3. 361 - вмешательство
Несанционированное вмешательство в работу
компьютерных систем и сетей, которое привело к:
-
Утечке;
Утрате;
Подделке;
Блокированию информации;
Искажению процесса обработки информации;
Нарушение установленного порядка
маршрутизации
4. Карается
штрафом от 600 до 1000 необлагаемых минимумов
или ограничением свободы на срок до 3 лет с
конфискацией программных и технических средств,
с помощью которых было совершено
правонарушение.
Повторное нарушение или в составе группы лиц:
Лишение свободы от 3 до 6 лет.
5. 361-1 – зловред
Создание с целью:
использования, распространения или сбыта,
либо
распространение и сбыт вредных
программных или технических средств,
предназначенных для несанкционированного
вмешательства в работу компьютерных
систем и сетей.
6. Карается
- штрафом от 500 до 1000 необлагаемых
минимумов,
- исправительными работами до 2 лет
- Лишением свободы до 2 лет с конфискацией
разработанных или сбываемых средств.
Повторно или в составе группы лиц:
Лишение свободы до 5 лет
7. 363-1 - Спам
Умышленное распространение сообщений
электросвязи, осуществляемое без
предварительного согласия адресатов,
которое привело к нарушению или
прекращению работы компьютерной
системы или сети.
8. Карается
Штраф от 500 до 1000 необлагаемых
минимумов или
ограничение свободы до 3 лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет
9. Кто ищет
• Служба безопасности Украины
• Управление по борьбе с кибер
преступностью МВД Украины
10. Кто анализирует
• Специализированные судебно-экспертные
учреждения системы Министерства Юстиции
Украины
• Институт специальной техники и судебных
экспертиз СБУ
• Экспертно-криминалистические центры МВД
Украины
• Эксперты, не работающие в
специализированных структурах и частные
специалисты
11. Как ищут
- Получение данных от провайдеров
- Получение информации с носителей в
серверах хостинга
- Социальное взаимодействие
- Наблюдение
- Прослушка
12. Что ищут
- Идентифицирующие признаки
оборудования
- Наличие на носителе информации,
свидетельствующей о причастности
- Цепочку последовательностей событий
инцидента
16. Инцидент №1, 2011 г.
В компании стало известно о утечке
внутрикорпоративной информации,
поступившей на корпоративный электронный
ящик.
17. Действия
1. Изъятие почтового сервера и передача его
на исследование.
2. Обнаружение причины утечки.
3. Установление географического
расположения оборудования
злоумышленика.
4. Установление лица, которому
принадлежит оборудование.
18. 5. Установление личности злоумышленника
6. Анализ информации на носителях
оборудования.
7. Доказательство вины злоумышленника на
основе информации в его ПК.
20. Инцидент №2, 2011 г.
Мобильные устройства.
Несовершеннолетний парень сделал
несколько фото своих половых органов на
камеру мобильного телефона и отправил в
MMS.
21. Задача
• На этот ли мобильный телефон были
сделаны снимки?
• Когда были сделаны снимки?
• Отправлялись ли снимки?
• Имеются ли на сфотографированном
органе идентифицирующие признаки?)
23. Установление отправки снимков:
анализ отправленных сообщений (в том
числе удалённых) с последующим
подтверждением передачи сообщения
оператором по логам оператора
мобильной связи.
26. Инцидент №3, 2013 г.
В крупной коммерческой компании однажды
перестала работать вся сетевая
инфраструктура. На главном сервере данные
практически полностью уничтожены. Работа
100+ человек персонала парализована.
27. Задачи расследования
1. Выяснить причину уничтожения данных;
2. Установить личность злоумышленника,
совершившего уничтожение;
3. Доказать вину злоумышленника и
привлечь к ответственности.
28. Исходные данные
• На жёстком диске была установлена UNIXподобная ОС, выполнявшая маршрутизацию
между внутренней сетью и Интерентом.
• В инфраструктуре присутствовала виртуальная
машина, выполнявшая роль сервера IPтелефонии. Вход на виртуальную машину
возможен только после успешной
аутентификации на физический сервер
(маршрутизатор).
29. Действия
• Восстановление удалённых данных
• Поиск среди восстановленных данных
каких-либо логов и их анализ.
• Анализом логов установлен логин
пользователя, который последним
логинился в систему.
• После логина пользователь перешёл в
режим суперпользователя (root).
30. • Логи консоли заканчиваются запуском
Midnight Commander
• Восстановлено точное время удаления
каждого файла: спустя несколько минут
после успешного входа.
Таким образом есть аккаунт-виновник, но нет
лица злоумышленника.
31. Установление лица
• В востановленных логах зафиксирован
удалённый IP-адрес злоумышленника.
• IP-адрес принадлежит мирной
коммерческой компании. Компания не
использовала NAT.
• В мирной компании, за машиной с
указанным IP и DNS-именем работал
бывший сисадмин пострадавшей стороны.
33. Полезные ссылки:
1. Брайан Кэрриэ: Криминалистический
анализ файловых систем
2. Н. Н. Федотов: Форензика – компьютерная
криминалистика
3. Уголовный кодекс Украины.