Восьмая ежегодная конференция Moscow Forensics Day по цифровой криминалистике и информационной безопасности, организованная компанией «МКО Системы», состоялась в Москве 12 и 13 сентября. Партнерами выступили такие компании, как ООО НПП «АСЕ», «Элетек», «Лан-Проект», «СёрчИнформ», Zero eDiscovery, «БалтИнфоКом», «Ампликом» и «Эккаунт-Бест». Мероприятие собрало ведущих экспертов, специалистов и представителей вендоров, став одной из крупнейших площадок для обмена знаниями и опытом в этой сфере.
Серию докладов первого дня, посвященного цифровой криминалистике, открыл руководитель IT-лаборатории НИИ Судебной экспертизы «ГОСТ ЭКСПЕРТ» Станислав Гостищев, который поделился рекомендациями по использованию «Мобильного Криминалиста» для борьбы с мошенничеством. Он затронул вопросы киберпреступлений, включая рост числа мошеннических операций и объема украденных средств.
Специалист в области извлечения данных из Android-устройств компании «МКО Системы» Андрей Карондеев рассказал об особенностях Android KeyStore и о возможности получения данных, зашифрованных с использованием этой технологии. Он подробно осветил технические аспекты работы с Android через API, уязвимости в устройствах на базе процессоров Qualcomm, Huawei и других, а также рассказал о применении эксплоитов для получения root-доступа и извлечения данных с помощью специализированных инструментов.
Его коллега, менеджер проектов компании «МКО Системы», Никита Вьюгин поделился сложностями эксплуатации уязвимостей в iOS, включая цикл обновлений операционной системы Apple и методы их защиты. Раскрывая ограничения при работе с данными iOS-устройств, он рассмотрел методы защиты ядра (KIP, PAC, PPL и др.) и новые технологии безопасности в чипсетах, включающие предотвращение атак на память и модификации кода.
Артем Азаров из «БалтИнфоКом» представил комплексный подход к анализу разнородных данных в своем выступлении. Были рассмотрены три ключевых продукта компании: «Следопыт», «Зверобой» и «Октопус», которые обеспечивают анализ и визуализацию больших массивов информации, включая геоинформационные данные, биллинговую информацию и данные из социальных сетей. Особое внимание было уделено инструментам для поиска скрытых связей, анализа поведения и перемещений абонентов, а также извлечению данных из открытых источников и мессенджеров.
Виктор Мрих из ООО НПП «АСЕ» рассмотрел возможности восстановления удаленных данных с WD SMR накопителей. Он представил доклад о проблемах восстановления данных с накопителей SMR в сравнении с CMR.
Внимание было уделено и исследованию шифровальщиков: Максим Суханов из Центра инноваций Future Crew рассказал о методах работы с Babuk. Он выделил современные уязвимости и ошибки в алгоритмах шифрования и случаи утечек исходных кодов шифровальщиков. Также были рассмотрены проблемы шифрования больших файлов, виртуальных машин и сложности восстановления данных сетевых хранилищ и виртуальных дисков (особенно VMDK и VHDX), с акцентом на специфические утилиты и методы работы с поврежденными данными.
Представители силовых ведомств также внесли свою лепту: Ольга Тушканова представила доклад о развитии судебной компьютерной экспертизы, начиная с конца 1990-х годов, когда формировались ключевые понятия в этой области. Она отметила эволюцию терминологии от «компьютерной техники» до современных понятий, таких как «цифровая криминалистика».
Роман Чурин из ЭКЦ МВД России рассказал об особенностях криминалистического исследования беспилотных летательных аппаратов. Он отметил ключевые сферы применения дронов в гражданской и военной областях, такие как аэрофотосъемка, разведка и корректировка огня. Также были рассмотрены различные виды данных, которые можно извлечь при расследовании, включая полетные карты, серийные номера, журналы управления и информацию с электронных блоков.
Игорь Зайцев из «Эккаунт-бест» в своем докладе описал ключевые аспекты функционирования мобильных приложений для управления автомобильными системами охранной сигнализации. Он подробно рассмотрел использование CAN и LIN-шин в современных автомобилях для управления и контроля различных систем, а также ключевые компоненты автосигнализаций, такие как центральные блоки, модули запуска двигателя, навигационные модули и брелоки.
Владимир Грешнов из «Элетек» продемонстрировал аппаратно-программные комплексы для прямого съема информации, ориентированные на копирование данных с внешних или внутренних накопителей. Особое внимание было уделено изделиям семейства «Элемент», которые обеспечивают безразборный метод съема данных с высокой скоростью до 1 ГБ/с. Среди ключевых возможностей были выделены подключение накопителей в режиме «только чтение», создание посекторных копий, восстановление данных после прерывания и копирование информации без внешних источников питания.
Сергей Еремин, ведущий эксперт отдела криминалистической техники и специальных программных комплексов компании «Лан-Проект», представил программное обеспечение VR-EXPERT, предназначенное для анализа видеорегистраторов, включая восстановление данных и работу с различными файловыми системами. Особое внимание он уделил функционалу обработки видео с государственных видеорегистраторов, что делает VR-EXPERT важным инструментом в криминалистическом исследовании.
Юрий Баркалов, руководитель направления экспертиз технического департамента RTM Group, рассказал о ключевых вопросах, выносимых на экспертизу, и о том, как определить пределы компетенции эксперта в судопроизводстве. В своем докладе он акцентировал внимание на юридических ограничениях, с которыми сталкиваются эксперты при ответах на вопросы правового характера.
Алексей Москвичев, менеджер проектов компании «МКО Системы», представил возможности «Аналитического Центра Криминалист». Он рассказал о передовых методах реконструкции событий, применении временного и функционального анализа для раскрытия преступлений и инцидентов, а также продемонстрировал использование различных техник визуализации данных для обработки больших объемов информации.
Завершением первого дня стала «прожарка» вендоров, в ходе которой гости задавали самые острые и волнующие вопросы, а также озвучили важные замечания по поводу использования существующих решений в области криминалистики и безопасности данных.
Второй день конференции был посвящен информационной безопасности. Артур Игитян и Виктор Алюшин из управления специальных мероприятий и расследования компьютерных инцидентов «Лаборатории Касперского» подробно рассказали о методах расшифровки мобильных телефонов. Они представили ключевые отличия в архитектуре устройств и подходы к исследованию их безопасности.
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ», представил доклад на тему предотвращения инцидентов с инсайдерами. Он рассказал, как организовать контроль доступа к корпоративным данным и минимизировать риски без необходимости прибегать к цифровой криминалистике, основываясь на анализе жизненного цикла инцидентов и работе с людьми.
Никита Вьюгин, менеджер проектов компании «МКО Системы», подробно осветил ключевые аспекты цифровой криминалистики для корпоративного сегмента. Он акцентировал внимание на важности быстрой реакции на инциденты, сборе доказательств и предотвращении мошенничества, утечек данных и атак программ-вымогателей. Вьюгин подчеркнул, что с помощью ПО «МК Enterprise» компании могут эффективно восстанавливать хронологию событий, проводить анализ данных и минимизировать риски для бизнеса, обеспечивая соблюдение законодательства.
Григорий Осипов, представитель АО «ШАРД», поделился опытом расследования инцидентов, связанных с использованием криптовалют в корпоративной среде. Он рассказал о распространенных схемах мошенничества, включая хищение средств с кошельков Metamask и Trust Wallet, а также о случаях вымогательства через уязвимости в системах хранения.
Никита Павлов, генеральный директор и сооснователь компании Zero eDiscovery, выступил с докладом о методике проведения корпоративных расследований с использованием системы криминалистического анализа данных (СКАД) Zero eDiscovery. В ходе выступления он поделился опытом работы с системой, подчеркнув важность оптимизации процесса eDiscovery для выявления, сбора и анализа цифровых данных в корпоративных инцидентах.
Алексей Филатов, эксперт-профайлер международного уровня, в своем докладе осветил психологические и поведенческие особенности сотрудников, склонных к нарушению корпоративных правил и вовлечению в инсайдерскую деятельность. Особое внимание было уделено концепции «темной триады личности», а также роли корпоративной культуры в формировании условий для коррупционного и инсайдерского поведения. Филатов подчеркнул важность профайлинга и психолингвистического анализа для выявления потенциальных рисков и предотвращения инцидентов в сфере информационной безопасности.
Роман Панин, руководитель направления архитектуры ИБ в МТС и автор телеграм-канала «Пакет безопасности», поделился опытом разработки и внедрения безопасной архитектуры по принципу Secure by Design. Он рассказал о проблемах, с которыми команда ИБ сталкивалась до интеграции архитектуры, и о том, как внедрение единого окна для вопросов ИБ помогло улучшить взаимодействие с продуктовыми командами и бизнесом. Также он подчеркнул важность раннего включения безопасности в жизненный цикл разработки ПО, что привело к более эффективному управлению ресурсами и снижению рисков.
На конференции Никита Леокумович, начальник Управления цифровой криминалистики и киберразведки компании Angara Security, рассказал, когда и зачем необходимо проводить Compromise Assessment (оценку компрометации), а также осветил этапы процесса — от гипотез до анализа собранных данных. Леокумович подчеркнул важность сбора телеметрии с критических активов и периметровых устройств, а также проведение внутренних и внешних сканирований для выявления потенциальных угроз. Он также акцентировал внимание на коэффициенте киберустойчивости компании и проверке готовности команд реагирования на инциденты, включая оценку процессов и осведомленности сотрудников в сфере ИБ.
Игорь Бедеров, руководитель департамента киберрасследований компании T.Hunter, в ходе своего выступления рассказал о том, как проводится анализ Telegram-каналов и чатов, а также представил примеры инструментов для мониторинга и поиска данных в Telegram. Бедеров также подчеркнул важность выявления и анализа активности пользователей и сообществ в других сетях, используя данные для проведения расследований.
Подводя итоги конференции Moscow Forensics Day 2024, стоит отметить ее традиционную насыщенность и актуальное содержание. Участники не только познакомились с последними достижениями в области цифровой криминалистики и информационной безопасности, но и получили возможность напрямую задать экспертам интересующие вопросы и протестировать новые разработки, представленные в презентациях. Теплая атмосфера общения и обмена знаниями зарядила всех участников позитивной энергией и дала новый импульс для дальнейшего развития.
Мы благодарим всех участников и партнеров за активное участие и поддержку. До скорых встреч на следующих мероприятиях компании «МКО Системы»!
Мы благодарим всех участников и партнеров за активное участие и поддержку. До скорых встреч на следующих мероприятиях компании «МКО Системы»!