Kirish: Mobil kriminalistikaning ahamiyati
“Mobil qurilmalar” atamasi mobil telefonlar, smartfonlar, planshetlar va GPS qurilmalaridan tortib taqiladigan qurilmalar va keng qamrovli gadjetlarni o’z ichiga oladi. Ularning umumiy tomoni shundaki, ular juda ko’p foydalanuvchi ma’lumotlarini o’z ichiga olishi mumkin.
Mobil qurilmalar uchta jadal rivojlanayotgan texnologik tendentsiyalarning o’rtasida joylashgan: narsalar interneti, bulutli hisoblash va katta ma’lumotlar. Mobil texnologiyalarning tarqalishi, ehtimol, bu tendentsiyalarning birinchi navbatda yuzaga kelishining asosiy sababi yoki hech bo’lmaganda asosiy sabablaridan biri. Hozirgi vaqtda mobil qurilmalardan foydalanish, ayniqsa raqamli sud-kompyuter texnikaviy ekspertizasi kontekstida foydali bo’lgani kabi keng tarqalgan, chunki bu kichik o’lchamli mashinalar har kuni katta miqdordagi ma’lumotlarni to’playdi, ularni tergovni osonlashtirish uchun olish mumkin. O’zimizning raqamli kengaytmamiz bo’lgan bu mashinalar raqamli sud-kompyuter texnikaviy ekspertiza tergovchilariga juda ko’p ma’lumotlarni to’plash imkonini beradi.
Mobil qurilmalarda joylashgan ma’lumotlar (to’liq bo’lmagan ro’yxat):
Kiruvchi, chiquvchi, o’tkazib yuborilgan qo’ng’iroqlar tarixi
Telefon kitobi yoki kontaktlar ro’yxati
SMS matni, ilovaga asoslangan va multimedia xabarlar mazmuni
Rasmlar, videolar va audio fayllar va ba’zan ovozli pochta xabarlari
Internetni ko’rish tarixi, kontent, cookie-fayllar, qidiruv tarixi, tahliliy ma’lumotlar
Vazifalar ro’yxati, eslatmalar, kalendar yozuvlari, qo’ng’iroq ohanglari
Hujjatlar, elektron jadvallar, taqdimot fayllari va foydalanuvchi tomonidan yaratilgan boshqa ma’lumotlar
Parollar, parollar, surish kodlari, foydalanuvchi hisobi ma’lumotlari
Tarixiy geolokatsiya maʼlumotlari, uyali telefon minorasi bilan bogʻliq joylashuv maʼlumotlari, Wi-Fi ulanishi maʼlumotlari
Foydalanuvchi lug’ati tarkibi
Turli o’rnatilgan ilovalardan olingan ma’lumotlar
Tizim fayllari, foydalanish jurnallari, xato xabarlari
- Mobil qurilmalar ekspertizasi jarayoni qanday?
Aksariyat odamlar mobil sud-kompyuter texnikaviy ekspertizasi jarayoni haqiqatda qanchalik murakkab ekanligini anglamaydilar. Mobil qurilmalar professional va shaxsiy foydalanish o’rtasida tobora ko’proq tortishishda davom etar ekan, ularga tushadigan ma’lumotlar oqimi ham eksponent ravishda o’sishda davom etadi. Agar chop etilganda 33 500 varaq qog’oz 64 gigabaytga teng ekanligini bilarmidingiz? 64 Gb saqlash hajmi zamonaviy smartfonlar uchun odatiy holdir. Mobil qurilmalar ekspertizasi jarayoni raqamli dalillarni yoki tegishli ma’lumotlarni mobil qurilmadan dalillarni sud-kompyuter texnikaviy ekspertizasi jihatdan ishonchli holatda saqlab qolishga qaratilgan. Bunga erishish uchun mobil sud-kompyuter texnikaviy ekspertizasi jarayoni mobil qurilmalardan olingan raqamli dalillarni ushlash, ajratish, tashish, tahlil qilish uchun saqlash va isbotlash uchun aniq qoidalarni belgilashi kerak. Odatda, mobil sud ekspertizasi jarayoni raqamli sud ekspertizasining boshqa tarmoqlaridagi jarayonlarga o’xshaydi. Shunga qaramay, shuni bilish kerakki, mobil sud ekspertizasi jarayoni e’tiborga olinishi kerak bo’lgan o’ziga xos xususiyatlarga ega. To’g’ri metodologiya va ko’rsatmalarga rioya qilish yaxshi natijalarga erishish uchun mobil qurilmalarni tekshirishning muhim shartidir.
Quyidagi vazifalarni bajarish ishonib topshirilishi mumkin bo’lgan shaxslar orasida sud-kompyuter texnikaviy ekspertizasi ekspertlari, hodisalarga javob beruvchilar va tergovchilar bor. Mobil texnologiyalar bilan bog’liq jinoyat bo’yicha tergov davomida, mobil sud-kompyuter texnikaviy ekspertizasi jarayoniga mas’ul shaxslar keyinchalik ularga yordam berishi mumkin bo’lgan har qanday ma’lumotni olishlari kerak – masalan, qurilma parollari, grafik qulflari yoki PIN kodlar.
- Mobil sud ekspertizasi jarayoni qanday bosqichlardan iborat?
Raqamli sud ekspertizasi dalillar har doim tegishli tarzda saqlanishi, qayta ishlanishi va sudda qabul qilinishi kerakligi printsipi asosida ishlaydi. Ba’zi huquqiy mulohazalar mobil qurilmalarni musodara qilish bilan birga keladi. Mobil qurilmalar sud-kompyuter texnikaviy ekspertizasi jarayonining ushbu bosqichi bilan bog’liq ikkita asosiy xavf mavjud: blokirovkani faollashtirish (foydalanuvchi/gumonli/bexosdan uchinchi tomon tomonidan) va tarmoq/uyali ulanish. Tarmoqni o’chirib qo’yish har doim tavsiya etiladi va bunga 1) Parvoz rejimi + Wi-Fi va ulanish nuqtalarini o’chirish yoki 2) SIM kartani klonlash orqali erishish mumkin.
Samolyot rejimi
Mobil qurilmalar ko’pincha yoqilgan holda tutiladi; va ularni olib qo’yishdan maqsad dalillarni saqlash bo’lganligi sababli, ularni tashishning eng yaxshi yo’li fayllarni muqarrar ravishda o’zgartirishi mumkin bo’lgan yopilishning oldini olish uchun ularni samolyot rejimi saqlashga harakat qilishdir kerak.
Telefon tiqilishi
Faradey qutisi/sumkasi va tashqi quvvat manbai mobil sud ekspertizasi o’tkazish uchun keng tarqalgan turdagi uskunalardir. Birinchisi mobil qurilmalarni tarmoq aloqalaridan ajratish va shu bilan birga dalillarni laboratoriyaga xavfsiz tashishda yordam berish uchun maxsus mo’ljallangan konteyner bo’lsa, ikkinchisi Faradey qutisi/sumkasi ichiga o’rnatilgan quvvat manbaidir. Telefonni Faradey sumkasiga qo’yishdan oldin, uni tarmoqdan uzing, barcha tarmoq ulanishlarini (Wi-Fi, GPS, Hotspots va boshqalar) o’chiring va dalillarning yaxlitligini himoya qilish uchun parvoz rejimini yoqing. Va nihoyat, tergovchilar noma’lum o’t qo’yuvchi qurilmalarga ulangan mobil qurilmalar, shuningdek, jinoyat sodir bo’lgan joyda har qanday odamning tanasiga shikast etkazish yoki o’limga olib keladigan boshqa har qanday tuzoqdan ehtiyot bo’lishlari kerak.
Tahlil jarayoni
Ushbu bosqichning maqsadi mobil qurilmadan ma’lumotlarni olishdir. Bloklangan ekranni to’g’ri PIN, parol, grafik yoki biometrik ko’rsatkichlar yordamida qulfdan chiqarish mumkin. Bundan tashqari, shunga o’xshash blokirovka choralari ilovalar, rasmlar, SMSlar yoki messenjerlarda mavjud bo’lishi mumkin. Boshqa tomondan, shifrlash dasturiy ta’minot va apparat darajasida xavfsizlikni ta’minlaydi, uni chetlab o’tish ko’pincha imkonsizdir.
Mobil qurilmalardagi ma’lumotlarni nazorat qilish qiyin, chunki ma’lumotlar ham mobil. Smartfondan aloqa yoki fayllar yuborilgach, boshqaruv yo’qoladi. Katta hajmdagi ma’lumotlarni saqlash qobiliyatiga ega bo’lgan turli xil qurilmalar mavjud bo’lsa-da, ma’lumotlarning o’zi jismonan boshqa joyda bo’lishi mumkin. Misol uchun, qurilmalar va ilovalar o’rtasida ma’lumotlarni sinxronlashtirish to’g’ridan-to’g’ri, balki bulut orqali ham amalga oshirilishi mumkin. Apple iCloud va Microsoft One Drive kabi xizmatlar mobil qurilmalar foydalanuvchilari orasida keng tarqalgan bo’lib, u yerdan ma’lumotlarni olish imkoniyatini qoldiradi. Shu sababli, tergovchilar ma’lumotlar mobil qurilmadan jismoniy ob’ekt sifatida oshib ketishi mumkin bo’lgan har qanday ko’rsatkichlarga ehtiyot bo’lishlari kerak, chunki bunday hodisa yig’ish va hatto saqlash jarayoniga ta’sir qilishi mumkin.
Qurilmaning turidan qat’i nazar, ma’lumotlarning joylashishini aniqlash, operatsion tizimlarning parchalanishi va element spetsifikatsiyalari tufayli yanada to’sqinlik qilishi mumkin. Ochiq kodli Android operatsion tizimining o’zi bir nechta turli versiyalarda keladi va hatto Apple iOS-da ham versiyadan versiyaga farq qilishi mumkin.
Sud-kompyuter texnikaviy ekspertizasi ekspertlari yengishi kerak bo’lgan yana bir qiyinchilik mobil ilovalarning ko’p va doimiy o’zgaruvchan landshaftidir. Barcha o’rnatilgan ilovalarning to’liq ro’yxatini yarating. Ba’zi ilovalar ma’lumotlarni arxivlaydi va zaxiralaydi.
Ma’lumotlar manbalarini aniqlagandan so’ng, keyingi qadam ma’lumotlarni to’g’ri yig’ishdir. Mobil texnologiyalar kontekstida ma’lumot to’plash bilan bog’liq o’ziga xos muammolar mavjud. Ko’pgina mobil qurilmalarni rasm yaratish orqali yig’ib bo’lmaydi va buning o’rniga ular ma’lumotlarni yig’ish deb ataladigan jarayondan o’tishi kerak bo’lishi mumkin. Mobil qurilmalardan ma’lumotlarni yig’ish uchun turli xil protokollar mavjud, chunki ba’zi dizayn spetsifikatsiyalari faqat bitta turdagi yig’ib olishga ruxsat berishi mumkin.
Sud eksperti mobil qurilmalarning SIM-kartasidan foydalanishi kerak – bu SIM-karta tarkibining replika tasvirini qayta yaratadigan protsedura. Boshqa nusxalarda bo’lgani kabi, nusxa ko’chirish tasviri tahlil uchun ishlatilayotganda asl dalillar saqlanib qoladi. Ma’lumotlarning aniq va o’zgarmasligini ta’minlash uchun barcha rasm fayllari xeshlangan bo’lishi kerak.
Tekshirish va tahlil qilish
Mobil qurilmalar (qurilmalar) bilan bog’liq har bir raqamli tekshiruvning birinchi bosqichi sifatida sud-kompyuter texnikaviy eksperti quyidagilarni aniqlashi kerak:
Mobil qurilma(lar)ning turi – masalan, GPS, smartfon, planshet va boshqalar.
Tarmoq turi – GSM, CDMA va TDMA
Tashuvchi
Xizmat ko’rsatuvchi provayder (teskari qidirish)
Tekshiruvchi qurilmada joylashgan ma’lumotlarni olish va tahlil qilish uchun ko’plab sud-kompyuter texnikaviy ekspertizasi vositalardan foydalanishi kerak bo’lishi mumkin. Mobil qurilmalarning xilma-xilligi tufayli mobil sud-kompyuter texnikaviy ekspertizasi vositalariga tegishli yagona o‘lchamli yechim yo‘q. Shuning uchun tekshirish uchun bir nechta vositalardan foydalanish tavsiya etiladi. AccessData FTK Imager, Belkasoft Evidence Center, PC-3000 Portable Sleuthkit, Cellebrite Ufed va EnCase Forensic analitik imkoniyatlarga ega bo’lgan mashhur sud-kompyuter texnikaviy ekspertizasi dasturiy mahsulotlardan foydalanish kerak. Mobil qurilmaning turi va modeliga qarab eng mos vosita(lar) tanlanadi.
Mantiqiy chiqarish
Ushbu yondashuv USB kabeli, Bluetooth, infraqizil yoki RJ-45 kabelidan foydalangan holda mobil qurilma va sud-kompyuter texnikaviy ekspertizasi ish stantsiyasi o’rtasida aloqa o’rnatishni o’z ichiga oladi. Ulanish qismidan so’ng, kompyuter qurilmaga buyruq so’rovlarini yuboradi va qurilma o’z xotirasidan ma’lumotlarni qaytarib yuboradi. Sud-kompyuter texnikaviy ekspertizasi vositalarining aksariyati mantiqiy ekstraktsiyani qo’llab-quvvatlaydi va jarayonning o’zi qisqa muddatli treningni talab qiladi. Salbiy tomoni shundaki, bu usul mobil qurilmaga ma’lumotlarni qo’shishi va dalillarning yaxlitligini o’zgartirishi mumkin. Bundan tashqari, o’chirilgan ma’lumotlarga kamdan-kam kirish mumkin.
Distruktiv usuli
Distruktiv jismoniy yig‘ishning muhim bo‘lmagan shakli bo‘lib, qurilma shikastlangan, qulflangan yoki shifrlangan bo‘lsa ham, dasturiy ta’minot orqali ma’lumotlarga kirish qiyin bo‘lgan taqdirda ham mobil qurilmadan ma’lumotlarni olishi mumkin. Biroq, qurilma hech bo’lmaganda qisman ishlashi kerak (kichik shikastlanishlar bu usulga to’sqinlik qilmaydi). Jarayon qurilmadagi Test kirish portlariga (TAP) ulanishni va protsessorga ulangan xotira chiplarida saqlangan ma’lumotlarni uzatishi ko’rsatishni o’z ichiga oladi. Bu ko’plab mobil telefon modellarida uchratish mumkin bo’lgan standart xususiyat bo’lib, u mobil telefonning operatsion tizimdan tashqarida past darajadagi interfeys ishlab chiqarishini ta’minlaydi. Raqamli sud-kompyuter texnikaviy ekspertizasi distruktiv usul bilan qiziqishadi, chunki u nazariy jihatdan mobil qurilma xotirasiga xavf tug’dirmasdan to’g’ridan-to’g’ri kirish imkonini beradi. Shunga qaramay, bu ko’p mehnat talab qiladigan, ko’p vaqt talab qiladigan protsedura bo’lib, oldindan bilimni talab qiladi (nafaqat tekshirilayotgan telefon modeli uchun distruktiv, balki telefonning xotira tuzilmalaridan tashkil topgan ikkilik faylni qanday yangilash haqida ham).
Odatda, ular uzoqroq va murakkabroq. Jiddiy shikastlanish tufayli qurilma butunlay ishlamay qolgan hollarda, qurilmadan ma’lumotlarni olishning yagona yo’li qurilmaning flesh-xotira chiplarini qo’lda olib tashlash va tasvirlash bo’lishi mumkin. Agar qurilma yaxshi holatda bo’lsa ham, holatlar sud-kompyuter texnikaviy ekspertizasi ekspertidan chip tarkibini jismoniy jihatdan olishini talab qilishi mumkin.
Chip-off
Mobil qurilmalarning xotira chipidan to’g’ridan-to’g’ri ma’lumotlarni olishga ishora qiluvchi jarayon. Ushbu darajaga tegishli tayyorgarlikka ko’ra, chip qurilmadan ajratiladi va tekshirilayotgan qurilmada saqlangan ma’lumotlarni olish uchun chip o’quvchi yoki ikkinchi telefon ishlatiladi. Shuni ta’kidlash kerakki, mobil aloqa bozorida mavjud bo’lgan chip turlarining xilma-xilligi tufayli ushbu usul texnik jihatdan qiyin. Bundan tashqari, chipni o’chirish jarayoni qimmat, trening talab qilinadi va ekspert xotira chipini yelimlash va isitish uchun maxsus jihozlarni sotib olishi kerak. Xotiradan olingan ma’lumotlarning bitlari va baytlari hali tahlil qilinishi, dekodlanishi va sharhlanishi kerak. Hatto eng kichik xatolik ham xotira chipining shikastlanishiga olib kelishi mumkin, bu esa aslida ma’lumotlarni qaytarib bo’lmaydigan darajada yo’qotishiga olib keladi. Shunday qilib, mutaxassislar quyidagi hollarda chip-offga murojaat qilishni maslahat berishadi: a) chiqarishning boshqa usullari allaqachon sinab ko’rilgan bo’lsa, b) qurilma xotirasining joriy holatini saqlab qolish muhim bo’lsa, c) xotira chipi mobil qurilmaning yagona elementi bo’lsa.
Butun jarayon besh bosqichdan iborat:
Qurilmaning xotira chipi tipologiyasini aniqlang
Chipni fizik chiqazib olish (masalan, uni payvandlash orqali)
O’qish/dasturlash dasturi yordamida chipning interfeysi
Chipdan ma’lumotlarni o’qish va kompyuterga o’tkazish
Olingan ma’lumotlarni sharhlash (teskari muhandislik yordamida)
Oxirgi ikki bosqich murakkab usullar bilan mos keladi. Biroq, murakkab tahlil natijalari uchun jismoniy ekstraksiya va o’zaro bog’lanish bosqichlari juda muhimdir.
Mikro chipni o’qish
Bu usul elektron mikroskopning linzalari orqali har tomonlama ko’rinishni qo’lda olish va xotira chipida ko’rilgan ma’lumotlarni, aniqrog’i, chipdagi jismoniy eshiklarni tahlil qilishni anglatadi. Xulosa qilib aytganda, mikro o’qish – bu eng yuqori darajadagi tajribani talab qiladigan, qimmat va ko’p vaqt talab qiladigan va jiddiy milliy xavfsizlik inqirozlari uchun himoyalangan usul.
Baxtiyorjon Kamolov