Весь 2023 год был насыщен событиями как в области мобильной, так и компьютерной криминалистики. За 12 месяцев работы команда «МКО Системы» подготовила выпуск 16 усовершенствованных версий «Мобильного Криминалиста».
Давайте вместе вспомним все самые яркие события и изменения программного обеспечения 2023 года!
Что нового в поддержке Android-смартфонов?
Согласно информации «Российской газеты», Android-устройства средней ценовой категории (от 15 до 35 тысяч рублей) являются самым популярным и динамично развивающимся сегментом мобильного рынка. И это неудивительно, ведь сегодня чипсеты от компаний MediaTek, Unisoc и Qualcomm применяются буквально повсеместно. Статистика фирмы Counterpoint Research за второй квартал 2023 года показала, что MediaTek продолжает лидировать на мировом рынке процессоров для мобильных устройств. На этот раз доля MediaTek составила 30%, Qualcomm — 29%, а Unisoc — 15%.
Мы следим за трендами и планомерно расширяем линейку поддерживаемых Android-устройств, работающих на базе чипсетов MediaTek. В рамках уже существующего метода извлечения «MTK Android» добавлена поддержка устройств на чипсетах MT6765, МТ6768, MT6785, MT6761, MT6833, МТ6853 и МТ6893.
Давайте вместе вспомним все самые яркие события и изменения программного обеспечения 2023 года!
Что нового в поддержке Android-смартфонов?
Согласно информации «Российской газеты», Android-устройства средней ценовой категории (от 15 до 35 тысяч рублей) являются самым популярным и динамично развивающимся сегментом мобильного рынка. И это неудивительно, ведь сегодня чипсеты от компаний MediaTek, Unisoc и Qualcomm применяются буквально повсеместно. Статистика фирмы Counterpoint Research за второй квартал 2023 года показала, что MediaTek продолжает лидировать на мировом рынке процессоров для мобильных устройств. На этот раз доля MediaTek составила 30%, Qualcomm — 29%, а Unisoc — 15%.
Мы следим за трендами и планомерно расширяем линейку поддерживаемых Android-устройств, работающих на базе чипсетов MediaTek. В рамках уже существующего метода извлечения «MTK Android» добавлена поддержка устройств на чипсетах MT6765, МТ6768, MT6785, MT6761, MT6833, МТ6853 и МТ6893.
Одним из популярных брендов среди Android-устройств на чипсетах MediaTek является Samsung, смартфоны от которого также поддерживаются «Мобильным Криминалистом», предоставляя возможность подбора пароля, извлечения и расшифровки данных из Samsung-устройств с пофайловым шифрованием и доверенной средой исполнения TEEGRIS на чипсете MediaTek MT6768 и предустановленных версиях Android 9 и выше.
Если говорить о Samsung, нельзя не упомянуть о важном обновлении метода «Samsung Exynos», который не только поддерживает уже более 190 моделей смартфонов на чипсетах Exynos, но и теперь позволяет подобрать пароль блокировки экрана на устройствах, оснащенных функцией как полнодискового, так и пофайлового шифрования данных.
Стоит отметить развитие инструмента по извлечению данных из Huawei-смартфонов, базирующихся на чипсетах компании Qualcomm, а именно «Huawei Qualcomm EDL». Программа поддерживает извлечение данных из устройств Huawei на чипсетах SDM450, MSM8917, MSM8937 и MSM8940. Многие пользователи по всему миру признают их как производительные и защищенные смартфоны.
Несмотря на то, что телефоны китайского бренда на чипсетах американской компании не выходили с 2019 года, они до сих пор предлагают достаточно высокий уровень безопасности пользовательских данных.
Тем не менее, и в них есть ряд уязвимостей, эксплуатация которых дает возможность получить доступ к хранящейся в смартфонах пользовательской информации. Обновленный модуль «МК Извлечение устройств» получает и расшифровывает полный физический образ телефонов от Huawei.
Функцией пофайлового шифрования теперь обладают также устройства производителя Unisoc (Spreadtrum). «Мобильный Криминалист» извлекает физический образ и аппаратные ключи шифрования из смартфонов на чипсетах T606, T616, T612 и T310 на Android с версией 10 и выше.
Если говорить о Samsung, нельзя не упомянуть о важном обновлении метода «Samsung Exynos», который не только поддерживает уже более 190 моделей смартфонов на чипсетах Exynos, но и теперь позволяет подобрать пароль блокировки экрана на устройствах, оснащенных функцией как полнодискового, так и пофайлового шифрования данных.
Стоит отметить развитие инструмента по извлечению данных из Huawei-смартфонов, базирующихся на чипсетах компании Qualcomm, а именно «Huawei Qualcomm EDL». Программа поддерживает извлечение данных из устройств Huawei на чипсетах SDM450, MSM8917, MSM8937 и MSM8940. Многие пользователи по всему миру признают их как производительные и защищенные смартфоны.
Несмотря на то, что телефоны китайского бренда на чипсетах американской компании не выходили с 2019 года, они до сих пор предлагают достаточно высокий уровень безопасности пользовательских данных.
Тем не менее, и в них есть ряд уязвимостей, эксплуатация которых дает возможность получить доступ к хранящейся в смартфонах пользовательской информации. Обновленный модуль «МК Извлечение устройств» получает и расшифровывает полный физический образ телефонов от Huawei.
Функцией пофайлового шифрования теперь обладают также устройства производителя Unisoc (Spreadtrum). «Мобильный Криминалист» извлекает физический образ и аппаратные ключи шифрования из смартфонов на чипсетах T606, T616, T612 и T310 на Android с версией 10 и выше.
iOS-устройства: расширяя возможности
Противостояние iOS- и Android-устройств длится уже много лет. Если во всем мире популярность продукции компании Apple продолжает набирать обороты, то в России мобильные телефоны этого бренда уже входят только в топ-5. Однако, по примерным подсчетам, сегодня iPhone все еще пользуются более 13 миллионов россиян. По этой причине очень важно иметь в своем арсенале инструмент для получения информации из iOS-устройств.
За год мы значительно улучшили инструмент «iOS-Агент». Напомним, что «iOS-Агент» — решение от компании «МКО Системы», которое официальными методами от Apple устанавливается непосредственно на устройство как обычное непривилегированное пользовательское приложение. Стоит отметить, что при установке «iOS-Агента» подпись приложения производится через персональный компьютер на Windows. Помимо расширения линейки поддерживаемых устройств до iPhone 14 Pro и версий iOS 15.0 - 15.7.2 и 16.0 - 16.5, мы добавили возможность извлечения полной файловой структуры и данных Keychain из Арре-устройств на версиях iOS 15.0 - 15.4.1, от iPhone Xs до iPhone 13, без необходимости подписи приложения. Отдельно стоит отметить функционал извлечения общедоступных данных для всех устройств Apple на версии iOS 12 и выше. Теперь без применения уязвимостей доступны информация об устройстве, данные контактов, календарь и события, фотографии и другие медиафайлы.
Противостояние iOS- и Android-устройств длится уже много лет. Если во всем мире популярность продукции компании Apple продолжает набирать обороты, то в России мобильные телефоны этого бренда уже входят только в топ-5. Однако, по примерным подсчетам, сегодня iPhone все еще пользуются более 13 миллионов россиян. По этой причине очень важно иметь в своем арсенале инструмент для получения информации из iOS-устройств.
За год мы значительно улучшили инструмент «iOS-Агент». Напомним, что «iOS-Агент» — решение от компании «МКО Системы», которое официальными методами от Apple устанавливается непосредственно на устройство как обычное непривилегированное пользовательское приложение. Стоит отметить, что при установке «iOS-Агента» подпись приложения производится через персональный компьютер на Windows. Помимо расширения линейки поддерживаемых устройств до iPhone 14 Pro и версий iOS 15.0 - 15.7.2 и 16.0 - 16.5, мы добавили возможность извлечения полной файловой структуры и данных Keychain из Арре-устройств на версиях iOS 15.0 - 15.4.1, от iPhone Xs до iPhone 13, без необходимости подписи приложения. Отдельно стоит отметить функционал извлечения общедоступных данных для всех устройств Apple на версии iOS 12 и выше. Теперь без применения уязвимостей доступны информация об устройстве, данные контактов, календарь и события, фотографии и другие медиафайлы.
Более того, извлечение полной файловой системы и данных хранилища Keychain из Apple iPhone 7 и iPhone 7 Plus на версиях iOS 14.0 - 15.7.3 при помощи уже хорошо знакомого метода «iOS с использованием checkm8» более не требует предварительного отключения пароля блокировки экрана.
«Скаут» — незаменимый инструмент в форензике
Только в третьем квартале 2023 года количество инцидентов в области информационной безопасности в России выросло на 85% по сравнению с аналогичным периодом 2022 года. За один день на российские ресурсы совершается более 170 целевых атак. Основой расследования инсайдерской деятельности, атак вредоносных программ и других инцидентов информационной безопасности является исследование данных персональных компьютеров. Задачу анализа сведений рабочих станций на Windows, macOS и GNU/Linux решает «Скаут» — один из модулей программного обеспечения бренда «Мобильный Криминалист».
В 2023 году мы полностью изменили начало процесса исследования ПК, образов и внешних дисков, заменив выбор режимов поиска на выбор предустановленных профилей поиска данных с широким набором различных комбинаций. Новый подход позволяет значительно сэкономить время и исследовать только требуемые данные. Например, только все приложения, пароли и токены или только все документы и изображения, хранящиеся на компьютере. Модуль предоставляет возможность создания, сохранения и загрузки собственных профилей.
Также добавлена возможность отслеживать в реальном времени, на какой стадии находится поиск и какие этапы остаются в очереди, через отображение каждой отдельной задачи поиска на главном экране модуля.
Из больших обновлений стоит выделить четыре новые функции модуля «МК Скаут» по работе с источниками данных. Первая — анализ образов оперативной памяти ОС Windows в формате RAW или DMP. Теперь исследование образов дисков возможно произвести одновременно с исследованием одного или нескольких плагинов оперативной памяти. При этом данные, найденные в оперативной памяти, автоматически применяются для получения дополнительной информации из образа диска.
«Скаут» — незаменимый инструмент в форензике
Только в третьем квартале 2023 года количество инцидентов в области информационной безопасности в России выросло на 85% по сравнению с аналогичным периодом 2022 года. За один день на российские ресурсы совершается более 170 целевых атак. Основой расследования инсайдерской деятельности, атак вредоносных программ и других инцидентов информационной безопасности является исследование данных персональных компьютеров. Задачу анализа сведений рабочих станций на Windows, macOS и GNU/Linux решает «Скаут» — один из модулей программного обеспечения бренда «Мобильный Криминалист».
В 2023 году мы полностью изменили начало процесса исследования ПК, образов и внешних дисков, заменив выбор режимов поиска на выбор предустановленных профилей поиска данных с широким набором различных комбинаций. Новый подход позволяет значительно сэкономить время и исследовать только требуемые данные. Например, только все приложения, пароли и токены или только все документы и изображения, хранящиеся на компьютере. Модуль предоставляет возможность создания, сохранения и загрузки собственных профилей.
Также добавлена возможность отслеживать в реальном времени, на какой стадии находится поиск и какие этапы остаются в очереди, через отображение каждой отдельной задачи поиска на главном экране модуля.
Из больших обновлений стоит выделить четыре новые функции модуля «МК Скаут» по работе с источниками данных. Первая — анализ образов оперативной памяти ОС Windows в формате RAW или DMP. Теперь исследование образов дисков возможно произвести одновременно с исследованием одного или нескольких плагинов оперативной памяти. При этом данные, найденные в оперативной памяти, автоматически применяются для получения дополнительной информации из образа диска.
Вторая новая возможность — исследование физических образов и внешних дисков с технологией управления томами Logical Volume Manager на платформе GNU/Linux, для полноценного изучения которых требуется подключить одновременно несколько физических или побитовых образов этих дисков. Наши разработчики реализовали решение, которое уведомляет пользователя о необходимости добавления дополнительных источников информации, после чего формирует из нескольких образов единое логическое пространство и исследует его так же, как раздел обычного диска.
Третья — исследование образов, дисков, разделов дисков и отдельных файловых контейнеров, защищенных при помощи VeraCrypt. Стоит отметить, что если диск или раздел, защищенный технологией VeraCrypt, открыт на момент исследования системы или создания образа оперативной памяти «Скаутом», ключ от диска, содержащийся в оперативной памяти, будет автоматически сохранен и его можно будет применить для расшифровки контейнеров.
Четвертая возможность — восстановление удаленных файлов для файловых систем NTFS, FAT16, FAT32 и exFAT. Более того, в секции «Диски и разделы» возможно выбрать, применять ли восстановление удаленных файлов для каждого раздела, а затем произвести поиск по файлам, приложениям и артефактам в том числе среди восстановленных данных. В случае если восстановленные файлы являются частью какого-либо приложения, найденное приложение будет также использовать их при анализе и будет отмечено как восстановленное.
Обнаружение вредоносных объектов
Совместно с компанией «Лаборатория Касперского» в «Мобильном Криминалисте» мы реализовали функцию сканирования извлеченных данных на наличие вредоносных объектов. Встроенный инструмент позволяет обнаружить угрозы как на исследуемом ПК, внешнем жестком диске и в их образах, так и в файловой структуре ранее полученных извлечений из любых цифровых источников.
Третья — исследование образов, дисков, разделов дисков и отдельных файловых контейнеров, защищенных при помощи VeraCrypt. Стоит отметить, что если диск или раздел, защищенный технологией VeraCrypt, открыт на момент исследования системы или создания образа оперативной памяти «Скаутом», ключ от диска, содержащийся в оперативной памяти, будет автоматически сохранен и его можно будет применить для расшифровки контейнеров.
Четвертая возможность — восстановление удаленных файлов для файловых систем NTFS, FAT16, FAT32 и exFAT. Более того, в секции «Диски и разделы» возможно выбрать, применять ли восстановление удаленных файлов для каждого раздела, а затем произвести поиск по файлам, приложениям и артефактам в том числе среди восстановленных данных. В случае если восстановленные файлы являются частью какого-либо приложения, найденное приложение будет также использовать их при анализе и будет отмечено как восстановленное.
Обнаружение вредоносных объектов
Совместно с компанией «Лаборатория Касперского» в «Мобильном Криминалисте» мы реализовали функцию сканирования извлеченных данных на наличие вредоносных объектов. Встроенный инструмент позволяет обнаружить угрозы как на исследуемом ПК, внешнем жестком диске и в их образах, так и в файловой структуре ранее полученных извлечений из любых цифровых источников.
Перевод с 10 иностранных языков
В 2023 году мы добавили новый модуль на базе ИИ, который позволяет переводить текст в извлечении напрямую, не используя стороннее ПО.
Данный функционал реализован в секциях «Приложения», «Сообщения» и «Лента событий». Для начала работы с модулем требуется скачать его на личной страничке пользователя. После установки в указанных секциях появится опция перевода как всего пула, так и отдельных сообщений на требуемый язык. «Мобильный Криминалист» поддерживает возможность перевода с украинского, белорусского, казахского, армянского, английского, таджикского, азербайджанского, турецкого, китайского и арабского языков.
При использовании функционала напротив каждой ячейки появляется значок обработки задания. Важно отметить, что каждая строка переводится в отдельном потоке. После выполнения перевода справа от ячейки с текстом появляется значок, который позволяет идентифицировать сообщение как переведенное. При нажатии на него возможно изучить как оригинальный текст, так и переведенный, что даст возможность оценить эффективность перевода.
В отчет, на выбор, можно экспортировать исходный текст, переведенный текст или исходный и переведенный вместе. Для эффективной работы с модулем доступны настройка языковых пар и выбор языка перевода по умолчанию.
В 2023 году мы добавили новый модуль на базе ИИ, который позволяет переводить текст в извлечении напрямую, не используя стороннее ПО.
Данный функционал реализован в секциях «Приложения», «Сообщения» и «Лента событий». Для начала работы с модулем требуется скачать его на личной страничке пользователя. После установки в указанных секциях появится опция перевода как всего пула, так и отдельных сообщений на требуемый язык. «Мобильный Криминалист» поддерживает возможность перевода с украинского, белорусского, казахского, армянского, английского, таджикского, азербайджанского, турецкого, китайского и арабского языков.
При использовании функционала напротив каждой ячейки появляется значок обработки задания. Важно отметить, что каждая строка переводится в отдельном потоке. После выполнения перевода справа от ячейки с текстом появляется значок, который позволяет идентифицировать сообщение как переведенное. При нажатии на него возможно изучить как оригинальный текст, так и переведенный, что даст возможность оценить эффективность перевода.
В отчет, на выбор, можно экспортировать исходный текст, переведенный текст или исходный и переведенный вместе. Для эффективной работы с модулем доступны настройка языковых пар и выбор языка перевода по умолчанию.
Облачные сервисы: 100+
Насколько популярны облачные сервисы на сегодняшний день? По примерным подсчетам, уже в 2020 году в облаках хранилось более 40 зеттабайт информации. Ожидается, что к 2025 году этот объем достигнет 100 зеттабайт. На первый взгляд, может показаться, что это совсем немного, но для понимания, зеттабайт — это один миллиард терабайт. Популярность хранения данных в облаках стремительно растет, но что это дает?
Уже сейчас «Мобильный Криминалист» позволяет исследовать данные совершенно разных облачных сервисов: в поддержке продуктов бренда «МК» — более 105 облачных сервисов. В 2023 году была реализована поддержка программы для хранения паролей LastPass, трекера здоровья Huawei Health, сервиса для общения Google Messages и значительно расширены возможности извлечения данных из облачного сервиса Telegram (извлечение тем групповых чатов, коллекционных публичных имен, реакций и истории событий чатов).
Насколько популярны облачные сервисы на сегодняшний день? По примерным подсчетам, уже в 2020 году в облаках хранилось более 40 зеттабайт информации. Ожидается, что к 2025 году этот объем достигнет 100 зеттабайт. На первый взгляд, может показаться, что это совсем немного, но для понимания, зеттабайт — это один миллиард терабайт. Популярность хранения данных в облаках стремительно растет, но что это дает?
Уже сейчас «Мобильный Криминалист» позволяет исследовать данные совершенно разных облачных сервисов: в поддержке продуктов бренда «МК» — более 105 облачных сервисов. В 2023 году была реализована поддержка программы для хранения паролей LastPass, трекера здоровья Huawei Health, сервиса для общения Google Messages и значительно расширены возможности извлечения данных из облачного сервиса Telegram (извлечение тем групповых чатов, коллекционных публичных имен, реакций и истории событий чатов).
«Аналитический Центр Криминалист» — эффективный инструмент для анализа данных
На протяжении многих лет мы разрабатываем программное обеспечение, предназначенное не только для извлечения, но и для анализа данных из самых разнообразных цифровых источников. Каждый продукт линейки «МК» позволяет сделать процесс расследования не только максимально эффективным, но и более быстрым и комфортным.
В 2023 году наша компания представила обновленную версию продукта «Аналитический Центр Криминалист» 2.0 — клиент-серверное приложение от компании «МКО Системы». Данное решение позволяет одному или нескольким пользователям одновременно анализировать массив данных из полной базы загруженных извлечений и включает в себя в следующий функционал:
Планы на 2024 год
Уже совсем скоро мы выпустим новые версии программных продуктов «Мобильный Криминалист»! Готовим к запуску обновленный сайт с блогом и уже бронируем залы, чтобы встретиться с вами 12 февраля в Казани и 28 февраля в Москве на серии семинаров «Цифровая Криминалистика 24». Совсем скоро мы также анонсируем и другие мероприятия, которые пройдут в конце весны и летом этого года. И, конечно, готовим новые потоки обучающего курса от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится 4 потока курса, где мы не только расскажем о теоретических аспектах, но и на практике используем наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных. Если вы хотите принять участие в обучении, пожалуйста, оставьте заявку уже сейчас. На наш майский поток осталось меньше половины мест.
Следите за новостями на нашем сайте и в Telegram-канале — впереди много интересного :)
На протяжении многих лет мы разрабатываем программное обеспечение, предназначенное не только для извлечения, но и для анализа данных из самых разнообразных цифровых источников. Каждый продукт линейки «МК» позволяет сделать процесс расследования не только максимально эффективным, но и более быстрым и комфортным.
В 2023 году наша компания представила обновленную версию продукта «Аналитический Центр Криминалист» 2.0 — клиент-серверное приложение от компании «МКО Системы». Данное решение позволяет одному или нескольким пользователям одновременно анализировать массив данных из полной базы загруженных извлечений и включает в себя в следующий функционал:
- поиск ключевых данных по всей базе загруженных извлечений;
- автоматический анализ текста по предустановленным
- тематическим словарям;
- сравнение данных из нескольких дел или отдельных извлечений между собой для поиска совпадающих элементов и многое другое.
Планы на 2024 год
Уже совсем скоро мы выпустим новые версии программных продуктов «Мобильный Криминалист»! Готовим к запуску обновленный сайт с блогом и уже бронируем залы, чтобы встретиться с вами 12 февраля в Казани и 28 февраля в Москве на серии семинаров «Цифровая Криминалистика 24». Совсем скоро мы также анонсируем и другие мероприятия, которые пройдут в конце весны и летом этого года. И, конечно, готовим новые потоки обучающего курса от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится 4 потока курса, где мы не только расскажем о теоретических аспектах, но и на практике используем наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных. Если вы хотите принять участие в обучении, пожалуйста, оставьте заявку уже сейчас. На наш майский поток осталось меньше половины мест.
Следите за новостями на нашем сайте и в Telegram-канале — впереди много интересного :)