Машина видит все: как прошел семинар «Цифровая криминалистика 2023»

1 марта в Москве прошел ежегодный семинар «Цифровая криминалистика 2023», организованный компанией «МКО Системы». Масштабное мероприятие собрало представителей бизнеса, практикующих ИБ-экспертов, специалистов в области криминалистики и представителей госструктур.

Участники семинара обсудили специфику исследования цифровых доказательств и расследования инцидентов, а также увидели в действии флагманские отечественные ИБ-решения. Специалисты «МКО Системы» представили на мероприятии обновленные версии своих продуктов и свежие разработки.

Новые возможности

Эксперт «МКО Системы» Даниэль Клюев рассказал участникам семинара о новых возможностях системы “МК Десктоп”.

«Изначально мы делали мобильный продукт, но потом прикрутили к нему облака, а следом и поддержку десктопов. Ведь при изучении цифровых доказательств зачастую требуется комбинировать разные источники. Таким образом появилась выделенная система “МК Десктоп”. Следующим шагом стала разработка модуля “Скаут”, который позволяет оперативно извлекать из ПК важную информацию (учетные записи, токены и т.д.) и исследовать ее в облаках», — рассказал Даниэль Клюев.

«МК Десктоп» извлекает и анализирует ключевые данные из ПК, ноутбуков и серверов на Windows, macOS и GNU/Linux.

По словам спикера, система продолжает развиваться: расширяется поддержка образов, всевозможных системных артефактов и др. Так, среди последних нововведений Даниэль отменил кардинальное изменение интерфейса системы, поддержку новых браузеров и мессенджеров.

«В первую очередь мы продолжаем расширять список поддерживаемых артефактов для всех ОС, в том числе всевозможных дистрибутивов Linux. А в части анализа системных данных в Windows мы уже заметно обходим конкурентов. Другая уникальная возможность нашего продукта — функционал расшифровки переписки из десктоп-версии WhatsApp. Можно извлечь токен “Скаутом”, авторизоваться в облаке и получить расшифровку чатов пользователя», — добавил Даниэль.

Командная работа

Эксперт «МКО Системы» Владимир Ерошев представил участникам форума новый продукт «Аналитический Центр Криминалист».

«Это наше новое клиент-серверное приложение. Оно позволяет нескольким пользователям одновременно анализировать любые данные, полученные из семейства продуктов “Мобильный Криминалист”, — рассказал Владимир. — Дело в том, что решения “Мобильный Криминалист” работают только в рамках одного ПК. Все извлеченные данные хранятся непосредственно на нем или в сетевом хранилище, соответственно, у вас нет возможности анализировать БД целиком. “Аналитический Центр” же подразумевает командную работу и дает пользователям возможность взаимодействовать со всей базой извлечений в рамках сети. При этом в системе есть гибкая настройка прав доступа для разграничения ролей экспертов».

«Аналитический Центр Криминалист» позволяет:

• Загружать данные с мобильных устройств, облачных сервисов, ПК, серверов, образов жестких дисков и др.
• Работать с контактами, аккаунтами, групповыми чатами и их коммуникациями.
• Анализировать фото, аудио- и видеофайлы из извлечений.
• Устанавливать связи между устройствами, делами и группами дел.
• Искать упоминания в данных: номера телефонов, email, URL, номера банковских карт, IP- и MAC-адреса и др.
• Осуществлять поиск по тематическим словарям и ключевым словам («Перечень видов боевого оружия», «Опасные химические агенты» и т.д.).
• Формировать гипотезы о составе преступления с помощью инструмента «Текстовый анализатор».
• Проводить поиск и работать с геометками непосредственно на карте.
• Экспорт отчетов возможен в разных форматах: PDF, XLSX, HTML, XML и т.д.