Издание «Холод»* опубликовало историю 31-летнего россиянина-релоканта, который рассказал, что при возвращении в страну для оформления нового загранпаспорта сотрудники ФСБ на границе смогли восстановить на его телефоне удаленные данные. IT-эксперты Владимир Каталов и Владимир Зыков объяснили RTVI, как такое возможно.
Спустя сутки после публикации материала «Холод»* добавил в него обновление: уточняется, что у героя материала был iPhone 13, а в iCloud хранилась копия устройства. «Вероятно, восстановить удаленные приложения, фотографии и смс смогли из этой копии», — пишет издание.
Что произошло?
Собеседник «Холода»* (его настоящее имя не называется, в публикации он фигурирует как Иван) уехал из России в сентябре 2022 года после объявления частичной мобилизации. Мужчина с семьей прожил полтора года в Турции, а затем перебрался в Черногорию, но после переезда потерял свой загранпаспорт.
По словам Ивана, в российском посольстве ему заявили, что восстановить документ можно только в России. Мужчина утверждает, что по прибытии в аэропорт Внуково его допрашивали более пяти часов некие сотрудники, которые не представились.
Перед беседой Иван удалил со смартфона приложения TikTok и WhatsApp, некоторые фотографии и сообщения, а также вышел из основного аккаунта в Telegram. Во время разговора у мужчины, по его словам, забрали телефон и «проводом подключили к компьютеру».
«Когда я открыл телефон, увидел, что там восстановлено не только то, что я удалил перед допросами, но и приложения, и смс, которые я удалял год назад или еще раньше», ― утверждает Иван.
Он отметил, что перед восстановлением приложений надо проходить авторизацию через Face ID, но сотрудникам его лицо «даже не понадобилось — они вошли в приложения сами».
Эксперты правозащитного проекта «Первый отдел»* предположили, что для восстановления удаленных данных могли быть использованы разработки израильской компании Cellebrite или программный комплекс «Мобильный криминалист».
После покушения на кандидата в президенты США Дональда Трампа Bloomberg и The Washington Post (WP) писали со ссылкой на источники, что программное обеспечение Cellebrite использовалось для доступа к телефону Томаса Мэттью Крукса, стрелявшего в политика. По данным изданий, сотрудникам ФБР потребовалось менее 40 минут, чтобы взломать устройство.
Мнения экспертов
В разговоре с RTVI директор Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков назвал «элементарным» восстановление удаленных данных. Причем не только для силовиков, но и «для кого угодно».
Он отметил, что информацию можно вычистить из телефона с помощью специального программного обеспечения. Но в чистом виде удаление, «конечно же, не дает никакой гарантии того, что эти данные потом не могут быть восстановлены».
«Дело в том, что технологически, когда вы удаляете что-то со своего флеш-носителя, оно по факту не удаляется, оно просто для системы помечается как удаленное. Она не видит занятый сектор памяти и просто берет и, фактически, когда вы какую-то новую информацию создаете, перезаписывает новую информацию на старую», — пояснил Зыков.
По его словам, возможность восстановить данные зависит не от срока давности удаления, а от того, как операционная система работает с файлами, жестким диском и SSD-накопителем.
«Если она в тот сектор, где были ранее сохранены данные, не обращалась для того, чтобы сохранить новые данные, то, конечно же, они будут восстановлены. Причем они восстанавливаются довольно хаотически. То есть вы никогда не предскажете, в какой части секторов хранится та или иная информация, поэтому иногда всплывают какие-то старые, давно забытые файлы», — рассказал Зыков.
Он отметил, что возможность восстановить данные также не зависит от того, насколько старая или новая модель телефона.
«Это вопрос того, как операционная система взаимодействует с накопителями, а этот принцип не меняется уже десятки лет. Операционки существуют для обычных пользователей с 1990-х, по этому принципу они работают многие годы, поэтому — да, восстановить можно все, что удалено было с жесткого диска. Если оно не было потом почищено по секторам, то его можно восстановить», — заключил эксперт.
Генеральный директор российской компании «Элкомсофт» Владимир Каталов в беседе с RTVI заявил, что восстановить абсолютно все удаленные с телефона данные невозможно.
По словам эксперта, сейчас в мире существует несколько программ, с помощью которых возможно вернуть стертую с мобильных устройств информацию.
Каталов пояснил, что такое ПО «очень популярно» у силовых ведомств во всех странах. В частности, сотрудники правоохранительных органов используют его для расследования преступлений.
«Cellebrite в этом направлении в принципе №1 в мире. Это израильская компания, которая два-три года назад была куплена американским концерном. Они (Cellebrite) на этом рынке около 20 лет. [Журналисты] ссылались, наверное, на комплекс UFED Touch 2? У Cellebrite диапазон продуктов достаточно широкий. Есть продукты для извлечения данных с мобильных телефонов, есть для последующего анализа, нахождения нужной информации», — уточнил гендиректор «Элкомсофт».
UFED Touch 2 — портативный аппаратно-программный комплекс для криминалистических исследований. Он позволяет извлекать, декодировать и анализировать доказательные данные, полученные из различных моделей мобильных устройств.
Еще несколько лет назад Cellebrite была одним из крупнейших игроков на российском рынке и «абсолютно официально» поставляла свою продукцию силовым структурам, отметил Каталов.
«Года три-четыре назад они с российского рынка ушли под давлением правозащитников. Сейчас какое-то количество старых лицензий осталось в России, безусловно. Но я не знаю, обновляются ли они, попадают ли в Россию новые версии продуктов Cellebrite. Если это делается, то по каким-то таким схемам нам неведомым», — сказал эксперт.
Однако, Cellebrite — не единственная компания, разрабатывающая подобные продукты. Аналогичное ПО выпускают, например, шведская MSAB и американская Oxygen Forensics.
«У Oxygen Forensics есть российская сестра, которая продает фактически тот же продукт, но в России она называется MКО «Системы». Раньше они тоже назывались Oxygen. Функционал где-то, естественно, отличается, особенно по iPhone и Android. Функции очень разные, в зависимости от очень многих условий», — пояснил Каталов.
Российская компания «Элкомсофт» тоже работает на этом рынке, но только с устройствами Apple. С помощью разработанного «Элкомсофт» ПО можно «вскрыть» пароль на iPhone и «достать» из него нужную информацию.
«Если телефон закрыт паролем, но пароль неизвестен, его далеко не всегда можно узнать. И это даже не связано ни со сложностью, ни с длинной пароля. Если пароль известен, есть задача достать максимум данных из телефона, ну и, в частности, восстановить удаленные данные», — полагает гендиректор «Элкомсофт».
По его словам, частично удаленные данные восстанавливаются «иногда с огромным количеством оговорок»: «То есть такого, что можно восстановить все удаленное, этого нигде, наверное, нет. Возможно, кроме каких-то совсем древних китайских моделей».
Само ПО для восстановления удаленных данных с устройств, «как и другие подобные продукты, секрета не представляют», добавил Каталов.
Он также отметил, что такие продукты «не всегда продаются обычным коммерческим пользователям, компаниям и частным лицам, они поставляются в силовые структуры».
«Но в настоящий момент ни одна из известных мне западных компаний подобные продукты в Россию не поставляет, по крайней мере официально. Во-первых, продукты очень дорогие — они стоят от $10 тыс. Во-вторых, даже для государственных и силовых структур есть определенные фильтры и ограничения, то есть далеко не все их могут купить. Те, кто покупают, обычно подписывают NDA (соглашение о неразглашении. — Прим. RTVI) и не имеют права раскрывать, каким именно функционалом обладает конкретная приобретенная версия», — заключил Каталов.
Как ФСБ могла восстановить удаленные с телефона данные?
Поскольку в публикации «Холода»* не упоминалась модель смартфона, на котором ФСБ якобы смогла восстановить все удаленные данные, Владимир Каталов затруднился однозначно оценить, правдивость этой информации.
Однако, по его словам, стертая с устройства файлы восстанавливаются «с трудом, слабо».
«Важно, когда именно информация удалялась. Если давно, то скорее всего, данные уже перетерты какими-то более свежими. Если удалена только что, то тогда шансы на восстановление хорошие. Взлом пароля на телефоне — задача серьезная, она более-менее хорошо решается для большинства бюджетных китайских телефонов, и очень плохо решается — а иногда не решается совсем — для современных китайских, корейских смартфонов и так далее», — пояснил эксперт.
Он отметил, что инцидент, о котором написал «Холод»*, можно было бы комментировать детальнее только при наличии большего количества информации.
По словам Каталова, очень важно, насколько новая модель телефона была у человека, поскольку, чем новее телефон, тем сложнее восстанавливать данные.
«Есть новые модели, но построенные на бюджетных процессорах, например, китайской (тайваньской. — Прим. RTVI) компании MediaTek, которые даже, если они вышли пару месяцев назад, их вскрыть практически всегда можно. Есть старые модели, которые не ломаются до сих пор, ну, условно, не ломаются. То есть, опять же, мы всего не знаем», — сказал IT-эксперт.
Каталов не исключает, что мужчина, о котором написал «Холод»*, под возможным давлением или с помощью методов социальной инженерии сам сказал пароль от своего телефона.
«Или ему сказали, условно: “Давай, звони своему адвокату или друзьям”. Он разблокировал телефон, чтобы совершить звонок, а у него телефон просто забрали в этом состоянии и дальше начали извлечение оттуда данных и их анализ», — предположил собеседник RTVI.
По словам гендиректора «Элкомсофт», процедура восстановления данных «делается не быстро, далеко не на коленке». Чаще всего ее проводят она в лабораториях, которые есть «в разных совсем подразделениях — и российских, и нероссийских». «Если дело происходило в России, то понятно. Скорее всего, это находится в компетенции ФСБ», — сказал Каталов.
По его словам, многое зависит от того, насколько сильная защита установлена в телефоне изначально. Но есть и другие важные параметры.
«Еще ряд факторов: насколько интенсивно он использовался, сколько там памяти было свободно, прятал ли человек специально какие-то данные или не прятал. То есть факторов, как минимум десяток. [Что касается устройств Apple], начиная с iPhone 12, если он выключенный, у него состояние изначально такое, что его вскрыть невозможно вообще никак, никакими способами. Ну и удаленные данные из из iPhone извлекаются очень тяжело. Обычно это… В общем, такие крохи. Скажем, удаленную фотографию восстановить невозможно совсем никакими способами. Она просто физически уже не существует», — заключил Каталов.
* внесены Минюстом России в реестр иноагентов