1. Илья Сачков - Генеральный директор Group-IB
Александр Чачава - Президент LETA Group
сентябрь 2010 +7(495) 984 28 31 / www.letagroup.ru
2. СОДЕРЖАНИЕ ПРЕЗЕНТАЦИИ
• Часть I. Киберпреступность в России.
Реальность о которой мало известно
• Часть II. Практика расследования
компьютерных преступлений
• Чаcть III. O Group-IB
+7(495) 984 28 31 / www.letagroup.ru 2
3. ЧАСТЬ ПЕРВАЯ
Киберпреступность в России.
Реальность о которой мало известно
+7(495) 984 28 31 / www.letagroup.ru 3
4. БЕЗОПАСНОСТЬ НЕ МОЖЕТ
ТОЛЬКО ЗАЩИЩАТЬ
Нет крепости, которую бы не взял осел, груженый золотом.
Ф. Македонский.
Крепость Эдинбурга
+7(495) 984 28 31 / www.letagroup.ru 4
6. ПРЕСТУПНАЯ ГРУППА
Нагонщик
«трафика»
DDoS
Исполнитель
Вывод
Создатель
денег
вредоносного кода
«Дроппер»
Создатель сети
Поставщик услуг
Создатель обналичивания
вредоносного кода Оператор денег
+7(495) 984 28 31 / www.letagroup.ru 6
7. НАРУШЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
• Цель нарушения информационной безопасности
– получение прибыли.
• Интерес и месть – уходят в прошлое.
+7(495) 984 28 31 / www.letagroup.ru 7
8. ОТВЕТСТВЕННОСТЬ ЗА
НАРУШЕНИЕ ИБ
Отсутствие ответственности удешевляет стоимость
нелегальных услуг и сводит работу информационной
безопасности в гонку вооружений.
• 20$ стоимость заражения 1000 машин
• 200 – 500 Euro – DDoS атака до 20Гб (24 часа)
+7(495) 984 28 31 / www.letagroup.ru 8
9. Соотношение бюджета и
количества инцидентов
160 000,00 7,0%
140 000,00
6,0%
120 000,00
5,0%
100 000,00
4,0%
80 000,00
3,0%
60 000,00
2,0%
40 000,00
20 000,00 1,0%
- 0,0%
2006 г. 2007 г. 2008 г. 2009 г. 2010 г.
количество инцидентов % бюджета на ИБ
+7(495) 984 28 31 / www.letagroup.ru 9
10. ВЕКТОРА РАЗВИТИЯ
КИБЕРПЕРСТУПНОСТИ
Информационная
Киберпреступность
безопасность
Технологии
Цель: прибыль Цель: прибыль
+7(495) 984 28 31 / www.letagroup.ru 10
12. ЦЕНА ИНФОРМАЦИИ НА
«ЧЕРНОМ РЫНКЕ»
$980-$4,900 $6-$24
Троянская программа Номер кредитной карты
для кражи информации
$490 $6
Номер кредитной Аккаунт системы
электронных платежей
карты с ПИН-кодом
$78-$294 $147
Данные по платежам, Паспортные данные,
банковским операциям Водительское
удостоверение
+7(495) 984 28 31 / www.letagroup.ru 12
13. СТОИМОСТЬ УСЛУГ В
РОССИИ
• Взлом сайта или форума: от $50
• Гарантированный взлом почтового ящика на Yandex, Mail,
Rambler: от $45
• DDoS атака от $ 100
• Массовое внедрение троянского и шпионского ПО: $100
• Рассылка СПАМа
400,000 компаний: $55
1,800,000 частных лиц: $100
90,000 компаний в Санкт-Петербурге: $30
450,000 частных лиц на Украине: $50
6,000,000 Частных лиц в России: $150
4,000,000 адресов на @mail.ru: $200
+7(495) 984 28 31 / www.letagroup.ru 13
17. БОТ-СЕТИ И СЕТЕВАЯ
КИБЕРПРЕСТУПНОСТЬ: ПРОБЛЕМЫ
1. Отсутствие в России работающих CERT’ов (Computer
Emergency Response Team)
2. Отсутствие работающих международных соглашений и
законодательства по борьбе с подобными явлениями.
3. Техническая безграмотность населения и простота
заражения ПК вирусами. Стоимость заражения 1000
машин вирусами начинается от 20 долларов США.
4. Малое количество успешных уголовных дел из-за
сложностей законодательства и правовых уловок,
которыми пользуются злоумышленники и их адвокаты
+7(495) 984 28 31 / www.letagroup.ru 17
18. ХОРОШИЕ НОВОСТИ
В новых комментариях к УК РФ, выпущенных
Верховным судом РФ – официальное
признание создание бот сетей, а так же
осуществления DDoS атак –
преступлением.(272-273)
+7(495) 984 28 31 / www.letagroup.ru 18
19. ЧАСТЬ ВТОРАЯ
Практика расследования
компьютерных преступлений
+7(495) 984 28 31 / www.letagroup.ru 19
20. ЗАДАЧИ
РАССЛЕДОВАНИЯ
1. Привлекать в ответственности преступников
Если этого не делать, то стоимость услуг будет далее
дешеветь, а качество возрастать.
Как увеличить шансы:
1. Помогать правоохранительным органам
2. Юридическая готовность
3. Техническая готовность
Нет идеальных преступлений – при желании можно
найти все.
+7(495) 984 28 31 / www.letagroup.ru 20
21. КТО РАССЛЕДУЕТ КОМПЬЮТЕРНЫЕ
ПРЕСТУПЛЕНИЯ
• Собственная служба безопасности
• CERT
• Отдел «К» МВД,
• Частные компании, специализирующиеся
на ИТ-инцидентах
+7(495) 984 28 31 / www.letagroup.ru 21
22. СОБСТВЕННАЯ СЛУЖБА
БЕЗОПАСНОСТИ
Плюсы:
• нет финансовых затрат
• инцидент расследуют люди, которых Вы знаете
• не требуется времени на анализ инфраструктуры
• утечка в прессу маловероятна
Минусы:
• вопрос компетенции
• необходимо наличие особых знаний и оборудования
• отстранение от текущей работы
• если СБ связана с инцидентом, то расследования не будет
• юридические вопросы оформления доказательств
+7(495) 984 28 31 / www.letagroup.ru 22
23. МВД
Плюсы:
• нет финансовых затрат
• влияние госстурктуры
Минусы:
• нет мотивации
• устаревшие методики
• возможна утечка в прессу
• отсутствие оперативности (много задач/маленький штат)
• требуется время на анализ инфраструктуры
• не все готовы принять МВД
+7(495) 984 28 31 / www.letagroup.ru 23
24. ПРОБЛЕМЫ РАССЛЕДОВАНИЯ
ИТ-ИНЦИДЕНТОВ
• Нет единых стандартов по реагированию на инцидент
• Нет единых стандартов по осуществлению журналирования
в информационных системах
• Менталитет
• Неприменимость многих западных методик к Российской
действительности
• Сложность проведения компьютерной экспертизы.
• ИТ - преступность глобальна
• Отсутствие качественного образования. Нет системы
сертификации специалистов
• Закрытость информации по инцидентам в корпорациях
+7(495) 984 28 31 / www.letagroup.ru 24
26. О GROUP-IB
•Первая и единственная компания в РФ
•Работает с 2003 года
•Расследования в 43 странах мира
•30 уникальных сотрудников
•Наши методики расследования DDoS
используются уже на западе
+7(495) 984 28 31 / www.letagroup.ru 26
28. ОСНОВНЫЕ УСЛУГИ
GROUP-IB
• Расследование любых инцидентов
информационной безопасности
• Мониторинг и реагирование на инциденты в
режиме 24/7
• Расследование мошенничеств в ДБО
• Лаборатория компьютерной криминалистики
• Расследование и защита от DDoS
• Правовое сопровождение
• «Постинцидентный» консалтинг
+7(495) 984 28 31 / www.letagroup.ru 28
29. ОТДЕЛ РАССЛЕДОВАНИЙ
• База данных и опыта собирается с 2003
года
• Большое количество систем
мониторинга(не антивирусного)
• Постоянное обновление
• Обмен информацией с 43 странами мира
+7(495) 984 28 31 / www.letagroup.ru 29
30. ЛАБОРАТОРИЯ
• Признанные эксперты на международном
уровне
• Новейшее оборудование
• Экспертизы по особо важным делам
+7(495) 984 28 31 / www.letagroup.ru 30
38. НАШИ КЛИЕНТЫ
+7(495) 984 28 31 / www.letagroup.ru 38
39. НАШИ ПАРТНЕРЫ
+7(495) 984 28 31 / www.letagroup.ru 39
40. БОТ-СЕТИ. НАШИ МЕРЫ
Информация для IPS в режиме реального времени о нахождении бот-
машин в их сетях.
Распределенная кооперативная система для расследования DDoS
атак и остановки
• StopDDOS.ru
+7(495) 984 28 31 / www.letagroup.ru 40
41. БОТ-СЕТИ. НАШИ МЕРЫ
Создание, поддержание, развитие
Российского сегмента Honeynet Project
Бесплатно устанавливаем HoneyPots,
WatchDogs и другие кооперативные агенты
для отслеживания и изучения бот-сетей.
Предоставление и обмен информацией на
некоммерческой основе.
+7(495) 984 28 31 / www.letagroup.ru 41
42. ТЕНДЕНЦИИ РАЗВИТИЯ
РЫНКА РКП
Доходы хакеров в России перевалили за $1 млрд в
год и продолжают быстро расти.
Хакеры УЖЕ победили?
+7(495) 984 28 31 / www.letagroup.ru 42
43. КАК СЕБЯ ЗАЩИТИТЬ?
Многие крупные компании создают собственные
подразделения по расследованию кибер-атак;
Мы ожидаем появления подобных сервисов у других ИТ-
компаний, но это займет много времени;
Правоохранительные органы помогут.
+7(495) 984 28 31 / www.letagroup.ru 43
44. РАЗВИТИЕ УСЛУГ
• Центр мониторинга безопасности и глобальная база инцидентов;
• Сотрудничество с ведущими зарубежными компаниями и
организациями в области расследований и мониторинга;
• Развитие собственных криминалистических систем;
И
• Разработка стандартов по ИБ;
• Экспертиза по продуктам ИБ 200+ разработчиков;
• Крупнейшая в России команда консультантов по всем
направлениям ИБ.
+7(495) 984 28 31 / www.letagroup.ru 44
