Приложение scout как работает
Компьютерная криминалистика развивается уже не первый год и даже не первое десятилетие. Практически ежегодно на рынке появляется всё больше программных продуктов связанных с этим направлением. «Оксиджен Софтвер» решила создать нечто новое, не похожее на другие программные средства, но высоко востребованное при работе с компьютерами, как с источником данных, и летом 2018 года выпустила свое решение в этой области, которое представляло собой отдельный модуль флагманского продукта. Модуль получил название «Мобильный Криминалист Скаут» и изначально извлекал из ПК лишь учетные данные от различных сервисов и приложений. Потенциальные пользователи и коллеги по цеху не скрывали своего скепсиса. Но прошло практически 2 года, и вот уже сегодня перед нами сильный инструмент компьютерной форензики, о котором все больше говорят и задают много вопросов. Наша команда собрала самые часто встречающиеся из них и решила взять интервью у ведущего разработчика «Скаута». Интересно что у нас получилось? Читайте далее :)
Начнем с того, что предупредим читателя о главной «фишке» компании — беречь и ценить свои кадры. По этой причине мы не будем обращаться к тебе по имени, давай будем звать тебя Мистер икс.
Ок, без вопросов. Как в шпионском фильме. (Улыбается)
Итак, пойдем с козырей. Что самого крутого сейчас ты можешь выделить в продукте, над которым работаешь с момента его создания?
Ох… Это очень трудно, это как сказать, что самого крутого в твоем ребенке. Но все же первое, что приходит в голову — это то, что «Скаут», в отличие от своих «братьев», проводит молниеносный анализ данных на ПК и вытаскивает только самый сок. То есть, чтобы получить первичную информацию, не нужно ждать несколько суток или даже пары часов — от 5 до максимум 20 минут и образ у тебя на руках. Бери и анализируй.
Ты же знаешь, что сейчас найдутся критики, которые после этих слов уже захотят закрыть статью?
Да, не без этого. Но, что может быть круче, чем возможность получить данные здесь и сейчас и уже на их основе составить первичное представление о владельце ПК, его круге общения, интересах, привычках? Мы не запрещаем после работы «Скаута» проверить компьютер или ноут повторно более глубокими инструментами, даже наоборот, рекомендуем. Но все же «Скаут» должен быть первопроходцем.
Согласна, тем более что «Скаут» нужно запускать на живой машине, так сказать, на месте. Кстати, эта черта также не всем по душе.
И очень даже зря. «Скаут» портативный, состоит из одной кнопки, нет ничего проще, чем отработать с ним прямо на месте. Более того, он не оставляет за собой видимых следов для владельца компьютера, это гипер важно при работе некоторых наших пользователей. Сама понимаешь (подмигивает).
Это точно. Но вернемся к модулю. Начинали с извлечения учетных данных и токенов. Почему?
Потому что изначально инструмент и задумывался именно для этих целей. «Мобильный Криминалист» поддерживает извлечение данных из восьми десятков облаков. «Скаут» создавался как дополнительный источник логинов/паролей и токенов, которые открывают доступ к ключевым данным в облаках самых разных сервисов и приложений. Учетные данные и токены некоторых сервисов являются уникальными и не извлекаются какими-либо другими программами.
Более того, компания уже больше 12 лет занимается исследованием мобильных устройств, и мы, как никто другой, можем с уверенностью сказать, что извлекать из них информацию становится все сложнее. Производители усиливают их защиту и порой, чтобы получить физический образ, в котором содержатся все логи и пароли и другие ключевые данные, нужно провести целый обряд с «танцами и бубном».
А как же резервная копия? Ее получить намного легче.
Да, но ты забываешь один немаловажный факт. На Android-устройствах, сейчас в нее попадает катастрофически мало данных, а на iOS она зашифрована паролем, отличным от пароля разблокировки экрана и часто неизвестным. Да и снять резервную копию можно только с разблокированного телефона. Все по тем же соображениям безопасности пользовательской информации. В «Скауте» же плясать не нужно — вставил флешку в компьютер, запустил программу, собрал, сохранил, импортировал для анализа.
Легко и просто. Как дважды два. Почему решили развиваться дальше?
Хотя в самом начале и были некие сомнения со стороны пользователей «МК», после первого опыта применения посыпались запросы на извлечение многих типов данных. Собственно, спрос рождает предложение, и мы решили идти дальше.
С того момента прошло почти 2 года, «Скаут» достаточно преуспел. Куда сейчас стремитесь, какие цели стоят?
Ты прекрасно понимаешь, что всего сказать не могу. Однако по последним обновлениям, думаю, не трудно догадаться, что сначала мы наращивали общие возможности модуля в плане доступных для анализа источников — обеспечили поддержку macOS и Linux, работаем над поддержкой образов. Далее планируем развивать гибкость «Скаута», возможность его использования в решении большего спектра задач и при различных сценариях, а также существенно увеличить количество извлекаемых артефактов.
Если я не ошибаюсь, уже сейчас есть для этого отличные задатки — извлечение данных из журналов Jumplists из ПК на Windows и FSEvents из Mac.
Да, все верно. В этих журналах хранится информация о действиях с теми или иными папками и файлами — их создании, модификации, удалении. Важно отметить, что даже если файлы на компьютере удалены, следы работы с ними все равно остаются в этих журналах. Найдя их, легко можно доказать причастность того или иного лица к корректировке, например, какого-нибудь важного документа.
В группу этих же данных можно отнести и историю USB-подключений из Windows?
Частично. С версии 1.3 «Эксперта» уже можно узнать, подключали ли то или иное USB-устройство к ПК и производились ли какие-либо операции с файлами на нем. На вопрос о происхождении файла может ответить и информация из журнала Quarantine Events на macOS, так как в него попадает информация обо всех файлах из внешних источников.
Упомянув историю пользовательских действий, мы затронули тему поддержки разных операционных систем. Я, как маркетолог, знаю, насколько сильно ждали этого события пользователи ПО. Результат ваших трудов оказался ошеломительным. Вы добавили поддержку macOS и Linux не поочередно, а вместе, да еще и не в узкоограниченном количестве версий.
Да, macOS поддерживается вплоть до Catalina. Здесь стоит оговориться, что у этой версии есть свои особенности хранения данных, в связи с которыми, хоть из Mac с ней и извлекается секретное хранилище Keychain, но не полностью. Мы уже работаем в этом направлении. На всех других версиях извлечение Keychain доступно в полном объеме.
Что касается других типов данных, что вы извлекаете из macOS?
Все остальное (данные интернет-браузеров Safari Google Chrome, Mozilla Firefox, Opera, почтового клиента Mozilla Thunderbird, журнал KnowledgeC и токены из WhatsApp Desktop, Telegram Desktop, TamTam), извлекается из всех поддерживаемых версий.
Есть ли какие-то отдельные особенности у Linux?
Конечно! Их достаточно много, как и самих версий Linux. Мы добавили поддержку извлечения данных из компьютеров на этой ОС наиболее актуальных версий (glibc 2.27 и новее, в том числе Debian, Ubuntu, Xubuntu и т.д. от 18.04; Fedora от 31; Arch Linux). Уже сейчас из ПК на Linux можно извлечь данные интернет-браузеров Google Chrome, Mozilla Firefox, Opera, почтового клиента Mozilla Thunderbird и токены из Telegram Desktop, TamTam.
Кстати, данные мессенджеров и почтовых агентов извлекаются только «Скаутом» с расширением «Скаут Плюс», правильно?
И да, и нет. Сам по себе «Скаут» одинаков, он находит и извлекает все, что доступно на определенной платформе в данный момент времени. Разница лишь в импорте. То есть, расширение «Скаут Плюс» скорее было создано для программного продукта «Мобильный Криминалист Эксперт», а не для «Скаута».
То есть, по сути, «Скаут» одинаков и в «Детективе», и в «Эксперте». Разница состоит лишь в том, куда ты потом будешь импортировать данные?
Да, все верно. Например, в «Детектив» ты сможешь импортировать только OCPK-файл с учетными данными, токенами, Wi-Fi точками и резервные копии iTunes. В «Эксперт» без расширения «Скаут Плюс» — все типы данных единым odb-файлом кроме чатов, контактов и вложений из мессенджеров, писем и контактов из почтовых агентов. Ну, а соответственно, в «Эксперт» со «Скаутом Плюс» абсолютно все.
(наглядно разницу «Скаут» и «Скаут Плюс» можно посмотреть здесь) — примечание автора
Ну и последний вопрос, который, думаю, интересен читателям нашего блога. На семинаре 27 февраля компания представила новый программный продукт, основанный на «Скауте» — «Мобильный Криминалист Десктоп». Как бы ты его охарактеризовал?
Это объединение «Скаута» и одного из лучших аналитических функционалов на рынке от «Мобильного Криминалиста Эксперта». Это продукт, которым сможет пользоваться абсолютно любой человек без каких-либо специальных технических знаний для извлечения данных из ПК и их анализа.
Ну что же, полагаю, пользователи с нетерпением ждут и выпуск «МК Десктоп», и обновление «МК Эксперта», в котором, я уверена, будут представлены еще более мощные возможности «Скаута». Спасибо тебе большое, Мистер икс, за уделенное время и интересную беседу. Надеюсь, каждый, прочитав данную статью, найдет в ней ответ на свой вопрос.
За час беседы мы еще раз убедились в том, что на сегодняшний день, «Скаут» превратился в настоящего «монстра» компьютерной форензики и, пожалуй, аудита системы информационной безопасности, что заставляет обратить на него свое внимание не только представителей правоохранительных органов, но и служб информационной безопасности корпораций и аудиторов.
Мониторинговая система представлена в виде комплекса программных и технических средств, среди которых главенствующая роль отведена бортовому оборудованию, Автоматизированным Рабочим Местам (АРМ) и телематической серверной системе.
Модуль слежения, монтирующийся на движущиеся элементы техники, функционирует, как радиоэлектронное оборудование. Оно включает приемник сигналов, идущих от спутника, - GPS или ГЛОНАСС/GPS, энергонезависимую память, процессор, модем, обеспечивающий качественную связь (WiFi, GSM, а также Inmarsat и УКВ).
Для функционирования системы можно задействовать любые спутниковые терминалы, правда, полноценный контроль обеспечивает лишь модель СКАУТ МТ-600. Конфигурация модуля может изменяться, если предусмотреть в нем допдатчики, которые используются для проверки работоспособности техники. Эти датчики контролируют уровень и скорость расходования топлива, пробег, функциональность всего навесного оборудования.
Датчик контроля топлива способствует точному определению объема нефтепродукта, который остался в топливном баке, и оперативной передачи полученных данных непосредственно на модуль слежения. А ПО СКАУТ-Навигатор, используемое с целью установки абсолютно на любом навигационном оборудовании авто, выполняет качественный контроль за координацией и расположением машины.
СКАУТ-Сервер, оснащенный современным ПО, принимает телематические сведения посредством сети интернет, которые поступают от модулей слежения. Сервер хранит и обрабатывает информацию, обеспечивая ее оперативную доступность для пользователей мониторинговых систем, которые пользуются специальными АРМ. Пользовательские или диспетчерские АРМ предполагают установку ПО СКАУТ-Эксплорер для индивидуального отображения данных о функционировании движущихся элементов, подвергающихся контролю. Модули допускают интеграцию с учетными системами, среди которых 1С. Специальный веб-интерфейс обеспечивает работу модулей СКАУТ при задействовании интернет-браузера.
Пользователь получает сведения о текущем состоянии техники, среди которых – скорость перемещения и последние координаты размещения, показания датчиков и прочая информация. При необходимости можно просмотреть треки за прошлые периоды (в т.ч. в виде графиков), ознакомившись с координатами и длительностью простоев техники, скоростью и направлением передвижения, данными с датчиков. Пользователи могут формировать, как групповые, так и индивидуализированные отчеты в табличной, графической форме (свыше тридцати стандартных отчетов). И оценивать работоспособность оборудования по ряду показателей.
Возможны ситуации, когда техника выводится за границы допустимой геозоны, авто систематически нарушает скоростные нормативы и простаивает, водитель незаконно сливает топливо. Информация о нарушении установленных правил контроля моментально доходит до пользователя в виде уведомлений.
Выдалась возможность перед новым годом на свой автомобиль установить спутниковую систему мониторинга от ГК “СКАУТ”. Решил поделиться и с Вами своим впечатлением о данной системе.написал краткий обзор.
Цель
Отслеживание местоположения автомобиля и контроль расхода топлива.
Покупка
Удивительно, но просто продать GPS-трекер отказались. Как не уговаривал менеджера, не поддался уговорам, пришлось покупать блок с установкой. Блок + установка + доступ на сервис (1 человек на 3 месяца) = 21 000 рублей. И ещё, оплата только по безналу, прям убийство для розничного покупателя.
Установка
Установку GPS-блока осуществлял установщик компании производителя. Договорились о встрече и на улице в минус 10 монтажник произвёл установку. Установка трекера (МТ-600 PRO) заняла где-то 1,5 часа. Блок подключили от питания магнитолы, под руль провел бипер который оповещает о порогах скорости (о нём я отдельно ещё напишу) и подключились к зажиганию, для его контроля на ВКЛ и ВЫКЛ. К CAN-шине подключаться не стали, оказалось нужно докупать дополнительный блок CAN-LOG, а это ещё порядка 8 000 рублей. На прямую подключаться к датчику топлива минуя CAN-шину отказался.
Эксплуатация
После установки стало ясно что получил не всё что хотел, а именно остался без учёта топлива. Жаль, что сразу не сказали в момент продажи что к CAN-шине на прямую не подключаются. В пакет “Безопасное вождение” по мимо двух отчётов ещё входит звуковое оповещение водителя т.е. меня. Я вам скажу на 2-й день я готов вырвать бипер, очень раздражает. Он пищит однократно при достижении 70 км. ч., два раза при 90 км. ч. и постоянно свыше 110 км. ч. Когда я ехал по КАДу в левой полосе обгоняя поток со скоростью 118 км.ч. пищащий бипер реально очень мешал.
Что касается сервиса куда передаются данные от GPS-блока, то взял попробовать доступ на их собственных сервис на три месяца и ещё пакет “Безопасное движение” — два отчёта. Доступ на одного человека в месяц 700 рублей. После планирую перенастроить блок на бесплатный западный сервис — GPS-Trace Orange.
На платном сервисе стандартный функционал,
— Построение треков за период
— Построение отчётов.
Построение треков
Здесь всё просто. выбираем нужным нам период дата и время и у нас строиться трек на карте с указанием стоянок и их длительностью. На карте, где рисуется трек, указываются точки с временем и скоростью. Обратил внимание, что треки на прямых участках рисует почти ровно с реальной дорогой, а при поворотах срезает углы или смещается чуть в сторону от реальной дороге. Подразумеваю что в отчётах по километражу такие срезания вносят хорошую погрешность.
Построение отчётов
Самое интересное — это построение отчётов. Очень жаль что не смогли подключиться к CAN-шине моего POLO. Поэтому в отчётах я мог видеть только данные по скорости, километражу и времени в движении. Что касается отчётов, то большая часть их предоставляется в стоимость ежемесячной платы, но есть и отчёты ещё за дополнительную плату — “Безопасности вождения”. Ниже прикладываю скрины сервиса и некоторых отчётов.
Резюме
Компания СКАУТ ориентирована на корпоративный рынок мониторинга транспорта. И наверное этим всё сказано. Кстати выбор на них пал ещё потому что находятся в Санкт-Петербурге.
Понравилось
1.Приятная корпоративная атмосфера в офисе. Везде логотипы компании, фотографии сотрудников с различных мероприятий.
2. Уделяют время своим клиентам. Все переговоры и встречи на стадии приобретения оборудования проводились в отдельных переговорных. Если к менеджеру были технические вопросы. тогда приглашался в переговорку сотрудник тех поддержки.
3. Провели бесплатное обучение системе.
Из недостатков
1. Цена за оборудование достаточно высока. GPS-блок за эти деньги, я считаю, должен подключаться к CAN-шине. Заявлено подключение к CAN, но увы не смогли.
2. Сервис платный, куда передаются данные с блока. Ежемесячная плата от 700 рублей и ниже.
3. Нет своего приложения, есть только страничка для мобильных устройств.
Если для работы навигатора вы предпочитаете использовать нестандартные установленные карты (например, если был установлен изначально CityGuide, а в используете Shturmann), то для запуска программного обеспечения, отличного от установленного по умолчанию, необходимо в папке с установленным СКАУТ-Навигатором (\residentFlash\ScoutNavigator\) создать файл Shell.ini. В нем надо указать путь к приложению, которое необходимо запустить.
Если файл Shell.ini отсутствует, то его можно создать с помощью блокнота. Если такой файл уже есть, то его можно отредактировать также с помощью блокнота. В этом файле обязательно должен содержаться путь к навигационному программному обеспечению.
При этом при запуске навигатора должен запускать файл SNLoader.exe (Загрузчик СКАУТ-Навигатора).
Важно! В корневой папке тоже есть файл shell.ini в нем ничего изменять не нужно. Этот файл от оболочки самого навигатора. Если все настроено правильно, то в нем должен быть путь к файлу SNLoader.exe
Дополнительно!
В некоторых навигаторах есть функция LBS (определение местоположения за счет сотовых вышек при отсутствии сигнала от GPS). СКАУТ-Навигатор этой информацией пользоваться не будет. LBS нельзя путать с A-GPS:
- A-GPS подхватывает альманах с местоположением спутников через мобильный интернет,
- LBS опирается на метки сотовой сети.
Альманах содержит шесть параметров орбиты спутника на определенный момент времени, причем каждый спутник системы имеет данные об остальных спутниках. Навигатор, установив связь всего с одним спутником, после получения альманаха имеет данные о параметрах орбит и других спутников. Хотя альманах, загруженный в память спутника, действителен 30 дней, однако уточняются эти данные чаще – раз в несколько суток, во время сеанса связи с одной из наземных станций.
Кроме основных параметров орбит, навигатор получает от каждого из спутников их эфемериды, это данные, по которым вычисляются отклонения орбиты, коэффициенты возмущений и т.д. То есть с их помощью навигатор с высокой точностью может определить местоположение спутников. Эфемериды устаревают гораздо скорее, так как несут точные данные. Их данные актуальны около 30 минут. Они также обновляются наземными станциями.
После включения устройства, запустить навигационное программное обеспечение из меню навигатора. После инициализации навигационной программы запустится СКАУТ-Навигатор. Программу СКАУТ-Навигатор можно увидеть в верхней части экрана навигатора, как показано на рисунке.
По умолчанию в программе сконфигурирован одометр, который после полной загрузки программы располагается в верху экрана.
Рисунок 2 - Окно навигатора и программа СКАУТ-Навигатор с одометром.
В момент запуска программа появится окно активации продукта
В случае варианта Да, с помощью ключа разблокировки ранее введенного в форму, при установке программы, активируйте программу (необходимо наличие активного Интернет-соединения). Либо введите ключ самостоятельно, используя клавиатуру навигатора.
В случае варианта Нет, программа запустится в демонстрационном режиме.
Разделение порта GPS с помощью программы PortSplitter
PortSplitter необходим, когда порт навигации один, и навигационное программное обеспечение использует его в агрессивном режиме, не желает им делиться. Это выражается в том, что одновременно не работает и навигационное ПО, и СКАУТ-Навигатор. Посмотреть активный порт навигации можно в навигационном ПО.
Если в системе несколько портов навигации, то необходимо настроить СКАУТ-Навигатор на тот которые не используется навигационным ПО.
Если порт навигации один, то необходимо настроить СКАУТ-Навигатор на порт навигации. Если при этом будет работать только СКАУТ-Навигатор или только навигационное ПО. В таком случае необходимо использовать программу PortSlitter для разделения порта навигации.
Найти порт навигации можно с помощью программы deviceManager
Окно управления СКАУТ-Навигатор
Для управления программой СКАУТ-Навигатор необходимо нажать на значок программы (одометр, если он настроен). Окно управления программой выглядит следующим образом:
Рисунок 4 - Окно управления
Для выбора статуса возможно использовать один из пяти предварительно настроенных вариантов (настраивается через программу конфигурации СКАУТ-Конфигуратор).
Рисунок 5 - Выбор статуса
Возможные варианты, название статусов настраиваются вручную (можно использовать свои названия)
Рисунок 6 - Варианты изображения для статусов
Статус отображается в программе СКАУТ-Эксплорер в таблице текущих данных, поэтому диспетчер может видеть статус навигатора, который установит пользователь.
Цветовая индикация СКАУТ-Навигатор
Одометр показывает абсолютный пробег, рассчитанный программой СКАУТ-Навигатор. Цветовая схема одометра может быть следующей:
Нет одометра, песочные часы: ожидание запуска при старте программы
Красный фон: Навигационные данные отсутствуют, фиксирует сигналы не более трех спутников
Зеленый фон: Есть навигационные данные, фиксирует сигналы более трех спутников
Серый фон: Слежение отключено
Наличие подключения СКАУТ-Навигатор к серверу системы мониторинга не участвует в цветовой схеме.
Следует помнить, что одометр фиксирует увеличение пробега только в том случае, когда включен и принимает достаточное количество спутников.
Удаление Навигатора Lite из навигатора
В случае, если необходимо удалить Навигатор Lite из навигатора (на тестовом оборудовании, например), следует:
Читайте также: