Виступ на IV Всеукраїнська конференції з кримінального права та процесу, листопад 2017. Основні питання:
• Можливості цифрової криміналістики
• Комп’ютерні розслідування чи комп’ютерні експертизи? Межі компетенції експерта
• Збір доказів та вибір об’єктів для дослідження, проблемні питання вилучення техніки
• Правильні і неправильні питання для комп’ютерно-технічних експертиз
• Формування запитів та клопотань на отримання інформації
• Практичні кейси використання цифрових доказів при захисті потерпілих
• Незалежна комп’ютерно-технічна експертиза як невід’ємна складова судової реформи
Використання безпаперових інформаційних технологій в процесах набуття та охор...nadeh
«Використання безпаперових інформаційних технологій в процесах набуття та охорони прав на об’єкти права інтелектуальної власності в Україні: очікування та перспективи»
Іваненко Петро, канд. техн. наук, старший науковий співробітник, заступник директора з наукової роботи Державного підприємства «Український інститут промислової власності»
Використання безпаперових інформаційних технологій в процесах набуття та охор...nadeh
«Використання безпаперових інформаційних технологій в процесах набуття та охорони прав на об’єкти права інтелектуальної власності в Україні: очікування та перспективи»
Іваненко Петро, канд. техн. наук, старший науковий співробітник, заступник директора з наукової роботи Державного підприємства «Український інститут промислової власності»
Чому? Що? Як? патентувати в галузі software та бізнес методів - Марія ОртинськаUBA-komitet
Семінар Комітету АПУ з питань телекомунікацій, інформаційних технологій та Інтернету та Комітету АПУ з інтелектуальної власності: «Патентування програмного забезпечення» - частина 1, 07.06.2016, м. Київ
E-government в Харькове. Электронная аутентификация.Elena Petrova
Презентация в рамках запуска пилотного проекта по реформированию админ услуг, предоставляемых департаментами ХОГА. Проект осуществляется совместно Департаментом по повышению конкурентоспособности Харьковского региона ХОГА, Центром предоставления админ услуг ХГС, общественной инициативой "E-Government в Харькове".
Экспертная группа представила результаты первичного исследования вопроса готовности законодательства Украины к использованию электронной идентификации, а также возможные варианты электронной идентификации, как необходимого условия для перевода взаимодействия граждан и бизнеса с государством.
Презентація Концепції впровадження в Національній поліції України моделі поліцейської діяльності, керованої аналітикою. Подібні моделі вже функціонують в різних країнах Європи.
Чому? Що? Як? патентувати в галузі software та бізнес методів - Марія ОртинськаUBA-komitet
Семінар Комітету АПУ з питань телекомунікацій, інформаційних технологій та Інтернету та Комітету АПУ з інтелектуальної власності: «Патентування програмного забезпечення» - частина 1, 07.06.2016, м. Київ
E-government в Харькове. Электронная аутентификация.Elena Petrova
Презентация в рамках запуска пилотного проекта по реформированию админ услуг, предоставляемых департаментами ХОГА. Проект осуществляется совместно Департаментом по повышению конкурентоспособности Харьковского региона ХОГА, Центром предоставления админ услуг ХГС, общественной инициативой "E-Government в Харькове".
Экспертная группа представила результаты первичного исследования вопроса готовности законодательства Украины к использованию электронной идентификации, а также возможные варианты электронной идентификации, как необходимого условия для перевода взаимодействия граждан и бизнеса с государством.
Презентація Концепції впровадження в Національній поліції України моделі поліцейської діяльності, керованої аналітикою. Подібні моделі вже функціонують в різних країнах Європи.
Практика та особливості проведення комп’ютерно-технічних експертиз
1. Листопад 2017
Сергій Прокопенко
ТОВ «Лабораторія комп'ютерної криміналістики»
Практика та особливості проведення
комп’ютерно-технічних експертиз
2. Прикладна наука про відновлення та дослідження даних на цифрових
пристроях, які може бути доказами у злочинах (інцидентах), пов'язаних із
інформацією в електронному вигляді.
Цифрова криміналістика
Комп’ютерна криміналістика
Вилучення та аналіз даних з усіх типів цифрових носіїв, включаючи видалені,
приховані, шифровані й закриті паролями дані
Мобільна криміналістика
Вилучення інформації з мобільних пристроїв, навігаторів, ІОТ та ін. портативної
техніки. Аналіз дій користувача, побудова взаємозв'язків
Медіа (відео, аудіо, зображення)
Вилучення даних з DVR, покращення якості відео та зображень, виявлення слідів
монтажу і редагування, автоматизована обробка з виділенням подій і об’єктів
Мережева криміналістика
Дослідження несанкціонованого втручання в системи і мережі, в тому числі аналіз
шкідливого та шпигунського ПЗ. Вилучення та фіксація даних з онлайн сервісів
3. Збір доказів / матеріалів
Вибір об'єктів для дослідження
Версії та їх перевірка
Дослідження вибраних об'єктів
Робота в команді із «замовником»
Розслідування vs експертизи
Розслідування / реагування на
інцидент
Комп’ютерно-технічна /
телекомунікаційна експертиза
Збір доказів / матеріалів
Вибір об'єктів для дослідження
Обґрунтований та об’єктивний
письмовий висновок на поставлені
питання
Дослідження усіх об'єктів
Незалежність
Прямо заборонено
4. • Чи особа1 слідкувала за особою2 за
допомогою шпигунської програми
• Чи є шкідливою програма
• Чи є автоматом для проведення азартних ігор
Типові помилки при формуванні питань до експертизи
Вирішення питань права (кваліфікація злочину)
Питання, що покладають на експерта збір матеріалів / доказів
• Встановити, хто здійснив несанкціонований
доступ
5. Типові помилки при формуванні питань до експертизи
• Чи можливо змінювати дату
• Яка міститься інформація і яке її цільове
призначення
• Чи є наявність / відсутність інформації
передумовою для…
• Фото комп'ютерів та телефонів
• Скриншоти, окремі файли
• Модифіковані об'єкти дослідження
(переустановлена система, тривала
робота після інциденту)
Загальні питання
«Неправильні» матеріали та об'єкти досліджень
6. Дії при підготовці до комп'ютерно-технічої експертизи
Визначити перелік об'єктів
Вибрати комп'ютери, телефони, інші пристрої, на яких може міститися
інформація, яка має значення для справи
Створити копії та/або провести огляд
Зафіксувати спосіб та отриману інформацію у протоколі/акті –
створити «документ» в понятті КПК.
Сформувати перелік питань
З метою визначення, які саме об'єкти слід надати
експерту, а також як їх відбирати для дослідження,
доцільно отримати консультацію експерта (спеціаліста).
Наказ Мінюсту № 53/5 від 08.10.98
Не потрібно:
Видаляти (особисті) файли, віруси і т.ін.
Перевстановлювати операційну систему
Фотографувати телефони, робити скриношти і т.ін.
7. Типові питання до експертизи
Чи містяться на об'єкті програмне забезпечення, елементи програмного коду
або сліди використання програмного забезпечення, призначені для ___
(віддаленого керування, викрадення ідентифікаційних даних користувача,
видалення файлів користувача, пошкодження даних…)? Яке призначення
програмного коду, яким чином і коли відбулася його установка, вказати спосіб
його адміністрування та передачі звітів?
Які зміни та процеси, що стосуються ______, здійснювались на наданому на
дослідження об'єкті? / Чи були здійснені певні дії на наданому на дослідження
об'єкті?
Чи містять надані для дослідження матеріали відомості щодо доступу до
_____________? Які дії були здійснені під час доступу?
Зафіксувати історію перегляду, повідомлення, вміст веб-сторінки,
ідентифікаційні дані користувача…
8. Повинні містити максимально повні і точні питання, аналогічно до питань
до експертизи:
Файли журналів доступу користувача ____ до сайту ____ за період часу з ___
по _____ включаючи відомості щодо: дати і часу, ІР-адреси з якої
здійснювався вхід, переглянутих сторінок, статусу запитів до веб серверу та
бази даних
Запити та клопотання
Е-декларування
Чиновнику було оголошено про підозру за неподання
декларації. При цьому декларацію було заповнено на
надіслано через портал НАЗК.
Було підготовлено повторний запит до НАЗК. За висновками
експертизи та відповіддю на запит кримінальне
провадження було закрите.
9. Використання цифрових доказів для захисту
«Чорні» нотаріуси
З 2014 року зафіксовано понад 50 інцидентів,
пов’язаних з втручанням до комп’ютерів нотаріусів і
внесенням в Держреєстри незаконних змін (загальна
вартість власності перевищує 1,5 млрд грн.).
Докази втручання до комп’ютерів і викрадення
ключів доступу, зібрані в рамках проведених Cyberlab
експертиз, дозволили змінити їх статус з
«підозрюваний» на «постраждалий».
«Прозорро»
Учасник закупівель звернув увагу на схожість оформлення
документів своїх конкурентів. Скарги в АМКУ та Прозорро
не дали результату.
За результатами експертизи було встановлено, що
документи «конкурентів» були створені на одному і тому
самому комп'ютері, який належить керівнику однієї з фірм
учасниць. На даний момент замовник експертиз подав
документи в суд.
10. Використання цифрових доказів для захисту
«Авто-комп'ютерна» експертиза
Після ДТП не спрацювали подушки безпеки,
внаслідок чого постраждалий отримав травми.
Офіційний сервіс виробника склав акт про те, що
швидкість авто була недостатня для спрацювання.
З бортового комп'ютера було вилучені дані про
швидкість, постраждалий отримав компенсацію.
Підробка документів та доказів
Підміна платіжних реквізитів у фішингових листах
Внесення змін у документи та бази даних «заднім числом»
«Підкинуті» під час слідчих дій файли
11. Не відповідає міжнародній практиці
Практично не захищає від неправомірних дій
(швидкість копіювання не обмежена, копіювати можна вічно)
Стимулює кіберзлочинність
(приклад – комплекс перехвату мобільного GSM зв'язку)
Вилучення комп'ютерної техніки
Експертне середовище проти заборони вилучення техніки:
12. Проблеми КТЕ в Україні
Відсутність атестації експерта за напрямками 10.9 та 10.17 не
повинно бути підставою для невизнання експертизи доказом.
Щодо експертного дослідження №..., то колегія суддів зазначає, що відповідно до
реєстру судових експертів на момент проведення комп'ютерно-технічного
дослідження у особа було відсутнє діюче свідоцтво присвоєння кваліфікації судового
експерта з проведення комп'ютерно-технічної експертизи, у зв'язку з чим зазначене
експертне дослідження не є належним доказом у даній справі.
Міністерством юстиції не розроблено порядок атестації експертів
за напрямками 10.9 та 10.17
Державні спеціалізовані установи судових експертиз :
- дуже велике навантаження
- недостатня кількість експертів
13. Незалежна українська компанія, що надає професійні
послуги під торговою маркою CyberLab у сфері
комп’ютерно-технічних експертиз і досліджень,
розслідувань інцидентів інформаційної безпеки,
консалтингу та аудиту систем захисту інформації
CyberLab – єдина в Україні недержавна лабораторія,
акредитована за напрямком дослідження інформації у
комп’ютерних і телекомунікаційних системах за
міжнародним стандартом ISO/IEC 17025:2006
Експертизи і висновки, виконані експертами CyberLab,
приймаються як докази в українських та іноземних судах.
Клієнтами Cyberlab є фінансово-кредитні установи,
юридичні і консалтингові компанії, розробники ПЗ та
цифрового контенту.
Лабораторія надає експертні послуги для українських
правоохоронних органів, в т.ч. Нацполіції, Експертної
служби МВС, СБУ, Мін’юсту, ДФС, ГПУ, НАБУ.
Лабораторія комп’ютерної криміналістики
14. Комп’ютерні експертизи і дослідження
Проведення експертиз та досліджень, консультації сторін
процесу
Розслідування кіберзлочинів
Встановлення осіб, в тому числі інсайдерів, причетних до
шахрайства, розкрадання, шпигунства, кібератак і т.і.,
збирання та аналіз цифрових доказів
Кібербезпека
Аудити інформаційної безпеки; захист інформації, в тому
числі забезпечення персональної безпеки
Навчання
Курси і тренінги з комп’ютерної криміналістики і
практичної кібербезпеки для технічних і нетехнічних
спеціалістів
Напрямки діяльності
15. ТОВ «Лабораторія комп'ютерної криміналістики»
Дякую за увагу
Phone: +380 (44) 330-3231
Email: info@cyberlab.com.ua
Web: www.cyberlab.com.ua