Статьи

Компьютерная криминалистика развивается уже не первый год и даже не первое десятилетие. Практически ежегодно на рынке появляется всё больше программных продуктов связанных с этим направлением. «Оксиджен Софтвер» решила создать нечто новое, не похожее на другие программные средства, но высоко востребованное при работе с компьютерами, как с источником данных, и летом 2018 года выпустила свое решение в этой области, которое представляло собой отдельный модуль флагманского продукта. Модуль получил название «Мобильный Криминалист Скаут» и изначально извлекал из ПК лишь учетные данные от различных сервисов и приложений. Потенциальные пользователи и коллеги по цеху не скрывали своего скепсиса. Но прошло практически 2 года, и вот уже сегодня перед нами сильный инструмент компьютерной форензики, о котором все больше говорят и задают много вопросов. Наша команда собрала самые часто встречающиеся из них и решила взять интервью у ведущего разработчика «Скаута». Интересно что у нас получилось? Читайте далее :)

Начнем с того, что предупредим читателя о главной «фишке» компании — беречь и ценить свои кадры. По этой причине мы не будем обращаться к тебе по имени, давай будем звать тебя Мистер икс. 

Ок, без вопросов. Как в шпионском фильме. (Улыбается)

Итак, пойдем с козырей. Что самого крутого сейчас ты можешь выделить в продукте, над которым работаешь с момента его создания?

Ох… Это очень трудно, это как сказать, что самого крутого в твоем ребенке. Но все же первое, что приходит в голову — это то, что «Скаут», в отличие от своих «братьев», проводит молниеносный анализ данных на ПК и вытаскивает только самый сок. То есть, чтобы получить первичную информацию, не нужно ждать несколько суток или даже пары часов — от 5 до максимум 20 минут и образ у тебя на руках. Бери и анализируй.

Ты же знаешь, что сейчас найдутся критики, которые после этих слов уже захотят закрыть статью?

Да, не без этого. Но, что может быть круче, чем возможность получить данные здесь и сейчас и уже на их основе составить первичное представление о владельце ПК, его круге общения, интересах, привычках? Мы не запрещаем после работы «Скаута» проверить компьютер или ноут повторно более глубокими инструментами, даже наоборот, рекомендуем. Но все же «Скаут» должен быть первопроходцем.

Согласна, тем более что «Скаут» нужно запускать на живой машине, так сказать, на месте. Кстати, эта черта также не всем по душе.

И очень даже зря. «Скаут» портативный, состоит из одной кнопки, нет ничего проще, чем отработать с ним прямо на месте. Более того, он не оставляет за собой видимых следов для владельца компьютера, это гипер важно при работе некоторых наших пользователей. Сама понимаешь (подмигивает).

Это точно. Но вернемся к модулю. Начинали с извлечения учетных данных и токенов. Почему?

Потому что изначально инструмент и задумывался именно для этих целей. «Мобильный Криминалист» поддерживает извлечение данных из восьми десятков облаков. «Скаут» создавался как дополнительный источник логинов/паролей и токенов, которые открывают доступ к ключевым данным в облаках самых разных сервисов и приложений. Учетные данные и токены некоторых сервисов являются уникальными и не извлекаются какими-либо другими программами.


"

 

Более того, компания уже больше 12 лет занимается исследованием мобильных устройств, и мы, как никто другой, можем с уверенностью сказать, что извлекать из них информацию становится все сложнее. Производители усиливают их защиту и порой, чтобы получить физический образ, в котором содержатся все логи и пароли и другие ключевые данные, нужно провести целый обряд с «танцами и бубном».

А как же резервная копия? Ее получить намного легче.

Да, но ты забываешь один немаловажный факт. На Android-устройствах, сейчас в нее попадает катастрофически мало данных, а на iOS она зашифрована  паролем, отличным от пароля разблокировки экрана и часто неизвестным. Да и снять резервную копию можно только с разблокированного телефона. Все по тем же соображениям безопасности пользовательской информации. В «Скауте» же плясать не нужно — вставил флешку в компьютер, запустил программу, собрал, сохранил, импортировал для анализа.

Легко и просто. Как дважды два. Почему решили развиваться дальше?

Хотя в самом начале и были некие сомнения со стороны пользователей «МК», после первого опыта применения посыпались запросы на извлечение многих типов данных. Собственно, спрос рождает предложение, и мы решили идти дальше.

С того момента прошло почти 2 года, «Скаут» достаточно преуспел. Куда сейчас стремитесь, какие цели стоят?

Ты прекрасно понимаешь, что всего сказать не могу. Однако по последним обновлениям, думаю, не трудно догадаться, что сначала мы наращивали общие возможности модуля в плане доступных для анализа источников — обеспечили поддержку macOS и Linux, работаем над поддержкой образов. Далее планируем развивать гибкость «Скаута», возможность его использования в решении большего спектра задач и при различных сценариях, а также существенно увеличить количество извлекаемых артефактов.

Если я не ошибаюсь, уже сейчас есть для этого отличные задатки — извлечение данных из журналов Jumplists из ПК на Windows и FSEvents из Mac.

Да, все верно. В этих журналах хранится информация о действиях с теми или иными папками и файлами — их создании, модификации, удалении. Важно отметить, что даже если файлы на компьютере удалены, следы работы с ними все равно остаются в этих журналах. Найдя их, легко можно доказать причастность того или иного лица к корректировке, например, какого-нибудь важного документа.


"

 

В группу этих же данных можно отнести и историю USB-подключений из Windows?

Частично. С версии 1.3 «Эксперта» уже можно узнать, подключали ли то или иное USB-устройство к ПК и производились ли какие-либо операции с файлами на нем. На вопрос о происхождении файла может ответить и информация из журнала Quarantine Events на macOS, так как в него попадает информация обо всех файлах из внешних источников.


"

 

Упомянув историю пользовательских действий, мы затронули тему поддержки разных операционных систем. Я, как маркетолог, знаю, насколько сильно ждали этого события пользователи ПО. Результат ваших трудов оказался ошеломительным. Вы добавили поддержку macOS и Linux не поочередно, а вместе, да еще и не в узкоограниченном количестве версий. 

Да, macOS поддерживается вплоть до Catalina. Здесь стоит оговориться, что у этой версии есть свои особенности хранения данных, в связи с которыми, хоть из Mac с ней и извлекается секретное хранилище Keychain, но не полностью. Мы уже работаем в этом направлении. На всех других версиях извлечение Keychain доступно в полном объеме.

Что касается других типов данных, что вы извлекаете из macOS?

Все остальное (данные интернет-браузеров Safari Google Chrome, Mozilla Firefox, Opera, почтового клиента Mozilla Thunderbird,  журнал KnowledgeC и токены из WhatsApp Desktop, Telegram Desktop, TamTam), извлекается из всех поддерживаемых версий.


"

 

Есть ли какие-то отдельные особенности у Linux?

Конечно! Их достаточно много, как и самих версий Linux. Мы добавили поддержку извлечения данных из компьютеров на этой ОС наиболее актуальных версий (glibc 2.27 и новее, в том числе Debian, Ubuntu, Xubuntu и т.д. от 18.04; Fedora от 31; Arch Linux). Уже сейчас из ПК на Linux можно извлечь данные интернет-браузеров Google Chrome, Mozilla Firefox, Opera, почтового клиента Mozilla Thunderbird и токены из Telegram Desktop, TamTam.


"

 

Кстати, данные мессенджеров и почтовых агентов извлекаются только «Скаутом» с расширением «Скаут Плюс», правильно? 

И да, и нет. Сам по себе «Скаут» одинаков, он находит и извлекает все, что доступно на определенной платформе в данный момент времени. Разница лишь в импорте. То есть, расширение «Скаут Плюс» скорее было создано для программного продукта «Мобильный Криминалист Эксперт», а не для «Скаута».


"

 

То есть, по сути, «Скаут» одинаков и в «Детективе», и в «Эксперте». Разница состоит лишь в том, куда ты потом будешь импортировать данные?

Да, все верно. Например, в «Детектив» ты сможешь импортировать только OCPK-файл с учетными данными, токенами, Wi-Fi точками и резервные копии iTunes. В «Эксперт» без расширения «Скаут Плюс» — все типы данных единым odb-файлом кроме чатов, контактов и вложений из мессенджеров, писем и контактов из почтовых агентов. Ну, а соответственно, в «Эксперт» со «Скаутом Плюс» абсолютно все.

(наглядно разницу «Скаут» и «Скаут Плюс» можно посмотреть здесь) — примечание автора

Ну и последний вопрос, который, думаю, интересен читателям нашего блога. На семинаре 27 февраля компания представила новый программный продукт, основанный на «Скауте» — «Мобильный Криминалист Десктоп». Как бы ты его охарактеризовал?

Это объединение «Скаута» и одного из лучших аналитических функционалов на рынке от «Мобильного Криминалиста Эксперта». Это продукт, которым сможет пользоваться абсолютно любой человек без каких-либо специальных технических знаний для извлечения данных из ПК и их анализа. 

Ну что же, полагаю, пользователи с нетерпением ждут и выпуск «МК Десктоп», и обновление «МК Эксперта», в котором, я уверена, будут представлены еще более мощные возможности «Скаута». Спасибо тебе большое, Мистер икс, за уделенное время и интересную беседу. Надеюсь, каждый, прочитав данную статью, найдет в ней ответ на свой вопрос.

За час беседы мы еще раз убедились в том, что на сегодняшний день, «Скаут» превратился в настоящего «монстра» компьютерной форензики и, пожалуй, аудита системы информационной безопасности, что заставляет обратить на него свое внимание не только представителей правоохранительных органов, но и служб информационной безопасности корпораций и аудиторов.