Экстренное уничтожение компьютера. Как хакеры обманывают криминалистов.

Вы, верно, не раз видели видео арестов и обысков у хакеров или иных киберпреступников, когда представители правоохранительных органов врываются в жилое помещение, включают компьютер и под запись демонстрируют неопровержимые доказательства преступной деятельности. 

Вот одно из подобных видео: 

С точки зрения современной форензики это неправильный подход. По научным канонам все устройства должны быть отключены от питания, запечатаны и исследованы в лаборатории специалистами. Хотя это неоднозначная рекомендация, так как те же системы электромагнитного уничтожения дисков умеют автоматически активироваться и уничтожать данные при смене положения системного блока с вертикального на горизонтальное.

Но все эти рекомендации игнорируются, так как соблазн получить признательные показания и доступы к устройствам, пока подозреваемый еще не отошел от шока, не получил консультацию адвоката или сокамерников, слишком велик.

И это приносит свои плоды: большинство пойманных врасплох киберпреступников выдают доступы к устройствам и указывают на улики, делая это в рамках сотрудничества, за которое им обещают максимально мягкий приговор (им, правда, не рассказывают, что приговор выносит суд, а не сотрудники полиции или следователь). 

Обычно у человека со стороны, не интересующегося расследованиями преступлений хакеров, может возникнуть логичный вопрос: ведь есть шифрование операционной системы и криптоконтейнеры, почему хакеры его не используют?

Используют, но хакеру могут просто зажать палец дверью и получить пароль, потому шифрование – отличное решение в теории, а на практике лучше, чтобы выдавать пароль было просто не к чему. 

Иногда на задержанного давят угрозой отправить в СИЗО до суда в случае отказа выдать данные и предлагают подписку о невыезде или домашний арест в случае согласия сотрудничать.