Android в руках криминалиста

Представим на минуту, что твой смартфон на Android'е попал в лабораторию к криминалисту. Что он будет с ним делать? Что он сумееи о тебе узнать и как защитить свои приватные данные?

Не думаю, что для тебя станет открытием, если я скажу, что смартфон обычного человека хранит слишком много информации о своём обладателе. Начиная от круга общения и заканчивая самыми личными подробностями о его жизни. Обнаружение такого устройства -- настоящий клад для атакующего. Я называю криминалиста "атакующим" по двум причинам. Во-первых, сугубо формально, на языке ИБ он именно что атакует устройство, попавшее к нему на анализ. А во-вторых, помимо честного криминалиста, точно такой же анализ вполне может быть проведён кем угодно, заполучившим твой телефон незаконно.

Всё начинается с фотографирования. Если мы говорим именно о работе криминалиста, то обнаруженный на месте преступления телефон будет вначале сфотографирован. Это делается для неважных для нас нюансов ведения следственных мероприятий, но и помимо бюрократических процедур фотография экрана в будущем может быть очень информативна. Например, если последним в смартфон вводили код для разблокировки, по следам от пальцев можно попробовать сократить число комбинаций для его подбора. Интерес также может представлять информация, находившаяся прямо на экране в момент обнаружения телефона, если он не был заблокирован.

Затем телефон сразу же подключают к зарядке. Заряжают телефон для того чтобы он не выключился -- с живого телефона можно снять гораздо больше ценных данных, чем с отключившегося. Если оборудование позволяет, телефон помещается в изоляционный контейнер, через стенки которого не проходят никакие сигналы. Делается это для того чтобы никто не сумел послать на телефон сигнал самоуничтожения. Если такой сигнал будет получен, телефон попросту удалит все ценные сведения ещё до того, как его привезут в лабораторию на анализ. Делаем вывод и устанавливаем такое приложение себе :о) Например, "Lost Android". Впрочем, имей в виду, что это приложение открывает новый риск: теперь кто-нибудь другой, представившись тобой, сможет получить удалённый доступ к твоему телефону. Поэтому такое приложение безопаснее использовать только временно, когда риск утраты телефона повышен.

По приезду в лабораторию, если телефон ещё жив -- то есть, не отключён и не отформатирован -- из него могут попробовать взять информацию про актуальное состояние: список запущенных приложений, а также что в них происходило. Например, какие сайты были открыты в браузере или с кем именно в данный момент велась переписка. Так делают не всегда, потому что не везде законы позволяют это устроить. Суд может не принять в качестве вещественного доказательства телефон, которым пользовались уже после его изъятия. Во всяком случае, такие ограничения существуют в теории, а на практике есть немало способов полазить в телефоне без нарушения процедуры. Поэтому телефон лучше держать заблокированным и, разумеется, не выдавать код для разблокировки.

После исследования активного состояния, криминалист приступает к наиболее ответственной части своего дела: снятию дампа памяти. Дамп снимается со встроенной памяти телефона, а также со всех подключённых к нему карт. Именно для этого, а не просто из-за природной злости, при обыске часто изымают не только телефон, но и всякую сопутствующую ему периферию -- карты памяти, зарядные устройства, кабель для передачи данных. Иногда они нужны для проведения анализа.

Снятие дампа происходит в два этапа. Сначала криминалист берёт хеш от всего содержимого памяти, а затем переносит её содержимое. Хеш позволяет убедиться, что данные переехали целиком, а также послужит в качестве доказательства, что сам телефон не подвергался никаким манипуляциям. Если бы криминалисту разрешалось выполнять действия над самим телефоном, очевидным образом, он бы мог подстроить совершенно любые "доказательства". Поэтому документирование оригинального хеша -- это абсолютно необходимый шаг при снятии дампа.

Сам процесс обычно происходит при подключении к памяти через специальный шнур, делающий невозможным ничего записывать. Он позволяет только читать информацию. Альтернативный вариант -- активировать такой режим работы на самой карте памяти, но из-за технических нюансов проще и удобнее воспользоваться специальным шнуром. Память снимается через обычную linux-команду "dd". Она позволяет создать абсолютно точную копию памяти. Обычное копирование переносит только существующие файлы и папки, а dd возьмёт всё, включая следы, которые могли остаться в "пустом" пространстве на карте. Например, там однозначно хранятся фрагменты некоторых ранее удалённых файлов. Иногда по ним можно восстановить файл целиком, иногда только частично -- но это в любом случае бывает полезно. Кроме того, иногда в "свободном" пространстве прячут криптоконтейнеры.

Дамп с обычной карты памяти снять легко, а вот при снятии дампа с памяти телефона приходится повозиться. Существует два варианта: либо раскрыть корпус телефона, извлечь память и подключить к её специальному оборудованию, либо порутать Android. Такие сложности возникают из-за необходимости получить доступ к системной папке "/data/data", скрытой в обычном режиме доступа. А именно там хранится самое интересное. Технически проще порутать, но это означает внесение изменений в исходное состояние устройства. Что, напомню, может забраковать улику для суда. Для того чтобы так не произошло, криминалист может попытаться получить у суда разрешение. Не вдаваясь в юридические подробности, в большинстве ситуаций ему такое разрешение будет дано.

< Анализ извлечённых данных >

Из полученного дампа сразу же извлекают все мало-мальски интересные данные, но анализу подвергают только то, что может дать ответ на вопросы, поставленные перед криминалистом. К примеру, если на анализ попал телефон пропавшего без вести человека, в первую очередь будут интересовать данные о его последних контактах и местонахождении, а не фотографии пятилетней давности. Большинство данных в обычном случае остаются непроанализированными, но на всякий случай будут храниться.

Для того чтобы получить доступ к содержимому дампа, используется специальный софт. Одна из самых популярных программ для этого -- Winhex. Она позволяет читать снятый дамп и вносить в него изменения, а также содержит инструменты для восстановления удалённых данных. Вот ещё пара программ, которые позволяют получить доступ к удалённым файлам: FTK и EnCase.

При помощи этого софта криминалист забирает список контактов, записи о звонках, базы данных социальных сетей и мессенджеров, кеш браузера, его закладки, историю посещений, содержимое SMS и email, а также информацию о передвижениях, если она где-нибудь сохранялась. После извлечения обычных данных происходит восстановление удалённых данных и поиск среди них чего-нибудь интересного. Поиск производится не вручную, а автоматически, по сигнатурам. К примеру, среди сотен удалённых фотографий и закешированных браузером картинок по сигнатурам легко удастся найти файл с паролями.

Особенную ценность представляют данные из баз данных SQLite. Их используют различные мессенджеры и приложения социальных сетей, и поэтому оттуда зачастую удаётся извлечь историю переписок, дополнительные списки контактов и другие полезные вещи. Кстати, зашифрованные по принципу end-to-end переписки также становятся открытыми при проведении такого анализа. В том числе, это касается секретных чатов Telegram'а.

И всё это становится бесполезным, если на стол к криминалисту телефон попадает зашифрованным и выключенным. Впрочем, с оговорками: речь идёт только о правильно зашифрованных телефонах. Для устройств под управлением Android 4.4 и ниже дешифровка памяти не составит особых проблем, потому что ключ для их расшифровки хранится в памяти ненадёжно. Исключение составляют телефоны от Samsung на версиях Android'а с 4.0 по 4.4. Для этих устройств Samsung улучшили шифрование и, начиная с версии 5.0, Google перенял эту технологию. Начиная с этой версии все смартфоны с зашифрованной памятью составят серьёзную трудность для криминалиста.

На зашифрованную память всё равно можно провести атаку методом перебора кодов для разблокировки. Поэтому помимо зашифровки памяти нужно поставить как можно более сложный код. Лучше всего заменить движения пальцами на ввод пароля из букв и цифр, и сделать его как можно более сложным. У некоторых устройств шифрование диска уже включено по умолчанию, у других его понадобится включить самостоятельно. Вот официальный гайд, рассказывающий, как это сделать: https://source.android.com/security/encryption/full-disk Если вкратце, тебе будет достаточно пары кликов в системном меню и пару часов подождать, всё это время держа телефон подключённым к зарядке.

< Подытожим >

Телефоны хранят слишком много приватных данных, чтобы продолжать игнорировать вопрос их защиты. Попав в руки к твоему недоброжелателю, телефон о тебе всё расскажет, даже если ты защитишь свой экран кодом разблокировки. А вот правильным образом зашифрованную память, заблокированную надёжным паролем, не расшифрует сейчас никто. Поэтому я рекомендую не откладывать и зашифровать свои данные поскорее. И, если вдруг сложится опасная ситуация, тебе будет достаточно просто выключить телефон.

В статье я всё время говорил о телефонах, но, разумеется, всё то же самое применимо для любых устройств на Anrdoid'е.