О том, что шифрование является последней линией обороны, известно давно. О том, что люди упорно отказываются шифровать, знают опять же все. Немалую роль здесь играет, прежде всего, боязнь забыть или потерять пароль и оказаться вообще без доступа к нужным документам. Второй причиной, без сомнения, является то, что пользователи полагают, что их данные никому не нужны. А зря! Все больше и больше людей доверяет своим смартфонам хранить историю звонков, сообщения SMS и ММС, электронную почту, фотографии, всевозможные документы и т. д. И последнее. Большинство пользователей почему-то уверены, что если удалить данные с телефона, то восстановить их достаточно сложно. Поверьте, это не так.
Что у телефона «в карманах»?
Давайте посмотрим, что же может извлечь специалист из вашего телефона. Для этого воспользуемся программным обеспечением «Мобильный криминалист» (http://www.oxygen-forensic.com/ru/). Несмотря на то что данное программное обеспечение позиционируется как продукт для проведения криминалистической экспертизы, никто не в силах помешать злоумышленнику использовать его для получения весьма интересных данных с вашего телефона. Что мы с вами можем извлечь из вашего телефона с помощью данного программного обеспечения? Посмотрим на таблицу.
| Таблица. Список основных видов данных, доступных для извлечения «Мобильному криминалисту» |
.jpg) |
Согласитесь, вы, безусловно, подозревали, что храните у себя в телефоне много информации, но не думали, что ТАК МНОГО! В программе на сегодня поддерживается более 1900 моделей мобильных устройств. Использование протоколов низкого уровня и непосредственный доступ к телефонам позволяет «Мобильному криминалисту» не ограничиваться моделями GSM, а также осматривать телефоны CDMA и DAMPS. Давайте посмотрим, как именно вы будете извлекать информацию из телефона.
Обыск телефона
Установка продукта «Мобильный криминалист» проста и не вызывает никаких затруднений. Не забудьте, что после установки программного обеспечения вам потребуются драйверы соответствующего телефона. Коллекцию драйверов для различных телефонов и программы для обмена данными между телефонами и компьютером вы сможете взять с того же сайта. Главное окно программы представлено на экране 1.
.jpg) |
| Экран 1. Главное окно программы |
Для анализа информации, хранящейся на телефоне, необходимо подключить соответствующий телефон к компьютеру и в программе выбрать «Подключить новое устройство». При первом подключении устройства следует открыть Мастер настройки соединения, с помощью которого вы сможете подключить телефон (экран 2).
.jpg) |
| Экран 2. Мастер настройки соединения |
Перед подключением любого смартфона Nokia Series 60 3 Edition Feature Pack2 (например, Nokia 5320 Xpress Music) необходимо отключить в нем скринсейвер, который в некоторых случаях может помешать программному обеспечению «Мобильный криминалист». При подключении BlakBerry к «Мобильному криминалисту 2011» необходимо запустить BlackBerry Device Manager и закрыть BlackBerry Desktop Manager. Открывать приложение OxyAgent в телефоне можно только после запуска BlackBerry Device Manager. При подключении Windows Mobile потребуется вначале разблокировать ваше устройство. Подробнее о разблокировании — в соответствующем разделе справки. По окончании настройки соединения вы увидите то, что показано на экране 3.
.jpg) |
| Экран 3. Телефон обнаружен |
Извлечение данных
После того как исследуемый телефон подключен, автоматически запускается мастер извлечения данных (экран 4).
.jpg) |
| Экран 4. Мастер извлечения данных |
Далее вы должны выбрать данные, которые хотите извлечь из своего телефона (экран 5).
.jpg) |
| Экран 5. Выбор данных |
Активность телефона
С помощью данного раздела вы можете просматривать все события, зафиксированные на исследуемом телефоне в виде отсортированного списка с возможностью фильтрации и группировки. В этом разделе можно увидеть все звонки, сообщения, информацию календаря и другие данные в хронологическом порядке; таким образом, вы можете отследить всю историю звонков или переписки без необходимости переключения между секциями. Существует возможность сортировки, фильтрации и группировки списка активностей по датам, людям и даже по отдельным номерам телефонов (экран 6).
.jpg) |
| Экран 6. Список активностей |
Модуль анализа соединений Wi-Fi
С помощью данного модуля мы можем узнать, где и когда данный телефон использовал доступ к точкам Wi-Fi (публичным или даже частным) и установить его местоположение. Модуль анализа соединений Wi-Fi извлекает для каждой точки следующие параметры: название (SSID), BSSID (MAC-адрес), RSSI (уровень сигнала) и время подключения. После обработки этих данных модуль получает координаты и мини-карты для каждой записи списка (экран 7).
.jpg) |
| Экран 7. Анализ Wi-Fi |
Для удобства анализа список точек может быть отсортирован по нужной колонке: имя, адрес, время и др. Карта местности может быть открыта в отдельном окне браузера для более подробного просмотра.
Модуль-анализатор Skype
С помощью данного модуля из клиента Skype можно извлечь:
- историю переписки, включая группы и неавторизованные контакты;
- список контактов со всеми полями, заметками и фотографиями;
- отправленные сообщения SMS: текст, номер получателя, дату отправления и стоимость;
- полный список звонков: имя абонента или его телефонный номер, направление, длительность, временную отметку и даже стоимость разговора;
- детали учетной записи Skype: имя, адрес, телефонный номер, e-mail, день рождения и прочую информацию, заполненную владельцем телефона.
Модуль-анализатор Skype отображает переписку в виде списка с возможностью сортировки и фильтрации. Для анализа конкретной переписки внизу окна находится панель просмотра с закладками для каждого отдельного чата. История переписки отображает не только текст и время сообщений, но также отосланные или принятые в течение сессии файлы.
Анализ временных файлов интернет-браузеров
Анализатор временных файлов интернет-браузеров для программы «Мобильный криминалист 2011» извлекает и показывает временные файлы, которые создаются в телефоне при просмотре веб-страниц. Доступны список посещенных сайтов и файлы, загруженные браузером мобильного телефона (как предустановленным, так и браузерами других разработчиков).
В анализаторе временных файлов интернет-браузеров есть ряд дополнительных полезных функций: сортировка, фильтрация, поиск данных. Встроенное окно просмотра содержимого файлов позволяет всесторонне изучить содержимое кэш-памяти: проиграть видео, мелодии, просмотреть файлы в разных кодировках HEX или в режиме отображения веб-страницы, как ее видел владелец аппарата (экран 8).
.jpg) |
| Экран 8. Список закладок |
Географическое положение событий
Надстройка «Географическое положение событий» определяет и показывает на карте положение событий мобильного телефона: принятых и отправленных сообщений, фотографий, событий календаря и т. д.
Современные мобильные телефоны и особенно смартфоны все чаще хранят информацию о местоположении, в котором произошло то или иное действие. Данная информация безусловно предоставляет интерес при проведении расследования, она позволяет установить местонахождение владельца телефона в определенный момент времени (экран 9).
.jpg) |
| Экран 9. Географическое положение |
При этом извлекаются географические данные, хранящиеся как в виде координат, так и в виде номеров базовых станций операторов сотовой связи. После преобразования данных местоположение отображается на карте непосредственно в программе и может масштабироваться. Также возможно отображение в отдельном окне браузера.
Особого внимания заслуживает хронология событий — приложение, предустановленное в большинство смартфонов на платформе Symbian OS, которое хранит информацию об основных событиях телефона: SMS, событиях календаря, фотографиях и т. д. Здесь ключевым моментом является возможность соотносить эти данные с определенными географическими координатами.
Извлечение информации из вашего телефона (причем не только звонки, но и давно удаленные SMS) не представляет никакой сложности. Мне могут возразить, что такое программное обеспечение используют правоохранительные органы и обычному человеку нечего бояться. Не тут-то было. Во-первых, тестовая версия вашего программного обеспечения практически ничем не отличается от полноценной (за исключением количества запусков и числа дней), а во вторых, кто мешает злоумышленникам купить подобное программное обеспечение? Хотелось бы подчеркнуть, что большинство подобных данных может быть получено и с ваших планшетов. Так что не стоит думать, что вы полностью защищены!
Защити себя сам
.
Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, имеет звания MVP Consumer Security, Microsoft Security Trusted Advisоr