Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Компьютерная криминалистика - Виталий Балашов

472 views

Published on

Презентация с форума http://hackit-ukraine.com/
Виталий Балашов
Харьковский НИИ
Компьютерная криминалистика
Зав. лабораторей компьютерной криминалистики, Харьковский НИИ

О спикере: Заведующий лабораторей компьютерной криминалистики Харьковского НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса МЮ Украины. В расследовании киберпреступлений с 2010 года. Выполнил более 500 экспертиз в самых разных отраслях компьютерных и телекоммуникационных исследований в рамках уголовных, гражданских и хозяйственных процессов. Тесно работает со Службой безопасности Украины, МВД и другими силовыми структурами.

Published in: Law
  • Be the first to comment

  • Be the first to like this

Компьютерная криминалистика - Виталий Балашов

  1. 1. Компьютерная криминалистика Балашов В.Ю. Харьковский НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса
  2. 2. Киберпреступление • Мошенничество (ст. 190 ККУ) • Нарушение авторских прав (ст. 176 ККУ) • Незаконные действия с документами средствами доступа к банковским счетам (ст. 200 ККУ) • Уклонение от налогов (ст. 212 ККУ) • Порнография (ст. 301 ККУ) • Нарушение различных видов тайн (ст. 231 ККУ)
  3. 3. Новые типы преступлений Раздел XVI ККУ ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН (КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ
  4. 4. Статья 361 Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к: • -Утечке; • -Утрате; • -Подделке; • -Блокированию информации; • -Искажению процесса обработки информации; • -Нарушению установленного порядка маршрутизации
  5. 5. Карается штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение. Повторное нарушение или в составе группы лиц: Лишение свободы от 3 до 6 лет.
  6. 6. 361-1 - зловред Создание с целью: использования, распространения или сбыта, либо распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.
  7. 7. Карается - штрафом от 500 до 1000 необлагаемых минимумов, - исправительными работами до 2 лет - лишением свободы до 2 лет с конфискацией разработанных или сбываемых средств. Повторно или в составе группы лиц: Лишение свободы до 5 лет
  8. 8. Статья 361-2 Несанкционированный сбыт или распространение информации с ограниченным доступом, которая хранится в электронном виде.
  9. 9. Карается Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
  10. 10. Статья 362 Несанкционированные действия с информацией с ограниченным доступом, которая храниться в электронном виде, совершенные лицом, имеющим право доступа к данной информации.
  11. 11. Карается Изменение, уничтожение или блокирование: штрафом от 600 до 100 необлагаемых минимумов или исправительными работами на срок до двух лет с конфискацией программных или технических средств, с помощью которых деяния были совершены. Перехват или копирование, которое привело к утечке: Лишение свободы на срок до трёх лет с лишением права занимать некоторые должности в течение того же срока, с конфискацией программных или технических средств, с помощью которых деяния были совершены.
  12. 12. Статья 363 Нарушение правил эксплуатации информационно-телекоммуникационных систем и правил защиты информации, которая в них хранится, которое привело к значительному вреду.
  13. 13. Карается От 500 до 1000 необлагаемых минимумов или лишением свободы на срок до 3 лет с лишением права занимать некоторые должности или заниматься некоторой деятельностью на тот же самый срок.
  14. 14. Статья 363 - спам Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.
  15. 15. Карается Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
  16. 16. Кто ищет Служба безопасности Украины Управление по борьбе с киберпреступностью МВД Украины CERT-UA Украинский Государственный Центр Радиочастот
  17. 17. Кто анализирует • Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины • Институт специальной техники и судебных экспертиз СБУ • Экспертно-криминалистические центры МВД Украины • Эксперты, не работающие в специализированных структурах и частные специалисты
  18. 18. Как ищут -Получение данных от провайдеров -Получение информации с носителей в серверах хостинга -Социальное взаимодействие -Наблюдение -Прослушка
  19. 19. Что ищут -Идентифицирующие признаки оборудования -Наличие на носителе информации, свидетельствующей о причастности -Цепочку последовательностей событий инцидента -Артефакты, свидетельствующие о каких-либо событиях
  20. 20. Видео и звук Идентификация личности по устной или письменной речи Установление наличия или отсутствия монтажа в записях Установление количества лиц, принимающих участие в разговоре
  21. 21. ПРИМЕРЫ ИЗ ЖИЗНИ
  22. 22. Инцидент №1, 2011 г. В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.
  23. 23. Действия • 1.Изъятие почтового сервера и передача его на исследование. • 2.Обнаружение причины утечки. • 3.Установление географического расположения оборудования злоумышленика. • 4.Установление лица, которому принадлежит оборудование. • 5. Установление личности злоумышленника • 6. Анализ информации на носителях оборудования. • 7. Доказательство вины злоумышленника на основе информации в его ПК.
  24. 24. Результат Обвинительный приговор по ст. 361
  25. 25. Инцидент №2, 2011 г. Мобильные устройства. Несовершеннолетний парень сделал несколько фото своих половых органов на камеру мобильного телефона и отправил в MMS.
  26. 26. Задача •На этот ли мобильный телефон были сделаны снимки? •Когда были сделаны снимки? •Отправлялись ли снимки? •Имеются ли на сфотографированном органе идентифицирующие признаки?)
  27. 27. Действия • Установление происхождения снимков: • Timestamp-ы файловой системы; • Метаданные в Exif; • Уникальность матрицы камеры; • Способ и порядок именования снимков.
  28. 28. Установление отправки снимков: анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.
  29. 29. Результат Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.
  30. 30. Инцидент №3, 2013 г. В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.
  31. 31. Задачи расследования • 1.Выяснить причину уничтожения данных; • 2.Установить личность злоумышленника, совершившего уничтожение; • 3.Доказать вину злоумышленника и привлечь к ответственности.
  32. 32. Исходные данные • На жёстком диске была установлена UNIX- подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом. • В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP- телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).
  33. 33. Действия • Восстановление удалённых данных • Поиск среди восстановленных данных каких-либо логов и их анализ. • Анализом логов установлен логин пользователя, который последним логинился в систему. • После логина пользователь перешёл в режим суперпользователя (root).
  34. 34. • Логи консоли заканчиваются запуском Midnight Commander • Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа. • Таким образом есть аккаунт-виновник, но нет лица злоумышленника.
  35. 35. Установление лица • В востановленных логах зафиксирован удалённый IP-адрес злоумышленника. • IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT. • В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.
  36. 36. Результат В данный момент продолжается следствие. Грозит: Ограничение свободы до 2 лет с выплатой компенсации ущерба, нанесенного компании в результате простоя.
  37. 37. Перепродажа трафика Терминация и оригинация голосового трафика: упаковка голоса в VoIP, передача в другую страну с приземлением трафика в сети мобильного оператора или телефонные сети общего пользования.
  38. 38. Действия Получение распечаток и расшифровок трафика, изъятие оборудования, анализ биллинговой и транзитной информации в серверах, восстановление рабочей схемы системы.
  39. 39. Результат Приговоры по ст. 361 – ограничение свободы от 1 до 2 лет, конфискация техники, возмещение нанесённого ущерба.
  40. 40. Мошенничество в ДБО 1. Множество эпизодов 2. Огромные ущербы 3. Сложность расследования 4. Международные масштабы
  41. 41. Полезные ссылки: • 1.Брайан Кэрриэ: Криминалистический анализ файловых систем • 2.Н. Н. Федотов: Форензика – компьютерная криминалистика • 3.Уголовный кодекс Украины.
  42. 42. У меня всё У кого есть вопросы?

×