ハッキングツールもピアレビューを受ける

政府主導の取り組みは、電子機器から抽出されたデータが法廷で証拠として受け入れられるための道を開きます。

取得したハードドライブは、シリコンバレー地域コンピュータフォレンジックラボに証拠として提出されています。（キム・クリシュ/コービス/ゲッティ）

2002年9月、ザカリアス・ムサウイが9/11攻撃での彼の役割について大陪審によって起訴されてから1年も経たないうちに、ムサウイの弁護士は政府がデジタル証拠をどのように扱っているかについて公式の苦情を申し立てました。彼らは、ムサウイ自身のラップトップからのものを含め、事件の証拠として提出された200台以上のハードドライブのいくつかからデータを抽出するために政府が使用したツールの品質に疑問を呈しました。

政府が反撃したとき、政府はバックアップのために2つの公式文書に頼りました。ソフトウェアツールの動作を詳細に説明した米国国立標準技術研究所（NIST）によって作成された2つのレポートです。文書は、ツールがそれらのデバイスから情報を抽出するための適切なツールであり、政府の弁護士が主張し、それらが正確にそれを行った実績があることを示しました。

デジタルフォレンジックツールに関するNISTレポートが法廷で引用されたのはこれが初めてでした。その最初の登場がこのような注目を集めたケースであったことは、約3年前に開始されたNISTのコンピュータフォレンジックツールテスト（CFTT）プロジェクトの有望なスタートでした。 20年近くにわたるその使命は、デジタル調査で定期的に使用されるハードウェアとソフトウェアを評価するための標準化された科学的基盤を構築することでした。

調査員が使用するツールのいくつかは、比較的安価または無料で、オンラインでダウンロードできるように市販されています。他の人は普通の人が手に入れるのが少し難しいです。これらは本質的にハッキングツールです。ターゲットデバイスに接続し、検索と分析のためにコンテンツを抽出するコンピュータプログラムとガジェットです。

NISTのソフトウェア品質グループを監督するBarbaraGuttman氏は、デジタル証拠コミュニティは、彼らがフォレンジックを正しく行っていることを確認したいと考えていました。そのコミュニティは、国土安全保障省や国立司法省研究所、司法省の研究部門などの政府機関、州および地方の法執行機関、検察および被告側弁護士、民間のサイバーセキュリティ企業で構成されています。

もう生理はしたくない

レポートは、デジタル証拠収集の基準を設定するだけでなく、ユーザーが見ている電子デバイスと抽出したいデータに基づいて、使用するツールを決定するのに役立ちます。また、ソフトウェアベンダーが製品のバグを修正するのにも役立ちます。

今日、CFTTの 明らかにレトロなウェブページ —スタートレック：次世代のエピソードからの引用で飾られています—さまざまなフォレンジックツールに関する数十の詳細なレポートをホストしています。一部のレポートは、削除されたファイルを回復するツールに焦点を当てていますが、他のレポートは、重要なメタデータが欠落しているファイルを再構築できる手法であるファイルカービングを対象としています。

目に見える闇：狂気の回顧録

The レポートの最大のグループ モバイルデバイスからのデータの取得に重点を置いています。スマートフォンは、今では個人的なコミュニケーションと情報の膨大なストアになっているため、法執行機関や検察官にとってますます貴重な証拠源になっていますが、そのデータの機密性により、政府によるアクセスの試みはますます物議を醸しています。

非常に動きの速い空間であり、非常に重要だとガットマン氏は述べています。どのような場合でも、携帯電話が関係する可能性があります。

市販のモバイル抽出ソフトウェアの恐ろしい機能を明らかにした、これらの公開された未編集の政府報告書をめくってみるのは奇妙な気持ちです。 レポート たとえば、わずか2週間前に公開された、サンフランシスコを拠点とするCompelsonLabsによって作成されたMOBILeditForensicExpressと呼ばれるツールについて説明しています。このツールは、Apple iPhone 6、6S、6S Plus、AppleのiPadの2つのバージョン、およびいくつかのSamsungGalaxyスマートフォンとタブレットで動作します。モバイルデバイスから次の種類の情報を抽出できます。

…削除されたデータ、通話履歴、連絡先、テキストメッセージ、マルチメディアメッセージ、ファイル、イベント、メモ、wifiネットワークのパスワード、Skype、Dropbox、Evernote、Facebook、WhatsApp、Viberなどのアプリからのリマインダーとアプリケーションデータ。

の製品ページ MOBILedit Forensic Express ソフトウェアはパスワードとPINを解読してロックされた電話に侵入できると主張していますが、その機能がどれほど効果的かは明らかではありません。ロックされ、暗号化されたスマートフォン、特にiPhoneに侵入することは困難であり、MOBILeditが最新のスマートフォンのセキュリティシステムをすべてバイパスできる可能性はほとんどありません。

FBIが2015年のサンバーナーディーノ銃撃の現場で見つけたiPhone5Cに侵入しようとしたとき、最初は電話のデータにアクセスできず、Appleに助けを求めました。 （おそらく、FBIはMOBILeditやその他の商用ツールにアクセスできたはずです。）Appleは拒否し、FBIは会社に対して訴訟を起こしましたが、エージェントが最終的に侵入したときに撤回しました。

Guttmanは、NISTはテストで電話の暗号化に対応していないと述べています。暗号化は確かに電話やその他のデジタルメディアへの法執行機関のアクセスの問題ですが、その問題は私たちの専門知識とソフトウェアの品質とソフトウェアの理解に焦点を当てた私たちの仕事の種類の範囲外です、と彼女は言いました。

MOBILeditに関するNISTレポートでは、ツールがスマートフォンとモバイルオペレーティングシステムのさまざまな組み合わせに対してどのように機能したかについて説明しています。たとえば、ツールは特に長いiOSノートの最初の69文字しか取得しないことがわかりました。しかし、その問題と他の5つの問題に加えて、ツールはiOSデバイスでの約束どおりに動作しました。

完璧なツールはない、とガットマン氏は語った。使用しているツールの長所と制限を本当に理解する必要があります。

ニュルンベルク裁判は公正でした

一部のより複雑なツールとは異なり、MOBILeditでは、調査員がスマートフォンを開いてその内部を直接操作する必要はありません。ユーザーがデバイスを更新するのと同じように、ソフトウェアはコードでターゲットの電話に接続します。しかし、法執行機関は、ケースをクラックして開くか、パスコードをブルートフォースすることによって、検索対象の電話に強制的に侵入する必要はありません。

場合によっては、役員は電話の所有者に電話を開くように依頼するか、圧力をかけることができます。 NASAのエンジニアであるSiddBikkannavarが、休暇から母国の米国に戻る途中で税関職員に止められたとき、それが起こったのです。別の部屋で約30分。エージェントが電話を返したとき、彼は脅威を検索するためにアルゴリズムを実行すると言いました。 Bikkannavarの電話は、DHSがテストしたモバイル取得ツールの1つで検索された可能性があります。

政府の増え続けるフォレンジックツールレポートのライブラリは、他のテスターに​​よって補完されています。たとえば、ウェストバージニア州のマーシャル大学の法医学センターの大学院生は、NISTが行うのと同じ種類のテストのいくつかを行います。多くの場合、キャンパスで独自のデジタルフォレンジックラボを運営しているウェストバージニア州警察と協力して、展開前に抽出ツールをテストします。結果を投稿します オンライン 、NISTと同じように、これらのツールに関する共有知識の本体を成長させるため。

マーシャルの法医学科学センターの所長であるテリー・フェンガー氏は、ソフトウェアとハ​​ードウェアのシステムを検証していなければ、法廷で問題が発生するだろうと語った。検証プロセスの一部は、iが点在し、tが交差していることを裁判所に示すことです。

と呼ばれる新しいNISTプロジェクト 連合テスト 他の人が自分のテストレポートを簡単に提出できるようになります。これは無料でダウンロード可能なディスクイメージであり、特定の種類のフォレンジックソフトウェアをテストし、レポートを自動的に生成するために必要なすべてのツールが含まれています。プロジェクトからの最初のレポートは最近、ミズーリ州の公選弁護人事務所から届きました。これは、デジタルフォレンジックが法執行の領域だけではないことを示しています。

これらの検証レポートで公開されている技術情報がハッカーや犯罪者がそれらを回避するのに役立つかどうかをFengerに尋ねましたが、検証データは悪意のあるハッカーにとっておそらくあまり価値がないだろうと彼は言いました。それは多かれ少なかれ物事がどのように機能するかの要点に過ぎない、とフェンガーは言った。そこにいるハッカーのほとんどは、これらの検証のレベルをはるかに超えています。