Статьи

Прошла первая половина 2021 года. За 6 месяцев упорной работы команда «Оксиджен Софтвер» представила целых 7 усовершенствованных версий «Мобильного Криминалиста» и абсолютно новый продукт. Но это еще не все — предлагаем подробнее взглянуть на итоги: 

«МК Enterprise» 一 эффективное расследование корпоративных инцидентов

На протяжении многих лет мы разрабатываем программные комплексы, предназначенные для извлечения и анализа данных из самых разнообразных цифровых источников. Каждый представитель линейки «МК» позволяет сделать процесс расследования не только более эффективным, но и более быстрым и комфортным. 

14 апреля 2021 года наша компания представила «Мобильный Криминалист Enterprise» 一 универсальный инструмент для сотрудников служб безопасности коммерческих организаций для решения широкого спектра задач, среди которых:  

  • расследование деятельности инсайдеров и внешних атак;
  • исследование электронных данных (eDiscovery);
  • оптимизация процесса реагирования на корпоративные происшествия;
  • обнаружение уязвимостей в системе ИБ компании и предотвращение будущих инцидентов. 

Решению этих задач способствует впечатляющий мощный функционал программы, который включает в себя:

  • дистанционное извлечение информации из одного или одновременно нескольких персональных компьютеров;
  • изучение как запущенных систем на Windows, macOS и GNU/Linux, так и образов жестких дисков и логических образов файловой системы ПК;
  • получение и расшифровка данных из более чем 40000 моделей мобильных устройств от Apple, Samsung, Huawei, Sony, LG и многих других;
  • исследование информации более 85 облачных сервисов: бизнес-приложений, мессенджеров, социальных сетей, почтовых агентов и пр.;
  • 10 инструментов, позволяющих произвести высокоскоростной анализ данных;
  • и многое другое.

Узнать подробнее обо всех возможностях нового флагманского продукта можно на официальной странице «МК Enterprise».

Новые возможности извлечения данных из Android и iOS-устройств

В борьбе за безопасность пользовательских данных вендоры постоянно развивают технологии шифрования. Казалось бы, это должно было стать значительным препятствием на пути исследования информации из устройства. Однако количество телефонов на платформе Android, физический образ которых не извлекал бы и не расшифровывал «Мобильный Криминалист», наоборот, сокращается с каждым днем.

За первые полгода мы заметно усилили свой функционал в получении и расшифровке данных Android-устройств. Но обо всем по порядку. Начало года ознаменовалось реализацией поддержки мобильных от Sony на чипсетах MediaTek.

Разработчики нашей компании создали решение, которое основывается на уязвимости в низкоуровневом проприетарном протоколе и позволяет подбирать пароль и извлекать расшифрованные пользовательские данные из Sony линеек Xperia XA1 и L1 – L3, базирующихся на чипсетах MediaTek. 

За прошедшие полгода это стало не единственным улучшением в работе с MediaTek- устройствами. В марте мы осуществили поддержку TrustZone RSEE для чипсетов MT6739 и улучшили ранее реализованную работу с TrustZone T6 для MT6739, MT6737 и MT6580, что позволило нам значительно расширить линейку MTK-смартфонов, доступных для исследования.

Одним из главных событий первого полугодия является поддержка новых Huawei-устройств. Помимо ранее доступных для извлечения чипсетов Kirin, с июня «МК» позволяет не только снять физический образа основного хранилища, но и информацию из защищенного дополнительного пространства PrivatеSpace. 

Прибавилась и возможность без использования пароля извлечь аппаратные ключи шифрования и расшифровать данные из смартфонов на Android 7 и выше на чипсетах Qualcomm MSM8917, MSM8937, MSM8940. 

Обновленный метод «Samsung Exynos дамп» поддерживает уже более 180 моделей смартфонов Samsung на чипсетах Exynos с версией Android от 7 до 11. Для устройств защищенных технологией пофайлового шифрования с Android 9 – 11, метод позволяет получить данные не только из основного, но и из дополнительного пространства телефона — Secure Folder.

В «МК» продолжает совершенствоваться работа и с iOS-устройствами. Инструмент «Расширенное извлечение iOS» теперь открывает доступ к полной файловой системе и Keychain на устройствах на новейших версиях iOS (12.5.3, 14.5.1, 14.6 и 14.7 beta 1).

Root — всему голова

Специалисты используют получение прав суперпользователя в разных случаях. Основной причиной эксплуатации этого метода является невозможность снятия физического образа исследуемого мобильного телефона другим способом. За первое полугодие мы реализовали в программе применение новых эксплойтов:

  • CVE-2019-10567 — для Android-устройств на чипсетах Qualcomm с версией операционной системы 7 – 9, с обновлением системы безопасности до февраля 2020 года;
  • CVE-2020-11179 — для Android-гаджетов на чипсетах Qualcomm с версией операционной системы 7 – 10, с обновлением системы безопасности до декабря 2020 года.

«Агент» на задании

К сожалению, снять физический образ гаджета на Android удается далеко не всегда. Что делать в таком случае? Отправляем смартфон на «полку» и забываем до лучших времен? Не надо поспешных выводов и импульсивных решений.

Выходом из данной ситуации, при возможности разблокировки устройства, является использование «МК Агент». Помимо уже ранее добавленных опций, в первой половине этого года функционал утилиты был значительно расширен. 

Во-первых, был увеличен список приложений, данные из которых стали доступны для извлечения «Агентом», а именно:

  • Discord (контакты, приватные и групповые чаты, каналы, информация о владельце учетной записи);
  • Twitter (личные и групповые чаты, подписчики, подписки, твиты, ответы и информация о владельце учетной записи);
  • Line (чаты, контакты, вложения, и информация об учетной записи).

Во-вторых, помимо реализованной ранее функции снятия скриншотов, «Агент» позволяет записывать видео с экрана исследуемого устройства. В настоящее время доступно 2 режима съемки экрана: обычный и с функцией автоматической прокрутки. 

В-третьих, «МК Агент», первый в отрасли, научился извлекать информацию из устройств под управлением одной из самых защищенных ОС — Android 11.

«Мобильный Криминалист Скаут»: путь к лидерству в области форензики

Изучение данных на персональных компьютерах является основой расследования инсайдерской деятельности, атак вредоносных программ и других инцидентов информационной безопасности. Задачу анализа сведений рабочих станций на Windows, macOS и GNU/Linux решает «Скаут» 一 один из модулей программного обеспечения бренда «Мобильный Криминалист». 

С каждой новой версией инструмент получает все больше возможностей работы с ПК, ноутбуками, а также с образами жестких дисков и файловой системы компьютера. Рассмотрим хронологию развития «Скаута» по месяцам.

«Мобильный Криминалист Скаут» за полгода стал неотъемлемым инструментом в арсенале многих специалистов. Однако уже достигнутые успехи 一 далеко не предел наших возможностей. 

А что насчет исследования «облаков»?

За первую половину 2021 года в поддержку «Мобильного Криминалиста» было добавлено 4 облачных сервиса и усовершенствована работа с 13 сервисами. Общее количество насчитывает уже 92 «облака»!

Приложения: что нового? 

Все больше приложений как для iOS-, так и для Android-устройств доступны в новых версиях «Мобильного Криминалиста». На данный момент программа поддерживает 642 приложения! Давайте вспомним, какие сервисы были добавлены в поддержку «МК» за полгода. 

Аналитика — все самое необходимое и даже больше

Исследователи также ценят «МК» за мощный аналитический функционал, позволяющий намного эффективнее работать с полученными данными. Давайте рассмотрим произошедшие за полгода изменения в инструментах аналитики.

Наконец, стоит отметить появление списка поддерживаемых устройств, в котором отображаются все исследуемые программой модели мобильных телефонов, а также информация о них: от модели и производителя до доступных методов извлечения.

Не криминалистикой единой 

Помимо технологических прорывов, первое полугодие 2021 ознаменовалось множеством событий и встреч. 

Знания 一 сила

Ключом к эффективному использованию программного обеспечения бренда «Мобильный Криминалист» является получение навыков работы с модулями программы. С января на сайте и в социальных сетях мы опубликовали около 30 статей, инструкций и обучающих видеороликов по функционалу наших инструментов. 

Однако это далеко не все. За прошедшие полгода мы запустили и провели несколько потоков долгожданного обучающего курса «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». 

В течение обучения наши специалисты поделились с участниками актуальными теоретическими знаниями в области мобильной, облачной и компьютерной криминалистики, а также передали практический опыт в решении таких задачах, как:

  • получение данных из разнообразных мобильных устройств на iOS и Android;
  • работа с поврежденными смартфонами и планшетами;
  • обход различных защитных механизмов, применяемых вендорами;
  • извлечение информации из популярных облачных сервисов;
  • оперативный сбор данных из рабочих станций на Windows, macOS и GNU/Linux;
  • исследование образов жестких дисков и логических образов файловой системы ПК;
  • анализ полученных в ходе расследования сведений;
  • и других. 

Уже совсем скоро мы начнем набор на новый поток курса, на котором поделимся накопленным опытом работы с многочисленными цифровыми источниками данных. Ознакомиться с программой курса и подать заявку на участие можно на странице официального сайта нашей компании. Знаний много не бывает! 

Нет предела совершенству

Постоянное развитие функционала и следование новым тенденциям — негласный слоган команды «Оксиджен Софтвер». Безусловно, одним из самых запоминающихся событий первой половины 2021 является выпуск совершенно нового продукта от нашей компании — «МК Enterprise», предназначенного для расследования инцидентов информационной безопасности. В будущем, мы продолжим развивать продукт для сотрудников служб ИБ коммерческих организаций, добавляя новые инструменты для борьбы с вредоносными атаками, инсайдерской деятельностью и другими типами инцидентов. 

Теперь в поддержке «МК» значится широкая линейка MTK-смартфонов, более 180 моделей Samsung на чипсетах Exynos, и, конечно, одни из самых защищенных гаджетов в мире — Huawei на чипсетах Qualcomm, новые источники данных и аналитические возможности, упрощающие работу с полученными сведениями. 

За полгода команда «Оксиджен Софтвер» не только работала над усилением функционала продуктов бренда «Мобильный Криминалист», но и активно встречалась с пользователями — было проведено 2 потока обучающего курса и 16 мероприятий, 6 из которых прошли в режиме оффлайн в разных городах.

Впереди нас ждет еще много событий. Уже в сентябре состоится пятая ежегодная конференция по мобильной криминалистике и информационной безопасности — «MOBILE FORENSICS DAY 2021». Мероприятие пройдет 16 сентября в отеле «Holiday Inn Sokolniki» в Москве. Участников ожидают доклады и мастер-классы от известных экспертов-практиков из сфер цифровой криминалистики и информационной безопасности, большая выставочная зона компаний-производителей, тематические конкурсы и гарантированные призы. Конференция «MOBILE FORENSICS DAY 2021» для тех, кто по-настоящему любит свою работу и разделяет нашу миссию — помочь обществу стать безопаснее. 

Оставайтесь с нами и следите за новостями на нашем официальном сайте и в социальных сетях. Мы верим — все будет оксигенно!