуйста, что вы имели ввиду?
Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.
0
Да, я имел ввиду прочитать данные. Про вводные: допустим, серия Note на ОС от 6.0 и выше.
+2
Интересно было бы почитать статью, в которой рассказывалось бы о таких же средствах в других странах. Или о защите современных телефонов от подобных средств.
0
Вы не поверите! В других странах точно те же средства! (я про телефоны, за компьютеры не знаю) Ну разве что только российского производства поменьше, а так Cellebrite и XRY на первых местах.
0
Прочитал я это и вот какая аналогия пришла мне на ум: лет 20 назад на рынок стали выходить программы восстановления ошибочно удаленных файлов, всякие GetDataBack и любой пионер, освоивший такую программу, гордо именовал себя «специалистом по восстановлению данных», при этом, зачастую, не представляя, как на логическом уровне организовано хранение информации на HDD.
Теперь наблюдаем похожее на рынке т.н. «киберкриминалистики». По сути, статья — реклама дорогих «игрушек» для восстановления данных с разных типов носителей, к которым для солидности добавлено слово «киберкриминалистика» хотя на самом деле к криминалистике это не имеет отношения. Нет разницы, чем я «достал» удаленный файл: форенсисом, PC3000 или AnyRecovery. Криминалистика начинается со слов: «УПК», «ЗоОРД», «приказ (инструкция) МВД РФ», с процедур изъятия вещдоков, протоколов и понятых, продолжается методиками экспертиз и заканчивается написанием экспертного заключения. А всё, что вы тут написали — это рекламная вода в духе «я знаю у-шу, тхэквандо, каратэ, айкидо и ещё много других страшных слов!»
-1
Экспертная деятельность в России регламентируется федеральным законом «О государственной судебно-экспертной деятельности в Российской Федерации», часть положений которого распространяется на негосударственных экспертов.
0
Судя по резонансности скандалов, запароленный пин кодом больше 6 символов айфон все еще никому не доступен для взлома? Недавно перекрыли аппаратную уязвимость, которая позволяла его подбирать.
0
Это какие-то старые скандалы. Они были обусловлены не невозможностью взлома подобных устройств в принципе, а в цене, которую компании просили за эту услугу.
В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.
0
А вот такой вопрос. Есть методы надежного удаления данных. Они основаны на многократной перезаписи свободного пространства после удаления файлов. Позволяют ли современные средства восстанавливать такие перезаписанные данные? Раньше слышал только, что какие-то очень недоступные простым людям программы могут по следам намагниченности это делать. Но что-то плохо мне в это верилось.
А еще как быть с использованием виртуальных операционок? Установил человек виртуалку. Все делает там. Потом взял и удалил. Мало того, что сама виртуалка уже полноценно защищена паролем и прочими делами внутри, так она и внешне удалена и неизвестно какие кластеры там успели чем-то перезаписаться. Не восстановить же, по идее.
Криминалом не занимаюсь, но иногда посещают параноидальные мысли насчет сохранения персональной информации. В наше время крадут все, что ни попадя, к сожалению((( А без использования цифровой техники уже никуда.
ЗЫ: Я стал использовать внешние сервисы для кратковременного хранения личных данных. Например, пароли к сайтам. Но я их сам шифрую своим шифром, потом записываю результат в письмо и посылаю сам себе в ящик. Полученное письмо кладу в папку, которая открывается опять под дополнительным паролем. То есть, несколько ступеней защиты: шифр пароля, пароль от ящика, пароль от папки. Когда необходимость в пароле от сайта от��адает, просто удаляю письмо и все. Думаю, от хакеров защита от чтения персональных данных на носителе вполне достаточная. За исключением возможного трояна, который может считать вводимые пароли. Но это уже другая история.
0
Раньше слышал только, что какие-то очень недоступные простым людям программы могут по следам намагниченности это делать

Программы это делать не могут. Есть методики, но они ненадежны и требуют оборудования класса «туннельный микроскоп». К данной статье это уже не относится.
-1
По-моему, самым интересным в подобной статье могло бы стать подробное описание того, что конкретно надо делать, чтобы все эти замечательные программные и аппаратные средства оказались абсолютно бесполезными, будучи примененными против моего смартфона.

Наверняка ведь есть какие-то тулзы, начиная с штатного андроидного шифрования, которые сделаны специально для того, чтобы подобный шпионский софт не позволял извлечь из телефона информацию в обход желания его владельца.
0
начиная с штатного андроидного шифрования, которые сделаны специально для того, чтобы подобный шпионский софт не позволял извлечь из телефона информацию

Чужой шпионский софт
0

Может кому пригодится.по старой работе несколько раз восстанавливал отформатированные hdd и удаленные файлы с ssd на макбуках.бесплатных альтернатив не нашел.они максимум- восстанавливали файлы общей кучей. Купил ease us data recovery for mac. В триальном режиме дает возможность увидеть все файлы с сохранением пути к папкам.ну и нужно учитывать, что с ssd удавалось все вернуть при условии запрета перезагрузки и гибернации. Стоило ssd после удаления файлов из корзины отключится-программа уже не помогала.но один раз в таком варианте она здорово выручила. Обычные же hdd восстанавливались без проблем

Only those users with full accounts are able to leave comments., please.