SlideShare a Scribd company logo

Особенности киберраследований в Украине

protectmaster
protectmaster

14.05.16 команда ProtectMaster посетила конференцию по информационной безопасности BSidesKyiv , на которой Никита Кныш и Владимир Таратушка рассказали об особенностях киберрасследований в Украине.

Internet
1 of 43
Download to read offline
Особенности киберраследований частными компаниями в Украине Никита Кныш, Владимир Таратушка BSides, Киев, 14.05.16
Руководители проекта ProtectMaster Технические организаторы всеукраинской олимпиады по кибербезопасности HackIT В ИБ более 10 лет Специализируются на защите веб-сервисов и киберраследованиях 2 Никита Кныш Владимир Таратушка О нас
Дискле́ймер — особый вид интеллектуальной индульгенции. Позволяет владельцу забить на всё и всех. 3
4 1. Методы киберполиции 2. Взаимодействие с органами 3. Эффективность сотрудничества 4. Кейс «Сеть сайтов о взломе» 5. Кейс «Контроль бот-сети» 6. Непотопляемый ботнет 7. Hackotender & HackIT Содержание
Кейс “Атака” на сайт ProtectMaster № ЕРДР 12016220540000939 5Фотография атакующего
6 Почему мы думаем, что это Киберполиция / ХНУВД Письмо, которое нам прислали с анонимного Е-mail (IP адрес в TORе), содержало информацию о том, на кого оформлен договор в Triolan, о чём мы сразу сообщили следователю по нашему делу.
Расследование в два клика: клик 1 7 ● Район Одесской - это было первое совпадение. ● После письма все стало очевидно.
Расследование в два клика: клик 2 8
Информация к размышлению 1. Текущий УПК предусматривает только экспертизу физического устройства. Наш сервер расположен в Италии, а это значит… 2. Следствие начало служебную проверку по факту информации со статьи на Цензор.нет и не могут доказать, что её писал я, т.к. нет механизма, который сможет это подтвердить, ведь я могу просто сказать, что кто-то пишет от моего имени (так и есть). 3. Всё можно свалить на: “вирусы”, “открытый роутер”, “студентов”, “проходящих мимо аудитории ХНУВД людей” и никто ничего никогда не докажет. 9 Проблема не в людях, а в законах, хотя люди тоже бывают криворукими...
Личное мнение человека с опытом работы в правоохранительных органах 10 Схема, иллюстрирующая эффективность работы правоохранительных органов в сфере расскрытия киберпреступлений
Двойные стандарты от МВД. Ситуация 1 11 Взлом сайтов в ДНР/ЛНР - это ок! (но ведь это украинские сайты) И никого не обвиняют, и всем всё нравится потому, что не мешает схемам...
12 Детали были представлены на HackIT 2015 , после чего нас обвинили во взломе... Двойные стандарты от МВД. Ситуация 2 История, из-за которой нам угрожал тот же Алексей
Что мы сделали с данными? (1) 13
14 Что мы сделали с данными? (2)
Что мы сделали с данными? (3) 15 При этом мы плохие… а вот те, про кого пишет Геращенко - молодцы… потому что не мешают схемам...
Тем временем Киберполиция открывает для себя прелести порно чатов вместо борьбы с более сложными делами... 16 VS После нашей работы в мире кардинга случился переворот, после работы КиберПолиции кто-то не смог подр….
Программы для взлома Вконтакте, Одноклассники и другие мифы... 17
Вычисляем IP за CloudFlare через CrimeFlare 18
Смотрим сайты на одном IP 19
Дополним руками 20
Понеслась... 21 № Сайты Регистратор 1 кодекс-пирата.рф REG.RU LLC 2 angeleyes.su REG.RU LLC 3 archeage-chits.ru REG.RU LLC 4 armoredwarfare-chity.ru REG.RU LLC 5 best-cheats.ru REG.RU LLC 6 combatarms-chity.ru REG.RU LLC 7 contractwars-chity.ru REG.RU LLC 8 contractwars-skachat-chity.ru REG.RU LLC 9 crossfire-chity.ru REG.RU LLC 10 crossfire1.ru REG.RU LLC 11 crossfirechit.ru REG.RU LLC 12 dota2-chity.ru REG.RU LLC 13 groundwartanks-chity.ru REG.RU LLC 14 kontrasiti-chiti.ru REG.RU LLC 15 kontrasiti-chity.ru REG.RU LLC 16 kontrasiti-skachat-chiti.ru REG.RU LLC 17 payday2-skachat-chity.ru REG.RU LLC 18 pointblank-chity.ru REG.RU LLC 19 rucheats.com GODADDY.COM, LLC 20 rust-chity.ru REG.RU LLC 21 saintsrow4-chity.ru REG.RU LLC 22 social-vzlom.com REG.RU LLC 23 tankionline-chity.ru REG.RU LLC 24 vzlom-vkontakte.com REG.RU LLC 25 vzlomat-odnoklassniki.com REG.RU LLC 26 vzlomat-odnoklassnikov.com REG.RU LLC 27 vzlomat-vkontakte.com REG.RU LLC 28 vzlomotop.ru REG.RU LLC 29 warface-chits.ru REG.RU LLC 30 warface-chity.ru REG.RU LLC 31 warface-skachat-chiti.ru REG.RU LLC 32 Warface1.ru REG.RU LLC 33 warfacechity.ru REG.RU LLC 34 windows8-key.ru REG.RU LLC 35 worldofbattleships-chity.ru REG.RU LLC 36 worldoftanks9.ru REG.RU LLC 37 worldofwarplanes-chity.ru REG.RU LLC
Из Whois History получаем пару E-mail(ов) 22 Домен Сайты на одном IP Информация из Whois Поиск по данным: Email: s*ix.klg@gmail.com Email: s*ix1916@mail.ru Email: s*ix1917@mail.ru Профит
Итог: Дата рождения: 25.10.1993 Номер паспорта: 29072****9 Паспорт выдан: Отделом УФМС России по Калужской области в Московском округе города Калуги Дата выдачи паспорта: 29.10.200* Номер телефона: 79605****66 Адрес прописки: Россия, Калуга, Баррикад 124. кв. ** Почтовый индекс: 248016 Email: s*ix.klg@gmail.com Email: s*ix1916@mail.ru Email: s*ix1917@mail.ru ICQ: 50**91 Skype: s*ix.klg Аккаунт ВК: https://vk.com/allchity (возможно, фейковый) Автомобиль: Mazda 3 черного цвета, гос.номер к6**ус 40, регион РФ * Информация о автомобиля взята с https://www.drive2.ru/users/stix-klg/ 23
24 Как обычно в конце письмо всем правоохранительным органам с деталями и полученной информацией...
Как вы думаете, хоть что-то закрыли? 25 Да и …. с ними главное, что в ProtectMaster умеют проводить расследования
Как устроен непотопляемый ботнет? 26
27 ● Не попасться по сигнатурам ● Попасть в автозагрузку ● Обойти эвристику и проактивную защиту ● Удаленно управляться ● Выдерживать онлайн нагрузку ● Самообновляться ● Bulletproof
28 + Autorun Malware Command Center Где хранить конфиг? ● Адрес командного сервера ● Настройки
29 + Autorun Malware domain list NS - записи ICQ
31 1. Захватить или вывести из строя С&C-узлы. 2. DDoS на С&C-узлы. 3. Жалобы провайдеру, где хостятся C&C-узлы. 4. Захват DNS-имен, используемых C&C. 5. Блокирование IP-адресов. 6. Арест владельца ботнета. 7. Судебный иск.
32
33
34
35 Оригинальные способы управления Ботнетом Трастинг Jabber Tor P2P I2P ...
Malware domain11-22-33-44-55.com Алгоритм генерации RSA NS
Как честно зарабатывать?
38 Researchers
39 Hackers
40
41
42
Никита Кныш nikita@protectmaster.org Владимир Таратушка vladimir@protectmaster.org protectmaster.org 43

Recommended

Андрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОАндрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОExpolink
 
The Market for Cryptocurrencies 2017
The Market for Cryptocurrencies 2017The Market for Cryptocurrencies 2017
The Market for Cryptocurrencies 2017Yury Bryukvin
 
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Expolink
 
Presentation bitcoin
Presentation bitcoinPresentation bitcoin
Presentation bitcoinuserloginasd
 
Bitcoin
BitcoinBitcoin
BitcoinVladimir Krylov
 
Cергей Cеванцян - Backed Loans
Cергей Cеванцян - Backed LoansCергей Cеванцян - Backed Loans
Cергей Cеванцян - Backed LoansTimetogrowup
 
Coinx ppt Russian
Coinx ppt RussianCoinx ppt Russian
Coinx ppt RussianCOINX TRADING LTD
 
Befargo ru
Befargo ruBefargo ru
Befargo ruWexcoin
 

Recommended

Андрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОАндрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОExpolink
 
The Market for Cryptocurrencies 2017
The Market for Cryptocurrencies 2017The Market for Cryptocurrencies 2017
The Market for Cryptocurrencies 2017Yury Bryukvin
 
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Expolink
 
Presentation bitcoin
Presentation bitcoinPresentation bitcoin
Presentation bitcoinuserloginasd
 
Bitcoin
BitcoinBitcoin
BitcoinVladimir Krylov
 
Cергей Cеванцян - Backed Loans
Cергей Cеванцян - Backed LoansCергей Cеванцян - Backed Loans
Cергей Cеванцян - Backed LoansTimetogrowup
 
Coinx ppt Russian
Coinx ppt RussianCoinx ppt Russian
Coinx ppt RussianCOINX TRADING LTD
 
Befargo ru
Befargo ruBefargo ru
Befargo ruWexcoin
 
Bitcoin: деньги будущего
Bitcoin: деньги будущегоBitcoin: деньги будущего
Bitcoin: деньги будущегоSergei Tikhomirov
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Expolink
 
Market watch интернет-инвестиции и сделки 9 m2013
Market watch интернет-инвестиции и сделки 9 m2013Market watch интернет-инвестиции и сделки 9 m2013
Market watch интернет-инвестиции и сделки 9 m2013Лапук Мария
 
подробная инструкция для работы в Ethtrade
подробная инструкция для работы в Ethtradeподробная инструкция для работы в Ethtrade
подробная инструкция для работы в Ethtradeedelweis999
 
Подробная инструкция для работы в Ethtrade
Подробная инструкция для работы в EthtradeПодробная инструкция для работы в Ethtrade
Подробная инструкция для работы в EthtradeИльнар Мухаметзянов
 
Bitcoin for APU (Ukraine Legal Association)
Bitcoin for APU (Ukraine Legal Association)Bitcoin for APU (Ukraine Legal Association)
Bitcoin for APU (Ukraine Legal Association)Maksym Krupyshev
 
Cлайды для презентации компании Ethtrade
Cлайды для презентации компании EthtradeCлайды для презентации компании Ethtrade
Cлайды для презентации компании EthtradeИльнар Мухаметзянов
 
дмитрий угрюмов
дмитрий угрюмовдмитрий угрюмов
дмитрий угрюмовPositive Hack Days
 
Роман Снитко
Роман СниткоРоман Снитко
Роман СниткоOntico
 
Open bazaar review for Moscow Bitcoin Conference 8 apr 16
Open bazaar review for Moscow Bitcoin Conference 8 apr 16Open bazaar review for Moscow Bitcoin Conference 8 apr 16
Open bazaar review for Moscow Bitcoin Conference 8 apr 16Nikita Trifonov
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...imbasoft ru
 
Криптовалюты
КриптовалютыКриптовалюты
КриптовалютыArtem Uliantsev
 
Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...InfoWatch
 
обзор рынка жилья (июль 2017) Иркутск
обзор рынка жилья (июль 2017) Иркутскобзор рынка жилья (июль 2017) Иркутск
обзор рынка жилья (июль 2017) ИркутскТатьяна Галущенко
 
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...Expolink
 
Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...imbasoft ru
 
Безопасность лекция 1 весна 2014
Безопасность лекция 1 весна 2014Безопасность лекция 1 весна 2014
Безопасность лекция 1 весна 2014Technopark
 
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Timetogrowup
 
Bi prezentation урок безопасного интернета окончательный вариант
Bi prezentation урок безопасного интернета окончательный вариантBi prezentation урок безопасного интернета окончательный вариант
Bi prezentation урок безопасного интернета окончательный вариантandrira63
 
Darkweb 2018
Darkweb 2018Darkweb 2018
Darkweb 2018malvvv
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Group ib 14-09_2010_фин
Group ib 14-09_2010_финGroup ib 14-09_2010_фин
Group ib 14-09_2010_финLETA IT-company
 

More Related Content

What's hot

Bitcoin: деньги будущего
Bitcoin: деньги будущегоBitcoin: деньги будущего
Bitcoin: деньги будущегоSergei Tikhomirov
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Expolink
 
Market watch интернет-инвестиции и сделки 9 m2013
Market watch интернет-инвестиции и сделки 9 m2013Market watch интернет-инвестиции и сделки 9 m2013
Market watch интернет-инвестиции и сделки 9 m2013Лапук Мария
 
подробная инструкция для работы в Ethtrade
подробная инструкция для работы в Ethtradeподробная инструкция для работы в Ethtrade
подробная инструкция для работы в Ethtradeedelweis999
 
Подробная инструкция для работы в Ethtrade
Подробная инструкция для работы в EthtradeПодробная инструкция для работы в Ethtrade
Подробная инструкция для работы в EthtradeИльнар Мухаметзянов
 
Bitcoin for APU (Ukraine Legal Association)
Bitcoin for APU (Ukraine Legal Association)Bitcoin for APU (Ukraine Legal Association)
Bitcoin for APU (Ukraine Legal Association)Maksym Krupyshev
 
Роман Снитко
Роман СниткоРоман Снитко
Роман СниткоOntico
 
Open bazaar review for Moscow Bitcoin Conference 8 apr 16
Open bazaar review for Moscow Bitcoin Conference 8 apr 16Open bazaar review for Moscow Bitcoin Conference 8 apr 16
Open bazaar review for Moscow Bitcoin Conference 8 apr 16Nikita Trifonov
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...imbasoft ru
 
Криптовалюты
КриптовалютыКриптовалюты
КриптовалютыArtem Uliantsev
 
Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...InfoWatch
 
обзор рынка жилья (июль 2017) Иркутск
обзор рынка жилья (июль 2017) Иркутскобзор рынка жилья (июль 2017) Иркутск
обзор рынка жилья (июль 2017) ИркутскТатьяна Галущенко
 
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...Expolink
 

What's hot (15)

Bitcoin: деньги будущего
Bitcoin: деньги будущегоBitcoin: деньги будущего
Bitcoin: деньги будущего
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
 
Market watch интернет-инвестиции и сделки 9 m2013
Market watch интернет-инвестиции и сделки 9 m2013Market watch интернет-инвестиции и сделки 9 m2013
Market watch интернет-инвестиции и сделки 9 m2013
 
подробная инструкция для работы в Ethtrade
подробная инструкция для работы в Ethtradeподробная инструкция для работы в Ethtrade
подробная инструкция для работы в Ethtrade
 
Подробная инструкция для работы в Ethtrade
Подробная инструкция для работы в EthtradeПодробная инструкция для работы в Ethtrade
Подробная инструкция для работы в Ethtrade
 
Bitcoin for APU (Ukraine Legal Association)
Bitcoin for APU (Ukraine Legal Association)Bitcoin for APU (Ukraine Legal Association)
Bitcoin for APU (Ukraine Legal Association)
 
Cлайды для презентации компании Ethtrade
Cлайды для презентации компании EthtradeCлайды для презентации компании Ethtrade
Cлайды для презентации компании Ethtrade
 
дмитрий угрюмов
дмитрий угрюмовдмитрий угрюмов
дмитрий угрюмов
 
Роман Снитко
Роман СниткоРоман Снитко
Роман Снитко
 
Open bazaar review for Moscow Bitcoin Conference 8 apr 16
Open bazaar review for Moscow Bitcoin Conference 8 apr 16Open bazaar review for Moscow Bitcoin Conference 8 apr 16
Open bazaar review for Moscow Bitcoin Conference 8 apr 16
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
 
Криптовалюты
КриптовалютыКриптовалюты
Криптовалюты
 
Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...Выявление внутреннего страхового мошенничества и методология расследования ин...
Выявление внутреннего страхового мошенничества и методология расследования ин...
 
обзор рынка жилья (июль 2017) Иркутск
обзор рынка жилья (июль 2017) Иркутскобзор рынка жилья (июль 2017) Иркутск
обзор рынка жилья (июль 2017) Иркутск
 
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
Microsoft. Владимир Шевченко. "ИТ на острие атаки: от новых механизмов защиты...
 

Similar to Особенности киберраследований в Украине

Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...imbasoft ru
 
Безопасность лекция 1 весна 2014
Безопасность лекция 1 весна 2014Безопасность лекция 1 весна 2014
Безопасность лекция 1 весна 2014Technopark
 
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Timetogrowup
 
Bi prezentation урок безопасного интернета окончательный вариант
Bi prezentation урок безопасного интернета окончательный вариантBi prezentation урок безопасного интернета окончательный вариант
Bi prezentation урок безопасного интернета окончательный вариантandrira63
 
Darkweb 2018
Darkweb 2018Darkweb 2018
Darkweb 2018malvvv
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Group ib 14-09_2010_фин
Group ib 14-09_2010_финGroup ib 14-09_2010_фин
Group ib 14-09_2010_финLETA IT-company
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Блокчейн. Разрыв шаблона
Блокчейн. Разрыв шаблонаБлокчейн. Разрыв шаблона
Блокчейн. Разрыв шаблонаValery Litvin
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011qqlan
 
калугин денис
калугин денискалугин денис
калугин денисtnik222
 
20130125
2013012520130125
20130125trafica
 
Управление через код и эволюция юриста
Управление через код и эволюция юристаУправление через код и эволюция юриста
Управление через код и эволюция юристаInfotropic Media
 
Positive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian HackersPositive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian Hackersqqlan
 
DEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеDEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеdefcon_kz
 
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...Valery Estekhin
 

Similar to Особенности киберраследований в Украине (20)

Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...
 
Безопасность лекция 1 весна 2014
Безопасность лекция 1 весна 2014Безопасность лекция 1 весна 2014
Безопасность лекция 1 весна 2014
 
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
 
Bi prezentation урок безопасного интернета окончательный вариант
Bi prezentation урок безопасного интернета окончательный вариантBi prezentation урок безопасного интернета окончательный вариант
Bi prezentation урок безопасного интернета окончательный вариант
 
Darkweb 2018
Darkweb 2018Darkweb 2018
Darkweb 2018
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
Group ib 14-09_2010_фин
Group ib 14-09_2010_финGroup ib 14-09_2010_фин
Group ib 14-09_2010_фин
 
Case project
Case projectCase project
Case project
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
01
0101
01
 
Блокчейн. Разрыв шаблона
Блокчейн. Разрыв шаблонаБлокчейн. Разрыв шаблона
Блокчейн. Разрыв шаблона
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
 
калугин денис
калугин денискалугин денис
калугин денис
 
20130125
2013012520130125
20130125
 
Управление через код и эволюция юриста
Управление через код и эволюция юристаУправление через код и эволюция юриста
Управление через код и эволюция юриста
 
Positive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian HackersPositive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian Hackers
 
DEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в странеDEFCON и развитие информационной безопасности в стране
DEFCON и развитие информационной безопасности в стране
 
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
 

Особенности киберраследований в Украине

  • 1. Особенности киберраследований частными компаниями в Украине Никита Кныш, Владимир Таратушка BSides, Киев, 14.05.16
  • 2. Руководители проекта ProtectMaster Технические организаторы всеукраинской олимпиады по кибербезопасности HackIT В ИБ более 10 лет Специализируются на защите веб-сервисов и киберраследованиях 2 Никита Кныш Владимир Таратушка О нас
  • 3. Дискле́ймер — особый вид интеллектуальной индульгенции. Позволяет владельцу забить на всё и всех. 3
  • 4. 4 1. Методы киберполиции 2. Взаимодействие с органами 3. Эффективность сотрудничества 4. Кейс «Сеть сайтов о взломе» 5. Кейс «Контроль бот-сети» 6. Непотопляемый ботнет 7. Hackotender & HackIT Содержание
  • 5. Кейс “Атака” на сайт ProtectMaster № ЕРДР 12016220540000939 5Фотография атакующего
  • 6. 6 Почему мы думаем, что это Киберполиция / ХНУВД Письмо, которое нам прислали с анонимного Е-mail (IP адрес в TORе), содержало информацию о том, на кого оформлен договор в Triolan, о чём мы сразу сообщили следователю по нашему делу.
  • 7. Расследование в два клика: клик 1 7 ● Район Одесской - это было первое совпадение. ● После письма все стало очевидно.
  • 8. Расследование в два клика: клик 2 8
  • 9. Информация к размышлению 1. Текущий УПК предусматривает только экспертизу физического устройства. Наш сервер расположен в Италии, а это значит… 2. Следствие начало служебную проверку по факту информации со статьи на Цензор.нет и не могут доказать, что её писал я, т.к. нет механизма, который сможет это подтвердить, ведь я могу просто сказать, что кто-то пишет от моего имени (так и есть). 3. Всё можно свалить на: “вирусы”, “открытый роутер”, “студентов”, “проходящих мимо аудитории ХНУВД людей” и никто ничего никогда не докажет. 9 Проблема не в людях, а в законах, хотя люди тоже бывают криворукими...
  • 10. Личное мнение человека с опытом работы в правоохранительных органах 10 Схема, иллюстрирующая эффективность работы правоохранительных органов в сфере расскрытия киберпреступлений
  • 11. Двойные стандарты от МВД. Ситуация 1 11 Взлом сайтов в ДНР/ЛНР - это ок! (но ведь это украинские сайты) И никого не обвиняют, и всем всё нравится потому, что не мешает схемам...
  • 12. 12 Детали были представлены на HackIT 2015 , после чего нас обвинили во взломе... Двойные стандарты от МВД. Ситуация 2 История, из-за которой нам угрожал тот же Алексей
  • 13. Что мы сделали с данными? (1) 13
  • 14. 14 Что мы сделали с данными? (2)
  • 15. Что мы сделали с данными? (3) 15 При этом мы плохие… а вот те, про кого пишет Геращенко - молодцы… потому что не мешают схемам...
  • 16. Тем временем Киберполиция открывает для себя прелести порно чатов вместо борьбы с более сложными делами... 16 VS После нашей работы в мире кардинга случился переворот, после работы КиберПолиции кто-то не смог подр….
  • 17. Программы для взлома Вконтакте, Одноклассники и другие мифы... 17
  • 18. Вычисляем IP за CloudFlare через CrimeFlare 18
  • 19. Смотрим сайты на одном IP 19
  • 21. Понеслась... 21 № Сайты Регистратор 1 кодекс-пирата.рф REG.RU LLC 2 angeleyes.su REG.RU LLC 3 archeage-chits.ru REG.RU LLC 4 armoredwarfare-chity.ru REG.RU LLC 5 best-cheats.ru REG.RU LLC 6 combatarms-chity.ru REG.RU LLC 7 contractwars-chity.ru REG.RU LLC 8 contractwars-skachat-chity.ru REG.RU LLC 9 crossfire-chity.ru REG.RU LLC 10 crossfire1.ru REG.RU LLC 11 crossfirechit.ru REG.RU LLC 12 dota2-chity.ru REG.RU LLC 13 groundwartanks-chity.ru REG.RU LLC 14 kontrasiti-chiti.ru REG.RU LLC 15 kontrasiti-chity.ru REG.RU LLC 16 kontrasiti-skachat-chiti.ru REG.RU LLC 17 payday2-skachat-chity.ru REG.RU LLC 18 pointblank-chity.ru REG.RU LLC 19 rucheats.com GODADDY.COM, LLC 20 rust-chity.ru REG.RU LLC 21 saintsrow4-chity.ru REG.RU LLC 22 social-vzlom.com REG.RU LLC 23 tankionline-chity.ru REG.RU LLC 24 vzlom-vkontakte.com REG.RU LLC 25 vzlomat-odnoklassniki.com REG.RU LLC 26 vzlomat-odnoklassnikov.com REG.RU LLC 27 vzlomat-vkontakte.com REG.RU LLC 28 vzlomotop.ru REG.RU LLC 29 warface-chits.ru REG.RU LLC 30 warface-chity.ru REG.RU LLC 31 warface-skachat-chiti.ru REG.RU LLC 32 Warface1.ru REG.RU LLC 33 warfacechity.ru REG.RU LLC 34 windows8-key.ru REG.RU LLC 35 worldofbattleships-chity.ru REG.RU LLC 36 worldoftanks9.ru REG.RU LLC 37 worldofwarplanes-chity.ru REG.RU LLC
  • 22. Из Whois History получаем пару E-mail(ов) 22 Домен Сайты на одном IP Информация из Whois Поиск по данным: Email: s*ix.klg@gmail.com Email: s*ix1916@mail.ru Email: s*ix1917@mail.ru Профит
  • 23. Итог: Дата рождения: 25.10.1993 Номер паспорта: 29072****9 Паспорт выдан: Отделом УФМС России по Калужской области в Московском округе города Калуги Дата выдачи паспорта: 29.10.200* Номер телефона: 79605****66 Адрес прописки: Россия, Калуга, Баррикад 124. кв. ** Почтовый индекс: 248016 Email: s*ix.klg@gmail.com Email: s*ix1916@mail.ru Email: s*ix1917@mail.ru ICQ: 50**91 Skype: s*ix.klg Аккаунт ВК: https://vk.com/allchity (возможно, фейковый) Автомобиль: Mazda 3 черного цвета, гос.номер к6**ус 40, регион РФ * Информация о автомобиля взята с https://www.drive2.ru/users/stix-klg/ 23
  • 24. 24 Как обычно в конце письмо всем правоохранительным органам с деталями и полученной информацией...
  • 25. Как вы думаете, хоть что-то закрыли? 25 Да и …. с ними главное, что в ProtectMaster умеют проводить расследования
  • 27. 27 ● Не попасться по сигнатурам ● Попасть в автозагрузку ● Обойти эвристику и проактивную защиту ● Удаленно управляться ● Выдерживать онлайн нагрузку ● Самообновляться ● Bulletproof
  • 28. 28 + Autorun Malware Command Center Где хранить конфиг? ● Адрес командного сервера ● Настройки
  • 30.
  • 31. 31 1. Захватить или вывести из строя С&C-узлы. 2. DDoS на С&C-узлы. 3. Жалобы провайдеру, где хостятся C&C-узлы. 4. Захват DNS-имен, используемых C&C. 5. Блокирование IP-адресов. 6. Арест владельца ботнета. 7. Судебный иск.
  • 32. 32
  • 33. 33
  • 34. 34
  • 35. 35 Оригинальные способы управления Ботнетом Трастинг Jabber Tor P2P I2P ...
  • 40. 40
  • 41. 41
  • 42. 42