«Форум пользователей Cellebrite 2017» собрал специалистов в области компьютерной криминалистики, которые знакомились с новыми решениями Cellebrite и делились собственным опытом.
Нынешний форум был организован компанией Cellebrite, продукты которой активно используют в повседневной работе правоохранительные органы Европы и США, авторизованным партнером Cellebrite — компанией ЕПОС и официальным дистрибьютором решений Cellebrite в Украине, Молдове, странах Кавказа и Средней Азии — международной группой компаний БАКОТЕК. В центре внимания его участников были методы получения данных не только с различных устройств, начиная со смартфонов и заканчивая ноутбукам и десктопами, но и из облачных сервисов. А последние становятся все более важным источником информации, необходимой при расследованиях преступлений.
Компания Cellebrite специализируется в области извлечения данных из электронных устройств. А на передовицы мировой прессы она попала в связи с нашумевшим около года назад инцидентом, когда ФБР пыталась получить у Apple инструменты для взлома iPhone 6, принадлежащего подозреваемому в терроризме. Apple принципиально отказалась сотрудничать с правоохранителями. И им не оставалось ничего иного, как найти экспертов для проникновения в обход защиты iPhone 6. Официального подтверждения того, каким же образом это было реализовано, нет, но судя по тому, что в активе Cellebrite имеется сервис для разблокировки смартфонов линейки iPhone, именно на счету этой компании получение улик в упомянутом деле.
С линейкой продуктов Cellebrite познакомил участников форума технический директор Cellebrite на территории Европы — Алекс Типограф. Рассказывая о тенденциях рынка решений для криминалистических исследований цифровых устройств, он сообщил, что на современном этапе на глобальном уровне на долю платформы Android приходится 87,8%, тогда как iOS занимает 11,5%. Но это соотношение значительно меняется в различных регионах. Так, в США iPhone принадлежит доля 42,7%, а в Китае — только 8,2%, тогда как Android здесь охватывает 78,87%. Такое большое внимание уделяется смартфонам, потому что они постоянно сопровождают своих владельцев, сохраняя огромные объемы данных о его местонахождении, переписке, фотографиях и т.д. В то же время увеличивается разнообразие окружающих нас умных устройств, включая часы, автомобили, маршрутизаторы. Соответственно увеличивается разнообразие форматов хранящейся на них информации. Все это заставляет специалистов Cellebrite постоянно расширять функциональность своих решений.
Алекс Типограф: «В арсенале Cellebrite появилось решение UFED Chinex специально для анализа китайских телефонов, где непредсказуемо реализована схемотехника порта microUSB»
Линейка производителя включает платформы для извлечения данных в лабораторных условиях, а также оптимизированные для оперативной работы. Он предлагает инструменты криминалистики и пакет аналитики, предназначенный для следователей и аналитиков. Так, планшет UFED Touch2 и ПО UFED 4PC рекомендуются для стационарных лабораторий. Интересно, что планшет UFED Touch2 с предустановленным программным обеспечением выпускается самостоятельно Cellebrite. Причем аппарат доступен как в стандартном, так и в защищенном исполнении. А UFED для извлечения данных в отделении полиции и в условиях оперативной работы предлагаются в вариантах моноблока UFED INFIELD, который можно применять в помещении, и комплекта UFED TK, включающего защищенный ноутбук семейства Panasonic Toughbook и прочный чемоданчик.
Компания также предоставляет сервис CAIS по извлечению информации из заблокированных Apple iPhone. Для того, чтобы воспользоваться им, изучаемый смартфон необходимо передавать в сертифицированный сервисный центр Cellebrite.
И коль речь зашла про Apple iPhone, стоит остановиться на выступлении Сергея Чеховского, директора компании ЕПОС, в котором он поделился опытом извлечения информации из современных смартфонов. Он сообщил, что ЕПОС стала первой коммерческой организацией в Украине, в которой была организована лаборатория кибер-расследований. В 2007 году она взяла на вооружение анализатор Cellebrite UME Pro. А в рамках одного из недавно выполненных заказов ее специалисты осуществили изъятие данных из iPhone 7 с помощью UFED. Он обратил внимание на то, что это решение позволяет восстанавливать даже удаленную пользователем информацию. В результате, удалось получить около 6,3 тыс. контактов, журнал вызовов содержал 11 106 звонков, а число SMS составило 967. Количество учетных данных пользователя в различных службах, включающих логин и пароль, равно 26. Прочитано 335 сообщений в чатах в Viber, WhatsApp и других аналогичных. Пожалуй, более всего удивило количество восстановленных местоположений — 5588. Медиа-коллекция включила 27175 изображений и 1613 видеозаписей. Восстановлена информация про 91 беспроводную сеть и 10 паролей. Примечательно, что для получения местоположения не обязательно иметь данные GPS, это успешно делается как на основе анализа информации о подключении к базовым станциям мобильного провайдера, так и по зонам доступа Wi-Fi, база которых постоянно пополняется.
Сергей Чеховский: «Компания ЕПОС еще в 2007 году взяла на вооружение анализатор Cellebrite UME Pro»
Пример извлечения данных, описанный в Сергея Чеховского, касался не заблокированного смартфона. Однако по результатам опроса специалистов в области компьютерной криминалистики, самой сложной задачей в их работе является вскрытие блокировки. И в том, насколько в ее решении преуспела Cellebrite, сообщил Алекс Типограф. По его словам, на сегодня с помощью решений компании можно обойти защиту 4172 мобильных устройств. В своей деятельности Cellebrite использует постоянно пополняемый склад мобильных телефонов, объем которого достиг 25 тыс. шт. Среди последних достижений — реализация обхода защиты для платформ на базе чипов MediaTek MT6735 и MT6753. Взлом блокировки возможен для 26 популярных моделей Motorola, для Samsung S6, S6 Edge и Note 5, и даже для Google Pixel. При том, что Huawei использует собственные процессоры Hisilicon, в которых встроена достаточно хорошая защита, эксперты Cellebrite смогли найти способ обойти и ее. А для линейки смартфонов LG разработан обход блокировки модели G5. В ближайших планах производителя — вход в умные часы Apple iWatch.
Новая возможность в линейке Cellebrite — извлечение частных данных из облачных сервисов. По мере роста популярности социальных сетей все больше разнообразной информации накапливается в аккаунтах их пользователей. Оказывается, около 88% из них входят в эти сервисы с помощью смартфонов и в среднем тратят на них 1 час 43 мин в день. Поэтому хранящаяся в аккаунтах информация может серьезно помочь в расследованиях. Управляющие социальными сетями компании очень неохотно открывают доступ по запросу правоохранителей, удовлетворяя, в лучшем случае, половину таких заявок, в чем можно убедиться по открытым источникам. Поэтому так важно получение доступа в аккаунт по решению суда в той стране, где проводится расследование. А в случае положительного решения имеется возможность сделать это по ключу, который хранится на мобильном терминале, либо добровольно от самого пользователя. Причем недавно был разработан метод преодоления двухфакторной аутентификации, если она активирована. Обычно время жизни ключа открытой сессии входа в соц. сеть ограничено, например, для Facebook — это три месяца, в течение которых можно войти в аккаунт для создания его снимка. Пакет UFED Cloud Analyzer в своей последней версии поддерживает работу с 26 источниками, включая Gmail и Facebook, и может извлекать 13 ключей из Android и 11 из iOS.
На развернутой мини-выставке можно было познакомиться с возможностями платформы UFED
Опытом эксплуатации UFED поделился представитель Национального антикоррупционного бюро Украины (НАБУ), где используется несколько решений Cellebrite семейства UFED: 4PC, Infield Kiosk 2 и Touch 2. По словам выступающего, наиболее востребованными являются функции извлечения данных на уровнях файловой системы и физическом уровне, так как они предоставляют самую полную для расследований информацию. Среди успешно применяемых функций была отмечена возможность работы с резервной копией iPhone (backup), благодаря чему удается получать данные из соответствующих резервных копий, хранящихся на компьютерах. В одном из расследований удалось обработать множество резервных копий. По признанию эксперта, применяя модуль UFED User Lock Code Recovery Tool при подборе пароля смартфона, необходимо использовать камеру, которая фиксирует успешную попытку ввода. Однако в процессе эксплуатации появились и предложения по доработке, в частности, добавить локализацию на украинском языке, что упростит составление отчетов для передачи в судебные органы.
Альберт Кацир: «Решения Cellebrite широко применяются во всем мире, так в одном только Лондоне в год анализируется около 50 тыс. телефонов с помощью UFED»
А завершила программу мероприятия презентация, посвященная пакету UFED Analytics. Он позволяет в сжатые сроки проводить всесторонний анализ данных, извлеченных в рамках различных дел. При этом в автоматическом режиме анализируется содержание фото и видео по широкому спектру ключевых понятий, включая оружие, наркотики и т.д. А на основании переписки, геолокационных данных и прочих факторов строятся графы взаимных связей фигурантов в нескольких расследованиях. По мнению регионального директора Cellebrite Альберта Кацира, это решение может оказать существенное влияние на скорость и качество работы криминалистов в нашей стране.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365