Forensic Suite

Мобильный телефон хранит массу информации, которая может рассказать о владельце много интересных вещей. И обычно эта информация не предназначена для постороннего взора. Однако бывают случаи, когда такая информация необходима правоохранительным органам. И вопрос ее извлечения и интерпретации может быть очень важным. Одной из таких программ является «Мобильный криминалист» (или Forensic Suite). Нам представилась возможность задать несколько вопросов одному из руководителей компании Oxygen Software Олегу Федорову. Его рассказ оказался весьма интересным.

Виктор Дашкевич. Олег, расскажите, кому пришла в голову идея создания программы «Мобильный криминалист».

Олег Федоров. «Мобильный Криминалист» (он же – «Oxygen Forensic Suite») появился в линейке наших продуктов случайно. Всё началось с того, что некоторые пользователи Oxygen Phone Manager, преимущественно работающие в полиции, таможне и различных государственных структурах, стали дружно просить нас сделать версию программы, в которой бы была запрещена любая запись в телефон.

Мы искренне недоумевали, зачем им это нужно и чем их не устраивает пробная версия, в которой, я напомню, за 1 сеанс работы с программой можно внести только 1 изменение в каждом из разделов.

Через некоторое время представители полиции Великобритании объяснили нам, какие задачи они собираются решать с помощью такой вот «урезанной» версии Oxygen Phone Manager. А именно: чтение из телефонов подозреваемых максимального количества информации для предоставления доказательств в суде. Соответственно, для этого есть обязательное требование - программа даже не должна быть способна вносить изменения в телефон.

Мы сделали read-only-версию Oxygen Phone Manager и выложили её для бесплатного скачивания на нашем сайте. Через некоторое время, проанализировав сумасшедшее количество скачиваний этой версии, а также ситуацию с аналогичными программами других производителей, мы перевели это приложение в разряд коммерческих. Что, надо сказать, не сильно сказалось на его популярности у инспекторов и детективов.

В.Д. Как развивалась программа дальше?

О.Ф. В мае этого года, когда на конференции Mobile Forensic World в Чикаго мы впервые представляли второе поколение «Мобильного Криминалиста», разработанное с нуля и уже с учётом интересов целевой аудитории. Это уже была не одна из версий Oxygen Phone Manager, а совершенно самостоятельное приложение, заточенное под конкретные задачи. Среди тех, кто заинтересовался нашим софтом, был представитель Bundeskriminalamt (немецкой криминальной полиции). Он предложил нам выступить с презентацией и кратким обучающим курсом на ежегодном семинаре криминальной полиции, в ноябре этого года. На что мы с радостью согласились.

К ноябрю «Мобильный криминалист» представлял собой уже достаточно мощное приложение, которое:

Поддерживает более 1000 моделей телефонов.
Умеет вычитывать данные из смартфонов на платформах Symbian OS, Windows Mobile 5/6 и Blackberry.
Имеет удобный интерфейс - единственный случай для подобных приложений, обычно ограничивающихся старомодным деревом файлов и простеньким HEX-вьювером.
Содержит ряд абсолютно уникальных функций, не встречающихся ни в одном конкурирующем продукте.

На последнем пункте остановлюсь поподробнее. Итак, что, недоступное другим подобным программам, умеет «Мобильный Криминалист 2»:

Чтение сообщений из нестандартных папок SMS. Почти все современные телефоны позволяют пользователю создавать дополнительные папки для хранения SMS, например, от определённого адресата или группы адресатов. И ни один стандартный протокол не умеет вычитывать сообщения, которые там хранятся. «Мобильный Криминалист 2» использует свой собственный протокол, что позволяет ему получить доступ к этим данным.
Чтение информации об удалённых SMS-сообщениях из смартфонов на Symbian. Многие наши конкуренты заявляют, что умеют читать удалённые сообщения, забывая, правда, при этом уточнить, что имеются в виду сообщения, хранящиеся на SIM-карте. Они, видимо, не в курсе, что ни один смартфон (а на данный момент и большинство обычных телефонов тоже) не хранит SMS на SIM-карте, используя вместо этого внутреннюю память аппарата. Если даже сообщение было удалено из памяти телефона, но срок его отправки или приёма не превысил 30 дней, «Мобильный Криминалист 2» может считать данные о дате/времени, адресате и содержании такого сообщения.
Чтение информации из устройств на Windows Mobile без участия ActiveSync. Все подобные программы, которые я видел до сегодняшнего дня, используют ActiveSync (ну или Sync Center в Vista) для считывания информации из Windows Mobile-смартфонов. Понятное дело, что это небезопасно, - вместо чтения ActiveSync может легко синхронизировать аппарат с Outlook, и плакали тогда все важные данные. «Мобильный Криминалист 2» ставит в телефон программу-агента, которая работает в обход ActiveSync и поэтому гарантирует неизменность данных в устройстве.
Чтение журнала событий из смартфонов на Symbian OS. Смартфоны на S60 хранят не только историю входящих/исходящих/не принятых звонков, но и журнал отправленных/полученных SMS, выходов в Интернет через WiFi и GPRS и других событий. Считать эту информацию может только «Мобильный Криминалист 2».Аналогично для журнала событий смартфонов Windows Mobile.
Чтение даты и времени последней модификации каждого контакта и события календаря.
Чтение времени передачи сообщения через SMS-центр. Это время не всегда совпадает со временем отправки или получения сообщения, т.к. телефон, например, может быть выключен какое-то время или быть вне зоны действия сети.
Доступ к данным LifeBlog - журнала событий для смартфонов на платформе Nokia S60 3rd Edition.

Собственно, секция LifeBlog и была той «бомбой», которая буквально взорвала интерес аудитории. Дело в том, что LifeBlog, в дополнение к информации о дате и времени каждого события, хранит для него ещё и сетевые координаты: MCC, MNC, LAC - Local area code и CellID - идентификатор соты, к которой в момент отправки SMS или произведения фотоснимка был подключён телефон. Мы научились считывать всю эту информацию и даже, более того, показывать приблизительные координаты каждого события на карте, используя для этого сервис Google Maps.

По этой функции и было больше всего вопросов. Например: можно ли запретить телефону вести подобный журнал (ответ - нет), насколько точно определяются координаты (ответ - в зависимости от близости абонента к сотовой вышке) и другие.

В.Д. В чем отличие ваших программ от конкурентов?

О.Ф. Одним из факторов, выгодно отличающих наше выступление от других (а в Германию приехали и производители двух конкурирующих с нами продуктов), была живая демонстрация программы в реальном времени, в то время как конкуренты ограничились лишь показом слайдов со скриншотами (убогое, я скажу, зрелище). Ну и, конечно, «Мобильный Криминалист 2» заметно выделился интерфейсом и удобством использования. Мы выступали первыми, а после нас была презентация одной известной компании из США. Так я, откровенно говоря, просто внутренне аплодировал докладчику, который долго и упорно объяснял залу, как по шестнадцатеричному коду заголовка данных понять, что именно это за данные (контакт, SMS, файл и т.д.), какие бывают кодировки текста и как, собственно, этот текст прочесть. И всё это после демонстрации «Мобильного Криминалиста», который делает сие автоматически и предоставляет инспектору уже готовые читабельные данные! При этом софт от наших американских коллег стоит заметно дороже нашего и продаётся, кстати, больше.

В.Д. Насколько успешно продвигается распространение этой программы у нас? Есть ли зарубежные заказчики?

О.Ф. Я в очередной раз убедился, что возможности маркетинга (которые значительно богаче у наших известных всему миру конкурентов) плюс американское происхождение (что автоматом даёт возможность заказов из ФБР, ЦРУ, Минобороны и Армии США) являются гораздо более определяющими успех продукта факторами, нежели технологическое совершенство (по которому им до нас, как пешком до Антарктиды). Что же касается России, то я надеюсь, что программа будет внесена в список рекомендуемого оборудования и программного обеспечения для проведения судебно-технической экспертизы на следующий, 2009, год.

В.Д. Желаем вам успехов (смайлик).

Презентацию возможностей программы Forensic Suite можно посмотреть здесь.

Я не мог упустить возможность самостоятельно протестировать «Мобильного криминалиста». После подключения телефона «Криминалист» предлагает считать данные с мобильного телефона. Затем их можно сохранить в виде отчета. Для иллюстрации приведу лишь несколько скриншотов.

Виктор Дашкевич ([email protected])
Опубликовано — 25 ноября 2008 г.

Есть, что добавить?! Пишите... [email protected]

Новости:

13.05.2021 MediaTek представила предфлагманский чипсет Dimensity 900 5G