Важной составляющей компьютерной или, иначе, цифровой криминалистики является экспертиза мобильных устройств, под которыми обычно подразумевают сотовые телефоны и другие цифровые устройства, имеющие внутреннюю память и обладающие возможностями коммуникации. Экспертиза мобильных устройств проводится с целью получения хранящихся в них цифровых доказательств. К ним могут относиться: контакты из телефонной книги; данные о встречах из календаря; текстовые и мультимедийные сообщения; входящие, исходящие и пропущенные звонки; фотографии; аудио- и видеозаписи; электронные документы; информация о местоположении и многие другие сведения, способные оказаться решающими в расследовании инцидентов различной степени тяжести.

Настоящий материал открывает цикл посвященных экспертизе мобильных устройств статей, в которых будут рассмотрены инструменты проведения экспертиз, вопросы обеспечения сохранности, извлечения и анализа данных и др. И первый вопрос, который будет затронут в рамках этого цикла, касается базовых подходов и моделей проведения экспертизы, рекомендуемых Национальным институтом стандартов и технологий США (NIST).

Немного истории
Выделение экспертизы мобильных устройств из компьютерной криминалистики произошло в конце 1990-х – начале 2000-х годов и было связано с увеличением роли мобильных телефонов в совершении и, как следствие, расследовании преступлений. С ростом доступности и распространенности мобильных телефонов, с усовершенствованием их функционала и количества поддерживаемых платформ, усиливалась потребность в развитии методов проведения экспертизы в целом и извлечения данных с мобильных устройств в частности.
Реальность такова, что на текущий момент у сотрудников правоохранительных органов или служб безопасности организации гораздо больше шансов столкнуться с подозреваемым, в распоряжении которого находится мобильное устройство, нежели полноценный компьютер. Этим фактом и было обусловлено стремительное увеличение спроса на экспертизу мобильных устройств в последнее десятилетие.

На заре становления методов и техник выполнения экспертизы мобильных устройств, специалисты использовали те же подходы, что и в первых опытах проведения компьютерных расследований. Анализ содержимого телефона осуществлялся напрямую через экран, а важные сведения фотографировались. Со временем появились коммерческие инструменты, позволявшие восстанавливать память мобильных устройств с минимальными потерями, а затем проводить их изучение и анализ.

В последние годы техники извлечения данных с мобильных устройств претерпели значительные изменения и сделали возможным восстановление даже удаленной с телефона информации.

Специализации и обязанности
Согласно NIST независимо от характера происшествия в расследовании обычно задействуется стандартный набор специализаций для решения своих специфических задач. Чаще всего эти специализации смешивают в соответствии с методами работы организации и численностью персонала, и тогда один сотрудник решает несколько взаимосвязанных задач. Тем не менее разграничение различных специализаций является удобным способом определения связанных с ними функциональных обязанностей, а также дает гарантии максимально полного охвата необходимых для расследования следственных мероприятий.

Специалисты оперативного реагирования первыми появляются на месте происшествия, осуществляют первоначальную оценку и определяют уровень реагирования на инцидент. В их обязанности входит обеспечение защиты места происшествия, вызов необходимой поддержки и помощь в сборе доказательств.

Следователи планируют и управляют сохранением, извлечением, экспертизой, анализом и отчетностью цифровых доказательств. Руководитель группы отвечает за то, что все мероприятия на месте происшествия осуществляется в правильном порядке и в нужное время, также в его обязанности может входить выявление доказательств, подготовка судебного отчета и доведение ключевых выводов до высшего руководства.

Технические специалисты работают под руководством старшего следователя. Они несут ответственность за выявление и сбор доказательств, а также документирование места происшествия и должны обладать достаточным опытом работы с различными типами цифровых устройств. Это специально обученный персонал, использующий цифровое оборудование для извлечения информации из памяти мобильных устройств. Обычно в ходе расследования задействуется несколько технических специалистов, поскольку возникает потребность в принципиально отличающихся навыках и знаниях.

Специалисты, обеспечивающие хранение доказательств, отвечают за сохранность собранных на всех этапах цифровых улик. Они принимают данные, обнаруженные техническими специалистами, обеспечивают их должное описание и осуществляют их безопасное хранение в одном месте.
Эксперты-криминалисты воспроизводят цифровые данные, полученные или восстановленные из изъятого оборудования. Эти специалисты делают информацию доступной для анализа, они также могут извлекать труднодоступные данные с использованием сложного специализированного оборудования и совершать другие действия, недоступные для технических специалистов. При проведении расследований желательно избегать совмещения обязанностей экспертов-криминалистов и следователей.

Аналитики-криминалисты оценивают результаты работы экспертов-криминалистов с точки зрения их значимости и доказательной силы в отношении расследуемого инцидента.

Принципы доказательности
При проведении любого расследования крайне важны базовые принципы работы с цифровыми доказательствами. Цифровые данные, особенно те, что хранятся в сотовых телефонах, по природе своей очень уязвимы, в любой момент они могут быть повреждены или даже утеряны. Цифровые доказательства характеризуются двумя аспектами: физическими компонентами, периферийными и медиаустройствами, которые могут содержать данные, и собственно самими данными, извлеченными из этих источников. Каждый из них имеет свою специфику контроля и хранения. Ассоциация офицеров полиции Великобритании (ACPO) предлагает четыре базовых принципа работы с цифровыми доказательствами:
• следователи не должны совершать никаких действий, способных повлечь изменение данных на цифровых устройствах или носителях, которые могут впоследствии использоваться в суде;
• лица, допущенные к исходным данным, должны быть компетентны и способны объяснить и обосновать все свои действия;
• контрольная запись или другой тип регистрации совершаемых процедур, пригодный для повторения результата независимой третьей стороной, должен быть произведен, сохранен и строго документирован с указанием каждого осуществленного действия;
• лицо, ответственное за расследование, несет ответственность за обеспечение всех вышеупомянутых действий, а также за соблюдение их соответствия действующему законодательству.

Сходный набор принципов предлагается в Стандартах обмена цифровыми доказательствами (Proposed Standards for the Exchange of Digital Evidence), предложенных Рабочей группой по цифровым доказательствам (Scientific Working Group on Digital Evidence) Международной организации по цифровым доказательствам (International Organization on Digital Evidence):
• любые предпринимаемые после сбора доказательств действия, не должны их изменять;
• к оригинальным цифровым доказательствам могут быть допущены только компетентные эксперты;
• все действия, связанные с конфискацией, получением доступа, хранением или передачей цифровых доказательств, должны быть строго документированы и доступны для изучения;
• специалист несет полную ответственность за все действия в отношении цифровых доказательств, пока они находятся в его ведении;
• любая организация, отвечающая за конфискацию, получение доступа, хранение или передачу цифровых доказательств, несет ответственность за соблюдение этих принципов.

Приведенные выше принципы имеют своей целью обеспечить целостность и идентифицируемость цифровых доказательств на протяжении всего их жизненного цикла. Правильное обращение с доказательствами крайне важно, если их планируется использовать в ходе судебного разбирательства. Степень подготовки и знаний, необходимых специалисту для осуществления расследования, во многом зависит от типа доказательств, которые требуется получить. Например, для использования специализированного программного обеспечения требуется куда более низкий уровень квалификации, чем для извлечения и восстановления содержимого карты памяти, включая существующие и удаленные данные.

В судебной практике США используется метод Дауберта (Daubert), базирующийся на решении Верховного суда США в отношении дела Daubert против Merrell Dow Pharmaceuticals и представляющий собой набор руководящих принципов по работе с доказательствами в суде. Этот метод предлагает несколько критериев надежности, которые следует учитывать при использовании и подготовке отчета о научной методике, используемой в судебной экспертизе:
• Проверяемость, а именно: была ли научная теория или методика проверена опытным путем? Согласно сформулированному австрийским и британским философом и социологом Карлом Поппером (Karl Popper) в 1935 г. критерию научности эмпирической теории теория является научной, если удовлетворяет условиям фальсифицируемости, опровергаемости и проверяемости.
• Признание, а именно: была ли научная теория или методика опубликована и подвергнута экспертной оценке? Это гарантирует выявление недостатков методологии и возможности открытого доступа к материалам широкой общественности.
• Коэффициент ошибок, а именно: какова действительная или потенциальная частота ошибок? Научные методики обычно имеют определенный коэффициент ошибок, который может быть вычислен с достаточной степенью точности. Известная доля риска в отношении достоверности и надежности теории существует всегда.
• Убедительность, а именно: какова квалификация и вес эксперта в научном сообществе? Может ли методика быть повторена другими специалистами или она базируется на особых навыках и оборудовании конкретного эксперта?
• Прозрачность, а именно: имеет ли использованная методика и полученные при помощи нее результаты простое ясное объяснение, понятное и доступное судьям и присяжным?

Процедуры, используемые для сбора доказательств, влияют на их допустимость. Это относится и к доказательствам, полученным из мобильных устройств с помощью специальных программных средств. Даже если проводимое расследование не является официальным разбирательством правоохранительных органов, все доказательства должны быть правильно собраны и сохранены, чтобы быть пригодными для использования в суде. Ведь в самом начале расследования может быть неочевидно последует ли за ним судебный иск. И важные доказательства могут быть пропущены, неправильно обработаны или даже случайно уничтожены, еще до того как станет ясна степень серьезности происшествия.

Методические модели
При проведении цифровых расследований существует множество параллелей с обычными расследованиями происшествий, осуществляемыми правоохранительными органами. Поэтому используемые ими методы хорошо подходят в качестве основы для создания процедур работы с цифровыми доказательствами.

Министерство юстиции США предлагает следующий алгоритм действий для специалистов оперативного реагирования, прибывающих первыми на место происшествия и начинающих цифровое расследование:
• обеспечение безопасности и оценка места происшествия – осуществление всех необходимых мероприятий по защите людей и целостности потенциальных доказательств;
• документирование места происшествия – описание места происшествия, выявление цифровых и вещественных доказательств;
• сбор доказательств – сбор вещественных и цифровых доказательств с обеспечением сохранности их доказательной силы;
• упаковка, транспортировка и хранение – обеспечение надлежащих мер сохранности доказательств при их упаковке, транспортировке и хранении.

Предложенная Кевином Мандиа (Kevin Mandia) и Крисом Просисом (Chris Prosise) методика реагирования на инциденты включает следующие этапы обнаружения факта происшествия и проведения цифрового расследования:
• предварительная подготовка – тренировки и обучение, имеющие целью подготовить специалиста к правильному реагированию на происшествие;
• обнаружение инцидента – разработка методики выявления подозрительных действий;
• начальное реагирование – подтверждение факта происшествия и получение предварительных доказательств;
• определение стратегии реагирования – реакция на инцидент, основанная на всех известных фактах, собранных на этапе начального реагирования;
• копирование (создание юридически значимых резервных копий) – создание физического образа данных с места происшествия либо сбор доказательств в режиме реального времени;
• расследование – определение того, что произошло, кто это совершил и как избежать повторения инцидента в будущем;
• реализация мер безопасности – обеспечение изоляции зараженных систем;
• сетевой мониторинг – наблюдение за трафиком сети с целью выявления атак;
• восстановление – приведение пострадавших систем в рабочее состояние;
• отчетность – документирование всех деталей и шагов, осуществленных в ходе расследования инцидента;
• завершение – формулирование выводов о причинах и путях реализации возникшего инцидента, внесение в систему необходимых корректировок.
У ВВС США существует свой алгоритм проведения цифровых расследований, который включает следующие этапы:
• идентификация – выявление и определение типа инцидента;
• подготовка – подготовка и утверждение у руководства методик, инструментов, ордеров на обыск, получение права доступа;
• стратегия расследования – сбор безупречных с юридической стороны доказательств и сведение к минимуму влияния на жертву инцидента;
• сохранность – обеспечение защиты и изолированности вещественных и цифровых доказательств;
• сбор данных – описание места происшествия и копирование цифровых доказательств;
• экспертиза – поиск доказательств, относящихся к правонарушению;
• анализ – определение значимости доказательств, реконструкция фрагментов данных и представление основанных на них выводов. Фаза анализа может многократно повторяться до подтверждения исходного предположения;
• представление результатов – подведение итогов и изложение выводов расследования;
• возврат доказательств – обеспечение возврата цифровых и вещественных доказательств их законному владельцу.

Несмотря на то что изначально вышеупомянутые модели ориентированы на работу с компьютерными системами, они содержат ключевые моменты, которые следует учитывать и при работе с цифровыми доказательствами с мобильных устройств.

Проведение цифровых расследований инцидентов осуществляется по-разному в зависимости от обстоятельств и серьезности дела, места преступления, а также опыта и подготовки следственной группы. Единый методический подход очень сложно определить ввиду уникального набора фактов и условий, сопутствующих каждому новому расследованию. Тем не менее большинство моделей затрагивают одни и те же ключевые вопросы, хотя и делают акцент на различных аспектах. Поэтому их следует воспринимать как базовое руководство к действию, которое может трансформироваться в соответствии с потребностями, методиками и обстановкой при приведении цифровых расследований в конкретных организациях.