Экспертиза электронных модулей беспилотных летательных аппаратов

Саратовская государственная юридическая академия, Саратов, Россия, ,

Введение. В последнее время существенно расширилось использование беспилотных летательных аппаратов (дронов) во всех областях деятельности: от геологоразведывательной до военной.

Военное и, прежде всего, диверсионное использование беспилотных летательных аппаратов с началом СВО увеличилось по экспоненте. За сутки российские города атакуют больше сотни дронов. Объем научных публикаций, посвященных криминалистическому исследованию беспилотных летательных аппаратов (БПЛА, дронов), также скачкообразно возрос. Как отмечает А.Ф. Рехов-ский: «Последние достижения в области встроенных систем, нанотехнологий, сенсорных технологий, обработки изображений и навигационных систем привели к появлению нового типа доступных БПЛА с мощными возможностями сбора, хранения и обработки информации. Можно констатировать, что общество переживает бум дронов, а XXI век можно считать веком дронов» [1, с. 90]. Российский ГОСТ определяет БПЛА следующим образом: «беспилотный летательный аппарат (БПЛА), он же беспилотное воздушное судно (БВС) – это воздушное судно, управляемое в полете пилотом, находящимся вне борта такого ВС, или выполняющее автономный полет по заданному предварительно маршруту; при этом дистанционно пилотируемое воздушное судно (ДПВС) пилотируется внешним пилотом с наземной станции управления полетом»1.

Экспертные исследования БПЛА. БПЛА является сложной киберфизиче-ской системой. Ее исследование имеет существенную специфику по сравнению с другими объектами судебных экспертиз. Современные дроны характеризуются сложным многоуровневым процессом генерации и обработки цифровой информации, имеющим принципиальные отличия от традиционных компьютерных систем. Для исследования БПЛА могут проводиться как судебная компьютернотехническая экспертиза, так и радиотехническая, электротехническая, трасологическая, баллистическая, пожарно-техническая и видеотехническая экспертизы. Некоторые авторы вообще настаивают на выделения нового вида – комплексной дронотехнической экспертизы2 [2]. О.Б. Дронова отмечает, что «в настоящее время ведутся исследования по определению целесообразности выделения отдельной отрасли в разделе криминалистики «Криминалистическая техника» – «Криминалистическое исследование беспилотных технических средств», которая станет основой для разработки методики экспертного исследования «Экспертиза беспилотных технических средств», которая в будущем может быть включена в Перечень родов (видов) судебных экспертиз, производимых в ЭКП ОВД РФ, регламентированных Приказом МВД России от 29.06.2005 № 511, и объединять вопросы, которые ранее необходимо было решать в ходе производства комплекса компьютерных, радиотехнических и иных исследований» [3, с. 60].

Указанные обстоятельства предопределяют высокий уровень актуальности исследования криминалистической экспертизы рассматриваемых устройств. Не отрицая предложенное учеными выделение дронотехнической экспертизы, обратим внимание на современное состояние исследования беспилотных летательных устройств и, прежде всего, рассмотрим компьютерно-техническую экспертизу электронных модулей беспилотных летательных устройств.

Судебная компьютерно - техническая экспертиза (СКТЭ) электронных модулей беспилотных летательных устройств. За рубежом исследование электронных модулей беспилотных летательных аппаратов осуществляется в таком же режиме, как и любых иных электронных устройств. В российских же условиях можно отметить, что большое количество иностранных, самодельных, переделанных и модифицированных дронов приводит к возникновению ряда проблем.

Наиболее проблемными вопросами и элементами экспертизы представляются следующие:

• 1.    Декодирование специальных протоколов в ходе анализа проприетарных интерфейсов связи.

• 2.    Анализ временных характеристик при исследовании систем реального времени (RTOS).

• 3.    Комплексный подход к анализу телеметрических данных.

• 4.    Учет специфики применения технологий хранения энергонезависимой памяти.

• 5.    Множественность операционных систем на БПЛА и отсутствие традиционных операционных систем во многих модулях беспилотного летательного аппарата.

• 6.    Модули беспилотника составляют определенную систему, каждый элемент которой может иметь собственную архитектуру и способ организации данных.

• 7.    Отсутствие стандартизированных интерфейсов при различных способах организации памяти.

• 8.    Необходимость использования проприетарных логов и телеметрии.

• 9.    На различных модулях беспилотного аппарата может быть установлено до 5 файловых систем.

• 10.    Активное использование средств шифрования критически важных данных и применение антифорензической защиты.

• 11.    Вопросы юрисдикции облачных сервисов. Многие серверы облачных сервисов размещены за рубежом. Кроме того, во многих случаях пользователи могут сами указать предпочтительные серверы, например, находящиеся в странах, слабо реагирующих на российские запросы.

А.Ф. Реховский выделяет также следующие особенности программного обеспечения беспилотных устройств:

• «–    многообразие цифровых контейнеров, встроенных в типичный самолет БПЛА, затрудняет для аналитика цифровой криминалистики возможность полагаться на один инструмент криминалистики для извлечения всей информации, необходимой для судебного исследования;

• –    не существует де-факто стандартного протокола для полетных контроллеров, а также стандартного формата для представления данных о полете... Пользователи могут расширить функциональность дрона путем встраивания дополнительных компонентов или модификации устройства с помощью комплектов разработки программного обеспечения, которые предоставляются большинством производителей дронов;

• –    доступ к данным о полете через чип бортового контроллера часто требует явного разрешения владельца через пульт дистанционного управления, а пульт дистанционного управления, скорее всего, будет недоступен для следователей. Кроме того, данные о полете, извлеченные из чипа контроллера полета, обычно зашифрованы.

• –    …беспилотники в значительной степени зависят от оперативной памяти, и хранящиеся в ней данные о полете исчезнут, если разрядится аккумулятор…;

  – если контроллер не изъят вместе с дроном, может оказаться невозможным установить принадлежность дрона (т.е. сопряжение между изъятым дроном и контроллером) на основе криминалистического анализа цифрового содержимого дрона;

• –    подозреваемый может использовать контроллер для удаления медиафайлов с дрона или полного восстановления заводских настроек, что может поставить под угрозу возможность проведения судебной экспертизы;

• –    информация GPS, хранящаяся в дроне, включает GPS-координаты местоположения контроллера (смартфона) и GPS-информацию, относящуюся к траектории полета дрона. Обе формы GPS-информации могут быть подделаны с помощью приложения GPS spoofing или заблокированы от записи, таким образом скрывая истинную траекторию полета дрона или местоположение смартфона во время полета» [1, с. 92–93].

С точки зрения Р.А. Чурина, В.А. Попова «базовым источником криминалистически значимой информации БПЛА является электронный блок, который содержит следующую информацию:

• ‒    сведения о местоположении запуска, расположении оператора, цели;

• ‒    маршрут беспилотного летательного аппарата;

• -    полученные в ходе полета фото-, видеоизображения, термография местности и расположенных на ней объектов, спектрограммы радиообстановки;

• -    данные транспондера (высота полета, скорость, географические координаты);

• -    данные, генерируемые электронным блоком силовой установки (серийный и заводской номера, дата программирования, диагностические коды неисправностей и т.д.)» [4, с. 24].

В отечественных условиях исследования дистанционно управляемого воздушного судна основными объектами в фокусе исследования экспертиз становятся журналы оператора, изъятые электронные носители информации, журналы телеметрии, подтверждающие дистанционное управление устройством (в дронах, обнаруженных на месте происшествия). Обнаружение же станции внешнего управления осуществляется, как правило, оперативными сотрудниками, после чего пульт, планшет или смартфон передаются на исследование.

Следует отметить, что тип конструкции (мультикоптер, самолетного типа, гибридный), а также массогабаритные характеристики оказывают существенное влияние на судебно-экспертную практику в контексте выбора методик исследования и потенциальных источников криминалистически значимой информации. Так, дроны мини-класса (от 250 г до 30 кг) имеют развитую систему регистрации полётных данных и чаще других используются с криминальными структурами, становясь объектами компьютерно-технической экспертизы. При этом в большинстве своем они не имеют сильной антифорензической защиты, основаны на стандартных протоколах и применении традиционных модулей. Крупногабаритные аппараты часто используются для террористическо -диверсионной деятельности на территории РФ. Они требуют специализированного оборудования для доступа к информации бортовых систем, часто имеющих дополнительные формы защиты информации. Степень автономности беспилотного летательного аппарата также имеет огромное значение для исследования. Так, при ручном управлении в электронном носителе информации БПЛА остаются четкие следы: логи управления, содержащие временные метки, координаты оператора и параметры сигнала. В электронных носителях информации полуавтономных устройств имеется также массив информации, связанной с детальными маршрутными картами, точками изменения маршрута, журналом принятых решений. Самыми сложными для исследования являются полностью автономные системы, требующие применения методов реверс-инжиниринга и специального программного обеспечения декодировки данных нейросетей. При этом и объем получаемой в результате исследования информации может способствовать установлению более широких обстоятельств события: способов обучения, преимущественных целей, критериев выбора целей и т.д.

Уровень кибербезопасности гражданских модификаций БПЛА обычно не представляет сложности в получении полетных журналов, фото- и видео материалов специалистом в ходе осмотра места происшествия и осмотра беспилотников. Иное дело беспилотные летательные аппараты, используемые в воен- ных целях, а также случаи повреждения информации электронных блоков БПЛА, ее шифрования или иной защиты. Указанная ситуация требует производства компьютерно-технической экспертизы

В отличие от иных объектов судебной компьютерно-технической экспертизы, при исследовании беспилотных летательных аппаратов поиск цифровой криминалистически релевантной информации необходимо вести сразу во многих модулях, отвечающих за выполнение различных функций дрона. В наиболее общем виде можно отметить, что «структурно ЭМ БВС (или SOC – system on chip, т.е. «система на чипе») представляет собой интегрированное устройство, состоящее из нескольких электронных компонентов, таких как печатная плата (PCB), на которой размещаются и соединяются различные элементы, включая микросхемы, выполняющие функции обработки сигналов, управления питанием и связи; в состав модуля также входят процессоры и микроконтроллеры, отвечающие за вычислительные задачи, необходимые для управления полетом и обработки данных с сенсоров и датчиков; чипы связи обеспечивают радиосвязь и передачу данных между БПЛА и станцией внешнего пилота (СВП), а сенсоры и датчики, включая гироскопы, акселерометры и GPS-модули, необходимы для навигации и стабилизации аппарата»³ 1 .

Мультимодульная архитектура современных БПЛА создает значительные сложности для проведения СКТЭ, требуя от экспертов:

• 1)    глубоких знаний различных аппаратных платформ;

• 2)    владения специализированными методами анализа данных;

• 3)    наличия обширного арсенала технических средств;

• 4)    готовности к разработке нестандартных методик исследования.

К числу подлежащих исследованию модулей относятся:

• 1.    Полетный контроллер, оснащенный системой инерциальной навигации и GPS/ГЛОНАСС программно-аппаратного комплекса (ПАК) автопилота. Автопилотом является ПАК, выполняющий несколько функций, в числе которых оценка положения и параметров движения БПЛА в пространстве, управление исполнительными механизмами и двигательной установкой, информационный обмен с пунктом управления или СВП. В энергонезависимой памяти бортовой автоматической системы управления (БАСУ) хранятся программы выполнения полета и конфигурация блока управления; также могут сохраняться данные о параметрах внешней среды, таких как скорость ветра и температура. Инерционные измерительные блоки содержат информацию о внешних полётных условиях.

• 2.    Модуль GPS/ГЛОНАСС может хранить информацию о спутниковом подключении, данные приема, номера спутников, данные решателя, что даст возможность установить местонахождение дрона перед предыдущим включением.

• 3.    Для передачи данных электронного модуля GPS, систем фото- и видеофиксации БПЛА оснащаются электронными модулями телеметрии. Телеметрический ЭМ позволяет фиксировать данные о значениях параметров элементов, входящих в МЭМС модулей, а также криминалистически значимую информацию об объеме свободной оперативной памяти аналого-цифрового преобразователя БАСУ и программных средствах операционной системы (через МАС), объеме свободной энергонезависимой памяти с файловой системой, количестве принятых и отправленных пакетов по командно-телеметрической радиолинии (КТР) и количестве ошибок при приёме данных по КТР, типе ошибок и количестве ошибок каждого типа при взаимодействии между БАСУ и периферийными устройствами, количестве полученных снимков с фото- или видеоустройства и др. [5, с. 163].

• 4.    FPV-система: коммуникационные и видео передатчики. Коммуникационные передатчики содержат записи, в том числе, с метаданными с указанием места и времени съемки. Видео передатчики могут содержать определённые настройки. Устройства фото- и видеофиксации и комбинированной фиксации (телевизионные камеры), имеющие электронные носители информации, обрабатывающие и хранящие материалы могут быть интегрированы в другие подсистемы, например навигационные.

• 5.    Радиочастотные модули: приемник-передатчик (может содержать уникальные идентификаторы), а также модули Wi-Fi/ 4G/ 5G (содержат историю подключений, SSID и логины).

• 6.    Аккумуляторная батарея может содержать данные о циклах заряда и разряда.

• 7.    Пульт дистанционного управления содержит историю сопряжения с БПЛА. Причем историю содержат все варианты дистанционного управления. Смартфон или планшет, с которых производилось управление, содержат историю полета, журнал полетных миссий, кэшированную карту, учетные записи пользователя. Как отметил Р.А. Чурин, «ПДУ современных дронов … содержат серийный номер самого пульта, серийный номер управляемого БПА, IMEI со-

• пряженного мобильного устройства (смартфона), координаты местоположения при работе» [6, с. 142].

• 8.    Облачные сервисы и аккаунты производителя как объекты исследования могут дать большой объем информации: резервные копии, телеметрию, историю полетов.

• 9.    Большинство современных аппаратов допускает использование съемных носителей: SD/pSD, eMMC, Micro - USB, флеш-накопители, карты памяти камер. Исследование этих объектов может существенно расширить информационную емкость БПЛА.

Данные, полученные от инерционной системы и GPS, также могут быть автоматически записаны в энергонезависимую память автопилота. Это позволяет сохранять информацию о полете в виде файлов с привязкой к дате и времени. Полетный контроллер также содержит даталогер (оптический черный ящик, содержащий информацию о полете): все телеметрические данные, состояние батареи, коммуникация с пультом. Из полетного контроллера также необходимо извлечь журналы полета, калибровочные данные, информацию о прошивке.

При описании электронных модулей БПЛА эксперт должен указать полную спецификацию оборудования, маркировочные обозначения микросхем, версии программных оболочек и прошивок.

Информационные потоки беспилотного летательного аппарата составляют три уровня, организованных по иерархическому принципу:

• 1.    Показания сенсорных систем (сырые данные в формате бинарных пото-ков-RAW);

• 2.    Цифровая обработка, фильтрация данных с использованием, например, методов сенсорного слияния.

• 3.    Формируемые бортовым вычислительным комплексом интегральные параметры полета.

В беспилотных летательных аппаратах критически важные данные дублируются в нескольких модулях, и информация хранится в распределенном виде. Проведение судебной компьютерно-технической экспертизы электронных модулей беспилотных летательных аппаратов требует последовательного применения специализированных методик, учитывающих особенности архитектуры и программного обеспечения конкретного типа беспилотных систем. Методы исследования делятся на неинвазивные и инвазивные. Неинвазивные методы связаны с подключением к диагностическим портам и использованием для исследования специализированного программного обеспечения. Инвазивные методы используются, когда данные защищены или непосредственно повреждена микросхема. К таким методом относится пайка, снятие чипа памяти, микроскопирование. Как отмечают А.В. Ростовцев, Е.Д. Берестенко, «При извлечении съемных носителей данных рекомендуется использовать неразрушающие методы. Разрушающие методы следует рассматривать только в том случае, когда все другие методы не срабатывают. При этом необходимо делать пояснения, чтобы знать, откуда были изъяты съемные устройства хранения. Методы деструктивного извлечения, такие как отрыв чипа, следует рассматривать как последнее средство для получения данных с цифрового устройства хранения. Разрушающие методы могут стать более вероятными, если только проверяемые БПЛА не поддерживаются инструментами, доступными на момент осмотра» [7, с. 88].

Моделирование работы электронных модулей в ходе исследования осуществляется не на оригинальных платах, а на виртуальных копиях с верифицированной эмуляцией архитектуры целевых процессоров.

Наиболее распространенными и используемыми методами СКТЭ при исследовании электронных модулей БПЛА являются технико-криминалистические методы работы со следами-предметами (частями предметов) - ЭНИ и другими компьютерными устройствами, а также методы обнаружения, фиксации, предварительного исследования, изъятия и использования цифровых следов и электронных доказательств [8, с. 25].

Цели и задачи экспертизы. Классическими задачами компьютернотехнической экспертизы можно назвать: обнаружение, изучение и восстановление материалов на электронных носителях информации беспилотных летательных аппаратов: фото-видеоматериалов; маршрутов, заложенных в устройстве (точек разворота, траектории движения, определение точек старта, посадки, зависания, точек съемки параметров камер), времени нахождения в определенных локациях, восстановление информации с поврежденных носителей или с удалённых участков памяти.

В идентификационных целях анализируется связь с облачными аккаунтами, журнал подключения к облачным сервисам, цифровые идентификаторы, история сопряжения с мобильным или иным управляющим устройством. Установленные обстоятельства позволят ограничить круг взаимодействующих с БПЛА лиц.

Диагностические задачи - это, в первую очередь, обнаружение вмешательств в программное обеспечение (например, снятие запретов, установка сторонних программ и прошивок). Установить это можно с помощью анализа контрольных сумм. Вмешательство в программу также можно установить с помощью анализа и сопоставления цифровых подписей, а также контрольных сумм прошивок. Факт взлома может отразиться в аномалиях журнала безопасности, не автори-зированных процессах, нестандартных параметрах доступа. Обязательно анализируется история изменений в служебных разделах памяти. Среди иных задач можно отметить определение по временным меткам и физическим показателям оборудования режима использования беспилотных летательных аппаратов, периодов активности и времени последнего включения-выключения.

По электронным цифровым данным в памяти устройства также возможно установить квалификацию пользователя (по фактам вмешательства в полетный план и корректности отключения автопилота, выполнению маневра и т.д.). Все это отображается в памяти электронного носителя информации беспилотника.

В ходе компьютерно-технической экспертизы электронных носителей информации беспилотного летательного аппарата могут быть установлены выводы по следующим обстоятельствам:

• 1.    Технические характеристики БПЛА на основе соответствия программных комплексов, прошивки, логов известным моделям.

• 2.    Наличие уникальных идентификаторов, позволяющих установить принадлежность.

• 3.    Какие данные хранятся в энергонезависимой памяти и имеются ли признаки вмешательства в нее. Возможно ли восстановление удаленных или повреждённых данных.

• 4.    Имеются ли следы «перепрошивки» или иного вмешательства в программной части беспилотного летательного аппарата.

• 5.    Какие устройства взаимодействовали с БПЛА, с каких устройств он управлялся и какова история подключений.

• 6.    Какие версии программного обеспечения использовались для управления БПЛА.

• 7.    Какие ошибки, сбои и параметры работы отразились в логах и т.д.

И.О. Щербаков отметил, что из логов может быть извлечена следующая информация:

«– краткий (ознакомительный) обзор полета;

• –    информация о месте взлета и посадки БВС, адресе и времени полета;

• –    информация о модели БВС, версии прошивки, используемой батарее, модели и серийном номере цифровой камеры БВС, объеме установленной SD карты;

• –    информация об аппаратно-программных уведомлениях;

• –    спутниковая и кадастровая карта с маршрутом полета;

• –    информация о состоянии аккумуляторной батареи;

• –    информация с датчиков БВС (время полета, высота, дистанция от точки взлета, уровень входящего и исходящего Wi-Fi сигнала);

• –    информация о состоянии пульта управления (положение стиков, скорость отклика);

• –    информация о погодных условиях (температура, полетная видимость, скорость и направление ветра, влажность воздуха, атмосферное давление);

• –    медиафайлы, созданные во время полета» [9, с. 188–189].

Цели экспертизы: идентификация аппарата и оператора, установление конкретной модели модулей, принадлежащих БПЛА; реконструкция событий; исследование модификаций, внесенных в БПЛА; выявление умысла и намерений поль- зователя; оценка технического состояния дрона; поиск и анализ данных; определение класса, типа, грузоподъемности, технических характеристик БПЛА.

Заключение. Подводя итог, можно отметить, что компьютернотехническое исследование электронных модулей беспилотных летательных аппаратов открывает широкие перспективы для расследования преступлений, совершенных с их помощью, а также установления виновных лиц.

При этом необходимо учитывать, что, к сожалению, практика применения электронных доказательств с БПЛА в судопроизводстве сталкивается с рядом существенных проблем:

• –    технического характера: быстрое устаревание технологий и форматов данных, использование производителями запатентованных решений, сложности верификации целостности данных;

• –    методического характера: отсутствие единых стандартов исследования, необходимость разработки специализированного ПО, потребность в междисциплинарных знаниях экспертов;

  – правового характера: вопросы юрисдикции при трансграничных инцидентах, соответствие методик процессуальным требованиям, проблемы доказывания неизменности исходных данных.