Цифрова криміналістика та виявлення CSAM: найгірше місце для схованки

Минулої п’ятниці федеральний суд засудив Девіда Бартелса, жителя Мічігану та колишнього підрядника компанії Maytag Fuels на військовій базі Гуантанамо, до п’яти років позбавлення волі за «Володарство дитячою порнографією особою, яка працює на збройні сили за межами Сполучених Штатів». Окрім шокуючого змісту матеріалів, ця справа є яскравим прикладом того, як сучасні цифрові криміналістичні технології та слідчі процеси виявляють незаконний контент, захований у, здавалося б, непроникних носіях інформації.

Передісторія справи

Бартелс купував та зберігав матеріали, пов’язані із сексуальною експлуатацією дітей (CSAM), на кількох пристроях, включаючи вісім зовнішніх USB-накопичувачів (серед яких помітний Western Digital 5TB «WD Elements 2620 USB Device»), ноутбуки, Apple iPad Mini та Samsung Galaxy Z Fold 3. Він намагався забезпечити базову оперативну безпеку, використовуючи Tor Browser для анонімності та зашифровані сервіси синхронізації файлів, такі як Megasync, але допустив критичні помилки:

• Здійснював платежі через PayPal, залишаючи чіткий фінансовий слід.
• Отримував CSAM від контактів, які знали його реальну електронну адресу та номер телефону.
• Використовував класичні назви для «папок з доказами провини»: /NSFW/Nope/Don't open/You were Warned/Deeper/.

Як його спіймали

У січні 2023 року військова кримінальна служба (NCIS) відстежила торговця, який назвав Бартелса як отримувача. За погодженням з капітаном Семюелом Уайтом, агенти NCIS провели слідчий обшук. Бартелс зізнався одразу під час допиту, визнавши, що володіє зашифрованим обліковим записом PayPal та своїми покупками під час перебування на базі.

Висновки судово-медичної експертизи

1. Хеш-аналіз: 41 026 медіафайлів були піддані хешуванню (SHA-256) та порівняні з базою даних Національного центру зниклих і експлуатованих дітей (NCMEC). За допомогою PhotoDNA та MD5 хешів було ідентифіковано 285 відомих жертв серед 1 500 файлів.
2. Списки переходів Windows: Файли .automaticDestinations-ms, розташовані за адресою %APPDATA%MicrosoftWindowsRecentAutomaticDestinations, зафіксували нещодавні відкриття CSAM з WD-накопичувача.
3. Ключ реєстру USBSTOR: У розділі HKLMSYSTEMCurrentControlSetEnumUSBSTOR слідчі виявили, що накопичувач WD Elements востаннє було підключено 31 грудня 2022 року.
4. Артефакти браузера: Файли WebCacheV01.dat та History браузера Edge показали доступ до відеофайлів; places.sqlite у Tor містив закладки до CSAM-сайтів в onion-мережі.
5. Передзавантаження Windows: Імена файлів, такі як VLC.EXE-*.pf та telegram.exe-*.pf, документували останні вісім часових міток запуску, вказуючи на патерни використання.

“Незважаючи на базові знання про шифрування, пан Бартелс неодноразово розкривав свої дії через прості оперативні помилки, що підкреслює: жоден захід не є надійним, коли застосовуються сучасні криміналістичні інструменти.” — Федеральна судова меморандум

Прогрес у криміналістичних інструментах для виявлення CSAM

Після цієї справи правоохоронні органи прискорили впровадження платформ криміналістики на основі штучного інтелекту:

• Magnet AXIOM та Cellebrite UFED: Тепер інтегрують PhotoDNA, нейронні класифікатори та моделі глибокого навчання для виявлення варіацій контенту та зображень, оброблених ШІ.
• Хешування на основі машинного навчання: Відкриті фреймворки генерують перцептивні хеші, стійкі до незначних редагувань, підвищуючи рівень виявлення на 20% у порівнянні зі старими MD5-процесами.
• Тріаж на рівні хмари: Нова хмарна кластерна система ФБР обробляє багатотерабайтні набори доказів за кілька годин, використовуючи прискорене хешування на основі GPU та дешифрування на льоту.

Юридичні та регуляторні наслідки

Справа Бартелса підкреслює еволюцію політики та вказівок щодо покарання:

1. Вимоги до відшкодування: 19 ідентифікованих жертв подали позови на загальну суму $151,500; суд присудив $63,000 загалом, або $3,000 кожному.
2. Обов’язкове звітування: Підрядники на військових об’єктах тепер зобов’язані проходити щорічне навчання з обробки цифрових доказів та вимог термінового звітування.
3. Законодавчі зміни: Запропоновані поправки до Закону про захист наших дітей зобов’язують проводити сканування PhotoDNA або аналогічними засобами на всіх пристроях, що належать уряду США.

Підходи до запобігання та лікування

Експерти підкреслюють, що технології самі по собі не можуть ліквідувати споживання CSAM. Рекомендації включають:

• Когнітивно-поведінкова терапія (CBT) та фармакологічні втручання (SSRIs) для осіб, які піддаються ризику.
• Програми допомоги працівникам (EAP) з анонімним консультуванням, особливо для соціально ізольованих осіб.
• Політики IT з нульовим довір’ям, що забезпечують шифрування дисків з ескроу ключів, білий список додатків та можливості віддаленого вимкнення.

Основні висновки

• Жодна назва папки чи шифрування не є невидимими для сучасних криміналістичних інструментів — кожна дія залишає слід.
• Інтеграція ШІ та обробки в хмарі змінює часові рамки цифрових доказів, скорочуючи їх з тижнів до днів.
• Міждисциплінарні підходи — юридичні, технічні, терапевтичні — є необхідними для ефективної боротьби з CSAM.