14.05.16 команда ProtectMaster посетила конференцию по информационной безопасности BSidesKyiv , на которой Никита Кныш и Владимир Таратушка рассказали об особенностях киберрасследований в Украине.
2. Руководители проекта ProtectMaster
Технические организаторы всеукраинской олимпиады
по кибербезопасности HackIT
В ИБ более 10 лет
Специализируются на защите веб-сервисов и
киберраследованиях
2
Никита Кныш Владимир Таратушка
О нас
3. Дискле́ймер — особый вид интеллектуальной индульгенции.
Позволяет владельцу забить на всё и всех. 3
4. 4
1. Методы киберполиции
2. Взаимодействие с органами
3. Эффективность сотрудничества
4. Кейс «Сеть сайтов о взломе»
5. Кейс «Контроль бот-сети»
6. Непотопляемый ботнет
7. Hackotender & HackIT
Содержание
6. 6
Почему мы думаем, что это Киберполиция / ХНУВД
Письмо, которое нам прислали с анонимного Е-mail
(IP адрес в TORе), содержало информацию о том, на
кого оформлен договор в Triolan, о чём мы сразу
сообщили следователю по нашему делу.
7. Расследование в два клика: клик 1
7
● Район Одесской -
это было первое
совпадение.
● После письма все
стало очевидно.
9. Информация к размышлению
1. Текущий УПК предусматривает только экспертизу физического устройства.
Наш сервер расположен в Италии, а это значит…
2. Следствие начало служебную проверку по факту информации со статьи
на Цензор.нет и не могут доказать, что её писал я, т.к. нет механизма,
который сможет это подтвердить, ведь я могу просто сказать, что кто-то
пишет от моего имени (так и есть).
3. Всё можно свалить на: “вирусы”, “открытый роутер”, “студентов”,
“проходящих мимо аудитории ХНУВД людей” и никто ничего никогда не
докажет.
9
Проблема не в людях, а в законах, хотя люди тоже бывают криворукими...
10. Личное мнение человека с опытом работы в
правоохранительных органах
10
Схема, иллюстрирующая
эффективность работы
правоохранительных
органов в сфере расскрытия
киберпреступлений
11. Двойные стандарты от МВД. Ситуация 1
11
Взлом сайтов в ДНР/ЛНР - это ок!
(но ведь это украинские сайты)
И никого не обвиняют,
и всем всё нравится
потому, что не мешает схемам...
12. 12
Детали были представлены на HackIT 2015 , после чего нас обвинили во
взломе...
Двойные стандарты от МВД. Ситуация 2
История, из-за которой нам угрожал тот же Алексей
15. Что мы сделали с данными? (3)
15
При этом мы плохие… а вот те, про кого пишет Геращенко -
молодцы… потому что не мешают схемам...
16. Тем временем Киберполиция открывает для себя прелести
порно чатов вместо борьбы с более сложными делами...
16
VS
После нашей работы в мире кардинга случился переворот, после работы
КиберПолиции кто-то не смог подр….
22. Из Whois History получаем пару E-mail(ов)
22
Домен
Сайты на
одном IP
Информация
из Whois
Поиск по данным:
Email: s*ix.klg@gmail.com
Email: s*ix1916@mail.ru
Email: s*ix1917@mail.ru
Профит
23. Итог:
Дата рождения: 25.10.1993
Номер паспорта: 29072****9
Паспорт выдан: Отделом УФМС России по Калужской области в Московском округе города Калуги
Дата выдачи паспорта: 29.10.200*
Номер телефона: 79605****66
Адрес прописки: Россия, Калуга, Баррикад 124. кв. **
Почтовый индекс: 248016
Email: s*ix.klg@gmail.com
Email: s*ix1916@mail.ru
Email: s*ix1917@mail.ru
ICQ: 50**91
Skype: s*ix.klg
Аккаунт ВК: https://vk.com/allchity (возможно, фейковый)
Автомобиль: Mazda 3 черного цвета, гос.номер к6**ус 40, регион РФ *
Информация о автомобиля взята с https://www.drive2.ru/users/stix-klg/ 23
24. 24
Как обычно в конце письмо всем правоохранительным органам с деталями и полученной
информацией...
25. Как вы думаете, хоть что-то закрыли?
25
Да и …. с ними
главное, что в ProtectMaster умеют проводить расследования
27. 27
● Не попасться по сигнатурам
● Попасть в автозагрузку
● Обойти эвристику и проактивную защиту
● Удаленно управляться
● Выдерживать онлайн нагрузку
● Самообновляться
● Bulletproof