MOSCOW FORENSICS DAY '23

Международная конференция «MOSCOW FORENSICS DAY 2023»

14 и 15 сентября 2023 года компания «МКО Системы» совместно с партнерами провела в московском отеле «Золотое кольцо» масштабную международную конференцию — «MOSCOW FORENSICS DAY 2023» («MFD 2023»). MFD проводится ежегодно начиная с 2016 года и уже стала традиционным местом встречи экспертов и профессионалов в сфере цифровой криминалистики и информационной безопасности. По данным организатора, «MOSCOW FORENSICS DAY 2023» посетило более 500 человек.

Первый день
По традиции, с приветственным словом к гостям и спикерам мероприятия обратилась генеральный директор компании «МКО Системы» Ольга Гутман. В своем выступлении она подчеркнула, что «MOSCOW FORENSICS DAY 2023» — уникальное мероприятие, которое собирает в одном месте специалистов по цифровой криминалистике и информационной безопасности. Здесь они могут не только обменяться опытом и послушать доклады коллег, но и в неформальной обстановке обсудить различные тенденции, а также технические и законодательные тренды отрасли. Не случайно в названии конференции присутствует слово «международная», ведь в зале собрались не только российские специалисты, но и их коллеги из дружественных стран СНГ.

Отдельно Ольга отметила и еще одну важную особенность «MOSCOW FORENSICS DAY 2023». Дело в том, что при проведении каждой следующей конференции специалисты компании «МКО Системы» учитывают отзывы гостей. И именно это помогает организаторам проводить мероприятия, освещающие самые актуальные и важные тренды в отрасли.

В заключение Ольга Гутман попросила всех гостей не стесняться задавать острые вопросы. Участников, задавших наиболее интересные вопросы, по традиции ожидали памятные подарки от организатора и партнеров мероприятия.

Партнерами выступили компании ACELab, «СЕУСЛАБ», «БалтИнфоКом», «Лан-Проект» и «Эккаунт-Бест».

Первую секцию докладов, посвященную мобильным устройствам, открыл специалист компании ООО НПП «АСЕ» Вячеслав Чикин, выступивший с презентацией «Защита Android, взгляд изнутри». В начале своего доклада он напомнил гостям, что «внутренний мир» ОС Android можно условно разделить на две части: это «обычный мир», или Normal OS, и «защищенный мир», или TrustZone OS. Между этими двумя мирами нет прямого взаимодействия, они связаны между собой через специального посредника — монитор безопасности, или Secure Monitor.
Каждый производитель процессоров для мобильных устройств реализует TrustZone по-своему, и такое разнообразие приводит к тому, что исследователям приходится использовать различные методы для извлечения данных. В частности, в процессорах MTK существует большое разнообразие TrustZone, и в каждой версии ключи шифрования хранятся в уникальном формате. Именно с этим связан тот факт, что иногда программные продукты ООО НПП «АСЕ» не могут извлечь данные из устройств в автоматическом режиме.

Отдельно Вячеслав остановился и на используемых в устройствах технологиях шифрования данных. Он выделил три основных технологии: полнодисковое шифрование, пофайловое шифрование и пофайловое шифрование с шифрованием метаданных. Каждый тип требует индивидуального подхода к расшифровке данных. Наиболее сложным в реализации доступа к данным является третий тип шифрования — пофайловое шифрование с шифрованием метаданных.

Также Вячеслав поделился с гостями одним интересным практическим наблюдением. Он рассказал, что данные в зашифрованных пространствах у некоторых моделей смартфонов Samsung удаляются не сразу после отключения телефона, а с некоторой задержкой. Знание этой особенности может помочь эксперту на практике.
Далее эстафету принял специалист ООО «МКО Системы» Дмитрий Янковой, познакомивший гостей конференции с нестандартными способами извлечения данных из Android-устройств. Свое выступление он начал с рассказа о том, что чаще всего в руки исследователей попадают не новые и нормально работающие устройства, а поврежденные, извлечь данные из которых нажатием кнопок на ПК или гаджете не получится. И в этом случае исследователю предстоит долгая и кропотливая работа, а также потребуются специальные знания в различных технических областях и специальное оборудование.

В качестве примера Дмитрий рассказал об извлечении данных из смартфонов Huawei, собранных на базе процессоров Kirin. В зависимости от версий прошивки, в различных моделях смартфонов может потребоваться не только замкнуть тестовые точки на плате, но и применить специальный кабель Harmony TP. К сожалению, именно этот аксессуар в России приобрести достаточно сложно, а если нужно извлечь данные быстро, то заказ его доставки, например, из зарубежных магазинов может быть не лучшим выбором.

По словам Дмитрия, главная проблема невозможности считывания данных без специального кабеля кроется в том, что в прошивке устройств имеется ошибка, приводящая к тому, что уровни сигнала порта USB в режиме отладки не соответствуют стандартным. А Harmony TP Cable с помощью резисторов «подтягивает» уровни сигнала до стандартного значения.

Еще одним серьезным препятствием на пути извлечения данных из смартфонов Huawei стало использование нового криптографического процессора с обновленными алгоритмами шифрования данных. Несмотря на то, что этот процессор устанавливается в смартфоны уже более 5 лет, активно использовать его возможности в Huawei стали совсем недавно.

Далее Дмитрий подробно рассмотрел технологии извлечения и расшифровки данных из смартфонов, работающих на процессорах MTK. И это не случайно, ведь благодаря массовому параллельному импорту и ценовой политике MTK эти устройства массово заполнили российский рынок.
Огромное разнообразие моделей и используемых в них процессоров и платформ делает задачу извлечения данных из этих устройств достаточно непростой. Ведь в каждом смартфоне есть постоянная и переменная часть в алгоритме шифрования, и они порой сильно отличаются даже у одного вендора в разных моделях.

Отдельно Дмитрий рассказал о том, что в компании «МКО Системы» реализована бесплатная программа поддержки пользователей, и специалисты компании могут оказать помощь в расшифровке данных смартфона.

Довольно подробно Дмитрий остановился и на процессе извлечения данных из смартфонов Samsung на базе процессоров MTK. Дело в том, что для этого необходимо знать расположение специальных контактных точек на плате устройства и может потребоваться замкнуть несколько из них. При этом сами контрольные точки чаще всего спрятаны на плате под различными конструкционными элементами, а это сильно затрудняет доступ к ним.

Альтернативой в этом случае может стать замыкание контактов непосредственно на процессоре, но это рискованно и может привести к физическому повреждению устройства. Этот способ можно рекомендовать только опытным исследователям с инженерной подготовкой.

Даже если устройство на базе ОС Android не поддерживается программой «Мобильный Криминалист», из него можно извлечь данные с помощью «Android-Агента», а также воспользовавшись утилитой Magisk. Последний метод возможно использовать только в лаборатории, и из-за его технической сложности в ПО «Мобильный Криминалист» он не реализован.

Далее слово взяли специалисты ООО «Лан-Проект» Сергей Еремин и Владимир Грешнов с докладом «Способы получения данных с цифровых носителей информации с использованием решений ООО «Лан-Проект» в современных условиях». В начале своего выступления они отметили, что в настоящее время из-за введенных санкций снизился доступный ассортимент оборудования для получения данных. И поэтому сейчас усилия специалистов компании направлены на то, чтобы компенсировать возникший дефицит необходимой исследователям техники.
Для работы с данными, находящимися на видеозаписывающих устройствах, с файлами образов накопителей информации и видеофайлами в компании разработано специализированное ПО VR Expert. С его помощью исследователь может производить поиск, анализ и извлечение необходимой визуальной информации, а также других криминалистически значимых данных, записанных на носитель как в явном, так и в удаленном виде.

А использование ПО VR Expert совместно с устройствами блокирования записи позволяет обеспечить неизменность данных на объекте исследования. В программе имеется встроенный генератор отчетов и функция автоматического определения файловых систем, используемых в накопителях данных. Также ПО VR Expert поддерживает работу с персональными носимыми видеорегистраторами «Дозор».
Далее Сергей Еремин и Владимир Грешнов познакомили гостей «MOSCOW FORENSICS DAY 2023» с программно-аппаратными комплексами «Дубль-1» (исполнение 1) и (исполнение 2). Оба этих устройства служат для копирования информации через USB-порт с ПК на базе процессоров х86. Основное отличие состоит в том, что «Дубль-1» (исп. 1) обеспечивает скорость копирования данных до 350 Мбит/с против 1 Гб/с у исп. 2. Оба комплекса копируют все физические и логические диски ПК на посекторном уровне и позволяют возобновлять копирование в случае прерывания процесса. Программно-аппаратный комплекс «Дубль-1» не требует для своей работы внешних источников питания и создает защищенные образы данных с ПК.

Для копирования данных с внешних флеш-накопителей, а также HDD- и SSD-дисков служит аппаратно-программный комплекс «Дубль-К». Для этого у него имеется встроенный 2-терабайтный накопитель с возможностью замены. Его упрощенная модификация «Дубль-КМ» позволяет копировать данные только с флеш-накопителей на встроенный 128-гигабайтный накопитель.
Помимо этого, компания выпускает USB-блокираторы, обеспечивающие блокирование команд записи на внешние USB-накопители, а также различные переходные адаптеры.

Особый интерес у гостей конференции вызвало устройство для деактивации блокировки экрана в мобильных телефонах. Оно подключается к смартфону через разъем мини-Jack 3.5 мм и может работать с ОС Android и iOS. Питается деактиватор от одной батареи CR2032, а время автономной работы составляет 1 год.

С анонсом нового модуля «МК Брутфорс» в составе ПО «Мобильный Криминалист» выступила директор по маркетингу ООО «МКО Системы» Валерия Вахрушина. Она отметила, что новый модуль уже практически готов и в ближайшее время все желающие смогут принять участие в его бета-тестировании.
Использование XDR-системы от Positive Technologies позволяет избавиться не только от трех перечисленных выше причин, но и вывести расследование цифровых правонарушений на новый уровень. XDR-система сама отслеживает в автоматическом режиме инциденты, осуществляя сбор данных и телеметрии из различных источников, а также производит сбор доказательной базы и реагирует на угрозы в ручном или автоматическом режиме.

После небольшого перерыва сессию докладов продолжил специалист ООО «СЕУСЛАБ» Евгений Рабчевский. Он рассказал гостям о развитии поисковой системы «СЕУС» для анализа данных мессенджера Telegram. В начале своего доклада Евгений отметил, что существуют два принципиально разных подхода к анализу информации в социальных сетях и мессенджерах — это парсинг и метод больших данных.

При парсинге для поиска информации используются специальные API социальных сетей и мессенджеров. Такой подход позволяет просматривать и анализировать только те данные, которые есть в социальных сетях и мессенджерах на момент парсинга. Но если данные были изменены или удалены, то найти их не удастся.
При использовании метода больших данных в специальных дата-центрах создается копия всего содержимого мессенджеров и нужных соцсетей, и даже если пользователь удалит какие-либо сообщения, они все равно будут доступны в архиве. Конечно, этот подход — весьма затратный, но он намного более эффективен и результативен, чем парсинг.

На данном этапе поисковая система «СЕУС» позволяет искать классический контент, изображения, биометрические данные, а также профили пользователя по анкетным данным.

Используя поисковую систему «СЕУС» в мессенджере Telegram, можно проводить поиск по списку пользователей, аватарам, анкете, сообществам и чатам, а также по географическим данным. База программы регулярно пополняется и содержит самую актуальную информацию.
Представитель компании ООО «БалтИнфоКом» Егор Иванов рассказал, как проводить анализ данных на стыке информационных потоков с помощью системы «Октопус». В качестве примера была выбрана вымышленная сеть магазинов «Шестерочка», руководство которой решило открыть новые направления бизнеса.

В процессе их освоения компания столкнулась со следующими проблемами: риски мошенничества, отсутствие единого инструментария аналитики и контроля и разнородность бизнес-процессов. В качестве одного из примеров гостям мероприятия было рассказано о мошеннических действиях с начислением приветственных бонусных баллов по программе лояльности и о том, как с помощью внедрения системы «Октопус» удалось разоблачить мошеннические действия.

Конференцию продолжил менеджер проектов ООО «МКО Системы» Алексей Москвичев, рассказавший о возможностях «Аналитического Центра Криминалист» в области обработки и визуализации данных. В начале выступления Алексей напомнил гостям, что «Аналитический Центр Криминалист» (АЦК) — это специализированное клиент-серверное приложение, позволяющее одному или нескольким пользователям одновременно анализировать данные из полной базы извлечений.

В него можно импортировать дела и данные, извлеченные из устройств программой «Мобильный Криминалист Эксперт» с сохранением всех тегов и результатов распознавания текста на изображениях (OCR), а также загружать необходимые для работы данные напрямую.
В отличие от программы «Мобильный Криминалист», в состав АЦК входят дополнительные аналитические инструменты.

Вот они:
  1. Сравнение данных — позволяет находить общие контакты, аккаунты, файлы, групповые чаты, сообщения между устройствами и делами. Также здесь реализована функция фильтрации полученных результатов.
  2. Текстовый анализатор — с его помощью можно просматривать статистику по ключевым словам в загруженных данных.
  3. Глобальный поиск данных — помогает осуществлять поиск номеров телефонов, адресов электронной почты и другой информации по всей базе извлечений.
  4. Поиск по содержимому и полнотекстовый поиск. С помощью этих двух инструментов можно, например, производить поиск и анализ переписки в различных мессенджерах по ключевым словам и выражениям.
В ходе презентации Алексей продемонстрировал практические кейсы, помогающие глубже понять возможности этих аналитических инструментов.

В заключение своего доклада Алексей отметил, что любой желающий может запросить демоверсию АЦК и в ходе тестового периода ознакомиться с возможностями программы.
Далее эстафета перешла к создателю журнала «Хакер» Дмитрию Агарунову, который поделился результатами опроса, проведенного журналом на тему «Настроение русских хакеров/сентябрь 2023». Согласно данным опроса, есть две основные движущие силы хакеров: это отрасль и интерес. Вопрос про деньги не поднимался специально, поскольку любой труд должен быть оплачен и работа хакера не является исключением.

Довольно интересным был результат ответа на второй вопрос об оценке защищенности крупных российских компаний. Большинство опрошенных оценило уровень защищенности до 5 баллов.

Защищенность же средних российских компаний получила еще более низкую оценку, а уровень защиты государственных компаний был также оценен в среднем на 5 баллов. Практически единогласно читатели журнала «Хакер» согласились с тем, что главное отличие российских хакеров от зарубежных состоит в их универсальности. Западные же хакеры имеют очень узкую специализацию.

Специалист компании ООО «Эккаунт-Бест» Игорь Зайцев познакомил слушателей с проблемами исследования малых БПЛА методами компьютерной и радиотехнической экспертизы. Для всех БПЛА, независимо от их разновидности, можно использовать одинаковые методы и технологии анализа.

В зависимости от ситуации, можно исследовать сам БПЛА, его пульт управления, смартфон или иное устройство, используемое для связи, и, конечно, данные, передаваемые по радиоканалу. Иногда производители гражданских БПЛА существенно облегчают задачу исследователю, выпуская специализированное оборудование для отслеживания и мониторинга состояния БПЛА. В частности, компания DJI поставляет систему мониторинга DJI Aeroscope. С ее помощью исследователь может считать регистрационные номера БПЛА, координаты и высоту полета, координаты точки взлета, координаты расположения оператора и увидеть их на карте.
Но внеся определенные изменения в конструкцию БПЛА, можно существенно усложнить задачу исследователю по их отслеживанию. К таким модификациям относятся:
  • смещение координат;
  • антиспуфинг;
  • выпаивание GPS-модуля на пульте;
  • установка бустеров;
  • использование выносной антенны;
  • модификация (тонкая настройка) программного обеспечения.
Важную роль в исследовании БПЛА играет анализ спектра используемого для связи радиосигнала. У каждого типа БПЛА частотный спектр уникален и позволяет точно определить модель.

Затем слово взяли юристы. Ольга Тушканова представила гостям мероприятия доклад на тему «Оценка достоверности заключения эксперта: соотношение объектов, задач и методов судебной экспертизы». Она напомнила, что процесс доказывания того или иного деяния включает в себя три важных этапа: сбор, исследование и оценку доказательств. На первых двух этапах в тесной связке между собой работают дознаватель, следователь и эксперт/специалист. Оценивает доказательства на досудебной стадии следователь, а далее в ходе судебного разбирательства оценку собранным доказательствам дает судья.

На каждом этапе оценка проводится по пяти основным критериям:
  1. Относимость.
  2. Допустимость.
  3. Достоверность.
  4. Сила (значимость).
  5. Достаточность.
При этом на каждом из этапов очень важно использовать самую современную методическую и научную базу, а также задействовать высококвалифицированных специалистов и экспертов из соответствующих областей.

Далее Ольга отметила, что часто в качестве экспертов привлекаются специалисты из близких или совершенно не связанных областей, например, к экспертизе ПК могут привлечь электрика. Причиной такого подхода обычно является экономия средств, выделенных на экспертизу, но именно он подрывает достоверность и значимость заключения эксперта.

Продолжил тему руководитель направления экспертиз технического департамента компании RTM Group Юрий Баркалов. Он рассказал об оценке квалификации экспертов по производству судебных компьютерных экспертиз.

Свой доклад Юрий начал с определения понятия оценки заключения эксперта. Под ней понимают процесс установления достоверности, относимости и допустимости заключения, определение форм и путей его использования и доказывания.

Далее Юрий подробно остановился на базовых и дополнительных критериях оценки компетентности эксперта. Используя эти критерии, можно оценить уровень компетентности эксперта и при необходимости назначить и провести дополнительную экспертизу.
С актуальными вопросами, связанными с расследованием преступлений в сфере информационных технологий, познакомила присутствующих сотрудница ООО «ДЕ Н.А.Д.А.» Наталья Клишина. В начале своей презентации Наталья выделила шесть основных направлений, по которым наблюдается максимальная активность злоумышленников. Вот они:
  1. Создание и распространение вредоносного ПО.
  2. Фишинг.
  3. Продажа различных персональных данных, полученных незаконным путем.
  4. Дистанционные мошенничества.
  5. Социальная инженерия.
  6. Распространение противоправной информации.

При расследовании преступлений в сфере ИТ возникает целый ряд сложностей. В частности, доступ к информации может быть осуществлен физически, логически и дистанционно через компьютерную сеть. Именно последний вариант используется наиболее активно. При этом трансграничный характер доступа к данным серьезно влияет на их волатильность, а также скорость уничтожения цифровой информации. А различные технические и программные средства позволяют злоумышленникам эффективно уничтожать, скрывать и запутывать следы преступления.
Именно поэтому уже на начальных этапах расследования преступлений в сфере ИТ очень важно максимально точно и эффективно проводить все необходимые мероприятия. В частности, каждый цифровой объект должен быть осмотрен и изучен специалистом. Особое внимание следует уделять физически поврежденным объектам. Ни в коем случае не следует их игнорировать. Каждый такой объект следует показать специалисту и далее действовать в соответствии с его рекомендациями. Все результаты следует максимально подробно заносить в соответствующие протоколы, и желательно все действия сопровождать видеофиксацией.
На этом презентационная часть первого дня «MOSCOW FORENSICS DAY 2023» была завершена. Но впереди гостей мероприятия ждали «прожарка» вендоров и, конечно, неформальное общение. Ну а мы продолжим наш рассказ и перейдем ко второму дню «MOSCOW FORENSICS DAY 2023».

Второй день

По традиции, сессию докладов второго дня мероприятия открыла генеральный директор компании «МКО Системы» Ольга Гутман. Она подвела краткие итоги первого дня мероприятия. По ее словам, уже к середине первого дня на «MOSCOW FORENSICS DAY 2023» сформировалась дружеская атмосфера, в которой гости и приглашенные спикеры активно обсуждали в неформальной обстановке, в зоне отдыха и в специальных демозонах, самые острые вопросы. А апогеем первого дня стала пламенная «прожарка» вендоров.

Открыла сессию докладов второго дня, посвященного ИБ, основатель Forensic Alliance, председатель Московской коллегии адвокатов «Юлова и партнеры» Елена Геннадиевна Юлова. Она выступила с докладом «Локальные нормативные акты как контур информационной безопасности. Внутренняя проверка как мера предупреждения инцидентов в компании».

Вне зависимости от отраслевой принадлежности компании, права и обязанности работника регулируются типовыми правовыми актами, в которые входят: трудовой договор, должностные инструкции и система ЛНА (локальных нормативных актов). При составлении этих документов обязательно следует учитывать отраслевые особенности компании.
В должностной инструкции необходимо четко разграничить право на частную и служебную информацию и обязательно ввести запрет на любое несанкционированное копирование и пересылку служебной информации. Также сотрудникам следует запретить использование корпоративных ресурсов и оборудования компании в личных целях.

В обязательном порядке до каждого сотрудника под роспись следует довести информацию о праве работодателя по своему усмотрению контролировать использование оборудования и имущества компании. А также контролировать информацию, пересылаемую работником в переписке по электронной почте, чатах и различных рабочих документах.

Также в локальных нормативных актах компании должен быть приведен перечень сведений, составляющих коммерческую и служебную тайну, и в том числе определен регламент работ с ними.

Дополнительно следует подготовить комплект ЛНА по защите персональных данных и положение об оплате труда и премировании работников. Плюс к этому, в компании должен быть создан перечень правонарушений и видов ответственности за них. Также необходимо подготовить ЛНА, устанавливающие порядок расследования инцидентов и привлечения к ответственности виновных.

Все эти нормативные акты должны быть доведены до сведения работника под личную роспись. И именно они позволят работодателю проводить эффективные мероприятия, направленные на защиту интересов бизнеса.
  1. Далее слово взяли представители АО «Лаборатория Касперского» Артур Игитян и Виктор Алюшин с докладом «Помогаем работать криминалистическим комплексам». В своей презентации они рассказали гостям конференции об особенностях извлечения данных из мобильных устройств при помощи ПО «Мобильный Криминалист Enterprise», акцентировав внимание на процессе расшифровки ключей в различных TrustZone, а также о технологиях получения аппаратных ключей шифрования файловой системы и процессе подбора пароля пользователя на примере смартфона Samsung Galaxy A12.


С докладом «ИБ-расследование: диверсант на удаленке» выступили представители компании «МКО Системы» Никита Вьюгин и Даниэль Клюев. Во вступлении спикеры отметили, что сейчас многие компании пользуются услугами сотрудников, работающих в удаленном режиме. Плюс к этому, многие сотрудники все чаще используют для работы собственные ноутбуки и гаджеты. В дальнейшем эта тенденция будет только нарастать и, как результат, сотрудникам ИБ предстоит защищать корпоративную сеть от возможных атак сотрудников, работающих на удаленке.
И если с контролем за сотрудником, использующим для удаленной работы оборудование компании, проблем нет, то при использовании работником собственных устройств задача контроля усложняется. И в этом сотрудникам службы ИБ может помочь ПО класса DFIR, например, «Мобильный Криминалист Enterprise», которое позволяет осуществлять:
  • дистанционное исследование рабочих станций под управлением Windows, macOS, GNU/Linux;
  • исследование группы рабочих станций под управлением Windows;
  • извлечение данных из устройств на базе Android и iOS;
  • доступ к информации, находящейся в облачных хранилищах;
  • анализ коммуникаций владельца устройства или учетной записи;
  • восстановление полной хронологии инцидента;
  • изучение полной файловой базы объекта исследования;
  • поиск данных внутри извлечения по заданным параметрам.
А используя Агентский режим «Мобильного Криминалиста Enterprise» можно проводить дистанционное извлечение и анализ данных с любого ПК или сервера в корпоративной сети предприятия или удаленного сотрудника. Используя специально настроенного Агента, возможно быстро извлечь и провести анализ файлов, программ, реестра, системных артефактов на наличие различного вредоносного кода и ПО, а также выявить следы их активности.
Отдельно спикеры остановились на существенном отличии систем DFIR от DLP. Все дело в том, что для корректного сбора доказательств и предотвращения атаки система DLP должна быть установлена на ПК или серверах до начала вторжения. Если ее использовать после атаки, то ничего найдено не будет. С «Мобильным Криминалистом Enterprise» — ситуация иная: возможно запустить Агента как после, так и во время атаки, и в обоих случаях все необходимые данные будут корректно собраны, зафиксированы и проанализированы.
После этого докладчики поделились с гостями практическим кейсом поиска диверсанта, работающего в удаленном режиме и уничтожившего важные отчеты ключевых сотрудников компании. Для его поиска использовался аналитический инструментарий, встроенный в ПО «Мобильный Криминалист Enterprise», а также Агентский режим для дистанционного извлечения данных. В результате злоумышленник был найден и привлечен к ответственности.
После короткого перерыва сессию продолжил специалист компании МТС Максим Суханов, рассказавший гостям конференции об исследовании файловых систем семейства FAT. В начале доклада Максим напомнил, что история файловой системы FAT началась в 1977 году, когда была выпущена первая 8-битная версия FAT. За столь долгий срок своего существования и развития система FAT эволюционировала от FAT12 до exFAT. При этом, несмотря на кажущуюся простоту, FAT является довольно сложным объектом исследования.

Казалось бы, что может быть сложного в системе, включающей в себя четыре основных компонента: заголовок файловой системы (загрузочную запись), индексные записи, таблицу размещения файлов (FAT) и вспомогательные структуры? Но, как обычно, трудности — в деталях. Все дело в том, что за свои 40 лет эволюции FAT усиленно и бессистемно развивалась различными компаниями по принципу «кто во что горазд». За это время в нее была встроена поддержка длинных имен файлов до 255 символов, добавлены журналирование файловой системы, поддержка работы с файлами размером более 4 ГБ (FAT+), поддержка расширенных атрибутов EA и шифрования EFS и многое другое. Конечно, такое развитие неизбежно привело к появлению в FAT различных ошибок и уязвимостей. Именно они создают множество проблем при исследовании различных носителей, использующих для хранения данных FAT.

Не меньше сложностей у исследователя вызывает и exFAT. Например, при использовании ПО FTK Imager не отображается содержимое директорий, созданных в некоторых версиях macOS. Также возникают проблемы и при исследовании носителей с ПК, работающих под управлением ОС Windows. Не обошли проблемы с FAT и мобильные устройства.

Вот и получается, что при кажущейся простоте задача исследования данных, которые хранятся на носителях, использующих FAT, может стать весьма ресурсоемкой и потребовать от исследователя серьезных временных затрат.

Тему ИБ продолжил представитель RuSIEM Даниил Вылегжанин с докладом «Выявление киберугроз и реагирование на инциденты информационной безопасности». Начал свое выступление Даниил с рассказа о задачах, решаемых SIEM. Вот они:
  1. Оперативное обнаружение, реагирование и контроль обработки инцидентов.
  2. Оперативный контроль состояния инфраструктуры компании.
  3. Создание единого центра мониторинга.
  4. Определение прав, обязанностей и разграничение зон ответственности персонала компании (ИТ- и ИБ-служб).
  5. Соответствие требованиям регуляторов.

После этого он описал гостям мероприятия возможности и особенности RuSIEM.
О принципах и методах криптовалютных расследований рассказал представитель АО «Шард» Григорий Осипов. В начале выступления Григорий отметил, что «Шард» — это специализированная платформа для обеспечения безопасности цифровых активов. Главные направления деятельности платформы — это:
● оценка криптовалютных рисков;
● консультирование в этой области;
● блокчейн-аналитика;
● крипторасследования.

Далее Осипов остановился на аналитических инструментах, используемых для работы с технологией блокчейн. К сожалению, большинство иностранных инструментов после начала СВО и введения санкций стали недоступны российским пользователям. А отечественный инструментарий включает в себя всего два продукта: «Шард» и «Прозрачный блокчейн».

Для исследования блокчейн-технологий применяются три основных метода: визуализация связей, кластеризация по эвристикам и трейсинг транзакций. А сама методология расследования сводится к трем основным действиям: установлению целевого адреса, определению путей поступления средств и определению путей вывода средств.

Серьезную помощь в исследовании криптовалют способны оказать обычные поисковые системы. С их помощью в режиме расширенного поиска можно найти важные данные, например, почтовый адрес владельца криптокошелька, отзывы о нем и другую информацию. Помогают в исследовании и математические методы анализа, а также различные онлайн-обозреватели криптовалют.

Когда исследователь соберет достаточное количество данных перед началом расследования, необходимо их визуализировать. Это поможет избавиться от незначащей информации и сделать представление данных более удобным для восприятия.

Также Григорий Осипов познакомил гостей конференции с тремя кейсами и рассказал о практических методах деанонимизации криптовалютных кошельков.

Затем слово взял научный руководитель направления профайлинга SearchInform Алексей Филатов. Он рассказал о психологии инсайда и коррупции.
Инсайдеры — это сотрудники с доступом к конфиденциальной информации организации, которую они используют в корыстных целях с ущербом для компании. На инсайдерство сотрудников побуждает пять основных причин: халатность, месть или обида, возможность получить выгоду, мошенничество и идейные соображения.

Согласно исследованиям, проведенным психологами, примерно 40% инсайдеров, совершающих серьезные нарушения ИБ, никак себя не проявляют в сетевой среде до инцидента. Они ведут себя как обычные сотрудники и ничем не выделяются среди коллег.
Но при этом у более чем 80% инсайдеров имеются значимые личностные и поведенческие особенности, при выявлении и оценке которых возможно рассчитать риск нарушения правил ИБ и ЭБ конкретным сотрудником.

Также Алексей особо отметил, что, к сожалению, большинство распространенных анкет и тестов не выявляют инсайдеров, поскольку многие сотрудники при их заполнении выдают социально желаемые ответы.

Типичный портрет инсайдера выглядит следующим образом:
  1. До 80% инсайдеров до совершения утечки имели различные виды негативного корпоративного поведения.
  2. Более 90% инсайдеров сталкивались с конфликтами и профессиональной демотивацией.
  3. 40-60% инсайдеров в момент утечки исполняли свои профессиональные обязанности.
  4. 85% инсайдеров заняты на технических позициях, из них до 40% — руководители.
  5. 76% инсайдеров — мужчины 30-40 лет.
  6. 65% инсайдеров характеризовались своими коллегами как «токсичные» сотрудники.
  7. 57% инсайдеров до утечки открыто выражали свое недовольство руководству.
  8. Более 65% инсайдеров имеют мотив мести и около 25% — деньги.
Если говорить о коммуникативном портрете инсайдера, то можно выделить следующие основные черты:
  1. Высокая избирательность общения.
  2. Присутствие фаворитов и «козлов отпущения».
  3. Манипулятивный и токсичный стиль коммуникации.
  4. Замкнутость.
  5. Неадекватная реакция на стресс.
Для обнаружения потенциальных инсайдеров специалистам ИБ следует применять профайлинг.

Профайлинг в ИБ — это набор инструментов, позволяющий на основе анализа цифрового следа сотрудника составить его психологический портрет для расчета рисков в области ИБ, а также для определения, ограничения и уменьшения потенциальных групп риска без каких-либо наводок и оперативной информации.

Также Алексей остановился на двух важных методах, помогающих выявлять потенциальных инсайдеров: на беседе с психологом и опросе на полиграфе. Оба эти метода также могут оказать существенную помощь специалистам ИБ при выявлении инсайдеров.
Завершил сессию докладов Юрий Тихоглаз, рассказавший о форензике «умных» ручек. «Умные» ручки, как и «умная» бумага, появились на рынке относительно недавно, но при этом быстро нашли свою нишу. Они позволяют практически мгновенно оцифровывать рукописный текст и изображения. Многие производители оснащают их дополнительными функциями, например, возможностью записывать звук, а также различными приложениями, облегчающими работу.

На рынке встречаются устройства от следующих производителей: Livescribe, NeoLab и Moleskine. Все три вендора используют для распознавания текста метод, основанный на координатной сетке, нанесенной на специальную бумагу. Различие кроется только в шаге координатной сетки, а также в размещении и форме ее узлов.

Используя технологию логического извлечения с помощью смартфона, из «умных» ручек всех трех вендоров можно извлечь рукописные заметки, метаданные и записанный звук. Для устройств Livescribe Echo и NeoLab возможно использовать также технологию прямого извлечения. При этом для Livescribe Echo доступен набор скриптов, распространяемых по лицензии Open Source. Но у них есть несколько недостатков: большинство из них работает с устаревшими моделями, использует проприетарный формат хранения данных, синхронизация очищает память устройства и скрипт требует пароль для подключения.

Прямое извлечение данных из устройств NeoLab возможно с помощью открытого SDK. Данные извлекаются в стандартных типах файлов, для подключения к устройству требуется пароль, и, самое главное, при извлечении память устройства не всегда очищается.
В заключение своего выступления Юрий Тихоглаз поделился с гостями конференции рядом полезных ссылок на ПО для извлечения данных из «умных» ручек.

На этом официальная часть второго дня конференции закончилась, но не закончилась «MFD 2023»! Гостей и спикеров мероприятия ждало награждение авторов самых интересных вопросов, а также неформальное общение в демонстрационных зонах, где можно было увидеть в работе все устройства и ПО, о которых рассказывали спикеры.

Для эмоциональной разрядки и позитивного драйва организаторы создали специальную игровую зону с аэрохоккеем и настольным футболом. Также гости и спикеры мероприятия могли попробовать себя в роли «медвежатников», воспользовавшись специальными наборами отмычек, замками и инструкциями по их вскрытию.

Подводя итог «MFD 2023», можно сказать, что он прошел в открытой и дружеской атмосфере, а его участники получили не только новые знания, но и огромный заряд позитивной энергии!

Ждем всех на «MFD '24»!