Forensic Suite

Мобільний телефон зберігає масу інформації, яка може розповісти про власника багато цікавих речей. І зазвичай ця інформація не призначена для стороннього погляду. Однак бувають випадки, коли така інформація необхідна правоохоронним органам. І питання її вилучення та інтерпретації може бути дуже важливим. Однією з таких програм є «Мобільний криміналіст» (або Forensic Suite). Нам випала можливість поставити кілька запитань одному з керівників компанії Oxygen Software Олегу Федорову. Його розповідь виявився досить цікавим.

Віктор Дашкевич. Олег, розкажіть, кому прийшла в голову ідея створення програми «Мобільний криміналіст».

Олег Федоров. «Мобільний Криміналіст» (він же - «Oxygen Forensic Suite») з'явився в лінійці наших продуктів випадково. Все почалося з того, що деякі користувачі Oxygen Phone Manager, переважно працюють у поліції, митниці і різних державних структурах, стали дружно просити нас зробити версію програми, в якій би була заборонена будь-який запис в телефон.

Ми щиро дивувалися, навіщо їм це потрібно і чим їх не влаштовує пробна версія, в якій, я нагадаю, за 1 сеанс роботи з програмою можна внести тільки 1 зміна в кожному з розділів.

Через деякий час представники поліції Великобританії пояснили нам, які завдання вони збираються вирішувати за допомогою такої ось «урізаної» версії Oxygen Phone Manager. А саме: читання з телефонів підозрюваних максимальної кількості інформації для надання доказів у суді. Відповідно, для цього є обов'язкова вимога - програма навіть не повинна бути здатна вносити зміни в телефон.

Ми зробили read-only-версію Oxygen Phone Manager і виклали її для безкоштовного скачування на нашому сайті. Через деякий час, проаналізувавши божевільна кількість скачувань цієї версії, а також ситуацію з аналогічними програмами інших виробників, ми перевели цю програму в розряд комерційних. Що, треба сказати, не сильно позначилося на його популярності в інспекторів і детективів.

В.Д. Як розвивалася програма далі?

О.Ф. У травні цього року, коли на конференції Mobile Forensic World в Чикаго ми вперше представляли друге покоління «Мобільного криміналісти», розроблене з нуля і вже з урахуванням інтересів цільової аудиторії. Це вже була не одна з версій Oxygen Phone Manager, а зовсім самостійний додаток, заточене під конкретні завдання. Серед тих, хто зацікавився нашим софтом, був представник Bundeskriminalamt (німецької кримінальної поліції). Він запропонував нам виступити з презентацією та коротким повчальним курсом на щорічному семінарі кримінальної поліції, у листопаді цього року. На що ми з радістю погодилися.

До листопада «Мобільний криміналіст» представляв собою вже досить потужна програма, яка:

Підтримує більше 1000 моделей телефонів.
Вміє вичитувати дані з смартфонів на платформах Symbian OS, Windows Mobile 5 / 6 і Blackberry.
Має зручний інтерфейс - єдиний випадок для подібних програм, зазвичай обмежуються старомодним деревом файлів і простеньким HEX-вьюверов.
Містить ряд абсолютно унікальних функцій, які не зустрічаються в жодному конкуруючому продукті.

На останньому пункті зупинюся детальніше. Отже, що, недоступне іншим подібним програмам, вміє «Мобільний Криміналіст 2»:

Читання повідомлень з нестандартних папок SMS. Майже всі сучасні телефони дозволяють користувачеві створювати додаткові папки для зберігання SMS, наприклад, від певного адресата або групи адресатів. І ні один стандартний протокол не вміє вичитувати повідомлення, які там зберігаються. «Мобільний Криміналіст 2» використовує свій власний протокол, що дозволяє йому отримати доступ до цих даних.
Читання інформації про видалені SMS-повідомленнях з смартфонів на Symbian. Багато наших конкурентів заявляють, що вміють читати видалені повідомлення, забуваючи, правда, при цьому уточнити, що маються на увазі повідомлення, що зберігаються на SIM-картці. Вони, мабуть, не в курсі, що ні один смартфон (а на даний момент і більшість звичайних телефонів теж) не зберігає SMS на SIM-картці, використовуючи замість цього внутрішню пам'ять апарата. Якщо навіть повідомлення було видалено з пам'яті телефону, але термін його відправки або прийому не перевищив 30 днів, «Мобільний Криміналіст 2» може вважати дані про дату / час, адресата і зміст такого повідомлення.
Читання інформації з пристроїв на Windows Mobile без участі ActiveSync. Всі подібні програми, які я бачив до сьогоднішнього дня, використовують ActiveSync (ну або Sync Center в Vista) для зчитування інформації з Windows Mobile-смартфонів. Ясна річ, що це небезпечно, - замість читання ActiveSync може легко синхронізувати апарат з Outlook і плакали тоді всі важливі дані. «Мобільний Криміналіст 2» ставить у телефон програму-агента, яка працює в обхід ActiveSync і тому гарантує незмінність даних у пристрої.
Читання журналу подій з смартфонів на Symbian OS. Смартфони на S60 зберігають не тільки історію вхідних / вихідних / не прийнятих дзвінків, але й журнал відправлених / отриманих SMS, виходів в Інтернет через WiFi і GPRS та інших подій. Вважати цю інформацію може тільки «Мобільний Криміналіст 2». Аналогічно для журналу подій смартфонів Windows Mobile.
Читання дати і часу останньої модифікації кожного контакту і календарі.
Читання часу передачі повідомлення через SMS-центр. Цей час не завжди збігається з часом відправлення або отримання повідомлення, т.к. телефон, наприклад, може бути виключений якийсь час або бути поза зоною дії мережі.
Доступ до даних LifeBlog - журналу подій для смартфонів на платформі Nokia S60 3rd Edition.

Власне, секція LifeBlog і була тією «бомбою», яка буквально розірвала інтерес аудиторії. Справа в тому, що LifeBlog, на додаток до інформації про дату і час кожної події, зберігає для нього ще й мережні координати: MCC, MNC, LAC - Local area code та CellID - ідентифікатор соти, до якої в момент відправки SMS або твори фотознімку був підключений телефон. Ми навчилися зчитувати всю цю інформацію і навіть, більше того, показувати приблизні координати кожної події на мапі, використовуючи для цього сервіс Google Maps.

З цієї функції і було найбільше запитань. Наприклад: чи можна заборонити телефону вести подібний журнал (відповідь - ні), наскільки точно визначаються координати (відповідь - залежно від близькості абонента до стільникового вишці) та інші.

В.Д. У чому відмінність ваших програм від конкурентів?

О. Ф. Одним з факторів, що вигідно відрізняють наш виступ від інших (а в Німеччину приїхали і виробники двох конкуруючих з нами продуктів), була жива демонстрація програми в реальному часі, в той час як конкуренти обмежилися лише показом слайдів зі скріншотами (убоге, я скажу, видовище). Ну і, звичайно, «Мобільний Криміналіст 2» помітно виділився інтерфейсом і зручністю використання. Ми виступали першими, а після нас була презентація однієї відомої компанії з США. Так я, відверто кажучи, просто внутрішньо аплодував доповідачу, який довго і наполегливо пояснював залі, як по шістнадцятковому коду заголовка даних зрозуміти, що саме це за дані (контакт, SMS, файл і т.д.), які бувають кодування тексту і як , власне, цей текст прочитати. І все це після демонстрації «Мобільного Криміналісти», який робить це автоматично і надає інспектору вже готові читабельні дані! При цьому софт від наших американських колег коштує помітно дорожче нашого і продається, до речі, більше.

В.Д. Наскільки успішно просувається розповсюдження цієї програми у нас? Чи є зарубіжні замовники?

О.Ф. Я в черговий раз переконався, що можливості маркетингу (які значно багатшими у наших відомих всьому світу конкурентів) плюс американське походження (що автоматом дає можливість замовлень з ФБР, ЦРУ, Міноборони і Армії США) є набагато більш визначають успіх продукту факторами , ніж технологічну досконалість (за яким їм до нас, як пішки до Антарктиди). Що ж стосується Росії, то я сподіваюся, що програма буде внесена в список рекомендованого обладнання та програмного забезпечення для проведення судово-технічної експертизи на наступний, 2009, рік.

В.Д. Бажаємо вам успіхів (смайлик).

Презентацію можливостей програми Forensic Suite можна подивитися тут .

Я не міг упустити можливість самостійно протестувати «Мобільного криміналіста». Після підключення телефону «Криміналіст» пропонує вважати дані з мобільного телефону. Потім їх можна зберегти у вигляді звіту. Для ілюстрації наведу лише кілька скріншотів.

Віктор Дашкевич ( viktor.dashkevich @ ua-mobile.com )
Опубліковано - 25 листопада 2008

Є, що додати?! Пишіть ... eldar@ua-mobile.com

Новини: