Презентация с форума http://hackit-ukraine.com/
Виталий Балашов
Харьковский НИИ
Компьютерная криминалистика
Зав. лабораторей компьютерной криминалистики, Харьковский НИИ
О спикере: Заведующий лабораторей компьютерной криминалистики Харьковского НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса МЮ Украины. В расследовании киберпреступлений с 2010 года. Выполнил более 500 экспертиз в самых разных отраслях компьютерных и телекоммуникационных исследований в рамках уголовных, гражданских и хозяйственных процессов. Тесно работает со Службой безопасности Украины, МВД и другими силовыми структурами.
2. Киберпреступление
• Мошенничество (ст. 190 ККУ)
• Нарушение авторских прав (ст. 176 ККУ)
• Незаконные действия с документами средствами доступа
к банковским счетам (ст. 200 ККУ)
• Уклонение от налогов (ст. 212 ККУ)
• Порнография (ст. 301 ККУ)
• Нарушение различных видов тайн (ст. 231 ККУ)
3. Новые типы преступлений
Раздел XVI ККУ
ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ
ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН
(КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ
МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ
4. Статья 361
Несанционированное вмешательство в работу
компьютерных систем и сетей, которое привело к:
• -Утечке;
• -Утрате;
• -Подделке;
• -Блокированию информации;
• -Искажению процесса обработки информации;
• -Нарушению установленного порядка
маршрутизации
5. Карается
штрафом от 600 до 1000 необлагаемых минимумов
или ограничением свободы на срок до 3 лет с
конфискацией программных и технических средств,
с помощью которых было совершено
правонарушение.
Повторное нарушение или в составе группы лиц:
Лишение свободы от 3 до 6 лет.
6. 361-1 - зловред
Создание с целью:
использования, распространения или сбыта,
либо
распространение и сбыт вредных
программных или технических средств,
предназначенных для несанкционированного
вмешательства в работу компьютерных
систем и сетей.
7. Карается
- штрафом от 500 до 1000 необлагаемых
минимумов,
- исправительными работами до 2 лет
- лишением свободы до 2 лет с конфискацией
разработанных или сбываемых средств.
Повторно или в составе группы лиц:
Лишение свободы до 5 лет
9. Карается
Штраф от 500 до 1000 необлагаемых
минимумов или ограничение свободы до 3
лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет
10. Статья 362
Несанкционированные действия с
информацией с ограниченным доступом,
которая храниться в электронном виде,
совершенные лицом, имеющим право
доступа к данной информации.
11. Карается
Изменение, уничтожение или блокирование:
штрафом от 600 до 100 необлагаемых минимумов или
исправительными работами на срок до двух лет с
конфискацией программных или технических средств, с
помощью которых деяния были совершены.
Перехват или копирование, которое привело к утечке:
Лишение свободы на срок до трёх лет с лишением права
занимать некоторые должности в течение того же срока, с
конфискацией программных или технических средств, с
помощью которых деяния были совершены.
12. Статья 363
Нарушение правил эксплуатации
информационно-телекоммуникационных
систем и правил защиты информации,
которая в них хранится, которое привело к
значительному вреду.
13. Карается
От 500 до 1000 необлагаемых минимумов
или лишением свободы на срок до 3 лет с
лишением права занимать некоторые
должности или заниматься некоторой
деятельностью на тот же самый срок.
14. Статья 363 - спам
Умышленное распространение сообщений
электросвязи, осуществляемое без
предварительного согласия адресатов,
которое привело к нарушению или
прекращению работы компьютерной
системы или сети.
15. Карается
Штраф от 500 до 1000 необлагаемых
минимумов или ограничение свободы до 3
лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет
16. Кто ищет
Служба безопасности Украины
Управление по борьбе с киберпреступностью
МВД Украины
CERT-UA
Украинский Государственный Центр Радиочастот
17. Кто анализирует
• Специализированные судебно-экспертные
учреждения системы Министерства Юстиции
Украины
• Институт специальной техники и судебных
экспертиз СБУ
• Экспертно-криминалистические центры МВД
Украины
• Эксперты, не работающие в
специализированных структурах и частные
специалисты
18. Как ищут
-Получение данных от провайдеров
-Получение информации с носителей в
серверах хостинга
-Социальное взаимодействие
-Наблюдение
-Прослушка
19. Что ищут
-Идентифицирующие признаки оборудования
-Наличие на носителе информации,
свидетельствующей о причастности
-Цепочку последовательностей событий
инцидента
-Артефакты, свидетельствующие о каких-либо
событиях
20. Видео и звук
Идентификация личности по устной или
письменной речи
Установление наличия или отсутствия
монтажа в записях
Установление количества лиц, принимающих
участие в разговоре
22. Инцидент №1, 2011 г.
В компании стало известно о утечке
внутрикорпоративной информации,
поступившей на корпоративный электронный
ящик.
23. Действия
• 1.Изъятие почтового сервера и передача его на
исследование.
• 2.Обнаружение причины утечки.
• 3.Установление географического расположения
оборудования злоумышленика.
• 4.Установление лица, которому принадлежит
оборудование.
• 5. Установление личности злоумышленника
• 6. Анализ информации на носителях оборудования.
• 7. Доказательство вины злоумышленника на основе
информации в его ПК.
25. Инцидент №2, 2011 г.
Мобильные устройства.
Несовершеннолетний парень сделал
несколько фото своих половых органов на
камеру мобильного телефона и отправил в
MMS.
26. Задача
•На этот ли мобильный телефон были
сделаны снимки?
•Когда были сделаны снимки?
•Отправлялись ли снимки?
•Имеются ли на сфотографированном органе
идентифицирующие признаки?)
27. Действия
• Установление происхождения снимков:
• Timestamp-ы файловой системы;
• Метаданные в Exif;
• Уникальность матрицы камеры;
• Способ и порядок именования снимков.
28. Установление отправки снимков:
анализ отправленных сообщений (в том
числе удалённых) с последующим
подтверждением передачи сообщения
оператором по логам оператора мобильной
связи.
30. Инцидент №3, 2013 г.
В крупной коммерческой компании однажды
перестала работать вся сетевая
инфраструктура. На главном сервере данные
практически полностью уничтожены. Работа
100+ человек персонала парализована.
31. Задачи расследования
• 1.Выяснить причину уничтожения данных;
• 2.Установить личность злоумышленника,
совершившего уничтожение;
• 3.Доказать вину злоумышленника и
привлечь к ответственности.
32. Исходные данные
• На жёстком диске была установлена UNIX-
подобная ОС, выполнявшая маршрутизацию
между внутренней сетью и Интерентом.
• В инфраструктуре присутствовала виртуальная
машина, выполнявшая роль сервера IP-
телефонии. Вход на виртуальную машину
возможен только после успешной
аутентификации на физический сервер
(маршрутизатор).
33. Действия
• Восстановление удалённых данных
• Поиск среди восстановленных данных
каких-либо логов и их анализ.
• Анализом логов установлен логин
пользователя, который последним
логинился в систему.
• После логина пользователь перешёл в
режим суперпользователя (root).
34. • Логи консоли заканчиваются запуском
Midnight Commander
• Восстановлено точное время удаления
каждого файла: спустя несколько минут
после успешного входа.
• Таким образом есть аккаунт-виновник, но
нет лица злоумышленника.
35. Установление лица
• В востановленных логах зафиксирован
удалённый IP-адрес злоумышленника.
• IP-адрес принадлежит мирной
коммерческой компании. Компания не
использовала NAT.
• В мирной компании, за машиной с
указанным IP и DNS-именем работал
бывший сисадмин пострадавшей стороны.
36. Результат
В данный момент продолжается следствие.
Грозит: Ограничение свободы до 2 лет с
выплатой компенсации ущерба, нанесенного
компании в результате простоя.
37. Перепродажа трафика
Терминация и оригинация голосового
трафика:
упаковка голоса в VoIP, передача в другую
страну с приземлением трафика в сети
мобильного оператора или телефонные сети
общего пользования.
38. Действия
Получение распечаток и расшифровок
трафика, изъятие оборудования, анализ
биллинговой и транзитной информации в
серверах, восстановление рабочей схемы
системы.
39. Результат
Приговоры по ст. 361 – ограничение свободы
от 1 до 2 лет, конфискация техники,
возмещение нанесённого ущерба.
40. Мошенничество в ДБО
1. Множество эпизодов
2. Огромные ущербы
3. Сложность расследования
4. Международные масштабы
41. Полезные ссылки:
• 1.Брайан Кэрриэ: Криминалистический
анализ файловых систем
• 2.Н. Н. Федотов: Форензика –
компьютерная криминалистика
• 3.Уголовный кодекс Украины.