Hack it balashov

Компьютерная криминалистика

Балашов В.Ю.

Харьковский НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса

Киберпреступление

• Мошенничество (ст. 190 ККУ)

• Нарушение авторских прав (ст. 176 ККУ)

• Незаконные действия с документами средствами доступа к банковским счетам (ст. 200 ККУ)

• Уклонение от налогов (ст. 212 ККУ)

• Порнография (ст. 301 ККУ)

• Нарушение различных видов тайн (ст. 231 ККУ)

Новые типы преступлений

Раздел XVI ККУ

ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН

(КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ

Статья 361

Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к:

• -Утечке;

• -Утрате;

• -Подделке;

• -Блокированию информации;

• -Искажению процесса обработки информации;

• -Нарушению установленного порядкамаршрутизации

Карается

штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение.

Повторное нарушение или в составе группы лиц:

Лишение свободы от 3 до 6 лет.

361-1 - зловред

Создание с целью:

использования, распространения или сбыта,

либо

распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.

Карается

- штрафом от 500 до 1000 необлагаемых минимумов,

- исправительными работами до 2 лет

- лишением свободы до 2 лет с конфискацией разработанных или сбываемых средств.

Повторно или в составе группы лиц:

Лишение свободы до 5 лет

Статья 361-2

Несанкционированный сбыт или распространение информации с ограниченным доступом, которая хранится в электронном виде.

Карается

Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет


Ограничение либо лишение свободы до 5 лет

Статья 362

Несанкционированные действия с информацией с ограниченным доступом, которая храниться в электронном виде, совершенные лицом, имеющим право доступа к данной информации.

Карается

Изменение, уничтожение или блокирование:штрафом от 600 до 100 необлагаемых минимумов илиисправительными работами на срок до двух лет с конфискацией программных или технических средств, с помощью которых деяния были совершены.

Перехват или копирование, которое привело к утечке:Лишение свободы на срок до трёх лет с лишением права занимать некоторые должности в течение того же срока, с конфискацией программных или технических средств, с помощью которых деяния были совершены.

Статья 363

Нарушение правил эксплуатации информационно-телекоммуникационных систем и правил защиты информации, которая в них хранится, которое привело к значительному вреду.

Карается

От 500 до 1000 необлагаемых минимумов или лишением свободы на срок до 3 лет с лишением права занимать некоторые должности или заниматься некоторой деятельностью на тот же самый срок.

Статья 363 - спам

Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.

Карается

Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3

лет


Ограничение либо лишение свободы до 5 лет

Кто ищет

Служба безопасности Украины

Управление по борьбе с киберпреступностьюМВД Украины

CERT-UA

Украинский Государственный Центр Радиочастот

Кто анализирует

• Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины

• Институт специальной техники и судебных экспертиз СБУ

• Экспертно-криминалистические центры МВД Украины

• Эксперты, не работающие в специализированных структурах и частные специалисты

Как ищут

-Получение данных от провайдеров

-Получение информации с носителей в серверах хостинга

-Социальное взаимодействие

-Наблюдение

-Прослушка

Что ищут

-Идентифицирующие признаки оборудования

-Наличие на носителе информации, свидетельствующей о причастности

-Цепочку последовательностей событийинцидента

-Артефакты, свидетельствующие о каких-либо событиях

Видео и звук

Идентификация личности по устной илиписьменной речи

Установление наличия или отсутствия монтажа в записях

Установление количества лиц, принимающих участие в разговоре

ПРИМЕРЫ ИЗ ЖИЗНИ

Инцидент №1, 2011 г.

В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.

Действия

• 1.Изъятие почтового сервера и передача его на исследование.

• 2.Обнаружение причины утечки. • 3.Установление географического расположения

оборудования злоумышленика. • 4.Установление лица, которому принадлежит

оборудование. • 5. Установление личности злоумышленника• 6. Анализ информации на носителях оборудования. • 7. Доказательство вины злоумышленника на основе

информации в его ПК.

Результат

Обвинительный приговор по ст. 361


Мобильные устройства.

Несовершеннолетний парень сделал несколько фото своих половых органов на камеру мобильного телефона и отправил в

MMS.

Задача

•На этот ли мобильный телефон были сделаны снимки?

•Когда были сделаны снимки?

•Отправлялись ли снимки?

•Имеются ли на сфотографированном органе идентифицирующие признаки?)

Действия

• Установление происхождения снимков:

• Timestamp-ы файловой системы;

• Метаданные в Exif;

• Уникальность матрицы камеры;

• Способ и порядок именования снимков.

Установление отправки снимков:

анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.

Результат

Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.


В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.

Задачи расследования

• 1.Выяснить причину уничтожения данных;

• 2.Установить личность злоумышленника, совершившего уничтожение;

• 3.Доказать вину злоумышленника и привлечь к ответственности.

Исходные данные

• На жёстком диске была установлена UNIX-подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом.

• В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP-телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).

Действия

• Восстановление удалённых данных

• Поиск среди восстановленных данных каких-либо логов и их анализ.

• Анализом логов установлен логин пользователя, который последним логинился в систему.

• После логина пользователь перешёл в режим суперпользователя (root).

• Логи консоли заканчиваются запуском Midnight Commander

• Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа.

• Таким образом есть аккаунт-виновник, но нет лица злоумышленника.

Установление лица

• В востановленных логах зафиксирован удалённый IP-адрес злоумышленника.

• IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT.

• В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.

Результат

В данный момент продолжается следствие.

Грозит: Ограничение свободы до 2 лет с выплатой компенсации ущерба, нанесенного

компании в результате простоя.

Перепродажа трафика

Терминация и оригинация голосового трафика:

упаковка голоса в VoIP, передача в другую страну с приземлением трафика в сети мобильного оператора или телефонные сети общего пользования.

Действия

Получение распечаток и расшифровок трафика, изъятие оборудования, анализ биллинговой и транзитной информации в серверах, восстановление рабочей схемы системы.

Результат

Приговоры по ст. 361 – ограничение свободы от 1 до 2 лет, конфискация техники, возмещение нанесённого ущерба.

Мошенничество в ДБО

1. Множество эпизодов

2. Огромные ущербы

3. Сложность расследования

4. Международные масштабы

Полезные ссылки:

• 1.Брайан Кэрриэ: Криминалистический анализ файловых систем

• 2.Н. Н. Федотов: Форензика –компьютерная криминалистика

• 3.Уголовный кодекс Украины.

У меня всё

У кого есть вопросы?

Hack it balashov

Law

Transcript of Hack it balashov