Журнал "Information Security/ Информационная безопасность" #6, 2024

Рассмотрим некоторые предлагаемые процедуры и алгоритмы более подробно. Алгоритм досмотра смартфона Общий алгоритм досмотра смартфона на предмет наличия цифровых валют дол- жен проводиться в рамках закона и с соблюдением прав человека и конфиден- циальности данных. Он может выглядеть следующим образом с основными шагами: 1. Идентификация и проверка доку- ментов. При пересечении границы про- веряются документы пассажира. Если есть подозрения на возможное наруше- ние законодательства (например, неза- конный ввоз или вывоз цифровых валют), может быть инициирован допол- нительный досмотр. 2. Запрос согласия. Сотрудник тамож- ни может запросить согласие владельца устройства на его проверку. Важно информировать гражданина о целях досмотра и возможных последствиях. 3. Проверка наличия приложений. Спе- циалисты могут просмотреть установ- ленные на смартфоне приложения, свя- занные с цифровыми валютами (напри- мер криптовалютные кошельки, обмен- ники и т.д.). 4. Доступ к данным. Если владелец согласен, таможенник может запросить доступ к кошелькам и учетным записям. Может потребоваться ввод паролей или кодов доступа. 5. Анализ транзакций. После получе- ния доступа к приложениям таможенники могут просмотреть историю транзакций, баланс и другие данные, связанные с цифровыми валютами. 6. Использование специализирован- ного программного обеспечения. В неко- торых случаях могут использоваться инструменты для анализа данных и поиска информации о цифровых валю- тах, которые могут быть скрыты или зашифрованы (например Autopsy). 7. Документирование результатов. Все действия фиксируются для дальнейшего анализа и возможного использования в юридических процедурах. Владелец устройства может получить копию этой документации. 8. Заключение. На основе собранной информации принимается решение о том, есть ли основания для дальнейших действий, таких как задержание средств или привлечение к ответственности. Файлы, реестр и история Для эффективного анализа содержи- мого ноутбука, смартфона или иного личного устройства необходимо пони- мать, какие есть основные криптовалюты и как могут выглядеть логотипы и назва- ния связанные с ними. Посмотрим на цифровые следы от кошельков и приложений связанных с хранением и обменом криптовалют. Файл биткоин -кошелька обычно хра- нится в виде файла с расширением ".dat". Для стандартного кошелька Bitcoin Core этот файл называется "wallet.dat". Он содержит все необходимые данные для управления вашим кошельком, вклю- чая адреса, приватные ключи и инфор- мацию о транзакциях. Местоположение файла "wallet.dat" зависит от операционной системы: l Windows: "C:\Users\<user>\AppData\Roa- ming\Bitcoin\"; l macOS: "/Users/<user>/Library/Applica- tion Support/Bitcoin/"; l Linux: "/home/<user>/.bitcoin/" Файл кошелька Ethereum может хра- ниться в разных местах в зависимости от используемого программного обес- печения для управления кошельком. Вот несколько распространенных вариантов: 1. Geth (Go Ethereum): l Windows: "C:\Users\<user>\AppData\Roa- ming\Ethereum\keystore\". l macOS: "/Users/<user>/.ethereum/key- store/". l Linux: "/home/<user>/.ethereum/keystore/". 2. Mist (официальный кошелек Ethe- reum): l Windows: "C:\Users\<user>\AppData\Roa- ming\Ethereum\". l macOS: "/Users/<user>/Library/Ethereum/". l Linux: "/home/<user>/.ethereum/". 3. В случае использования расшире- ний для браузера, таких как MetaMask , ключи и данные кошелька хранятся в локальном хранилище браузера, и их можно выгрузить в виде отдельных фай- лов. Рекомендуется экспортировать сид- фразу или ключи для создания резерв- ной копии. Важно помнить, что для доступа к средствам в Ethereum-кошельке пона- добятся приватные ключи или сид- фраза. Такие кошельки как Electrum могут запускаться на ПК или ноутбуке даже без установки. Поэтом следы запуска могут остаться только в реестре (напри- мер факт запуска или получения обнов- лений). При нормальных условиях, кошелек хранит свои файлы в зависимости от операционной системы, на которой он установлен. Вот пути хранения файла кошелька Electrum для различных опе- рационных систем: l Windows: "C:\Users\<user>\AppData\Roa- ming\Electrum". l macOS "/Users/<user>/Library/Applica- tion Support/Electrum/". l Linux: "/home/<user>/.electrum/". В этих папках содержатся файлы с расширением .dat, которые и представ- ляют собой кошельки. Кошелек Tonkeeper , как и многие другие мобильные приложения для управ- ления криптовалютами, хранит данные в локальном хранилище устройства. Одна- ко точный путь хранения файлов может варьироваться в зависимости от опера- ционной системы и версии приложения. l Android: данные приложения обычно хранятся в каталоге приложения, доступ к которому можно получить только с пра- вами суперпользователя (root). В общем случае, это может выглядеть так: "/data/data/com.tonkeeper/files/". l На iOS данные приложения хранятся в защищенном пространстве, и доступ к ним без джейлбрейка невозможен. Путь к данным также не может быть определен обычными пользователями. l Если используется веб-версия или десктопное приложение, данные могут храниться в локальном хранилище брау- зера или в папке приложения, но точный путь зависит от реализации. Кроме того, в истории просмотров в браузерах (Chrome, Edge, Safari, Firefox) или в закладках (и закрепленных вкладках) могут находится сведения о посещаемых кошельках, биржах, обменниках и иных криптовалютных сервисов. При исследо- вании необходимо учитывать и это. Кошельков и блокчейн-приложений огромное множество. В неохваченных этой статьей случаях при исследовании того или иного личного устройства (ноутбука, смартфона, планшета и пр.) необходимо действовать по аналогии. Выводы На сегодняшний день в России практи- чески не существует эффективного меха- низма отслеживания перемещений холод- ных кошельков и средств, находящихся в них. Эта проблема становится особенно актуальной в условиях быстрого развития технологий в области цифровых активов. Для того чтобы эффективно противо- действовать угрозам, необходимо при- держиваться комплексного подхода, который включает в себя совершен- ствование законодательства и процедур, регулирующих досмотр цифровых устройств и поиск цифровых следов. Необходимо активное обучение и повышение осведомленности сотруд- ников таможенных и пограничных орга- нов, а также других государственных структур, которые могут быть вовлечены в процесс пресечения незаконных дей- ствий, связанных с цифровыми актива- ми. Ведь их готовность и способность оперативно реагировать на новые вызо- вы имеют огромное значение для обес- печения безопасности и законности в сфере цифровых финансов. Не менее важным является решение проблемы экспоненциального роста неза- конных сервисов, зачастую мошенниче- ских, предоставляющих услуги по обходу санкций и незаконному выводу средств. Эти сервисы используют разнообразные схемы, включая фальшивые криптова- лютные обменники и биржи, что затруд- няет не только их пресечение, но и выявле- ние их деятельности на ранних этапах. l автор благодарит сотрудника пограничной службы ф.Любича за помощь в подготовке статьи. • 67 Криптография www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru