Статьи

Начало 2020 года принесло в мир много неожиданных событий, но самым масштабным стало распространение вируса COVID-19, который без преуменьшения затронул весь мир, в том числе и нашу страну. Всеобщая самоизоляция заставила многих покинуть свои рабочие места и адаптироваться к новой реальности — работе из дома. Но даже удаленно мы продолжали активно совершенствовать программные продукты бренда «Мобильный Криминалист» и сегодня хотим подвести итоги прошедшего полугодия.

Предлагаем вместе с нами вспомнить самые значимые моменты.

ДОСТИЖЕНИЯ В ТЕХНОЛОГИЯХ

Крушение нерушимой защиты iOS

С последнего квартала 2019 года Apple стремительно теряет в безопасности, являющейся одной из опорных точек в маркетинговых кампаниях по продажам различных iOS-устройств по всему миру. Событием, поразившим IT-сегмент, стало создание эксплойта checkm8, а затем и основанного на нем Jailbreak checkra1n.

Мы, компания в области цифровой форензики, не могли упустить такой шанс в усилении своего функционала и в начале 2020 года анонсировали новый инструмент, извлекающий полную файловую систему и данные хранилища Keychain из устройств на платформе iOS, изначально — с предустановленным Jailbreak. Но уже в июне доступ к этим данным был реализован нами для iPhone 6 (12.4.4 - 12.4.7), iPhone 7 и iPhone 7 Plus (13.0 - 13.3.1) без Jailbreak, но с применением уязвимости checkm8.

Более того, данный инструмент позволяет извлекать информацию из выбранных приложений, установленных на исследуемом устройстве: в программе представлен список из топ-15 популярных приложений, в котором присутствуют мессенджеры, социальные сети и почтовый клиент. Такая функция дает возможность в короткие сроки получить для анализа необходимые данные, не дожидаясь извлечения всей файловой структуры гаджета. 

Утилита находится в постоянном развитии: внедряется работа с новыми Jailbreak (unc0ver 5.0), а в будущем планируется обязательное расширение линейки поддерживаемых устройств без предустановленного Jailbreak.

На этом мы не остановились и для еще большего усовершенствования программы в области работы со смартфонами от компании Apple интегрировали в продукт с расширением «Скаут Плюс» Elcomsoft Forensic Toolkit. Он предназначен для извлечения данных из устройств без установки Jailbreak на iOS версий от 10.0 до 13.4.1. 

Расширенное извлечение iOS
Популярные приложения
 Elcomsoft Forensic Toolkit

Новая ступень в извлечении данных из Android-устройств

Стандартное подключение смартфона к программе для последующей работы с ним выполняется по USB. Однако иногда попадаются устройства со сломанными USB-портами, что автоматически делает невозможным извлечение из них данных по кабелю. Как быть в таком случае?

Ответ прост: использовать Android-агента от нашей компании, который позволяет получать информацию из гаджета даже в таких ситуациях 2 способами. Первый существует с 2018 года и хорошо всем известен — автономная работа агента через SD-карту. Второй мы реализовали в этом году — извлечение данных по Wi-Fi сети, тем самым переведя агента на новый уровень!

Подключив исследуемый смартфон и компьютер с «МК» к одной Wi-Fi сети, остается только отсканировать устройством QR-код из окна программы для скачивания агента. После его установки и запуска на телефоне, все дальнейшие операции производятся уже на ПК. Как и ранее, здесь присутствует важная опция выбора конкретных данных для извлечения.

Усилили мы и первый способ, добавив функцию создания скриншотов в автоматическом и ручном режимах. Тем самым агент позволяет фиксировать наличие важной информации в приложениях, данные которых обычно не попадают в логический образ устройства, создаваемый им. Не стоит забывать, что открыть скриншоты можно только в «МК», так как обновленный агент шифрует данные, сохраняемые им при автономной работе, с целью их защиты до передачи на компьютер эксперта.

Android-агент QR
Android-агент
Выбор данных для извлечения
 Cоздание скриншотов
OxyAgent
OxyAgent

Система безопасности Android — не аргумент для «МК»

Все меньше остается гаджетов на платформе Android, физический образ которых не создавал бы и не расшифровывал «Мобильный Криминалист». Начало 2020 года ознаменовалось обновлением поддержки устройств на процессорах Spreadtrum и добавлением самых популярных чипсетов Kirin.

Современные Spreadtrum-устройства, как и многие другие, хранят информацию своего владельца в зашифрованном виде. Если ранее шифрование осуществлялось на основе пароля блокировки смартфона, то сегодня оно реализовывается с применением аппаратных ключей, что, без сомнения, вызывает затруднения у исследователей.

Именно поэтому было принято решение обновить поддержку данных гаджетов в «МК». Теперь из устройств на чипсетах SC9850, SC9863, SC7731E и SC9832E программа извлекает как сам физический образ, так и аппаратные ключи для его расшифровки.

Несмотря на одну из лучших систем защиты данных в мире мобильных устройств, сочетающей в себе уникальные механизмы от компании-разработчика и самые последние «фишки» Android, техническим специалистам нашей компании поддались и смартфоны от Huawei. В настоящий момент программа поддерживает извлечение и расшифровку данных из гаджетов с ОС Android 9-10 версий на чипсетах 710, 710F, 970 и 980. Но это далеко не предел наших возможностей, в чем можно легко убедиться, посмотрев на линейку процессоров этого бренда, с которыми работает наша криминалистическая лаборатория: вышеназванные процессоры плюс Kirin 659, 810, 960, 990 и даже новейшие чипсеты 990 5G.

Не стоит забывать, что физический доступ к устройству можно получить и путем установки на него эксплойтов. За это время мы реализовали возможность применения:

  • CVE-2019-2215 — для Android-устройств с версией операционной системы 8 и выше, с обновлением системы безопасности до октября 2019 года включительно;
  • CVE-2018-9568 — для Android-устройств с версией операционной системы 7 и ниже, с обновлением системы безопасности до июня 2018 года включительно;
  • CVE-2020-0069 — для МТК-смартфонов на 64-битных процессорах с обновлением безопасности до 1 марта 2020 года.
Huawei
Spreadtrum
Работа с эксплойтами

Что же насчет приложений? 

C каждой новой версией мы, конечно же, расширяем линейку поддерживаемых приложений для Android- и iOS-устройств, из которых можно извлечь самую разнообразную, а главное важную информацию. На данный момент «Мобильный Криминалист» поддерживает более 16 100 версий приложений!

Разработчики компании, принимая решение о добавлении нового приложения, руководствуются не только пожеланиями пользователей, но и ситуацией на рынке. Давайте вспомним, в каких категориях произошли изменения. 

В первую очередь, учитывая факт перехода большинства людей на удаленную работу, очень важным стало извлечение данных из «бизнес-помощников». Теперь «МК» поддерживает 4 новых сервиса от Google: Google Contacts (Android), Google Docs (Android и iOS), Files by Google (Android), Google Tasks (Android и iOS), а также Zoom Cloud Meetings (Android и iOS) и Microsoft Remote Desktop (Android и iOS). Таким образом, открывается доступ к множеству рабочей и личной информации: от данных, содержащихся в контактах, заметках, чатах и звонках, до удаленных рабочих столов и различных файлов, документов.

Files by Google
Google Contacts
Google Docs
Google Drive
Google Tasks
Microsoft Remote Desktop
Zoom

Категория «Мессенджеры» тоже пополнилась 6 новыми приложениями: ChatSecure (iOS), JioChat (Android и iOS), Signal (iOS), Textra SMS (Android), Wickr Me (iOS), и TextNow (iOS). Из всех мессенджеров извлекаются контакты, чаты, сообщения и звонки.

Chat Secure
JioChat
Signal
Textra SMS
Wickr Me
TextNow

В «Мультимедиа» добавлены Imgur (Android и iOS) и Amazon Photos (Android и iOS), созданные для хранения и просмотра фотографий, и SoundHound (Android и iOS), позволяющий распознавать и искать музыку.

Imgur
Sound Hound
Amazon Photos

Наконец, в группе «Путешествия» появилось два популярных сервиса — Airbnb (Android и iOS) и Uber Russia (iOS), хранящие в себе информацию о планируемых или завершенных путешествиях и поездках, которая поможет при необходимости выявить людей, находящихся за рубежом в период пандемии или совершающих какие-либо поездки за это время.

Uber Russia
Airbnb

Исследование данных персональных компьютеров 

В декабре 2019 года компания сделала огромный шаг вперед в области извлечения информации из компьютеров и ноутбуков, добавив поддержку сразу двух популярных операционных систем модулем «Мобильный Криминалист Скаут» — macOS и Linux. Теперь модуль совершенствуется еще более быстрыми темпами, с каждой новой версией приобретая все новые источники данных. В итоге сегодня «Скаут», помимо прочего, позволяет:

  1. Изучить историю просмотра папок и файлов по информации из Jump Lists и Shellbags на Windows, работу с файлами и папками по данным из журналов Quarantine и FS Events на macOS, а также историю USB-подключений из ПК на Windows.
  2. Проанализировать данные из новых источников:
  • приложений из ПК на macOS: Apple Notes, Apple Messages, Apple Reminders, Apple Photos, Apple Contacts, Apple Mail, Apple Calendar, Apple Maps;
  • десктоп-версий мессенджера Signal для Windows, macOS и GNU/Linux;
  • планировщика задач (ПК на Windows).
Apple Calendar
Apple Contacts
Apple Mail
Apple Maps
Apple Messages
Apple Notes
Apple Photos
Apple Reminders

Кроме этого, модуль можно использовать не только для поиска информации на живых системах: с июня этого года «Скаут» исследует также образы жестких дисков в формате .e01 c файловой системой NTFS. 

Значительным событием в области компьютерной форензики для компании стал и выпуск нового продукта «Мобильный Криминалист Десктоп», в котором «МК Скаут» выступает основным модулем извлечения информации.

«МК Десктоп» был создан для получения данных из ПК, ноутбуков и серверов на Windows, macOS и GNU/Linux как представителями правоохранительных структур, так и специалистами служб информационной безопасности коммерческих организаций. Программа помогает решить множество задач: от быстрого извлечения и проведения первичной экспертизы данных ПК до проведения расследования инцидентов и аудита системы ИБ (подробный список задач находится на странице продукта на нашем сайте).

Signal на ПК
 История просмотров папок и файлов по информации из Jump Lists и Shellbags на Windows
Планировщик задач
Анализ образов .e01
Мобильный Криминалист Десктоп

Не забудем и об «облаках»

Модуль «Облачные Сервисы» также занимает важную часть в процессе получения данных для исследователя. За последние полгода в поддержке появилось 5 новых сервисов, а их общее количество составляет 82!

Одним из первых облачных сервисов, добавленных в 2020 году, является онлайн-площадка для размещения, поиска и краткосрочной аренды частного жилья по всему миру — Airbnb. Из него можно извлечь сообщения и контакты, информацию о поездках, сохраненных местах и жилье.

Затем была расширена категория мессенджеров: из imo, Slack и Skype можно получить и проанализировать информацию о контактах, звонках, а также групповых и приватных чатах.

Более того, теперь мы поддерживаем одну из самых популярных в России социальных сетей — Одноклассники, из которой доступны данные всех действий пользователя, а именно: контакты, приватные и групповые звонки, альбомы, загруженные и понравившиеся видео, лента, обсуждения, группы и сообщества.

IMO
 Airbnb
Slack
Skype
Одноклассники

Новые инструменты для тех, кто смотрит вглубь

Впечатляющие аналитические возможности «МК» давно известны экспертам в области мобильной и компьютерной криминалистики. Благодаря им можно рассмотреть извлечение в самых подробных деталях. За последние полгода аналитический функционал нашего ПО стал еще мощнее и удобнее в использовании. 

Появился раздел «Статистика», в котором собраны показатели по количеству различных типов данных, диаграммы коммуникаций и другая важная статистическая информация, а также два аналитических инструмента «Матрица активности» и «Диаграмма активности». 

«Матрица активности» показывает частоту использования устройства по дням и позволяет выявить наиболее активное время его эксплуатации по часам и дням недели, при этом выделяя каждую ячейку определенным цветом — от зеленого до ярко-красного (от самого низкого до самого высокого уровня активности). 

В свою очередь, «Диаграмма активности» помогает отследить, какие типы событий происходили в точно определенный период времени (год, месяц, час, минута и секунда) и в каком количестве. Например, сколько сообщений или звонков было совершено в заданный интервал времени.

В разделе «Контакты» появились расширенные настройки объединения: теперь можно настраивать функцию объединения контактов по собственным параметрам, что позволяет скорректировать результаты автоматического объединения контактов программой. Более того, реализована возможность автоматического объединения совпадающих групп в одном или нескольких извлечениях.

Отдельно стоит отметить новый раздел «Отчеты», который содержит все отчеты, созданные по извлечению. Если отчет был удален или сохранен на внешний носитель, он все равно отображается в списке и его можно создать заново с исходными настройками.

Новой функцией является и «Поиск» по содержимому бинарных файлов. Для этого достаточно выбрать одну или несколько кодировок, а также типы файлов, в которых необходимо произвести анализ.

Наконец, мы внедрили искусственный интеллект в «МК Эксперт Скаут Плюс». На этапе импорта он анализирует данные и распознает изображения угроз по 12 различным категориям, обозначает их соответствующими тегами и отображает в секции «Важное», а также во вкладке «Изображения угроз» в разделе «Файлы». 

Помимо улучшения инструментов для исследования информации в извлечении аналитическими инструментами, мы позаботились и об удобстве общей работы с программой.

Появился «Мастер Импорта Данных», который позволяет задать название устройства, дела и другие настройки, а также параметры поиска на этапе импорта.

Реализован просмотр баз данных SQLite в отдельной вкладке, что дает возможность быстро исследовать содержимое таблиц и общую информацию о структуре базы, не покидая основного рабочего пространства программы.

«Раздел Статистика»
Матрица активности
Диаграмма активности
Объединение контактов
Отчеты
Бинарный поиск
Категоризация изображений
Мастер Импорта
Просмоторщик SQLite

ЖИЗНЬ КОМПАНИИ ВНЕ РАЗРАБОТКИ: МАРКЕТИНГ, ЗНАМЕНАТЕЛЬНЫЕ СОБЫТИЯ, ОБЩЕНИЕ С ПОЛЬЗОВАТЕЛЯМИ

Место встречи изменить нельзя

Начало года кардинально поменяло наши планы, но все же в первые месяцы мы совместно с компаниями «ЛАН-ПРОЕКТ», «Elcomsoft» и «Атом Безопасность» успели провести два замечательных семинара, которые прошли в Москве, в отеле «Садовое Кольцо»! На данных мероприятиях мы рассказывали сотрудникам правоохранительных органов и специалистам по кибербезопасности коммерческих организаций о новых возможностях нашего программного обеспечения, демонстрировали работу с ними, делились инсайтами, устраивали конкурсы и, конечно же, общались. Общая численность гостей семинаров составила более 120 человек из разных городов России и других стран СНГ!

Что же было «после»?

16 марта 2020 года в столице вступил в силу запрет на проведение массовых мероприятий. Однако это позволило нам встречаться даже чаще, только в формате онлайн. За первую половину этого года, мы провели 8 виртуальных встреч с вами, на которых мы все также демонстрировали новый функционал, отвечали на вопросы, помогая тем самым, использовать возможности нашего ПО по максимуму.

Полезные «фишки» 

У нас появился новый сайт — современный, удобный в использовании и адаптированный под мобильные устройства.  Сейчас сайт — это многофункциональный ресурс, где вы можете не только ознакомиться с функционалом наших программных продуктов, но и найти инструкции по работе с ПО, а также провести время, изучая статьи о приложениях, мобильных устройствах и облачных сервисах. 

Полная версия сайта
Мобильная версия сайта

За эти полгода мы написали 27 статей, посвященных различным облачным сервисам, мобильным устройствам и новинкам в мире цифровой криминалистики. Появились библиотеки контактных точек, необходимые при извлечении данных из устройств на процессорах Kirin и Qualcomm. Сегодня на нашем сайте можно найти уже более 100 отдельных инструкций по работе с каждым инструментом или сервисом в нашем программном обеспечении. 

Однако мы решили, что этого не достаточно, и открыли новый канал связи. Теперь каждый официальный пользователь может обратиться напрямую к экспертам компании по любому вопросу, связанному с нашими программными продуктами, в закрытом Telegram-чате. 

Новая веха «Оксиджен Софтвер» 

Без сомнения, одно из главных событий этого года для нас — юбилей компании. Уже 20 лет мы работаем, чтобы сделать мир безопаснее, предоставляя широкие возможности в области цифровой криминалистики. Нашими решениями в вопросах извлечения и исследования данных из мобильных устройств, облачных сервисов, персональных компьютеров и дронов пользуются правоохранительные органы, государственные учреждения и службы безопасности коммерческих организаций России и стран СНГ. 

За прошедшие 20 лет из небольшой компании по исследованию мобильных устройств мы превратились в ведущего российского разработчика программного обеспечения для проведения компьютерно-технической экспертизы, а возможности и функционал наших программных продуктов давно во многом превосходят даже зарубежные аналоги. В будущем мы продолжим работать над качеством наших решений, создавая и интегрируя уникальные технологии и инструменты.

Первая половина года запомнилась нам появлением нового программного продукта, выпуском 4 новых версий программного обеспечения «Мобильный Криминалист», успешным обходом несокрушимой защиты iOS-устройств, развитием поддержки Android-смартфонов (Spreadtrum, Kirin, извлечение данных по Wi-Fi), добавлением новых облачных сервисов и приложений, а также мощных аналитических инструментов. Более того, эпидемиологическая ситуации в стране, никак не помешала нам встречаться, общаться и делиться новостями, хоть и в онлайн-режиме. 

Впереди нас ждет много новых событий. Оставайтесь с нами и следите за новостями на нашем официальном сайте и в социальных сетях. Мы верим — все будет оксигенно!