MOSCOW FORENSICS DAY 2022
Конференция по цифровой криминалистике MFD 2022
15 сентября 2022 года компания «МКО Системы» провела в московском отеле «Измайлово Вега» ежегодную конференцию по цифровой мобильной криминалистике Moscow Forensics Day 2022.

С приветственным словом к гостям и участникам мероприятия обратилась генеральный директор компании «МКО Системы» Ольга Гутман. В своем выступлении она отметила, что 2022 год стал для компании весьма насыщенным. Она также напомнила гостям мероприятия, что компания «МКО Системы» специализируется на разработке ПО класса DFIR. Главная цель продуктов класса DFIR — это создание полной прозрачной и достоверной картины инцидента.

Для этого ПО DFIR решают следующие задачи:
— извлечение данных из цифровых источников информации;
— проведение расследования:
— поиск, анализ и агрегация цифровых улик и доказательств;
— построение хронологии событий;
— выявление связей между объектами исследования;
— формирование отчетов.

Весь MFD 2022 условно был разделен организатором на три секции: «Доклады», «Мастер-классы» и «Круглый стол».

Секцию докладов на конференции открыл ведущий телеграмм-канала «0% PRIVACY»ШИЗО. Тема его выступления — «Расследование киберпреступлений на основе оверлейных сетей (TOR и I2P)». В своем докладе ШИЗО кратко остановился на истории создания оверлейных сетей, особо отметив, что оверлейные сети работают поверх обычных сетей, создавая поверх них виртуальный сетевой уровень. При этом для передачи данных оверлейные сети, как правило, используют те же самые сетевые протоколы, но с дополнительными заголовками. Аналогично работают и анонимные оверлейные сети (TOR, I2P, Freenet и др.).

Для борьбы со злонамеренным использованием TOR можно применять следующие методы: стандартную методику сетевой форензики, определение актуальных векторов сетевых атак и предсказание злонамеренных действий на основе аналитических данных.

К стандартным методам сетевой форензики относится в первую очередь анализ сетевого трафика. Здесь особое внимание следует уделить активности по следующим сетевым портам — 9030, 9001, 9050, 9055. Часто узлы работают и через 443-й порт.

В качестве актуальных векторов сетевых атак могут выступать, например, различные уязвимости в браузерах, зараженные сетевые узлы, финансовые транзакции и многое другое.

Чтобы полноценно противостоять сетевым атакам, необходимо опережать киберпреступников. Своевременно обновлять ПО и закрывать патчами найденные уязвимости в сетевых браузерах и различных криптографических протоколах, используемых в организации, а также проводить другие организационно-технические мероприятия.
Особое внимание в своем докладе ШИЗО уделил I2P-сетям, которые еще называют «чесночными». Главная особенность этих сетей в том, что, в отличие от «луковичной» сети TOR, в I2P может использоваться до 8 узлов, что существенно увеличивает время, требуемое для анализа трафика!

Продолжили конференцию представители объединения Forensic Alliance Александра Гончарова и Владимир Ульянов. В своем докладе они рассказали о юридических тонкостях в сборе цифровых улик. Все собранные доказательства должны удовлетворять трем условиям: быть допустимыми, относимыми и достоверными.

Для сбора улик можно использовать следующие способы: скриншот, фотографирование экрана, копирование на физический носитель, распечатка файлов и переписки, а также хранение в облачном сервисе. Такой перечень способов хранения доказательств связан с тем, что в российской судебной системе признаются только два вида доказательств — письменные и вещественные!

Письменные доказательства — это электронные или иные документы, электронные образы документов и т.п., зафиксированные на бумажных носителях.
Особое внимание выступающие обратили на тот факт, что все письменные доказательства должны быть оформлены надлежащим образом. Они обязательно должны сопровождаться, например, актом, в котором фиксируются все действия по сбору доказательств. Также в акте должны быть ссылки на Приказ о проведении служебной проверки и/или оказание юридической помощи адвокатом.

Также можно оформить письменные доказательства у нотариуса, сделав, например, скриншот экрана и заверив его.

Вещественные доказательства предоставляются на физических носителях, например, флэш-картах, внешних жестких дисках и других носителях. Все физические носители должны быть упакованы надлежащим образом и опечатаны, чтобы исключить их несанкционированное вскрытие.

Если собранные доказательства не удовлетворяют этим критериям, то с большой вероятностью следствие и суд их могут не принять к рассмотрению. Именно поэтому так важно соблюдать процедуру сбора цифровых улик в полном объеме.
В качестве процессуальной формы доказательств могут использоваться материалы служебной проверки, результаты адвокатского расследования и осмотр и обеспечение доказательств нотариусом.

Все эти процессуальные формы должны подкрепляться соответствующими локальными нормативными актами.

После выступления юристов слово взял сотрудник Kaspersky ICS CERT Вячеслав Копейцев. Он рассказал об особенностях компьютерной криминалистики в промышленных сетях. Данная тема весьма актуальна, особенно с учетом того, что все современное промышленное оборудование объединено в локальную и глобальную сеть, а заражение различными «зловредами» может привести к огромному ущербу для предприятия.

В своем выступлении Вячеслав сразу отметил, что обеспечить максимальную защиту промышленного оборудования от проникновения вредоносных программ помогает создание специальной «демилитаризованной зоны» между офисной и промышленной (технологической) сетью. В качестве примера он рассказал о заражении установки для розлива нефти в цистерны шифровальщиком WannaCry. Заражение технологического оборудования произошло через офисную сеть, в результате линия разлива нефти периодически переставала работать, и это приводило к простою оборудования и финансовым потерям.

Также возможно и попадание вредоносного ПО на станки с ЧПУ через внешние носители. В практике Вячеслава был случай, когда вредоносное ПО Trojan-PSW, обычно используемый для кражи паролей онлайн-банков, на флэшке случайно «залетело» на станок с ЧПУ. В результате работа станка была практически парализована, поскольку «троян» создавал чрезмерную нагрузку на память и процессор.

Продолжил Moscow Forensics Day 2022 старший менеджер компании «Б1-Консалт» Олег Комиссаренко. Тема его выступления — «Форензик-анализ данных как метод решения спорных ситуаций». После краткого вступления он рассказал о том, как форензик-анализ помог его компании выявить недобросовестных амбассадоров в массовой маркетинговой кампании, проходившей в 13 крупных российских городах.
Для этого специалисты компании провели извлечение данных и их анализ из планшетов, которыми пользовались амбассадоры в ходе маркетинговой акции. Анализ данных выявил массовое использование специально созданных виртуальных телефонных номеров и несуществующих личностей. Благодаря этому удалось существенно сократить затраты заказчика исследования на проведение маркетинговой акции и предотвратить подобные случаи в дальнейшем.
Затем менеджер по продвижению и развитию продуктов компании Positive Technologies Кирилл Черкинский рассказал о том, чем полезен XDR при расследованиях.

В начале презентации он остановился на причинах, по которым цифровые расследования правонарушений часто заходят в тупик. Как правило, это происходит из-за отсутствия данных, отсутствия экспертизы и нехватки времени на сбор и анализ данных.

Использование XDR-системы от Positive Technologies позволяет избавиться не только от трех перечисленных выше причин, но и вывести расследование цифровых правонарушений на новый уровень. XDR-система сама отслеживает в автоматическом режиме инциденты, осуществляя сбор данных и телеметрии из различных источников, а также производит сбор доказательной базы и реагирует на угрозы в ручном или автоматическом режиме.

Генеральный директор «Элкомсофт» Владимир Каталов рассказал гостям конференции о том, как правильно, «без шума и пыли» извлечь данные из мобильных устройств Apple и превратить их в доказательства.

Он выделил четыре метода извлечения данных из устройств, работающих под управлением iOS: расширенное логическое извлечение, низкоуровневое извлечение, облачное извлечение и другие методы. В зависимости от модели устройства, типа используемых в нем процессора и версии iOS эти методы имеют различную эффективность.
Не существует универсального метода, который давал бы стопроцентный результат. Чаще всего в работе специалистам приходится использовать комбинацию из разных методов.

Владимир Каталов также отметил, что их компания выпустила специальное методическое руководство, которое поможет максимально корректно и эффективно извлечь данные из продуктов Apple. Руководство бесплатное и доступно по запросу.
От компании «Лан-Проект» выступил Сергей Еремин, который рассказал о продуктах для компьютерной криминалистики. «Лан-Проект» предоставляет полный спектр решений для компьютерной криминалистики, в частности стационарные и мобильные комплексы, а также передвижные криминалистические лаборатории.

Докладчик подробно остановился на возможностях фирменного Аппаратно-программного комплекса извлечения данных и анализа мобильных устройств (АПК ИАМУ). Комплекс позволяет проводить извлечение информации на физическом и логическом уровне из мобильных и иных цифровых устройств, SIM- и медиакарт, персональных компьютеров, а также облачных сервисов. Используя АПК ИАМУ, можно проводить обработку, фильтрацию и исследование данных, а также осуществлять их аналитику и статистический анализ. На основании полученных результатов пользователь может создать полноценный криминалистический отчет в любом популярном формате.

Отдельно Сергей Еремин рассказал о ПО VR-Expert, с помощью которого можно извлекать данные из видеорегистраторов. База поддерживаемых регистраторов постоянно расширяется новыми моделями. ПО VR-Expert был посвящен и специальный мастер-класс.

На этом теоретическая часть конференции Moscow Forensics Day 2022 была завершена, а после перерыва участникам и гостям мероприятия предстояло от теории перейти к практике. В практической части гостей MFD 2022 ждали четыре интересных мастер-класса. О них мы вам расскажем ниже.

Открыл практическую часть Даниэль Клюев — эксперт в области извлечения и анализа данных из ПК компании «МКО Системы». Он познакомил посетителей с возможностями ПО класса DFIR на примере «МК Enterprise».

Говоря о возможностях «МК Enterprise», Даниэль отметил следующее:
— дистанционное исследование рабочих станций под управлением Windows, macOS, GNU/Linux;
— исследование группы рабочих станций под управлением Windows;
— извлечение данных из устройств на базе Android и iOS;
— получение доступа к информации, находящейся в облачных хранилищах;
— анализ коммуникаций владельца устройства или учетной записи;
— построение полной хронологии инцидента;
— изучение полной файловой базы объекта исследования;
— поиск данных внутри извлечения по заданным параметрам.

Используя «МК Enterprise», можно решать следующие задачи: проводить аудит, инициировать расследования, предотвращать ущерб до его возникновения и осуществлять оптимизацию процессов реагирования на инциденты.

Широкие возможности «МК Enterprise» были продемонстрированы гостям MFD 2022 на примерах реальных кейсов из практики компании.
Ведущий инженер компании «ACELab» по направлению мобильных устройств Вячеслав Чикин познакомил посетителей с возможностями АПК PC-3000 MOBILE на примере устройств, работающих под управлением ОС Android.

В частности было продемонстрировано, как с помощью PC-3000 MOBILE можно получить доступ ко второму рабочему столу смартфона от Xiaomi. Очень интересно было наблюдать, как комплекс осуществлял подбор графического пароля к смартфону с помощью перебора. Заметим, что даже на не самом мощном ноутбуке процесс не занял много времени.

Отдельно Вячеслав отметил, что комплекс работает со всеми типами шифрования данных, которые используются в смартфонах. База данных поддерживаемых комплексом девайсов постоянно расширяется, и разработчики стараются оперативно реагировать на все запросы пользователей.

Затем эстафета перешла к представителю компании «СЕУСЛАБ» Евгению Рабчевскому. Он рассказал собравшимся о том, как можно повысить эффективность решения оперативно-розыскных задач, опираясь на анализ «больших данных» в сети Интернет. Рассказ сопровождался демонстрацией практических кейсов из реальных задач, которые успешно решала компания.

Продолжил серию мастер-классов эксперт по работе с инструментами в области анализа данных компании «МКО Системы» Станислав Коваль. Он весьма подробно рассказал о возможностях программы Аналитический Центр Криминалист.

«Аналитический Центр Криминалист» — новое клиент-серверное приложение компании «МКО Системы». В него можно загрузить любые данные из семейства продуктов «Мобильный Криминалист» («МК Эксперт», «МК Enterprise», «МК Десктоп») и анализировать их одновременно силами нескольких пользователей. В состав программы входят самые современные инструменты для сбора, анализа и обработки данных по различных параметрам с генерацией отчетов.
При столь богатом функционале Аналитический Центр Криминалист предъявляет весьма скромные требования к аппаратным ресурсам. Для его корректной работы нужен сервер, работающий под управлением 64-разрядной ОС Windows (Windows 10 или новее, Windows Server 2016 или новее). Для работы клиентской части необходимо, чтобы корректно запускался веб-браузер — и все! Минимальные требования по загрузке данных аналогичны требованиям программы «МК Эксперт».

В практическую часть входило рассмотрение семи реальных кейсов:
1. Глобальный поиск номера телефона контакта в базе данных;
2. Установление местонахождения пользователя устройства в заданный промежуток времени;
3. Поиск по словарю телефонных номеров:
4. Поиск общих контактов между делами;
5. Поиск по данным OCR;
6. Поиск электронных писем, содержащих ключевое слово и имеющих прикрепленные файлы;
7. Поиск по словарю расширений и хеш-сету с отметкой результатов тегом «Важно».
Как видно, все кейсы решают абсолютно реальные, а не вымышленные задачи. Все они на самом деле встречаются в повседневной работе сотрудников правоохранительных органов и службы безопасности компаний.
Затем перед гостями конференции выступили три спикера от компании «ЛАН-ПРОЕКТ». В своем докладе Дмитрий Башмаков, Сергей Еремин и Владимир Грешнов рассказали о способах получения информации с устройств при помощи решений от «ЛАН-ПРОЕКТ».

В выступлении было подробно рассказано о возможностях ПО VR-Expert. Этот продукт является комплексным решением для работы с видеозаписывающими устройствами. Он позволяет проводить поиск и извлечение необходимой визуальной и другой криминалистически значимой информации, содержащейся как в явном, так и в удаленном виде в памяти исследуемых накопителей.

Большинство функций в VR-Expert автоматизировано. Программа сама определяет тип файловой системы накопителя (в VR-Expert реализована функция автоматического определения следующих типов файловых систем: HIK, DHFS, WFS), автоматически ищет все записанные на него видеоданные и связанную с ними служебную информацию, а также удаленные видеозаписи.

Благодаря такому подходу пользователю VR-Expert не придется долго изучать инструкцию, а это минимизирует временные затраты на поиск данных и снижает вероятность ошибок. Также для извлечения данных не требуется знание пароля к системе защиты информации видеозаписывающего устройства для получения доступа к содержимому накопителя информации.

Встроенный в программу шестнадцатеричный редактор позволяет оперативно просматривать содержимое файлов, а также осуществлять сигнатурный поиск данных.
Результаты работы VR-Expert сохраняются в виде отдельных проектов. При необходимости повторного извлечения визуальной информации это позволяет значительно сократить время, нужное для получения требуемых сведений.

Далее спикеры остановились на возможностях Аппаратно-программного комплекса «Дубль-К». Как видно из названия, он создан для копирования данных с подключаемых носителей на внутреннюю память и/или внешние подключаемые носители.

Еще одной весьма интересной разработкой компании «ЛАН-ПРОЕКТ» являются АПК «Блокиратор USB-SATA» и «Блокиратор USB-USB». С их помощью можно осуществлять аппаратное блокирование от записи подключаемых накопителей данных. Девайсы работают с устройствами SATA и USB 3.0. Питание осуществляется через стандартный разъем Molex 4 pin.
Организаторы мероприятия сделали все, чтобы конференция прошла в непринужденной и дружеской атмосфере. Для участников и гостей были организованы стенды, где каждый желающий мог в буквальном смысле посмотреть и потрогать продукты, о которых говорили спикеры в своих докладах. Также на стендах проводились розыгрыши призов и сувениров от организаторов и участников MFD 2022.

Со всеми спикерами можно было пообщаться в неформальной обстановке за чашкой ароматного кофе. В общем, было весело, интересно и познавательно.

Ждем всех на MFD 2023!