цифровая криминалистика
ВЕСНА‘23
1 марта 2023 года компания «МКО Системы» совместно с партнерами провела в московском отеле «Золотое кольцо» весенний семинар «Цифровая криминалистика '23».
По уже сложившейся традиции семинар проходил в неформальной дружеской обстановке. Ведь главная цель мероприятия — не только познакомить гостей семинара с передовыми разработками в сфере цифровой криминалистики, но и создать атмосферу, располагающую к обмену опытом и поиску новых решений. Мероприятие открыла генеральный директор компании «МКО Системы» Ольга Гутман.
По уже сложившейся традиции семинар проходил в неформальной дружеской обстановке. Ведь главная цель мероприятия — не только познакомить гостей семинара с передовыми разработками в сфере цифровой криминалистики, но и создать атмосферу, располагающую к обмену опытом и поиску новых решений. Мероприятие открыла генеральный директор компании «МКО Системы» Ольга Гутман.
После краткого вступительного слова эстафета перешла к специалисту в области извлечения и анализа данных из ПК компании «МКО Системы» Даниэлю Клюеву. Он выступил перед гостями мероприятия с презентацией «Машина видит всё. Компьютерная криминалистика от «МКО Системы».
Свой рассказ Даниэль начал с напоминания о том, что программные продукты бренда «Мобильный Криминалист» служат для поиска и извлечения криминалистически важных данных из ПК, работающих под управлением ОС Windows, GNU/Linux и macOS, а также из внешних подключенных накопителей, образов жестких дисков и логических образов ПК. Для этого используется встроенный в «Мобильный Криминалист» модуль «Скаут».
Свой рассказ Даниэль начал с напоминания о том, что программные продукты бренда «Мобильный Криминалист» служат для поиска и извлечения криминалистически важных данных из ПК, работающих под управлением ОС Windows, GNU/Linux и macOS, а также из внешних подключенных накопителей, образов жестких дисков и логических образов ПК. Для этого используется встроенный в «Мобильный Криминалист» модуль «Скаут».
Для удобства извлечения данных модулем «Скаут» эксперт может использовать собственные предварительно созданные профили. В качестве примера Даниэль привел шесть различных вариантов профилей:
1. Приложения, системные артефакты, пароли и токены по путям по умолчанию.
2. Все файлы, приложения, системные артефакты, пароли, токены, данные оперативной памяти.
3. Приложения, системные артефакты, пароли и токены по всем возможным путям АЦ.
4. Только данные оперативной памяти.
5. Все файлы по всем возможным путям.
6. Все документы и изображения из пользовательских директорий.
Количество создаваемых пользовательских профилей не ограничено, и при необходимости любой из них может быть отредактирован под требуемые задачи.
Также специалист отметил, что в расширенной версии ПО «Мобильный Криминалист» используется модуль «Скаут Плюс». В отличие от стандартной версии модуля «Скаут», он предоставляет эксперту следующие дополнительные возможности:
1. Извлечение данных из мессенджеров и почтовых агентов (переписка, сообщения, контакты, медиафайлы).
2. Извлечение данных из приложений для заметок и онлайн-дисков.
3. Извлечение данных из стандартных приложений Apple для ПК.
4. Анализ внешних дисков.
5. Обработка образов дисков в форматах RAW и Е01.
6. Обработка логических образов ПК в формате L01.
7. Обработка образов виртуальных машин.
8. Обработка образов CD- и DVD-носителей в формате ISO.
При этом модули «Скаут» и «Скаут Плюс» умеют извлекать данные из ПК в режиме запущенной системы, а также снимать образ оперативной памяти ПК, что существенно расширяет аналитические возможности ПО. Также в новой версии ПО «Мобильный Криминалист» существенно увеличено количество доступных для извлечения и анализа системных артефактов.
После презентации Даниэль Клюев продемонстрировал работу ПО «Мобильный Криминалист» с зашифрованными данными в режиме запущенной системы.
1. Приложения, системные артефакты, пароли и токены по путям по умолчанию.
2. Все файлы, приложения, системные артефакты, пароли, токены, данные оперативной памяти.
3. Приложения, системные артефакты, пароли и токены по всем возможным путям АЦ.
4. Только данные оперативной памяти.
5. Все файлы по всем возможным путям.
6. Все документы и изображения из пользовательских директорий.
Количество создаваемых пользовательских профилей не ограничено, и при необходимости любой из них может быть отредактирован под требуемые задачи.
Также специалист отметил, что в расширенной версии ПО «Мобильный Криминалист» используется модуль «Скаут Плюс». В отличие от стандартной версии модуля «Скаут», он предоставляет эксперту следующие дополнительные возможности:
1. Извлечение данных из мессенджеров и почтовых агентов (переписка, сообщения, контакты, медиафайлы).
2. Извлечение данных из приложений для заметок и онлайн-дисков.
3. Извлечение данных из стандартных приложений Apple для ПК.
4. Анализ внешних дисков.
5. Обработка образов дисков в форматах RAW и Е01.
6. Обработка логических образов ПК в формате L01.
7. Обработка образов виртуальных машин.
8. Обработка образов CD- и DVD-носителей в формате ISO.
При этом модули «Скаут» и «Скаут Плюс» умеют извлекать данные из ПК в режиме запущенной системы, а также снимать образ оперативной памяти ПК, что существенно расширяет аналитические возможности ПО. Также в новой версии ПО «Мобильный Криминалист» существенно увеличено количество доступных для извлечения и анализа системных артефактов.
После презентации Даниэль Клюев продемонстрировал работу ПО «Мобильный Криминалист» с зашифрованными данными в режиме запущенной системы.
Далее эстафета перешла к специалисту в области извлечения данных из iOS-устройств «МКО Системы» Олегу Романенко. В своем выступлении он рассказал о технологиях извлечения данных из iOS-устройств при помощи встроенного в ПО «Мобильный Криминалист» приложения «iOS-Агент». В начале своей презентации Олег заметил, что методы извлечения данных из iOS- устройств при помощи «Мобильного Криминалиста» можно условно разделить на четыре вида:
1. Извлечение из резервной копии iTunes;
2. Извлечение из iOS с использованием checkm8;
3. Извлечение из iOS по SSH;
4. Извлечение с помощью «iOS-Агента».
1. Извлечение из резервной копии iTunes;
2. Извлечение из iOS с использованием checkm8;
3. Извлечение из iOS по SSH;
4. Извлечение с помощью «iOS-Агента».
В зависимости от используемого метода извлечения сильно различается как перечень поддерживаемых устройств, так и объем извлекаемой информации.
После вводной части Олег Романенко подробно рассказал гостям о тонкостях извлечения данных при помощи «iOS-Агента». В частности он отметил, что этот метод работает не на всех iOS-устройствах и перед его применением следует уточнить, поддерживается ли им сочетание модели устройства и версии iOS. Далее Олег наглядно показал и объяснил, как получить бесплатную электронную подпись разработчика для приложения «iOS-Агент», и подробно остановился на ограничениях бесплатной подписи.
В практической части Олег продемонстрировал извлечение данных «iOS-Агентом» без подписи и с подписью в режимах полного и выборочного извлечения.
После вводной части Олег Романенко подробно рассказал гостям о тонкостях извлечения данных при помощи «iOS-Агента». В частности он отметил, что этот метод работает не на всех iOS-устройствах и перед его применением следует уточнить, поддерживается ли им сочетание модели устройства и версии iOS. Далее Олег наглядно показал и объяснил, как получить бесплатную электронную подпись разработчика для приложения «iOS-Агент», и подробно остановился на ограничениях бесплатной подписи.
В практической части Олег продемонстрировал извлечение данных «iOS-Агентом» без подписи и с подписью в режимах полного и выборочного извлечения.
Далее, что вполне логично, пришло время поговорить об извлечении данных из мобильных устройств под управлением ОС Android. Именно этой теме было посвящено выступление специалиста в области извлечения данных из Android-устройств Дмитрия Янкового. В своем материале он подробно остановился на возможностях ПО по извлечению данных из устройств на базе платформ MTK, Exynos и Qualcomm.
Во вступлении Дмитрий отметил, что сейчас чипсеты и платформы MTK используются в смартфонах и планшетах практически всех ценовых сегментов, а не только низшей и средней ценовой категории, как это было раньше. Именно поэтому возможность извлечения данных из устройств на базе MTK не теряет своей актуальности.
Но задача корректного извлечения и расшифровки данных осложняется большой вариативностью моделей чипсетов и платформ от MTK. Поэтому для корректного извлечения и расшифровки данных из устройств важно знать марку чипсета, используемую версию доверенной среды исполнения (TEE) и тип файловой системы.
Во вступлении Дмитрий отметил, что сейчас чипсеты и платформы MTK используются в смартфонах и планшетах практически всех ценовых сегментов, а не только низшей и средней ценовой категории, как это было раньше. Именно поэтому возможность извлечения данных из устройств на базе MTK не теряет своей актуальности.
Но задача корректного извлечения и расшифровки данных осложняется большой вариативностью моделей чипсетов и платформ от MTK. Поэтому для корректного извлечения и расшифровки данных из устройств важно знать марку чипсета, используемую версию доверенной среды исполнения (TEE) и тип файловой системы.
Также стоит учитывать, что во всех современных моделях смартфонов и планшетов под управлением ОС Android по умолчанию используется пофайловое шифрование данных пользователя, и отключить его невозможно.
Завершив теоретическую часть, Дмитрий перешел к демонстрации процесса извлечения данных из устройств на базе ОС Android.
Говоря о планах компании на будущее, он отметил, что специалисты «МКО Системы» постоянно работают над расширением ряда поддерживаемых чипсетов и платформ MTK-устройств.
Завершив теоретическую часть, Дмитрий перешел к демонстрации процесса извлечения данных из устройств на базе ОС Android.
Говоря о планах компании на будущее, он отметил, что специалисты «МКО Системы» постоянно работают над расширением ряда поддерживаемых чипсетов и платформ MTK-устройств.
Далее слово взял менеджер проектов «МКО Системы» Владимир Ерошев. Он поделился с гостями особенностями использования ПО «Аналитический Центр Криминалист» («АЦК») для командной работы.
Он отметил, что «АЦК» — специализированное клиент-серверное приложение, дающее возможность одному или нескольким пользователям одновременно анализировать данные из полной базы извлечений. В него можно импортировать дела и устройства из программы «Мобильный Криминалист Эксперт» с сохранением всех тегов и результатов распознавания текста на изображениях (OCR), а также загружать необходимые для работы данные напрямую.
Он отметил, что «АЦК» — специализированное клиент-серверное приложение, дающее возможность одному или нескольким пользователям одновременно анализировать данные из полной базы извлечений. В него можно импортировать дела и устройства из программы «Мобильный Криминалист Эксперт» с сохранением всех тегов и результатов распознавания текста на изображениях (OCR), а также загружать необходимые для работы данные напрямую.
Также Владимир отметил, что в «АЦК», помимо доступных инструментов аналитики из программы «Мобильный Криминалист Эксперт», добавлены и новые аналитические инструменты, такие как:
1. Сравнение данных — позволяет находить общие контакты, аккаунты, файлы, групповые чаты, сообщения между устройствами и делами. Также здесь реализована функция фильтрации полученных результатов.
2. Текстовый анализатор — с его помощью можно просматривать статистику по ключевым словам в загруженных данных.
3. Глобальный поиск данных — помогает осуществлять поиск номеров телефонов, адресов электронной почты и другой информации по всей базе извлечений.
При всех своих богатых аналитических возможностях ПО «АЦК» предъявляет довольно скромные требования к аппаратным ресурсам. При необходимости даже серверная часть может быть запущена на обычной рабочей станции под управлением 64-битной ОС Windows 10 или старше, а если нужна эффективная работа с большим количеством извлечений, необходимо использовать сервер под управлением ОС Windows Server 2016 или новее. Увеличить объем одновременно обрабатываемой информации можно при использовании двух серверов, на одном из которых будет храниться вся база извлечений.
В практической части Владимир Ерошев продемонстрировал высокую скорость работы «АЦК» в различных режимах поиска информации по базам извлечений.
Наибольший интерес у гостей семинара вызвали кейсы «Поиск по данным OCR», «Установка местонахождения пользователя устройства в заданный период времени» и демонстрация работы Текстового анализатора.
В заключение Владимир сообщил, что все желающие могут ознакомиться с возможностями программы, получив бесплатную 3-месячную апробацию ПО «Аналитический Центр Криминалист».
1. Сравнение данных — позволяет находить общие контакты, аккаунты, файлы, групповые чаты, сообщения между устройствами и делами. Также здесь реализована функция фильтрации полученных результатов.
2. Текстовый анализатор — с его помощью можно просматривать статистику по ключевым словам в загруженных данных.
3. Глобальный поиск данных — помогает осуществлять поиск номеров телефонов, адресов электронной почты и другой информации по всей базе извлечений.
При всех своих богатых аналитических возможностях ПО «АЦК» предъявляет довольно скромные требования к аппаратным ресурсам. При необходимости даже серверная часть может быть запущена на обычной рабочей станции под управлением 64-битной ОС Windows 10 или старше, а если нужна эффективная работа с большим количеством извлечений, необходимо использовать сервер под управлением ОС Windows Server 2016 или новее. Увеличить объем одновременно обрабатываемой информации можно при использовании двух серверов, на одном из которых будет храниться вся база извлечений.
В практической части Владимир Ерошев продемонстрировал высокую скорость работы «АЦК» в различных режимах поиска информации по базам извлечений.
Наибольший интерес у гостей семинара вызвали кейсы «Поиск по данным OCR», «Установка местонахождения пользователя устройства в заданный период времени» и демонстрация работы Текстового анализатора.
В заключение Владимир сообщил, что все желающие могут ознакомиться с возможностями программы, получив бесплатную 3-месячную апробацию ПО «Аналитический Центр Криминалист».
Продолжил мероприятие генеральный директор компании «СЕУСЛАБ» Евгений Рабчевский. Он сразу перешел к практической части и продемонстрировал возможности поисковой системы «СЕУС» по выявлению и анализу криминалистически значимой информации из социальных сетей. Применение поисковой системы «СЕУС» позволяет экспертам эффективно решать задачи противодействия терроризму и экстремизму в Интернете. Евгений особо обратил внимание на наличие в системе уже готовых поисковых шаблонов, облегчающих экспертам поиск необходимой информации в социальных сетях. Также он сообщил, что для поиска и анализа изображений используется нейронная сеть собственной разработки, которую обучают и совершенствуют сотрудники компании.
Затем свой доклад на тему «Исследование мобильных телефонов как исполнительных механизмов СВУ» участникам семинара представил сотрудник компании «Эккаунт-бест» Игорь Зайцев. В своем выступлении Игорь подробно осветил важность этой темы и рассказал о разработанных аппаратных решениях, позволяющих производить быстрый анализ любых смартфонов для выявления возможности их использования в качестве исполнительных механизмов самодельных взрывных устройств.
Далее специалист компании «БалтИнфоКом» Артем Азаров познакомил гостей мероприятия с технологией деанонимизации при анализе биллинговой информации при помощи семейства программных продуктов «Следопыт». Используя «Следопыт», эксперт может создать полное досье абонента на базе обезличенной биллинговой информации. «Следопыт» позволяет:
1. Осуществлять загрузку биллинговых данных в различных форматах с помощью настраиваемых шаблонов.
2. Устанавливать локализацию мест пребывания идентификатора (-ров).
3. Проводить удобную фильтрацию информации.
4. Отображать обработанную информацию в виде таблиц, лент, графиков и диаграмм.
5. Отображать геоданные в 2D- и 3D-формате на векторных и растровых подложках.
1. Осуществлять загрузку биллинговых данных в различных форматах с помощью настраиваемых шаблонов.
2. Устанавливать локализацию мест пребывания идентификатора (-ров).
3. Проводить удобную фильтрацию информации.
4. Отображать обработанную информацию в виде таблиц, лент, графиков и диаграмм.
5. Отображать геоданные в 2D- и 3D-формате на векторных и растровых подложках.
К услугам эксперта — инструментарий для сравнения поведения абонентов и возможность поиска информации по абонентам, включая использование баз с утечками данных из открытых источников. Таким образом эксперт может не просто работать с анонимными номерами телефонов и абонентских терминалов, но и оперативно получить все необходимые данные по интересующему лицу и его контактам.
Затем эстафета перешла к коллеге Артема Надежде Семеновой, рассказавшей гостям о программе «Октопус», которая позволяет осуществлять контроль за сотрудниками компании при помощи открытых источников. «Октопус» помогает решать три главные задачи: проверять новых кандидатов при приеме на работу, осуществлять контроль за текущим персоналом и проводить мониторинг упоминаний сотрудников, организации и объектов в Интернете.
Для осуществления этих задач в комплекс встроена развитая система автоматизированного поиска информации. В своей работе «Октопус» в зависимости от задач может использовать различные алгоритмы поиска данных из открытых источников. В частности может автоматически проводиться поиск аккаунтов кандидатов в социальных сетях, на сайтах поиска работы, различных тематических и профессиональных форумах и других площадках при наличии доступа.
Для осуществления этих задач в комплекс встроена развитая система автоматизированного поиска информации. В своей работе «Октопус» в зависимости от задач может использовать различные алгоритмы поиска данных из открытых источников. В частности может автоматически проводиться поиск аккаунтов кандидатов в социальных сетях, на сайтах поиска работы, различных тематических и профессиональных форумах и других площадках при наличии доступа.
Также функционал ПО «Октопус» можно использовать и для контроля текущего персонала. Он позволяет:
- Вести картотеку сотрудников.
- Мониторить социальные сети (связи, публикации, интересы, сообщества) с использованием лингвистического анализа.
- Мониторить информацию о сотрудниках из различных реестров (должники, наличие судимостей и прочее).
- Анализировать информацию о сотрудниках в различных утечках (в том числе с помощью графа связей).
- Анализировать риски по каждому сотруднику с выдачей предупреждений.
- Формировать отчеты по каждому сотруднику.
Презентационную часть семинара завершил руководитель агентства BeholderIsHere Consulting — исследователь в области кибербезопасности Дмитрий Борощук. Темой его доклада стала «Форензика дронов при помощи простых и доступных инструментов».
Дмитрий отметил четыре устройства, которые участвуют в процессе исследования дронов: пульт управления, смартфон, карта памяти и сам дрон. Из пульта управления можно извлечь серийный номер устройства, полетные данные, отпечаток сопряженного дрона или его серийный номер, отпечаток сопряженного смартфона или его IMEI и параметры радиосигнала. Эти данные доступны практически во всех пультах управления независимо от производителя. Также из некоторых пультов управления дополнительно можно извлечь GPS-координаты, время по GPS, полетные данные (скорость, направление и высоту). Если дрон — от известного вендора, то, получив серийный номер, эксперт может по базе продаж установить его владельца.
Дмитрий отметил четыре устройства, которые участвуют в процессе исследования дронов: пульт управления, смартфон, карта памяти и сам дрон. Из пульта управления можно извлечь серийный номер устройства, полетные данные, отпечаток сопряженного дрона или его серийный номер, отпечаток сопряженного смартфона или его IMEI и параметры радиосигнала. Эти данные доступны практически во всех пультах управления независимо от производителя. Также из некоторых пультов управления дополнительно можно извлечь GPS-координаты, время по GPS, полетные данные (скорость, направление и высоту). Если дрон — от известного вендора, то, получив серийный номер, эксперт может по базе продаж установить его владельца.
Используя различные аппаратные инструменты (например, HackRF, SDR-приемник и др.), эксперт может подключиться к каналу связи дрона и пульта и получить доступ к отпечатку радиосигнала, сигнатуре канала связи, данным бортового маяка и открытому видеопотоку.
Еще большее количество данных можно извлечь из используемого для управления дрона смартфона и установленной на дроне флеш-карты. Также Дмитрий весьма подробно описал различное бесплатное или open source ПО, которое можно с успехом использовать в процессе криминалистической экспертизы дронов.
По окончании сессии докладов и небольшого перерыва состоялась «прожарка» вендоров. На ней участники и гости семинара оживленно обсуждали самые острые и актуальные вопросы цифровой криминалистики. По сложившейся традиции участники, задавшие самые «горячие» и интересные вопросы, получили призы и полезные подарки от организатора и партнеров семинара.
Подводя итоги семинара «Цифровая криминалистика '23», можно сказать, что он, как всегда, был очень насыщенным и информативным. Гости семинара в перерывах между докладами могли опробовать в работе на специальных стендах все новинки, о которых рассказывали в своих выступлениях докладчики.
Можно без преувеличения сказать, что все гости семинара получили не только огромный объем актуальной информации о новых разработках в области цифровой криминалистики из первых рук, но и заряд позитивных эмоций от общения с коллегами и единомышленниками со всей России и стран СНГ.
Мы благодарим всех гостей и партнеров семинара. До скорых встреч на новых мероприятиях «МКО Системы»!
Еще большее количество данных можно извлечь из используемого для управления дрона смартфона и установленной на дроне флеш-карты. Также Дмитрий весьма подробно описал различное бесплатное или open source ПО, которое можно с успехом использовать в процессе криминалистической экспертизы дронов.
По окончании сессии докладов и небольшого перерыва состоялась «прожарка» вендоров. На ней участники и гости семинара оживленно обсуждали самые острые и актуальные вопросы цифровой криминалистики. По сложившейся традиции участники, задавшие самые «горячие» и интересные вопросы, получили призы и полезные подарки от организатора и партнеров семинара.
Подводя итоги семинара «Цифровая криминалистика '23», можно сказать, что он, как всегда, был очень насыщенным и информативным. Гости семинара в перерывах между докладами могли опробовать в работе на специальных стендах все новинки, о которых рассказывали в своих выступлениях докладчики.
Можно без преувеличения сказать, что все гости семинара получили не только огромный объем актуальной информации о новых разработках в области цифровой криминалистики из первых рук, но и заряд позитивных эмоций от общения с коллегами и единомышленниками со всей России и стран СНГ.
Мы благодарим всех гостей и партнеров семинара. До скорых встреч на новых мероприятиях «МКО Системы»!