Цифровая криминалистика и расследование инцидентов

Ведущие:
Чиликов Алексей Анатольевич к.ф.‐м.н., доцент кафедры «Информационная безопасность», МГТУ им. Н.Э. Баумана
Яковлев Алексей Николаевич к.ю.н., доцент, Следственный комитет Российской Федерации

Список докладов

Разработчики экспертного программного обеспечения и оборудования, как участники системы обеспечения информационной безопасности Российской Федерации

Земцов Анатолий Павлович, генеральный директор, Ассоциация «ЭКСПИТ»
Российские компании-производители специализированного программного обеспечения и оборудования, используемого, в том числе, в сфере правоприменения, криминалистики и судебной экспертизы, являются полноправными участниками единой системы обеспечения информационной безопасности Российской Федерации. Для эффективного и скоординированного решения задач, стоящих перед указанными компаниями и отраслью в целом, была создана Ассоциация производителей программного обеспечения и оборудования для экспертных исследований в сфере высоких технологий «ЭКСПИТ». В докладе будет рассказано о целях и задачах Ассоциации.

Взгляды юристов на цифровую информацию как проблема разработчиков специализированного оборудования и программ

Яковлев Алексей Николаевич, заместитель руководителя отдела компьютерно-технических и инженерно-технических исследований Главного управления криминалистики Следственного комитета России; доцент кафедры юриспруденции, интеллектуальной собственности и судебной экспертизы, Следственный комитет Российской Федерации
Прошли времена беззаботного кодирования программ или изготовления оборудования для реализации задач цифровой криминалистики и компьютерно-технической экспертизы. Проблема юридической оценки предназначения оборудования и программ или особенностей их использования, существует и крайне остра. При её непонимании спектр негативных последствий может быть крайне широким — от существенного снижения спроса на продукцию до возбуждения уголовного дела по факту её изготовления и распространения. В докладе будут кратко представлены заблуждения юристов об ограничениях и запретах на использование специализированного криминалистического и экспертного оборудования и программ, а также дан обзор международной корректной юридической практики.

Восстановление видеоданных из видеорегистратора, поврежденного вследствие криминальных событий

Абрамец Алексей Сергеевич, старший эксперт отдела компьютерно-технических и инженерно-технических исследований Главного управления криминалистики, Следственный комитет Российской Федерации
Данные на электронном носителе видеорегистратора сегодня в буквальном смысле бесценны. Большое количество преступлений могут оказаться нераскрытыми, если «немой свидетель» произошедшего — видеорегистратор — не «расскажет» объективно о случившемся. При бытовом использовании видеорегистратора его поломки случайны, незначительны и не имеют существенной значимости. Все меняется при криминальном событии — поломки умышленны, направлены на специальное и безвозвратное удаление видеоинформации, воспрепятствование возможности её восстановления. В докладе на практических примерах будут раскрыты особенности умышленного повреждения видеорегистраторов, их фактическое влияние на возможность воспроизведения видеозаписей, подходы к восстановлению видеоданных в самом сложном случае — когда электронный носитель информации устройства содержит «сырой» поток данных.

Cobalt Strike в целевых логических атаках на банкоматы

Матвеева Веста Сергеевна, главный специалист по компьютерной криминалистике, Group-IB
2016 год в области киберпреступлений был примечателен серией целевых атак на банки в России, странах СНГ, Малайзии и странах Европы. Для этого использовался инструмент, находящийся в публичном доступе Cobalt Strike. Интерес представляет сторона криминалистики и первичного реагирования, поскольку все компоненты Cobalt Strike выполняются только в оперативной памяти. По результатам участия в реагировании на инциденты с Cobalt Strike докладчиком будут рассказаны способы выявления зараженных и скомпрометированных машин в сети организации, а также будут даны рекомендации для предотвращения подобных инцидентов в финансовых организациях.

Особенности извлечения данных из мобильных устройств

Карондеев Андрей, специалист отдела исследований, Оксиджен Софтвер
Современные мобильные устройства предоставляют различные программные и аппаратные средства защиты данных такие как Screen Lock и Full-Disk Encryption. Несмотря на включенные средства защиты в ряде случаев возможно извлечь данные из мобильных устройств. В докладе будут описаны различные методы обхода средств защиты данных для различных классов мобильных устройств.

«Волшебный источник»: новые методы поиска и применения данных из RAM для целей криминалистической экспертизы

Чиликов Алексей Анатольевич, директор по науке Passware, доцент кафедры информационной безопасности, МГТУ им. Н.Э. Баумана
В последние годы стало ясно, что RAM является ценнейшим источником данных при криминалистическом анализе. Создано множество специализированных решений, предназначенных для извлечения и анализа данных из оперативной памяти. Однако не все сценарии анализа легко автоматизировать, и самый лучший инструмент — лишь орудие в руках человека. В рамках данного доклада будут рассмотрены некоторые продвинутые сценарии анализа RAM, позволяющие извлечь ценные артефакты.