- Сообщения
- 74
- Реакции
- 96
Шесть утра, звонок в дверь, голос "откройте, полиция". У тебя от 30 секунд до 3 минут — пока ломают замок или пока ты тянешь время, делая вид что одеваешься. За эти минуты решается, найдут на твоих устройствах всё, частично или ничего. И если ты не подготовился заранее — ты уже проиграл, потому что удалять данные в момент обыска это примерно как натягивать бронежилет когда в тебя уже стреляют.
Эта статья — не теория и не пересказ Википедии. Разберём что реально делает эксперт когда получает твой ноутбук, как работает Cellebrite с твоим телефоном, почему обычное удаление не стирает ничего, и — самое важное — как подготовиться так, чтобы доставать было нечего.
Что происходит с твоей техникой после изъятия
По закону (ст. 182 УПК РФ) изъять технику могут при обыске по судебному решению — или без него, если следователь решит что "не терпит отлагательства" (и потом задним числом утвердит у судьи, что почти всегда проходит). Изымают всё: ноутбуки, телефоны, планшеты, флешки, внешние диски, роутеры. Даже microSD из навигатора в машине, если захотят.
Дальше техника едет в экспертный отдел, и вот тут начинается самое интересное. Эксперт-криминалист получает устройство и действует по протоколу — первым делом снимает побитовую копию носителя (image) через write-blocker, чтобы не изменить ни одного бита на оригинале. Работает только с копией. Инструменты — EnCase, FTK, X-Ways Forensics, Belkasoft, Autopsy. Это не какой-то хакерский софт, это стандартные программы которые стоят в каждом экспертном подразделении от Москвы до Хабаровска.
Что эксперт видит на незашифрованном диске:
На HDD всё это восстанавливается почти гарантированно — данные физически остаются на пластинах, пока не перезаписаны другими данными. Даже после форматирования. Даже после "очистки корзины". Для экспертов это рутина — скормил образ в Autopsy, подождал час, получил дерево всех когда-либо существовавших файлов.
С SSD чуть сложнее — контроллер сам решает куда писать и когда стирать (TRIM), поэтому часть удалённых данных может ��ыть реально уничтожена. Но — и это важный "но" — over-provisioning (скрытая область которую ОС не видит) может хранить старые данные неопределённо долго. А если SSD подключён через USB-адаптер (как при изъятии), TRIM не работает вообще, и всё лежит как на HDD.
Телефон — Cellebrite и компания
Телефоны — главный источник доказательств. По статистике 2026 года, смартфоны фигурируют в 97% уголовных дел с цифровыми доказательствами. И инструменты для их вскрытия у полиции есть — Cellebrite UFED Premium, GrayKey (Magnet Forensics), MSAB XRY. Стоят они от $15,000 до $30,000 в год, но окупаются с первого дела.
Что могут извлечь: звонки, SMS, мессенджеры (WhatsApp, Telegram, Signal — если ключи в памяти), фото с геолокацией, историю браузера, пароли из keychain, WiFi-подключения (а значит и места где ты бывал), данные приложений, удалённый контент, и даже биометрию.
Но есть принципиальная разница между двумя состояниями телефона — BFU и AFU, и от этого зависит всё.
BFU (Before First Unlock) — телефон был выключен или перезагружен и ни разу не разблокирован паролем. В этом состоянии данные зашифрованы аппаратным ключом, который хранится в Secure Enclave (iPhone) или Titan M (Pixel). Cellebrite из BFU-состояния вытащит максимум метаданные, системные логи, кеш уведомлений. Пользовательские данные — зашифрованы и недоступны.
AFU (After First Unlock) — телефон хотя бы раз был разблокирован после включения. Даже если сейчас экран залочен. В этом состоянии ключи шифрования уже загружены в память, и Cellebrite может извлечь до 95% файловой системы — фото, переписки, пароли, всё.
Разница колоссальная. Телефон который ты просто заблокировал кнопкой — в AFU, и он уязвим. Телефон который ты выключил — в BFU, и его Cellebrite не вскроет (если прошивка свежая).
Что может и не может Cellebrite в 2026:
iPhone 15/16 + iOS 18.1+ — Cellebrite не может разблокировать. Статус "In Research". GrayKey тоже показывает только "partial" — незашифрованные файлы и структуру папок.
iPhone 14 + iOS 17 — полный доступ к файловой системе в AFU-состоянии. Keychain, удалённые данные, приложения.
Android — зависит от производителя. Google Pixel 6/7/8 в BFU-состоянии — Cellebrite не может брутфорсить. Samsung Galaxy S серии — часто вскрывается. Дешёвые китайские аппараты — вскрываются почти всегда.
USB Restricted Mode (iPhone) — через час после блокировки Lightning/USB-C порт переходит в режим "только зарядка". Cellebrite не видит устройство. Но если телефон изъяли в AFU до истечения часа — защита не сработала.
Lockdown Mode (iPhone) — включение/выключение требует перезагрузку, которая переводит в BFU. FBI публично заявляли что не смогли извлечь данные с iPhone 13 в Lockdown Mode.
Первое правило: шифрование ДО того как постучали
Единственная надёжная защита — это шифрование которое было настроено заранее. Не "сейчас быстренько зашифрую", а система которая работает каждый день.
Полнодисковое шифрование (FDE):
Если FDE включён и ноутбук выключен — эксперт получает кусок зашифрованных данных, неотличимых от случайного шума. Без пароля он не сделает ничего. Passware Kit 2025 умеет брутфорсить VeraCrypt/BitLocker, но только если есть дамп RAM или слабый пароль. С паролем на 20+ символов брутфорс займёт больше времени чем существует вселенная.
Но если ноутбук был включён или в спящем режиме — ключи шифрования в RAM. И тут теоретически работает cold boot attack: замораживают RAM (хоть баллончиком с газом, хоть жидким азотом), вытаскивают планку, вставляют в другой комп и дампят. При -25°C данные в RAM сохраняются 4-5 минут с потерей менее 2%. Но на практике в российской криминалистике cold boot attack не применяется — нет оборудования, нет обученных специалистов, нет протоколов. Это угроза уровня ФБР/NSA, не районного следственного отдела.
VeraCrypt — hidden volume и plausible deniability
Полнодисковое шифрование защищает данные, но не скрывает факт шифрования — эксперт видит что диск зашифрован. И может потребовать пароль (в РФ — давление через статус подозреваемого, хотя формально ты не обязан свидетельствовать против себя по ст. 51 Конституции). В некоторых странах (Великобритания, Австралия) отказ выдать пароль — отдельное уголовное преступление.
VeraCrypt решает это через hidden volume — скрытый том внутри обычного зашифрованного контейнера. Суть: создаёшь контейнер с двумя паролями. Первый пароль открывает "внешний" том — туда кладёшь безобидные файлы (фотки, документы, порнуху — что-то что объясняет зачем тебе шифрование). Второй пароль открывает "скрытый" том — там настоящие данные. Без второго пароля невозможно математически доказать что скрытый том существует, потому что свободное место зашифрованного контейнера заполнено рандомными данными при создании.
Как это выглядит для эксперта:
Он видит файл-контейнер VeraCrypt (или целый раздел). Требует пароль. Ты даёшь первый. Он видит "внешний" том с безобидным содержимым. У него нет математического способа доказать что внутри есть ещё один том.
Что может спалить hidden volume:
Passware Kit 2025 заявляет что может "расшифровать hidden volumes" — но только через анализ дампа RAM или атаку на слабый пароль. Если пароль стойкий и RAM не дампили — без шансов.
Tails — компьютер без следов
Tails OS — Live-система которая загружается с флешки, работает целиком в RAM и при выключении не оставляет следов на хост-машине. Весь трафик идёт через Tor. Нет нужды шифровать диск — на диске ничего нет.
Текущая версия — Tails 6.x (на базе Debian 12). Загружается за 1-2 минуты с USB. При выключении RAM очищается (memory wipe). На жёстком диске компьютера не остаётся ничего — ни файлов, ни логов, ни следов загрузки.
Что нужно знать:
Идеальный сценарий для работы — отдельный ноутбук, загрузка только с Tails, внутренний диск вынут или зашифрован пустым VeraCrypt-контейнером. Эксперт получает ноутбук с пустым диском и BIOS-запись о USB-загрузке. Флешку Tails ты уничтожил (см. ниже).
Телефон — как подготовиться
iPhone (если можешь позволить):
Android (если iPhone не вариант):
Универсальное правило: выключенный телефон в 100 раз безопаснее заблокированного. AFU → BFU — разница между "вскрыли за час" и "не вскрыли вообще".
Экстренное уничтожение — когда стучат в дверь
Если подготовка была сделана правильно (FDE + выключение), то паниковать при обыске не нужно — выключил технику и всё. Но бывают ситуации когда нужно уничтожить конкретную флешку или данные прямо сейчас.
BusKill — USB-кабель с магнитным разъёмом. Цепляется к поясу/ноге. Если ноутбук отобрали и кабель отсоединился — триггерится скрипт: блокировка экрана, выключение, или на Linux — shred LUKS header (уничтожение заголовка шифрования, после чего данные невосстановимы даже с паролем). Стоит ~$50, работает на Linux/macOS/Windows.
Duress password (Kali Linux / cryptsetup-nuke) — специальный пароль, при вводе которого LUKS-заголовок стирается. Выглядит как обычная попытка расшифровать диск, но вместо расшифровки — уничтожение ключей. Данные остаются на диске, но расшифровать их уже невозможно. Для эксперта это выглядит как "ввёл неправильный пароль". Элегантно.
Физическое уничтожение microSD/флешки:
SSD/HDD уничтожение:
На SSD команда `shred` бесполезна — контроллер перенаправляет записи. Надёжные методы:
Облака — забытый вектор
Можно зашифровать все устройства, уничтожить все флешки — и всё равно сесть из-за облака. Потому что следствие отправит запрос в Apple/Google/Microsoft/Telegram, и получит:
Что делать:
Что делать прямо сейчас — чеклист
Подготовка которая занимает вечер и решает 90% проблем:
Ноутбук:
Телефон:
Данные:
Физика:
Ошибки которые сажают людей
Несколько реальных паттернов из уголовных дел:
"Я удалил" — человек удалил файлы и очистил корзину. Эксперт восстановил через карвинг за 20 минут. На HDD удаление не стирает данные физически — оно просто помечает место как свободное.
"У меня пароль на Windows" — пароль Windows без BitLocker это замок на стеклянной двери. Эксперт вытаскивает диск, подключает к своему компу — и видит всё. Пароль ОС защищает только от соседа по комнате, не от криминалиста.
"Telegram же шифрует" — обычные чаты в Telegram Desktop хранятся локально в SQLite-базе. Если диск не зашифрован — эксперт читает всю переписку. Плюс — облачные чаты доступны по запросу к серверам.
"Я пользуюсь VPN" — VPN шифрует трафик, но не данные на диске. Если изъяли ноутбук — VPN вообще нерелевантен.
"Телефон залочен по отпечатку" — при задержании тебя могут физически приложить палец к датчику (и прецеденты есть). Или телефон изъяли в AFU — Cellebrite обойдёт и отпечаток, и Face ID. Только пароль при выключенном телефоне.
"Я не дам пароль, 51-я статья" — формально да, ты не обязан свидетельствовать против себя. На практике — давление, угроза ужесточения обвинения, содержание под стражей. И если у эксперта уже есть дамп RAM или облачный бекап — пароль им не нужен.
Главный вывод: защита работает только если она была настроена ДО обыска и устройства были ВЫКЛЮЧЕНЫ в момент изъятия. Всё остальное — п��лумеры.
Эта статья — не теория и не пересказ Википедии. Разберём что реально делает эксперт когда получает твой ноутбук, как работает Cellebrite с твоим телефоном, почему обычное удаление не стирает ничего, и — самое важное — как подготовиться так, чтобы доставать было нечего.
Что происходит с твоей техникой после изъятия
По закону (ст. 182 УПК РФ) изъять технику могут при обыске по судебному решению — или без него, если следователь решит что "не терпит отлагательства" (и потом задним числом утвердит у судьи, что почти всегда проходит). Изымают всё: ноутбуки, телефоны, планшеты, флешки, внешние диски, роутеры. Даже microSD из навигатора в машине, если захотят.
Дальше техника едет в экспертный отдел, и вот тут начинается самое интересное. Эксперт-криминалист получает устройство и действует по протоколу — первым делом снимает побитовую копию носителя (image) через write-blocker, чтобы не изменить ни одного бита на оригинале. Работает только с копией. Инструменты — EnCase, FTK, X-Ways Forensics, Belkasoft, Autopsy. Это не какой-то хакерский софт, это стандартные программы которые стоят в каждом экспертном подразделении от Москвы до Хабаровска.
Что эксперт видит на незашифрованном диске:
- Все файлы — текущие и удалённые (восстанавливаются через карвинг)
- Историю браузера — даже из инкогнито остаются DNS-кеш, prefetch, thumbnail cache
- Мессенджеры — Telegram Desktop хранит базу в открытом виде, Signal Desktop тоже (SQLite)
- Метаданные файлов — когда создан, изменён, открыт, с какого устройства
- USB-историю — какие флешки подключались, когда и какие файлы копировались
- Кеш и thumbnail — даже если фото удалено, миниатюра может остаться в thumbcache
- Реестр Windows — последние открытые файлы, подключения WiFi (с паролями), история поиска
- Swap/pagefile/hiberfil — куски оперативной памяти сбрасываются на диск, там могут быть пароли, ключи шифрования, открытые документы
На HDD всё это восстанавливается почти гарантированно — данные физически остаются на пластинах, пока не перезаписаны другими данными. Даже после форматирования. Даже после "очистки корзины". Для экспертов это рутина — скормил образ в Autopsy, подождал час, получил дерево всех когда-либо существовавших файлов.
С SSD чуть сложнее — контроллер сам решает куда писать и когда стирать (TRIM), поэтому часть удалённых данных может ��ыть реально уничтожена. Но — и это важный "но" — over-provisioning (скрытая область которую ОС не видит) может хранить старые данные неопределённо долго. А если SSD подключён через USB-адаптер (как при изъятии), TRIM не работает вообще, и всё лежит как на HDD.
Телефон — Cellebrite и компания
Телефоны — главный источник доказательств. По статистике 2026 года, смартфоны фигурируют в 97% уголовных дел с цифровыми доказательствами. И инструменты для их вскрытия у полиции есть — Cellebrite UFED Premium, GrayKey (Magnet Forensics), MSAB XRY. Стоят они от $15,000 до $30,000 в год, но окупаются с первого дела.
Что могут извлечь: звонки, SMS, мессенджеры (WhatsApp, Telegram, Signal — если ключи в памяти), фото с геолокацией, историю браузера, пароли из keychain, WiFi-подключения (а значит и места где ты бывал), данные приложений, удалённый контент, и даже биометрию.
Но есть принципиальная разница между двумя состояниями телефона — BFU и AFU, и от этого зависит всё.
BFU (Before First Unlock) — телефон был выключен или перезагружен и ни разу не разблокирован паролем. В этом состоянии данные зашифрованы аппаратным ключом, который хранится в Secure Enclave (iPhone) или Titan M (Pixel). Cellebrite из BFU-состояния вытащит максимум метаданные, системные логи, кеш уведомлений. Пользовательские данные — зашифрованы и недоступны.
AFU (After First Unlock) — телефон хотя бы раз был разблокирован после включения. Даже если сейчас экран залочен. В этом состоянии ключи шифрования уже загружены в память, и Cellebrite может извлечь до 95% файловой системы — фото, переписки, пароли, всё.
Разница колоссальная. Телефон который ты просто заблокировал кнопкой — в AFU, и он уязвим. Телефон который ты выключил — в BFU, и его Cellebrite не вскроет (если прошивка свежая).
Что может и не может Cellebrite в 2026:
iPhone 15/16 + iOS 18.1+ — Cellebrite не может разблокировать. Статус "In Research". GrayKey тоже показывает только "partial" — незашифрованные файлы и структуру папок.
iPhone 14 + iOS 17 — полный доступ к файловой системе в AFU-состоянии. Keychain, удалённые данные, приложения.
Android — зависит от производителя. Google Pixel 6/7/8 в BFU-состоянии — Cellebrite не может брутфорсить. Samsung Galaxy S серии — часто вскрывается. Дешёвые китайские аппараты — вскрываются почти всегда.
USB Restricted Mode (iPhone) — через час после блокировки Lightning/USB-C порт переходит в режим "только зарядка". Cellebrite не видит устройство. Но если телефон изъяли в AFU до истечения часа — защита не сработала.
Lockdown Mode (iPhone) — включение/выключение требует перезагрузку, которая переводит в BFU. FBI публично заявляли что не смогли извлечь данные с iPhone 13 в Lockdown Mode.
Первое правило: шифрование ДО того как постучали
Единственная надёжная защита — это шифрование которое было настроено заранее. Не "сейчас быстренько зашифрую", а система которая работает каждый день.
Полнодисковое шифрование (FDE):
- macOS — FileVault 2. Включён по умолчанию на новых Mac. AES-XTS 256. Работает с Secure Enclave на Apple Silicon. При выключении — данные недоступны без пароля. Если Mac в sleep — ключи в памяти (уязвим для cold boot, но на практике никто в РФ это не делает)
- Windows — BitLocker. Есть в Pro/Enterprise. AES-128 или AES-256. Привязывается к TPM, но можно настроить на пароль при загрузке (что надёжнее). Без пароля или ключа восстановления данные нечитаемы
- Linux — LUKS. Стандарт де-факто. AES-XTS-512. При загрузке спрашивает passphrase. Без него диск — рандомный мусор
Если FDE включён и ноутбук выключен — эксперт получает кусок зашифрованных данных, неотличимых от случайного шума. Без пароля он не сделает ничего. Passware Kit 2025 умеет брутфорсить VeraCrypt/BitLocker, но только если есть дамп RAM или слабый пароль. С паролем на 20+ символов брутфорс займёт больше времени чем существует вселенная.
Но если ноутбук был включён или в спящем режиме — ключи шифрования в RAM. И тут теоретически работает cold boot attack: замораживают RAM (хоть баллончиком с газом, хоть жидким азотом), вытаскивают планку, вставляют в другой комп и дампят. При -25°C данные в RAM сохраняются 4-5 минут с потерей менее 2%. Но на практике в российской криминалистике cold boot attack не применяется — нет оборудования, нет обученных специалистов, нет протоколов. Это угроза уровня ФБР/NSA, не районного следственного отдела.
VeraCrypt — hidden volume и plausible deniability
Полнодисковое шифрование защищает данные, но не скрывает факт шифрования — эксперт видит что диск зашифрован. И может потребовать пароль (в РФ — давление через статус подозреваемого, хотя формально ты не обязан свидетельствовать против себя по ст. 51 Конституции). В некоторых странах (Великобритания, Австралия) отказ выдать пароль — отдельное уголовное преступление.
VeraCrypt решает это через hidden volume — скрытый том внутри обычного зашифрованного контейнера. Суть: создаёшь контейнер с двумя паролями. Первый пароль открывает "внешний" том — туда кладёшь безобидные файлы (фотки, документы, порнуху — что-то что объясняет зачем тебе шифрование). Второй пароль открывает "скрытый" том — там настоящие данные. Без второго пароля невозможно математически доказать что скрытый том существует, потому что свободное место зашифрованного контейнера заполнено рандомными данными при создании.
Как это выглядит для эксперта:
Он видит файл-контейнер VeraCrypt (или целый раздел). Требует пароль. Ты даёшь первый. Он видит "внешний" том с безобидным содержимым. У него нет математического способа доказать что внутри есть ещё один том.
Что может спалить hidden volume:
- Shadow copies (Windows) — если включены, система может сохранить состояние контейнера до и после записи в скрытый том. Разница между копиями = доказательство. Решение: отключить Volume Shadow Copy
- Wear leveling на SSD — контроллер может сохранить старую версию секторов в over-provisioning. Теоретическая угроза, на практике не встречал ни одного кейса извлечения
- Ты сам — если на "внешнем" томе дата последнего доступа к файлам — полгода назад, а ноутбуком ты пользуешься каждый день, эксперт может сделать вывод что реальные данные где-то ещё. Решение: периодически открывать внешний том и работать с файлами в нём
- Утечки в ОС — swap, recent files, thumbnail cache могут содержать следы файлов из скрытого тома. Решение: шифрованный swap (Linux: cryptswap, macOS: включен по умолчанию с FileVault)
Passware Kit 2025 заявляет что может "расшифровать hidden volumes" — но только через анализ дампа RAM или атаку на слабый пароль. Если пароль стойкий и RAM не дампили — без шансов.
Tails — компьютер без следов
Tails OS — Live-система которая загружается с флешки, работает целиком в RAM и при выключении не оставляет следов на хост-машине. Весь трафик идёт через Tor. Нет нужды шифровать диск — на диске ничего нет.
Текущая версия — Tails 6.x (на базе Debian 12). Загружается за 1-2 минуты с USB. При выключении RAM очищается (memory wipe). На жёстком диске компьютера не остаётся ничего — ни файлов, ни логов, ни следов загрузки.
Что нужно знать:
- Persistent Storage — зашифрованный раздел на флешке Tails, где можно хранить файлы между сессиями. Зашифрован LUKS. Но сам факт его существования виден (в отличие от VeraCrypt hidden volume). Если флешку изъяли — эксперт увидит что это Tails с Persistent Storage, хоть и не прочитает содержимое без пароля
- Если нужно хранить что-то постоянное — лучше на отдельной LUKS-флешке, не на самой Tails. Компартментализация
- RAM-артефакты — пока Tails работает, в RAM лежит всё: открытые файлы, пароли, ключи. Если комп изъяли включённым — теоретически можно дампить RAM. На практике: Tails при выключении делает memory wipe, и если ты успел выдернуть флешку или нажать Power — данные в RAM деградируют за секунды
- Хост-машина — на BIOS/UEFI может остаться запись о загрузке с USB. На диске — ничего
Идеальный сценарий для работы — отдельный ноутбук, загрузка только с Tails, внутренний диск вынут или зашифрован пустым VeraCrypt-контейнером. Эксперт получает ноутбук с пустым диском и BIOS-запись о USB-загрузке. Флешку Tails ты уничтожил (см. ниже).
Телефон — как подготовиться
iPhone (если можешь позволить):
- iOS 18.1+ на iPhone 15/16 — Cellebrite и GrayKey не вскрывают. Это самый защищённый вариант на 2026 год
- Lockdown Mode — включить. Отключает часть удобств, но радикально усложняет извлечение
- Пароль — 6+ цифр минимум, лучше буквенно-цифровой (Settings → Face ID → Change Passcode → Passcode Options → Custom Alphanumeric)
- USB Restricted Mode — включён по умолчанию, не отключать
- Автоудаление после 10 попыток — включить (Settings → Face ID → Erase Data)
- iCloud — выключить или хотя бы Advanced Data Protection. Иначе Apple по запросу отдаст бекап со всем содержимым
- При задержании — выключить телефон (BFU). Зажать боковую + громкость, свайп "выключить". Или 5 раз быстро нажать боковую кнопку — телефон требует пароль и отключает биометрию
Android (если iPhone не вариант):
- Google Pixel с GrapheneOS — лучший выбор. Titan M2, шифрование по умолчанию, auto-reboot после 18 часов неактивности (переводит в BFU)
- Stock Android на Pixel — тоже неплохо, но GrapheneOS добавляет duress PIN (вводишь — и данные стираются) и другие фишки
- Samsung — Knox защищает, но Cellebrite вскрывает многие модели. Не лучший выбор
- Китайские бренды (Xiaomi, Realme, Oppo) — считай что данные доступны. Слабая реализация шифрования, бэкдоры производителей
- При задержании — выключить. Не просто заблокировать экран, а именно выключить (power off). В BFU-состоянии Pixel практически неприступен
Универсальное правило: выключенный телефон в 100 раз безопаснее заблокированного. AFU → BFU — разница между "вскрыли за час" и "не вскрыли вообще".
Экстренное уничтожение — когда стучат в дверь
Если подготовка была сделана правильно (FDE + выключение), то паниковать при обыске не нужно — выключил технику и всё. Но бывают ситуации когда нужно уничтожить конкретную флешку или данные прямо сейчас.
BusKill — USB-кабель с магнитным разъёмом. Цепляется к поясу/ноге. Если ноутбук отобрали и кабель отсоединился — триггерится скрипт: блокировка экрана, выключение, или на Linux — shred LUKS header (уничтожение заголовка шифрования, после чего данные невосстановимы даже с паролем). Стоит ~$50, работает на Linux/macOS/Windows.
Duress password (Kali Linux / cryptsetup-nuke) — специальный пароль, при вводе которого LUKS-заголовок стирается. Выглядит как обычная попытка расшифровать диск, но вместо расшифровки — уничтожение ключей. Данные остаются на диске, но расшифровать их уже невозможно. Для эксперта это выглядит как "ввёл неправильный пароль". Элегантно.
Физическое уничтожение microSD/флешки:
- Microfleshka ломается пальцами за 2 секунды — согнул, чип треснул, данные невосстановимы
- USB-флешку сложнее — чип залит пластиком. Молоток, плоскогубцы, или заранее надпилить корпус чтобы ломалась легко
- Если нет времени ломать — микроволновка на 5 секунд. Чип сгорает
- Унитаз — microSD можно смыть, но она не растворится. Если серьёзный обыск — достанут из канализации (да, такое бывает)
SSD/HDD уничтожение:
На SSD команда `shred` бесполезна — контроллер перенаправляет записи. Надёжные методы:
- ATA Secure Erase — `hdparm --security-erase-enhanced` (для SATA SSD)
- NVMe Format — `nvme format /dev/nvme0 -s 2` (криптографическое стирание)
- Физически — вскрыть корпус, достать чипы NAND, сломать/сжечь. Или дрель через корпус
- HDD — мощный неодимовый магнит + дрель через пластины. Или молотком по пластинам
Облака — забытый вектор
Можно зашифровать все устройства, уничтожить все флешки — и всё равно сесть из-за облака. Потому что следствие отправит запрос в Apple/Google/Microsoft/Telegram, и получит:
- iCloud — бекапы (если не Advanced Data Protection), фото, документы, связка ключей, iMessage
- Google Account — почта, Google Drive, Photos (с геолокацией), история поиска, YouTube, хронология перемещений
- Telegram — облачные чаты (не секретные) хранятся на серверах. По запросу выдают IP + номер телефона. Содержимое — спорно, но метаданные точно
- WhatsApp — бекапы на Google Drive/iCloud. По умолчанию незашифрованные (encrypted backup — отдельная настройка)
Что делать:
- iCloud — либо выключить, либо включить Advanced Data Protection (E2EE для бекапов, фото, заметок). Доступно с iOS 16.2
- Google — отключить историю, удалить данные, или не использовать аккаунт привязанный к личности
- Telegram — секретные чаты для важного. Обычные чаты = облако = доступны
- WhatsApp — включить encrypted backup с паролем (Settings → Chats → Chat Backup → End-to-end Encrypted Backup). Или не использовать
- Любой cloud — если данные не E2EE, считай их доступными для следствия
Что делать прямо сейчас — чеклист
Подготовка которая занимает вечер и решает 90% проблем:
Ноутбук:
- Включить FDE (FileVault / BitLocker с PIN / LUKS)
- Пароль 20+ символов, не словарный
- Отключить sleep — только hibernate или shutdown (чтобы ключи не висели в RAM)
- Отключить swap или зашифровать его
- VeraCrypt hidden volume для чувствительного — периодически открывать "внешний" том
- При любой угрозе — выключить, не закрыть крышку
Телефон:
- iPhone 15/16 + iOS 18.1+ или Pixel + GrapheneOS
- Длинный пароль, не 4 цифры
- Lockdown Mode (iPhone) или аналог
- Auto-erase после 10 попыток
- iCloud выключить или ADP
- При угрозе — выключить (power off, не lock)
Данные:
- Рабочие данные — на Tails или зашифрованной флешке, не на основной системе
- Облака — E2EE или не использовать
- Мессенджеры — секретные чаты, автоудаление
- Бекапы — зашифрованные, на отдельном носителе который хранится не дома
Физика:
- BusKill или аналог на рабочий ноутбук
- MicroSD с данными — в легкодоступном месте для быстрого уничтожения
- Заранее потренировать: сколько секунд тебе нужно чтобы выключить ноутбук + телефон + сломать флешку. Засечь таймер. Если больше 30 секунд — оптимизировать
Ошибки которые сажают людей
Несколько реальных паттернов из уголовных дел:
"Я удалил" — человек удалил файлы и очистил корзину. Эксперт восстановил через карвинг за 20 минут. На HDD удаление не стирает данные физически — оно просто помечает место как свободное.
"У меня пароль на Windows" — пароль Windows без BitLocker это замок на стеклянной двери. Эксперт вытаскивает диск, подключает к своему компу — и видит всё. Пароль ОС защищает только от соседа по комнате, не от криминалиста.
"Telegram же шифрует" — обычные чаты в Telegram Desktop хранятся локально в SQLite-базе. Если диск не зашифрован — эксперт читает всю переписку. Плюс — облачные чаты доступны по запросу к серверам.
"Я пользуюсь VPN" — VPN шифрует трафик, но не данные на диске. Если изъяли ноутбук — VPN вообще нерелевантен.
"Телефон залочен по отпечатку" — при задержании тебя могут физически приложить палец к датчику (и прецеденты есть). Или телефон изъяли в AFU — Cellebrite обойдёт и отпечаток, и Face ID. Только пароль при выключенном телефоне.
"Я не дам пароль, 51-я статья" — формально да, ты не обязан свидетельствовать против себя. На практике — давление, угроза ужесточения обвинения, содержание под стражей. И если у эксперта уже есть дамп RAM или облачный бекап — пароль им не нужен.
Главный вывод: защита работает только если она была настроена ДО обыска и устройства были ВЫКЛЮЧЕНЫ в момент изъятия. Всё остальное — п��лумеры.
