До недавних пор наличие смартфона на базе Windows Phone 8 для диагностики мало что давало эксперту, ведь даже при соединении с компьютером через порт USB из телефона можно было достать только фотографии, видео и музыкальные файлы, а этого явно недостаточно с точки зрения криминалистики. Ведь Windows Phone 8 при соединении с компьютером поддерживает только протокол Media Transfer Protocol (MTP) — маловато для извлечения информации. Но с появлением версии 6.5.0.719 оказалось, что если присоединить смартфон к порту USB и одновременно подключить его же по Bluetooth, мы получим гораздо больше информации (см. экран 1). Попробуем? А поможет нам в этом программное обеспечение «Мобильный криминалист» от ЗАО «Оксиджен Софтвер» (г. Москва).
Экран 1. Извлечение информации по USB и Bluetooth |
Возьмем для примера смартфон Nokia Lumia 820 с Windows Phone 8. Его характеристики вкратце таковы:
- размер экрана 4,3 дюйма;
- процессор Qualcomm Snapdragon S4;
- максимальное время разговора в сети 3G 8,1ч;
- максимальное время работы в режиме воспроизведения музыки 61ч;
- размер датчика основной камеры 8,7 Мпикс;
- обмен фотографиями через Facebook, по электронной почте в виде вложенных файлов, через Bluetooth, Flickr, Picasa, NFC, Nokia Beamer;
- подключение устройства к телевизору с поддержкой DLNA, используя приложение Nokia Play To DLNA;
- приложения социальных сетей Facebook, LinkedIn, Twitter.
Итак, подключаем наш смартфон к компьютеру через USB и Bluetooth (см. экран 2). Стоит учесть, что иногда процесс соединения двух устройств Bluetooth может пройти легко с первого раза, и тогда создается ложное ощущение простоты процесса. А он зачастую весьма непредсказуем и, к сожалению, никак не может быть проконтролирован программным путем.
Экран 2. Соединение смартфона и ПК |
Нажимаем кнопку «Далее» и начинаем извлечение (см. экран 3). Имейте в виду, что если на телефоне хранится большое количество медиафайлов (фото, видео, музыка), то это небыстрый процесс, так что запаситесь терпением. Кроме того, до начала работы со смартфоном я бы рекомендовал вынуть SD-карту, тогда и процесс извлечения данных пойдет куда быстрее. А с картой вы сможете поработать отдельно. Естественно, переходники USB-mini и SD-micro SD у вас, безусловно, должны быть в наличии. Не забудьте выполнить требования, которые вам будут предложены на экране 2 перед извлечением данных из смартфона.
Экран 3. Извлечение данных по Bluetooth |
Итак, данные вы извлекли. Что дальше?
А дальше мы с вами должны заняться анализом полученных данных в окне программы (см. экран 4). Помните, что основным для вас будет грамотный анализ данных, ведь данные сами по себе ничего вам не дадут. Вспомните, мы не знаем, кто наш человек, и пытаемся это выяснить. Следовательно, нам нужно определить круг его наиболее близких знакомых. Для этого построим граф связей на основе журнала звонков, см. экран 5.
Экран 4. Главное окно «Мобильного криминалиста» |
Экран 5. Граф связей |
Учтите, что, двигая ползунок вправо, вы сможете выбрать наиболее часто осуществляемые звонки. Им же будут соответствовать наибольшие круги на экране (чем шире круг, тем чаще происходили коммуникации, входящие и исходящие). Таким образом, несложно выделить тех абонентов, с которыми владелец данного смартфона связывался чаще всего. Для того чтобы просмотреть информацию по конкретному абоненту из списка, достаточно просто щелкнуть левой кнопкой мыши по соответствующему кругу.
При этом слева появится следующая информация о контакте:
- Фамилия, имя (а если есть в телефонном справочнике, то и отчество).
- Дата и время первого звонка абоненту.
- Дата и время последнего звонка.
Важно учесть, что дата и время определяются по времени устройства.
Если нажать на ФИО абонента, то можно получить более полные сведения:
- фамилия, имя, отчество, телефоны (мобильный, домашний, рабочий);
- статистика (количество звонков, из них входящих, исходящих, пропущенных);
- коммуникации (дата, время, продолжительность, направление звонка).
Таким образом, можно не просто выяснить, с кем регулярно связывался абонент, а и кому звонили с этого смартфона, и кто звонил на него. Итак, есть люди, с которыми наиболее часто связывался владелец телефона. Учтите, что все эти данные вы сможете успешно экспортировать в Microsoft Excel.
Кроме того, вы можете посмотреть «Журнал событий» и «Ленту событий». Фактически «Журнал событий» является подмножеством «Ленты событий» и включает в себя только список входящих, исходящих и пропущенных звонков, отсортированный по времени. В «Ленту событий» еще входят сведения о создании фото и видеоматериалов на данном смартфоне.
Следует отметить, что когда речь идет о сведениях по созданию фото и видеоматериалов, сюда входят в том числе и геолокационные сведения (данные геокоординат). Пример приведен на экране 6. Обратите внимание, что на фотографии приведены не только координаты в формате Google Maps, но и адрес снимка (номер дома, улица, массив, район, город). Если же нажать на координаты, то вам будет предложено найти это место не только на картах Google, но и на картах Yandex. Кроме того, вы сможете посмотреть статистику и связи (список звонков, отсортированный по абонентам).
Экран 6. Просмотр данных фотографии |
Работа с SD-картой. На SD-карте могут находиться не только медиафайлы, но и некоторые документы, которые пользователь туда скопировал. А может и еще что-то интересное? Ну и кто мешает попробовать восстановить удаленную информацию на данной карте?
Электронная почта. Несмотря на то, что мы не сможем получить доступ к электронной почте напрямую, все же остается два пути:
- Если почта настроена, то прочесть письма, сохраненные непосредственно на телефоне.
- Если пользователь настроил двухэтапную аутентификацию, то попробовать получить доступ к почте Microsoft с помощью одноразового пароля.
Будем считать, что у владельца телефона настроена двухэтапная аутентификация. Получить адрес его Microsoft Live Account достаточно легко. Для этого достаточно войти в меню «Настройки», «Почта + учетные записи». Более того, в этом меню мы сможем найти учетные записи Twitter и LinkedIn, а возможно и других служб. Но вернемся к почте.
Вход в почту Outlook.com с помощью одноразового пароля. На самом деле это куда проще, чем вы думаете. Если у владельца телефона была настроена двухэтапная аутентификация, то для входа в его учетную запись нам достаточно просто запросить одноразовый пароль (см. экран 7).
Экран 7. Вход с использованием одноразового пароля |
Таким образом, зная имя и держа смартфон в руках, мы получаем доступ к почте владельца. Что касается Twitter и LinkedIn, то получив к ним доступ с телефона, мы просто можем изменить соответствующие пароли и входить с компьютера. Итак, мы получили доступ к почте и социальным сетям. А дальше можно попытаться найти информацию о человеке в Интернете. На самом деле это настолько обширное поле деятельности, что данный раздел можно выносить в отдельную статью, а то и книгу. Но все же первое, что сделал бы я, – поискал бы ссылки на соответствующий адрес электронной почты. А потом на имя учетной записи в каждой из найденных социальных сетей. И учтите, этой информации как правило достаточно, чтобы уже сделать определенные выводы.
Symbian Nokia N95
Рассмотрим следующий смартфон – Nokia N95. Несмотря на то что данный смартфон уже скорее редкость, он все еще встречается на наших необъятных просторах. Его краткие характеристики следующие:
- Nokia N95 работает под управлением ОС Symbian 9.2 на платформе S60 3rd Edition Feature Pack 1;
- процессор ARM 11 332 МГц;
- работа в частотных диапазонах GSM 850, GSM 900, GSM 1800, GSM 1900, WCDMA 2100;
- поддержка стандартов передачи данных CSD, HSCSD, GPRS, EGPRS, EDGE, HSDPA (3.5G), WCDMA;
- интерфейсы USB 2.0, mini USB, Ик-Порт, Bluetooth 2.0 + EDR и A2DP, AVRCP, WiFi 802.11 b/g, Nokia VoIP 2.1;
- камера 5.0 МПикс + камера для видеотелефонии;
- поддержка карт памяти формата MicroSD до 4 Гбайт, FM-радио и GPS, а также TV Out.
Если подключить данное устройство к компьютеру и воспользоваться программой «Мобильный криминалист», то после извлечения данных мы увидим, что в устройстве хранится много интересного.
- Журнал событий.
- Местонахождение события (Географические координаты).
- Объединенные контакты.
- Органайзер (Задачи», Календарь).
- Сообщения (СМС и электронная почта).
- Телефонная книга.
- Файловый браузер.
- Веб-браузер.
Как видите, достаточно много, если не сказать больше. Мы можем по частоте звонков, коротких сообщений и сообщений электронной почты понять, кто из телефонного справочника является наиболее близким контактом, то есть общение с кем занимает больше времени, см. экран 8. Затем, выяснив, кто это (и прочитав коротки сообщения и письма, хранящиеся на устройстве), понять, служебная это переписка или личная. Если служебная – выяснить, над какой проблемой в то или иное время работал владелец устройства.
Экран 8. Географическое положение |
А если выбрать любую запись в таблице и щелкнуть мышью, то на Google Maps вы получите местонахождение объекта в тот или иной момент. Словом, этот смартфон – находка для того, к кому он попал в руки. Он отдаст практически всю информацию.
Nokia N73
Хотя такие смартфоны кажутся давно исчезнувшими, это не соответствует действительности. Они еще иногда встречаются. Приведу краткую характеристику.
- работа в сетях WCDMA/GSM и в трех диапазонах на пяти континентах (WCDMA2100/EGSM850/900/1800/1900);
- цветной QVGA-дисплей 2,4 дюйма, 240*320 пикселов, с поддержкой 262 144 цветов;
- камера 3,2 Мпикс (2048*1536 пикселов) с автофокусом и 20-кратным цифровым зумом;
- средство просмотра документов в формате Adobe PDF и Quickoffice (Quickword, Quickpoint, Quicksheet);
- поддержка электронной почты с вложениями и клиента VPN; — оптика Carl Zeiss;
- стерео FM-радио (87,5—108 МГц/76—90 МГц).
Извлекаемая информация
- Журнал событий.
- Местонахождение события (Географические координаты).
- Объединенные контакты.
- Органайзер (Задачи, Календарь).
- Сообщения (СМС и электронная почта).
- Телефонная книга.
- Файловый браузер.
- Веб-браузер.
Как всегда, самое интересное – «Географическое положение», которое можно увидеть на карте Google см. экран 9.
Экран 9. Географическое положение Nokia N73 |
Таким образом, можно составить маршрут движения смартфона по карте Google с временными отметками.
Устройства BlackBerry
Как пример возьмем BlackBerry 9520. Смартфон BlackBerry Storm2 9520 работает под управлением BlackBerry OS 5.0. Краткие технические характеристики смартфона Storm2 9520:
- память 2 Гбайт;
- работа в частотных диапазонах GSM 850/900/1800/1900, UMTS 2100, поддержка стандартов передачи данных GPRS 10, EDGE 10, HSDPA 7.2 Мбит/с;
- интерфейсы Bluetooth 2.1+A2DP, microUSB 2.0, Wi-Fi 802.11 b/g;
- камера 3,15 Мпикс;
- поддержка карт памяти формата microSD;
- встроенный GPS с функцией A-GPS.
Извлекаемая информация
- Журнал событий.
- Объединенные контакты.
- Органайзер (Задачи, Календарь, Заметки)
- Сообщения (СМС и электронная почта).
- Телефонная книга.
- Файловый браузер.
Наиболее интересным, на мой взгляд, является составление диаграммы прямых связей (см. экран 10).
Экран 10. Диаграмма прямых связей |
С помощью данной диаграммы мы можем выяснить, с кем и как часто общался абонент.
Устройства на Android
Устройство, взятое для примера, HTC EVO 3D, работает под управлением операционной системы Google Android 2.3 Gingerbread с адаптированной оболочкой HTC Sense 3.0. В качестве процессора используется интегрированное решение Qualcomm Snapdragon MSM8260, включающее в себя двухъядерный процессор на основе архитектуры Cortex-A9 с тактовой частотой 1,2 ГГц (занижена — номинальная частота 1,5 ГГц, но возможен разгон вплоть до 1,8-1,9 ГГц). В качестве графической системы используется Adreno 220 GPU; заявлена поддержка графических стандартов Open GL-ES 2.0 и Open GL-ES 1.0/1.1 и DirectX 9.0c. Звуковая подсистема: в качестве кодека используется Texas Instruments TLW3254AIC с поддержкой технологий Dolby Digital Mobile и пространственного объемного звучания SRS WOW HD, присутствует полная поддержка 5.1-канального звука Dolby Digital при подключении устройства к HDMI. Оперативная память: в аппарате используется память DDR2 объемом 1Гбайт.
Извлекаемая информация
Как видно на экране 11, извлекаемая информация здесь совсем другая. Помимо общей информации об устройстве, появилась следующая весьма интересная информация — «Веб-соединения и местоположение». В данном разделе вы сможете увидеть Wi-Fi-соединения и географические координаты точек. Особенность журнала событий состоит в том, что в данном устройстве вы можете увидеть не только звонки и СМС, но и встречи, Wi-Fi-точки, Gmail, Google+, Google Talk, Opera Mini и т.д. То есть журнал событий на самом деле куда обширнее, чем в двух предыдущих устройствах.
Экран 11. HTC EVO 3D |
Зато в «Органайзере» мы видим только события «Календаря». В «Сообщениях» учитываются только СМС и ММС. Электронная почта не фиксируется. В веб-браузерах учитываются все установленные браузеры и записывается их история. То же касается программ мгновенного обмена сообщениями. Хранится история переговоров во всех представленных приложениях, начиная от Facebook Messenger и заканчивая такой экзотикой как QIP, Viber, Kik Messenger, WhatsApp Messenger и т.д. Таким образом, мы имеем полностью доступную историю текстовых интернет-переговоров. Кроме того, хранится список просмотренных роликов YouTube, навигация Google Maps, Яндекс Карты. Отдельно доступны посещенные страницы социальных сетей, например Facebook, Google+, LinkEdin, Twitter, Одноклассники и т.д. вместе с перепиской в этих сетях. Таким образом, можно сделать вывод, что практически все, что вы делаете в Интернете на данном устройстве, будет доступно для анализа.
Samsung Galaxy Mini
Операционная система Android 2.2. В дополнение к сказанному выше, с этого устройства можно восстановить удаленные данные. Кроме того, Samsung Galaxy Mini хранит пароли (см. экран 12).
Экран 12. Пароли Samsung Galaxy Mini |
Устройства iOS
Рассмотрим не самое новое, но весьма распространенное устройство, iPhone 3G. Смартфон-коммуникатор Apple iPhone 3G 8Gb работает под управлением OS X. Краткие технические характеристики iPhone 3G 8Gb:
- память 8 Гбайт;
- работа в частотных диапазонах GSM850/900/1800/1900, UMTS 850/1900/2100;
- поддержка стандартов передачи данных HSDPA, CSD, GPRS 10, EDGE 10;
- интерфейсы USB 2.0, Bluetooth 2.0 + EDR, Wi-Fi 802.11b/g; — камера 2.0 МПикс;
- встроенный GPS;
- сенсорная система управления Multi-Touch;
- TV-выход.
Извлекаемая информация
- Веб-соединения и местоположение (при соединении с Wi-Fi автоматически учитываются географические координаты).
- Лента событий (учитываются Facebook activity, Safari Web history, звонки, электронная почта, звонки и чат в Skype и т.д.).
- Объединенные контакты.
- Органайзер (Заметки, Календарь).
- Пароли.
- Сообщения (электронная почта, SMS, MMS).
- Социальные сети (Facebook, LinkedIn, YouTube).
М еще пример — устройство iPhone 4S. Оно имеет следующие характеристики:
- тип – смартфон;
- стандарт GSM 850/900/1800/1900; UMTS;
- операционная система iOS;
- версия 4;
- процессор Apple A5;
- частота 1000 МГц;
- флэш-память 32768 МБ.
Извлекаемая информация
- Веб-соединения и местоположение (сохраняются координаты ближайших Wi-Fi точек, см. экран 13).
- Журнал событий.
- Органайзер.
- Объединенные контакты.
- Пароли.
- Сообщения (iMessege, MMS, SMS, электронная почта).
- История установленных веб-браузеров.
- Журналы установленных программ мгновенного обмена.
- Сообщения социальных сетей.
- Другая информация (см. экран 14).
Экран 13. Местоположение Wi-Fi |
Экран 14. Извлекаемая информация |
Как видите, перечень извлекаемой информации достаточно широк.
В заключение хотелось бы отметить, что даже если ваш смартфон заблокирован с помощью стандартного PIN-кода, то это не панацея. Такой PIN вскрывается с помощью программы Elcomsoft iOS Forensic Toolkit от компании Elcomsoft.