27
Давайте честно: вы можете найти хоть переписку Бен Ладена с инопланетянами, но если вы притащите это в суд на флешке, которую нашли у себя в кармане джинсов после стирки, адвокат защиты сделает из вас посмешище.
Я видел десятки дел, где блестящая работа форензика летела в мусорку только потому, что кто-то решил, что “просто скопировать файлы” – это достаточно. Спойлер: нет, не достаточно. Суд – это не CTF, здесь флаг нужно не просто захватить, а донести, не расплескав по дороге.
Сегодня поговорим о том, как сделать так, чтобы ваши цифровые улики выдержали атаку даже самого дорогого адвоката в костюме от Brioni.
Правило №1: Цепочка поставок (Chain of Custody) – это ваша религия
Если вы не задокументировали, кто, когда, где и как изъял носитель, считайте, что улики у вас нет. Адвокат задаст один простой вопрос: “А где этот жесткий диск валялся между 14:00 и 16:30?”. И если вы промямлите что-то вроде “Ну, он лежал у меня на столе, пока я ходил за кофе”, поздравляю, вы проиграли.
Ваша задача – создать непрерывную историю жизни улики.
Запомните: в суде верят не вашим честным глазам, а скучным бумажкам с подписями.
Правило №2: Не работайте с оригиналом, камикадзе вы мои
Это классика, за которую нужно бить линейкой по рукам. Никогда, слышите меня, никогда не проводите анализ на оригинальном носителе.
Первое, что спросит грамотный эксперт со стороны защиты: “А менялась ли хеш-сумма диска в процессе вашего исследования?”. Если вы включили комп подозреваемого, чтобы “просто глянуть”, Windows радостно обновит метки времени доступа к файлам, создаст пару временных файлов и изменит реестр. Всё. Целостность нарушена. Адвокат скажет, что вы могли подкинуть туда детское порно или секретные чертежи Звезды Смерти. И судья ему поверит.
Как надо:
Правило №3: Инструменты с лицензией, а не с торрентов
Я понимаю, соблазн велик. Зачем платить $10k за EnCase или Cellebrite, если на трекере лежит крякнутая версия?
Объясняю на пальцах. Крякнутый софт – это черный ящик. Никто не гарантирует, что при взломе защиты хакер не сломал алгоритм работы программы. В суде вас спросят: “Вы использовали нелицензионное ПО, которое было модифицировано неизвестными лицами. Можете ли вы гарантировать, что оно работает корректно?”.
Ваш ответ “Ну вроде норм работало” вызовет гомерический хохот у защиты. Используйте валидированный софт. Или Open Source (Autopsy, например), но будьте готовы объяснить, как он работает, и сослаться на методички NIST.
Правило №4: Скриншот — это не доказательство
“Ваша честь, вот скриншот переписки в Телеграме”. Серьезно? Я вам такой скриншот в Фотошопе за 3 минуты нарисую, где вы признаетесь в любви к резиновым уточкам.
Скриншот имеет вес только как иллюстрация к полноценному дампу. Вы должны вытащить базу данных мессенджера, распарсить её, найти сообщение, его метаданные, ID отправителя и получателя, статус доставки. Только совокупность технических данных делает картинку доказательством.
И да, если вы занимаетесь OSINT-ом и фиксируете веб-страницу – используйте специализированные сервисы для веб-архивации с цифровой подписью и хешированием содержимого (типа Wayback Machine или платных аналогов для юристов), а не просто кнопку PrtScrn.
Итог: будьте параноиком
Суд – это война формализма. Ваша задача – не просто найти злодея, а сделать так, чтобы к вашей работе было невозможно подкопаться технически.
Пишите отчеты так, будто их будет читать ваша бывшая, которая ищет любой повод, чтобы вас унизить. Каждое действие должно быть воспроизводимым. Другой эксперт должен взять ваш образ, ваши инструменты, ваши инструкции и получить абсолютно тот же результат.
Если вы не можете это гарантировать – лучше вообще не беритесь. Цифровая криминалистика ошибок не прощает.
А теперь идите и сделайте бэкап, пока не поздно.