DUMP-2015: «Полнотекстовый поиск по почте Mail.Ru» Дмитрий Калугин-Балашов, Mail.ru, Москва
балашов хнувд
-
Upload
vitaly-balashov -
Category
Documents
-
view
52 -
download
0
Transcript of балашов хнувд
![Page 1: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/1.jpg)
Судебная экспертиза в процессе расследования
киберпреступлений
Балашов В. Ю., судебный эксперт сектора компьютерно-технических и телекоммуникационных исследований Харьковского НИИ судебных экспертиз им. Засл. проф. Н. С. Бокариуса
![Page 2: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/2.jpg)
Компьютерно-техническая экспертиза
«експертиза комп`ютерної техніки та програмних продуктів»
![Page 3: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/3.jpg)
Объект
Информация на цифровых носителях:
• НЖМД в системном блоке ПК
• Флешки
• Компакт-диски
• Встроенная память устройств и т.д.
![Page 4: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/4.jpg)
Основные задачи
• Установление работоспособности устройства
• Установление обстоятельств, связанных с использованием устройства
• Обнаружение информации и ПО, имеющихся на накопителе информации
• установление соответствия ПО определённым версиям или требованиям на разработку
![Page 5: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/5.jpg)
Телекоммуникационная
«Експертиза телекомунікаційних систем та засобів»
![Page 6: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/6.jpg)
Объект
• Телекоммуникационные системы и средства
• Сети и их составные части
• Информация, передаваемая, принимаемая и обрабатываемая в сети
![Page 7: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/7.jpg)
Основные задачи
• Определение характеристик и параметров систем и средств
• Установление фактов и способов передачи (приёма) информации в сети
• Установление фактов и способов доступа к системам, ресурсам и информации.
![Page 8: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/8.jpg)
• Установление качества предоставления телекоммуникационных услуг на уровне их потребления
• Установление конфигурации и рабочего состояния телекоммуникационных систем и средств
• Установление типа, марки, модели и других классификационных категорий систем и средств
• Исследование алгоритмов обработки информации и её защиты
![Page 9: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/9.jpg)
Ключевые статьи УК
• 361 - несанкционированное вмешательство в работу ЭВМ, АС, компьютерных сетей или сетей электросвязи, которое привело к:
утечке
потере
подделке
Блокированию информации
Искажению процесса обработки информации
Нарушению установленного порядка маршрутизации информации
![Page 10: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/10.jpg)
361-1
Создание с целью использования, распространения или сбыта вредных программных или технических средств, а так же их распространение или сбыт.
![Page 11: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/11.jpg)
361-2
Несанкционированный сбыт или распространение информации с ограниченным доступом, которая храниться в ЭВМ, АС, компьютерных сетях или на носителях такой информации
![Page 12: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/12.jpg)
362
Несанкционированное изменение, уничтожение или блокирование информации лицом, имеющим право доступа к ней
![Page 13: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/13.jpg)
Определение несанкционированных действий требуют доказательства факта
отсутствия санкции
![Page 14: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/14.jpg)
Как правильно изъять?
• Грубое отключение
• Копирование (клонирование)
• Предварительный анализ на месте
![Page 15: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/15.jpg)
Грубое отключение
Плюсы:
отсутствие вмешательства
изъятие всего ПК или НЖМД в оригинале
Минусы:
риск потери или искажения информации
потеря информации в ОЗУ
![Page 16: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/16.jpg)
Клонирование
Плюсы: лояльный подход к подозреваемому лёгкое и надёжное хранение дублирование Минусы: время, затрачиваемое на клонирование необходимость иметь под рукой носители большой ёмкости засвидетельствование целостности информации
![Page 17: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/17.jpg)
Предварительный анализ
Проводить или оставить на усмотрение экспертов?
![Page 18: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/18.jpg)
Инструменты предварительного анализа
• Вручную
• Defacto
• COFFEE
![Page 19: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/19.jpg)
COFFEE
Computer Online Forensic Evidence Extractor
![Page 20: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/20.jpg)
Преимущества
• 20 минут для сбора большого количества потенциально важной информации
• Полная автоматизация. Достаточно просто подключить USB-накопитель
• Высокая вероятность в отсутствии необходимости дальнейшей экспертизы
• Фиксация состояния ОС, которое будет потеряно при выключении ПК
![Page 21: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/21.jpg)
Недостатки
Есть риск нарваться на защиту: Detect and Eliminate Computer Acquired Forensics (DECAF)
Работает только для Windows систем
Сложность фиксации отчётов при документировании ОМП.
![Page 22: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/22.jpg)
Недостатки
В апреле 2009 года Майкрософт и Интерпол подписали соглашение о сотрудничестве, согласно которому Интерпол будет распространять COFEE среди правоохранительных органов в 187 странах. Майкрософт предлагает свои устройства и техническую поддержку бесплатно.
![Page 23: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/23.jpg)
http://wlstorage.net/file/microsoft-cofee-112.zip
![Page 24: балашов хнувд](https://reader034.fdocument.pub/reader034/viewer/2022052700/55c80aa0bb61eb31498b459e/html5/thumbnails/24.jpg)
Запомнить
Не включать изъятые ПК.
Использовать блокиратор записи.