SlideShare a Scribd company logo

Hack it balashov

Download as PPTX, PDF
Vitaly Balashov
Vitaly Balashov

Computer forensics for HackIT. Balashov.

Law
1 of 42
Компьютерная криминалистика Балашов В.Ю. Харьковский НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса
Киберпреступление • Мошенничество (ст. 190 ККУ) • Нарушение авторских прав (ст. 176 ККУ) • Незаконные действия с документами средствами доступа к банковским счетам (ст. 200 ККУ) • Уклонение от налогов (ст. 212 ККУ) • Порнография (ст. 301 ККУ) • Нарушение различных видов тайн (ст. 231 ККУ)
Новые типы преступлений Раздел XVI ККУ ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН (КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ
Статья 361 Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к: • -Утечке; • -Утрате; • -Подделке; • -Блокированию информации; • -Искажению процесса обработки информации; • -Нарушению установленного порядка маршрутизации
Карается штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение. Повторное нарушение или в составе группы лиц: Лишение свободы от 3 до 6 лет.
361-1 - зловред Создание с целью: использования, распространения или сбыта, либо распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.
Карается - штрафом от 500 до 1000 необлагаемых минимумов, - исправительными работами до 2 лет - лишением свободы до 2 лет с конфискацией разработанных или сбываемых средств. Повторно или в составе группы лиц: Лишение свободы до 5 лет
Статья 361-2 Несанкционированный сбыт или распространение информации с ограниченным доступом, которая хранится в электронном виде.
Карается Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
Статья 362 Несанкционированные действия с информацией с ограниченным доступом, которая храниться в электронном виде, совершенные лицом, имеющим право доступа к данной информации.
Карается Изменение, уничтожение или блокирование: штрафом от 600 до 100 необлагаемых минимумов или исправительными работами на срок до двух лет с конфискацией программных или технических средств, с помощью которых деяния были совершены. Перехват или копирование, которое привело к утечке: Лишение свободы на срок до трёх лет с лишением права занимать некоторые должности в течение того же срока, с конфискацией программных или технических средств, с помощью которых деяния были совершены.
Статья 363 Нарушение правил эксплуатации информационно-телекоммуникационных систем и правил защиты информации, которая в них хранится, которое привело к значительному вреду.
Карается От 500 до 1000 необлагаемых минимумов или лишением свободы на срок до 3 лет с лишением права занимать некоторые должности или заниматься некоторой деятельностью на тот же самый срок.
Статья 363 - спам Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.
Карается Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
Кто ищет Служба безопасности Украины Управление по борьбе с киберпреступностью МВД Украины CERT-UA Украинский Государственный Центр Радиочастот
Кто анализирует • Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины • Институт специальной техники и судебных экспертиз СБУ • Экспертно-криминалистические центры МВД Украины • Эксперты, не работающие в специализированных структурах и частные специалисты
Как ищут -Получение данных от провайдеров -Получение информации с носителей в серверах хостинга -Социальное взаимодействие -Наблюдение -Прослушка
Что ищут -Идентифицирующие признаки оборудования -Наличие на носителе информации, свидетельствующей о причастности -Цепочку последовательностей событий инцидента -Артефакты, свидетельствующие о каких-либо событиях
Видео и звук Идентификация личности по устной или письменной речи Установление наличия или отсутствия монтажа в записях Установление количества лиц, принимающих участие в разговоре
ПРИМЕРЫ ИЗ ЖИЗНИ
Инцидент №1, 2011 г. В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.
Действия • 1.Изъятие почтового сервера и передача его на исследование. • 2.Обнаружение причины утечки. • 3.Установление географического расположения оборудования злоумышленика. • 4.Установление лица, которому принадлежит оборудование. • 5. Установление личности злоумышленника • 6. Анализ информации на носителях оборудования. • 7. Доказательство вины злоумышленника на основе информации в его ПК.
Результат Обвинительный приговор по ст. 361
Инцидент №2, 2011 г. Мобильные устройства. Несовершеннолетний парень сделал несколько фото своих половых органов на камеру мобильного телефона и отправил в MMS.
Задача •На этот ли мобильный телефон были сделаны снимки? •Когда были сделаны снимки? •Отправлялись ли снимки? •Имеются ли на сфотографированном органе идентифицирующие признаки?)
Действия • Установление происхождения снимков: • Timestamp-ы файловой системы; • Метаданные в Exif; • Уникальность матрицы камеры; • Способ и порядок именования снимков.
Установление отправки снимков: анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.
Результат Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.
Инцидент №3, 2013 г. В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.
Задачи расследования • 1.Выяснить причину уничтожения данных; • 2.Установить личность злоумышленника, совершившего уничтожение; • 3.Доказать вину злоумышленника и привлечь к ответственности.
Исходные данные • На жёстком диске была установлена UNIX- подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом. • В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP- телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).
Действия • Восстановление удалённых данных • Поиск среди восстановленных данных каких-либо логов и их анализ. • Анализом логов установлен логин пользователя, который последним логинился в систему. • После логина пользователь перешёл в режим суперпользователя (root).
• Логи консоли заканчиваются запуском Midnight Commander • Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа. • Таким образом есть аккаунт-виновник, но нет лица злоумышленника.
Установление лица • В востановленных логах зафиксирован удалённый IP-адрес злоумышленника. • IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT. • В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.
Результат В данный момент продолжается следствие. Грозит: Ограничение свободы до 2 лет с выплатой компенсации ущерба, нанесенного компании в результате простоя.
Перепродажа трафика Терминация и оригинация голосового трафика: упаковка голоса в VoIP, передача в другую страну с приземлением трафика в сети мобильного оператора или телефонные сети общего пользования.
Действия Получение распечаток и расшифровок трафика, изъятие оборудования, анализ биллинговой и транзитной информации в серверах, восстановление рабочей схемы системы.
Результат Приговоры по ст. 361 – ограничение свободы от 1 до 2 лет, конфискация техники, возмещение нанесённого ущерба.
Мошенничество в ДБО 1. Множество эпизодов 2. Огромные ущербы 3. Сложность расследования 4. Международные масштабы
Полезные ссылки: • 1.Брайан Кэрриэ: Криминалистический анализ файловых систем • 2.Н. Н. Федотов: Форензика – компьютерная криминалистика • 3.Уголовный кодекс Украины.
У меня всё У кого есть вопросы?

Recommended

балашов хирэ
балашов хирэбалашов хирэ
балашов хирэVitaly Balashov
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Вячеслав Аксёнов
 
сорм
сормсорм
сормKakha Tkemaladze
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Различия в лицензионных требованиях по видам деятельности с шифровальными сре...
Различия в лицензионных требованиях по видам деятельности с шифровальными сре...Различия в лицензионных требованиях по видам деятельности с шифровальными сре...
Различия в лицензионных требованиях по видам деятельности с шифровальными сре...Cisco Russia
 

Recommended

балашов хирэ
балашов хирэбалашов хирэ
балашов хирэVitaly Balashov
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Вячеслав Аксёнов
 
сорм
сормсорм
сормKakha Tkemaladze
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Различия в лицензионных требованиях по видам деятельности с шифровальными сре...
Различия в лицензионных требованиях по видам деятельности с шифровальными сре...Различия в лицензионных требованиях по видам деятельности с шифровальными сре...
Различия в лицензионных требованиях по видам деятельности с шифровальными сре...Cisco Russia
 
Защита информации
Защита информацииЗащита информации
Защита информацииЕлена Никонова
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Cisco Russia
 
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...Cisco Russia
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Видео и голосовая система для заключенных
Видео и голосовая система для заключенныхВидео и голосовая система для заключенных
Видео и голосовая система для заключенныхGeorge Wainblat
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Новые законы: что нужно знать интернет-бизнесу?
Новые законы: что нужно знать интернет-бизнесу?Новые законы: что нужно знать интернет-бизнесу?
Новые законы: что нужно знать интернет-бизнесу?Нетология
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
закон и облака
закон и облаказакон и облака
закон и облакаExpolink
 
правовое регулирование в информационной сфере 1
правовое регулирование в информационной сфере 1правовое регулирование в информационной сфере 1
правовое регулирование в информационной сфере 1Nadezhda2103
 
2003
20032003
2003hbfire
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Alexey Komarov
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
OSDN 2016, Kyiv, Ukraine
OSDN 2016, Kyiv, UkraineOSDN 2016, Kyiv, Ukraine
OSDN 2016, Kyiv, UkraineVitaly Balashov
 
балашов хнувд
балашов хнувдбалашов хнувд
балашов хнувдVitaly Balashov
 

More Related Content

What's hot

Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Cisco Russia
 
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...Cisco Russia
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Видео и голосовая система для заключенных
Видео и голосовая система для заключенныхВидео и голосовая система для заключенных
Видео и голосовая система для заключенныхGeorge Wainblat
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Новые законы: что нужно знать интернет-бизнесу?
Новые законы: что нужно знать интернет-бизнесу?Новые законы: что нужно знать интернет-бизнесу?
Новые законы: что нужно знать интернет-бизнесу?Нетология
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
закон и облака
закон и облаказакон и облака
закон и облакаExpolink
 
правовое регулирование в информационной сфере 1
правовое регулирование в информационной сфере 1правовое регулирование в информационной сфере 1
правовое регулирование в информационной сфере 1Nadezhda2103
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Alexey Komarov
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 

What's hot (20)

Защита информации
Защита информацииЗащита информации
Защита информации
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
 
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
Разъяснение о процедуре изменения криптографических характеристик имеющегося ...
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Видео и голосовая система для заключенных
Видео и голосовая система для заключенныхВидео и голосовая система для заключенных
Видео и голосовая система для заключенных
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Новые законы: что нужно знать интернет-бизнесу?
Новые законы: что нужно знать интернет-бизнесу?Новые законы: что нужно знать интернет-бизнесу?
Новые законы: что нужно знать интернет-бизнесу?
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
закон и облака
закон и облаказакон и облака
закон и облака
 
правовое регулирование в информационной сфере 1
правовое регулирование в информационной сфере 1правовое регулирование в информационной сфере 1
правовое регулирование в информационной сфере 1
 
2003
20032003
2003
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
 
Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 

Viewers also liked

OSDN 2016, Kyiv, Ukraine
OSDN 2016, Kyiv, UkraineOSDN 2016, Kyiv, Ukraine
OSDN 2016, Kyiv, UkraineVitaly Balashov
 
балашов хнувд
балашов хнувдбалашов хнувд
балашов хнувдVitaly Balashov
 
Виталий Балашов - Гарантированное уничтожение информации
Виталий Балашов - Гарантированное уничтожение информацииВиталий Балашов - Гарантированное уничтожение информации
Виталий Балашов - Гарантированное уничтожение информацииHackIT Ukraine
 
Алексей Мисник - USB устройства для пентеста
Алексей Мисник - USB устройства для пентестаАлексей Мисник - USB устройства для пентеста
Алексей Мисник - USB устройства для пентестаHackIT Ukraine
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
 
Гарантированное уничтожение информации
Гарантированное уничтожение информацииГарантированное уничтожение информации
Гарантированное уничтожение информацииVitaly Balashov
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...OWASP Russia
 

Viewers also liked (8)

OSDN 2016, Kyiv, Ukraine
OSDN 2016, Kyiv, UkraineOSDN 2016, Kyiv, Ukraine
OSDN 2016, Kyiv, Ukraine
 
балашов хнувд
балашов хнувдбалашов хнувд
балашов хнувд
 
Виталий Балашов - Гарантированное уничтожение информации
Виталий Балашов - Гарантированное уничтожение информацииВиталий Балашов - Гарантированное уничтожение информации
Виталий Балашов - Гарантированное уничтожение информации
 
Cornell
CornellCornell
Cornell
 
Алексей Мисник - USB устройства для пентеста
Алексей Мисник - USB устройства для пентестаАлексей Мисник - USB устройства для пентеста
Алексей Мисник - USB устройства для пентеста
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай Овчарук
 
Гарантированное уничтожение информации
Гарантированное уничтожение информацииГарантированное уничтожение информации
Гарантированное уничтожение информации
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
 

Similar to Hack it balashov

Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыLETA IT-company
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...Expolink
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
virusi
virusivirusi
virusiTanaS
 
virusi
virusivirusi
virusiTanaS
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияExpolink
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Expolink
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииCisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
счастливый случай
счастливый случайсчастливый случай
счастливый случайAlisha Shagieva
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdftrenders
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 

Similar to Hack it balashov (20)

пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базы
 
Introduction SIS.pptx
Introduction SIS.pptxIntroduction SIS.pptx
Introduction SIS.pptx
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
virusi
virusivirusi
virusi
 
virusi
virusivirusi
virusi
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
защита информации
защита информациизащита информации
защита информации
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
счастливый случай
счастливый случайсчастливый случай
счастливый случай
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdf
 
SearchInform DLP
SearchInform DLPSearchInform DLP
SearchInform DLP
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 

Hack it balashov

  • 1. Компьютерная криминалистика Балашов В.Ю. Харьковский НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса
  • 2. Киберпреступление • Мошенничество (ст. 190 ККУ) • Нарушение авторских прав (ст. 176 ККУ) • Незаконные действия с документами средствами доступа к банковским счетам (ст. 200 ККУ) • Уклонение от налогов (ст. 212 ККУ) • Порнография (ст. 301 ККУ) • Нарушение различных видов тайн (ст. 231 ККУ)
  • 3. Новые типы преступлений Раздел XVI ККУ ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН (КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ
  • 4. Статья 361 Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к: • -Утечке; • -Утрате; • -Подделке; • -Блокированию информации; • -Искажению процесса обработки информации; • -Нарушению установленного порядка маршрутизации
  • 5. Карается штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение. Повторное нарушение или в составе группы лиц: Лишение свободы от 3 до 6 лет.
  • 6. 361-1 - зловред Создание с целью: использования, распространения или сбыта, либо распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.
  • 7. Карается - штрафом от 500 до 1000 необлагаемых минимумов, - исправительными работами до 2 лет - лишением свободы до 2 лет с конфискацией разработанных или сбываемых средств. Повторно или в составе группы лиц: Лишение свободы до 5 лет
  • 8. Статья 361-2 Несанкционированный сбыт или распространение информации с ограниченным доступом, которая хранится в электронном виде.
  • 9. Карается Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
  • 10. Статья 362 Несанкционированные действия с информацией с ограниченным доступом, которая храниться в электронном виде, совершенные лицом, имеющим право доступа к данной информации.
  • 11. Карается Изменение, уничтожение или блокирование: штрафом от 600 до 100 необлагаемых минимумов или исправительными работами на срок до двух лет с конфискацией программных или технических средств, с помощью которых деяния были совершены. Перехват или копирование, которое привело к утечке: Лишение свободы на срок до трёх лет с лишением права занимать некоторые должности в течение того же срока, с конфискацией программных или технических средств, с помощью которых деяния были совершены.
  • 12. Статья 363 Нарушение правил эксплуатации информационно-телекоммуникационных систем и правил защиты информации, которая в них хранится, которое привело к значительному вреду.
  • 13. Карается От 500 до 1000 необлагаемых минимумов или лишением свободы на срок до 3 лет с лишением права занимать некоторые должности или заниматься некоторой деятельностью на тот же самый срок.
  • 14. Статья 363 - спам Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.
  • 15. Карается Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
  • 16. Кто ищет Служба безопасности Украины Управление по борьбе с киберпреступностью МВД Украины CERT-UA Украинский Государственный Центр Радиочастот
  • 17. Кто анализирует • Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины • Институт специальной техники и судебных экспертиз СБУ • Экспертно-криминалистические центры МВД Украины • Эксперты, не работающие в специализированных структурах и частные специалисты
  • 18. Как ищут -Получение данных от провайдеров -Получение информации с носителей в серверах хостинга -Социальное взаимодействие -Наблюдение -Прослушка
  • 19. Что ищут -Идентифицирующие признаки оборудования -Наличие на носителе информации, свидетельствующей о причастности -Цепочку последовательностей событий инцидента -Артефакты, свидетельствующие о каких-либо событиях
  • 20. Видео и звук Идентификация личности по устной или письменной речи Установление наличия или отсутствия монтажа в записях Установление количества лиц, принимающих участие в разговоре
  • 22. Инцидент №1, 2011 г. В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.
  • 23. Действия • 1.Изъятие почтового сервера и передача его на исследование. • 2.Обнаружение причины утечки. • 3.Установление географического расположения оборудования злоумышленика. • 4.Установление лица, которому принадлежит оборудование. • 5. Установление личности злоумышленника • 6. Анализ информации на носителях оборудования. • 7. Доказательство вины злоумышленника на основе информации в его ПК.
  • 25. Инцидент №2, 2011 г. Мобильные устройства. Несовершеннолетний парень сделал несколько фото своих половых органов на камеру мобильного телефона и отправил в MMS.
  • 26. Задача •На этот ли мобильный телефон были сделаны снимки? •Когда были сделаны снимки? •Отправлялись ли снимки? •Имеются ли на сфотографированном органе идентифицирующие признаки?)
  • 27. Действия • Установление происхождения снимков: • Timestamp-ы файловой системы; • Метаданные в Exif; • Уникальность матрицы камеры; • Способ и порядок именования снимков.
  • 28. Установление отправки снимков: анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.
  • 29. Результат Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.
  • 30. Инцидент №3, 2013 г. В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.
  • 31. Задачи расследования • 1.Выяснить причину уничтожения данных; • 2.Установить личность злоумышленника, совершившего уничтожение; • 3.Доказать вину злоумышленника и привлечь к ответственности.
  • 32. Исходные данные • На жёстком диске была установлена UNIX- подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом. • В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP- телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).
  • 33. Действия • Восстановление удалённых данных • Поиск среди восстановленных данных каких-либо логов и их анализ. • Анализом логов установлен логин пользователя, который последним логинился в систему. • После логина пользователь перешёл в режим суперпользователя (root).
  • 34. • Логи консоли заканчиваются запуском Midnight Commander • Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа. • Таким образом есть аккаунт-виновник, но нет лица злоумышленника.
  • 35. Установление лица • В востановленных логах зафиксирован удалённый IP-адрес злоумышленника. • IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT. • В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.
  • 36. Результат В данный момент продолжается следствие. Грозит: Ограничение свободы до 2 лет с выплатой компенсации ущерба, нанесенного компании в результате простоя.
  • 37. Перепродажа трафика Терминация и оригинация голосового трафика: упаковка голоса в VoIP, передача в другую страну с приземлением трафика в сети мобильного оператора или телефонные сети общего пользования.
  • 38. Действия Получение распечаток и расшифровок трафика, изъятие оборудования, анализ биллинговой и транзитной информации в серверах, восстановление рабочей схемы системы.
  • 39. Результат Приговоры по ст. 361 – ограничение свободы от 1 до 2 лет, конфискация техники, возмещение нанесённого ущерба.
  • 40. Мошенничество в ДБО 1. Множество эпизодов 2. Огромные ущербы 3. Сложность расследования 4. Международные масштабы
  • 41. Полезные ссылки: • 1.Брайан Кэрриэ: Криминалистический анализ файловых систем • 2.Н. Н. Федотов: Форензика – компьютерная криминалистика • 3.Уголовный кодекс Украины.
  • 42. У меня всё У кого есть вопросы?