Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Как найти DDoS-ера и заставить извиниться
Group-IB 
Основные направления деятельности: 
 ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ 
КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ 
И РАССЛЕДОВАНИЮ...
Этапы 
развития 
компании 
ГОД ОСНОВАНИЯ 
GROUP-IB 
ВЫХОД НА МЕЖДУНАРОДНЫЙ 
РЫНОК 
СОЗДАН 
CERT-GIB 
КРУПНЕЙШАЯ 
В ВОСТОЧН...
Что делать, когда атака началась? 
4 
Проверьте почту, тикет систему, форму обратной связи и СПАМ фильтры на наличие письм...
Как рассчитать ущерб? 
5 
 Следствию не важно как рассчитывается ущерб 
 Сумма ущерба определяет потерпевший и только он...
Как рассчитать ущерб? 
6 
Способ №2 – пример для банка 
Что может не работать? 
 Сайт банка 
 Интернет-банкинг для физич...
Как рассчитать ущерб? 
7 
Способ №2 – пример для банка 
Клиенты не могут оформлять заявки 
через сайт банка? 
 Количество...
ГОС. ЗАКУПКИ 
КАЗАХСТАН 
8
9 
Первый контакт
10 
mitnik@gala.net 
accessforyou.in 
age999.in 
bez-voprosov.in 
cipas.in 
freedom-life.in 
libo1.in 
libo2.in 
l...
11 
WMID 106461288458 
Доменные имена на mit-82@mail.ru 
atv-sochi.in 
freedom-sochi.net 
gaiki.pro 
specautotrans.in ...
12 
WMID 106461288458
13 
mit-82@mail.ru
14 
mit-82@mail.ru mitnik@gala.net
15 
«Vanorik» и «fazer-2010»
ТИНЬКОФФ 
16
17 
Первый контакт
18 
Надо подтвердить что он атакующий
19 
pumpswater@swissjabber.ch
20 
Ecatel 
195.82.146.130 = rutracker.org
21 
Jabber 
599483360@qip.ru 
pumpswater@swissjabber.ch 
scanpower@thesecure.biz 
111222@thesecure.biz 
12369587@thesecure...
22 
Форумы
23 
Почта
24 
Заключение 
 DDoS - атаки можно расследовать 
 Доверяйте защиту профессионалам 
 Не экономьте 10-20 тысяч при выбор...
25 
+7 (495) 984 33 64 www.group-ib.ru info@group-ib.ru 
twitter.com/groupib 
facebook.com/groupib 
youtube.com/groupib li...
Upcoming SlideShare
Loading in …5
×

Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)

1,769 views

Published on

Доклад Дмитрия Волкова на HighLoad++ 2014.

Published in: Internet
  • Be the first to comment

Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)

  1. 1. Как найти DDoS-ера и заставить извиниться
  2. 2. Group-IB Основные направления деятельности:  ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ ТЕХНОЛОГИЙ 1  Мониторинг и предотвращение киберугроз 2  Расследование киберпреступлений и хищений, совершенных с использованием высоких технологий 3  Компьютерная криминалистикаи экспертиза 4  Аудит информационной безопасности и анализ защищенности 5  Разработка инновационных продуктов в области информационной безопасности 2
  3. 3. Этапы развития компании ГОД ОСНОВАНИЯ GROUP-IB ВЫХОД НА МЕЖДУНАРОДНЫЙ РЫНОК СОЗДАН CERT-GIB КРУПНЕЙШАЯ В ВОСТОЧНОЙ ЕВРОПЕ ЛАБОРАТОРИЯ КОМПЬЮТЕРНОЙ КРИМИНАЛИСТИКИ ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ 2003 2009 2010 2011 2013 20+ 30+ 80+ СОТРУДНИКОВ 3
  4. 4. Что делать, когда атака началась? 4 Проверьте почту, тикет систему, форму обратной связи и СПАМ фильтры на наличие письма с вымогательством Если все хотите делать сами, то:  Если атака типа HTTP-флуд, то обеспечьте сохранность журналов Веб-сервера  Если атака через усилители, то сделайте кратковременный дамп трафика  Фиксируйте даты и время изменения типа атаки Если доверитесь профессионалам, то  Они все сделают за вас  Проверят наличие схожих атак  Поймут какими способами может атаковать данная преступная группа Не звоните нам со словами «Мы всех нашли, надо только доказать»
  5. 5. Как рассчитать ущерб? 5  Следствию не важно как рассчитывается ущерб  Сумма ущерба определяет потерпевший и только он устанавливает стоимость затрат  Не применяйте выражение «упущенная выгода»  Прикладывайте к заявлению справку об ущербе  В справке указывайте что не работало и какие у этого были последствия Способ №1 - простой  Оцените годовой ежедневный доход  Рассчитайте доход в час и умножьте на продолжительность атаки Сумма ущерба = 500 000 (ежедневный доход) * 0,5 (12 часов) = 250 000 рублей
  6. 6. Как рассчитать ущерб? 6 Способ №2 – пример для банка Что может не работать?  Сайт банка  Интернет-банкинг для физических/юридических лиц  СМС-информирование  Банкоматы  POS-терминалы  Системы авторизации платежей  Банкоматы филиальных сетей  Брокерские системы К чему это приводит?  Клиенты не могут оставлять заявки на сайте банка  Клиенты не могут совершать платежи/переводы  Сотрудники банка не имеют доступа к внутренним сервисам  Возрастает нагрузку на Call-центр
  7. 7. Как рассчитать ущерб? 7 Способ №2 – пример для банка Клиенты не могут оформлять заявки через сайт банка?  Количество несовершенных операций ~ 20 000  Средняя сумма операции ~ 1 000 рублей  Прибыли банка ~ 15% Ущерб = 20 000 * 1 000 * 0,15 = 3 000 000 рублей Возрастает нагрузка на Call-центр?  Длительность разговора ~ 3 минуты  Стоимость минуты разговора ~ 25 рублей  Количество претензий ~ 3 000 Ущерб = 3 000 * 25 * 3 = 225 000 рублей
  8. 8. ГОС. ЗАКУПКИ КАЗАХСТАН 8
  9. 9. 9 Первый контакт
  10. 10. 10 mitnik@gala.net accessforyou.in age999.in bez-voprosov.in cipas.in freedom-life.in libo1.in libo2.in libo3.in libo4.in libo5.in opticars.in privetsochi.in sipsips.in worldmails.in
  11. 11. 11 WMID 106461288458 Доменные имена на mit-82@mail.ru atv-sochi.in freedom-sochi.net gaiki.pro specautotrans.in wmklik.info
  12. 12. 12 WMID 106461288458
  13. 13. 13 mit-82@mail.ru
  14. 14. 14 mit-82@mail.ru mitnik@gala.net
  15. 15. 15 «Vanorik» и «fazer-2010»
  16. 16. ТИНЬКОФФ 16
  17. 17. 17 Первый контакт
  18. 18. 18 Надо подтвердить что он атакующий
  19. 19. 19 pumpswater@swissjabber.ch
  20. 20. 20 Ecatel 195.82.146.130 = rutracker.org
  21. 21. 21 Jabber 599483360@qip.ru pumpswater@swissjabber.ch scanpower@thesecure.biz 111222@thesecure.biz 12369587@thesecure.biz 666333@thesecure.biz 777888@thesecure.biz 96968@thesecure.biz 999666@thesecure.biz
  22. 22. 22 Форумы
  23. 23. 23 Почта
  24. 24. 24 Заключение  DDoS - атаки можно расследовать  Доверяйте защиту профессионалам  Не экономьте 10-20 тысяч при выборе между надёжным и дешевым поставщиком услуг защит  Правильный выбор поставщика услуг защиты облегчает процесс расследования
  25. 25. 25 +7 (495) 984 33 64 www.group-ib.ru info@group-ib.ru twitter.com/groupib facebook.com/groupib youtube.com/groupib linkedin.com/company/group-ib

×