В настоящем материале будут рассмотрены некоторые инструментальные средства проведения судебно-технической экспертизы мобильных устройств, рекомендуемые Национальным институтом стандартов и технологий США (NIST).

Ситуация на рынке программных средств анализа содержимого мобильных устройств в корне отличается от ситуации с ПК, поскольку большинство производителей сотовых телефонов предпочитают использовать собственные операционные системы. По этой причине велик и выбор инструментальных средств работы с мобильными устройствами.

Несмотря на многообразие продуктов, все они получают данные из устройства посредством физического или логического клонирования. Физическое клонирование подразумевает побитовое копирование всей физической памяти, в то время как логическое – работает только с виртуальной памятью. Физическое клонирование позволяет восстанавливать удаленные файлы, но логическое проще для понимания и использования. Поэтому предпочтительно по возможности использовать оба вида клонирования данных.

Различают программные средства судебно-технической экспертизы, которые сохраняют целостность оригинального источника данных и полученной из него информации, и несудебные решения, не гарантирующие отсутствия обратного потока информации. Сохранение целостности не только подкрепляет доверие со стороны юристов, но и позволяет использовать этот же источник для повторного анализа.

Также все инструментальные средства делят на решения для анализа сим-карт, непосредственно содержимого мобильных устройств и интегральные продукты, обеспечивающие извлечение данных из обоих источников.

Обычно, чтобы охватить широкий ряд мобильных устройств и сим-карт, эксперту требуется набор из нескольких решений.

.XRY
Разработчик: Micro Systemation.
Поддерживаемые устройства: 6600 различных мобильных устройств, среди которых смартфоны, GPS-навигаторы, 3G-модемы, mp3-плееры, планшеты (например, iPad).
Поддерживаемые платформы: Android, iPhone, Windows и Blackberry.
Клиенты: компания выполняет 98% заказов по взлому мобильных телефонов, поступающих от полиции Великобритании. Услугами компании также пользуются полицейские отделения и ФБР США. Среди клиентов компании правительственные организации, военные, правоохранительные органы и частные компании, специализирующиеся на цифровых расследованиях.
Особенности: возможность поддерживать извлечение данных сразу с нескольких устройств; вскрытие защищенных паролем устройств; для работы с системой необходим электронный ключ; патентованный формат сохранения полученных с устройств данных.
Стоимость: продукт свободно не распространяется, чтобы узнать его стоимость требуется связаться непосредственно с производителем.

Cellebrite UFED
Разработчик: Cellebrite Mobile Synchronization.
Поддерживаемые устройства: 95% всех сотовых телефонов, имеющихся на современном рынке.
Поддерживаемые платформы: iPhone, Android, BlackBerry, Symbian, Windows Mobile и Palm.
Клиенты: более 150 операторов мобильной связи, полиция, силы специального назначения, органы по борьбе с уклонением от уплаты налогов, таможенные службы, службы пограничного контроля и органы по борьбе с терроризмом более чем в 60 странах мира.
Особенности: просмотр истории паролей и использованных ранее сим-карт; считывание логов с GPS-навигаторов; в новой версии планируется возможность преодолевать пароль на iPhone и смартфонах с ОС Android.
Стоимость: продукт не доступен для свободной продажи, поскольку предназначен для правоохранительных органов.

Мобильный криминалист 2012, известный за рубежом как Oxygen Forensic Suite 2012
Разработчик: Oxygen Software.
Поддерживаемые устройства: более 3500 устройств.
Поддерживаемые платформы: Symbian, Windows Mobile, Android, Blackberry, iPhone, особенные устройства (Vertu, Mobiado и т.д.).
Клиенты: правительственные учреждения, полиция, армия, таможенные и налоговые службы и другие государственные органы. С 2002 г. программа успешно используется в более 50 стран мира, в том числе в Великобритании, США, Германии, Нидерландах, Австралии, Швеции, Дании, Норвегии, Финляндии и других. В Российской Федерации решение используют подразделения ФСКН, MВД, Минюста, Отдела «K» и др.
Особенности: защита целостности данных алгоритмами MD5, SHA-1, SHA-2, CRC, HAVAL, ГОСТ Р34.11-94; возможность извлечения данных с телефона и сим-карты; доступ к данным журнала «Lifeblog», содержащего список действий с телефоном с географическими координатами; продукт не вскрывает пароли, защиту и PIN-коды.
Стоимость: 399–1499 евро в зависимости от версии.

Paraben Device Seizure
Разработчик: Paraben Corporation.
Поддерживаемые устройства: 4000 устройств, включая сотовые телефоны, КПК и GPS-навигаторы.
Поддерживаемые платформы: iPhone, Android, BlackBerry, Symbian, Windows Mobile, Palm.
Клиенты: государственные и коммерческие структуры.
Особенности: проверка целостности файлов с использованием алгоритмов MD5 и SHA-1; восстановление удаленных данных; возможность извлечения данных с телефона и сим-карты; шифрование получаемых образов памяти исследуемых устройств.
Стоимость: от 1795 долл.

BitPIM
Разработчик: Роджер Биннс (Roger Binns).
Поддерживаемые устройства: сотовые телефоны стандарта CDMA различных производителей.
Особенности: открытое программное средство; имеется возможность предотвращения записи на телефон во время клонирования данных (только для чтения); не позволяет экспортировать и сохранять полученные данные в архиве; не защищает полученные данные с помощью хэш-функций.
Стоимость: распространяется бесплатно в соответствии с Открытым лицензионным соглашением (GNU).

MOBILedit! Forensic
Разработчик: COMPELSON Labs.
Поддерживаемые устройства: более 2000 устройств.
Поддерживаемые платформы: Windows Mobile, Android, Blackberry, iPhone.
Клиенты: ФБР, ЦРУ, военные США.
Особенности: возможность анализа данных с мобильного устройства и с сим-карты; восстанавление удаленных с сим-карты данных; использование алгоритма MD5 для защиты целостности данных.
Стоимость: лицензионные ключи от 810 руб. в зависимости от версии; комплексное решение, включающее программное и аппаратное обеспечение 34 500 руб.

CellXtract
Разработчик: Logicube.
Поддерживаемые устройства: более 2200 устройств, включая GPS-навигаторы.
Поддерживаемые платформы: iPhone, Android, Blackberry, Palm, SmartPhones, Symbian, Windows Mobile.
Клиенты: правоохранительные органы, военные, государственные структуры, департаменты корпоративной безопасности крупных компаний.
Особенности: эксплуатация в тяжелых полевых условиях, включая боевые действия; не требует компьютера для подключения; использование алгоритма MD5 для защиты целостности данных; восстановление удаленных с сим-карты данных; не работает с заблокированными устройствами.
Стоимость: по запросу; в России официальным дилером является компания «МС Системы Электроникс».