Компьютерная криминалистика - Виталий Балашов
TRANSCRIPT
Компьютерная криминалистика
Балашов В.Ю.Харьковский НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса
Киберпреступление• Мошенничество (ст. 190 ККУ)• Нарушение авторских прав (ст. 176 ККУ)• Незаконные действия с документами средствами доступа
к банковским счетам (ст. 200 ККУ)• Уклонение от налогов (ст. 212 ККУ)• Порнография (ст. 301 ККУ)• Нарушение различных видов тайн (ст. 231 ККУ)
Новые типы преступлений
Раздел XVI ККУЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ
ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН (КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ
МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ
Статья 361
Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к: • -Утечке; • -Утрате; • -Подделке; • -Блокированию информации; • -Искажению процесса обработки информации; • -Нарушению установленного порядка
маршрутизации
Карается
штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение.
Повторное нарушение или в составе группы лиц:
Лишение свободы от 3 до 6 лет.
361-1 - зловред
Создание с целью: использования, распространения или сбыта,
либо распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.
Карается
- штрафом от 500 до 1000 необлагаемых минимумов, - исправительными работами до 2 лет - лишением свободы до 2 лет с конфискацией
разработанных или сбываемых средств.
Повторно или в составе группы лиц: Лишение свободы до 5 лет
Статья 361-2
Несанкционированный сбыт или распространение информации с ограниченным доступом, которая хранится в электронном виде.
Карается
Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет
Повторно или в составе группы лиц: Ограничение либо лишение свободы до 5 лет
Статья 362
Несанкционированные действия с информацией с ограниченным доступом, которая храниться в электронном виде, совершенные лицом, имеющим право доступа к данной информации.
КараетсяИзменение, уничтожение или блокирование:штрафом от 600 до 100 необлагаемых минимумов или исправительными работами на срок до двух лет с конфискацией программных или технических средств, с помощью которых деяния были совершены.
Перехват или копирование, которое привело к утечке:Лишение свободы на срок до трёх лет с лишением права занимать некоторые должности в течение того же срока, с конфискацией программных или технических средств, с помощью которых деяния были совершены.
Статья 363
Нарушение правил эксплуатации информационно-телекоммуникационных систем и правил защиты информации, которая в них хранится, которое привело к значительному вреду.
Карается
От 500 до 1000 необлагаемых минимумов или лишением свободы на срок до 3 лет с лишением права занимать некоторые должности или заниматься некоторой деятельностью на тот же самый срок.
Статья 363 - спам
Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.
Карается
Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3
лет Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет
Кто ищет
Служба безопасности Украины
Управление по борьбе с киберпреступностью МВД Украины
CERT-UA
Украинский Государственный Центр Радиочастот
Кто анализирует
• Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины
• Институт специальной техники и судебных экспертиз СБУ
• Экспертно-криминалистические центры МВД Украины
• Эксперты, не работающие в специализированных структурах и частные специалисты
Как ищут
-Получение данных от провайдеров -Получение информации с носителей в серверах хостинга -Социальное взаимодействие -Наблюдение -Прослушка
Что ищут
-Идентифицирующие признаки оборудования -Наличие на носителе информации, свидетельствующей о причастности
-Цепочку последовательностей событий инцидента
-Артефакты, свидетельствующие о каких-либо событиях
Видео и звук
Идентификация личности по устной или письменной речи
Установление наличия или отсутствия монтажа в записях
Установление количества лиц, принимающих участие в разговоре
ПРИМЕРЫ ИЗ ЖИЗНИ
Инцидент №1, 2011 г.
В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.
Действия • 1.Изъятие почтового сервера и передача его на
исследование. • 2.Обнаружение причины утечки. • 3.Установление географического расположения
оборудования злоумышленика. • 4.Установление лица, которому принадлежит
оборудование. • 5. Установление личности злоумышленника • 6. Анализ информации на носителях оборудования. • 7. Доказательство вины злоумышленника на основе
информации в его ПК.
Результат
Обвинительный приговор по ст. 361
Инцидент №2, 2011 г.
Мобильные устройства. Несовершеннолетний парень сделал
несколько фото своих половых органов на камеру мобильного телефона и отправил в
MMS.
Задача
•На этот ли мобильный телефон были сделаны снимки? •Когда были сделаны снимки? •Отправлялись ли снимки? •Имеются ли на сфотографированном органе идентифицирующие признаки?)
Действия • Установление происхождения снимков: • Timestamp-ы файловой системы; • Метаданные в Exif; • Уникальность матрицы камеры; • Способ и порядок именования снимков.
Установление отправки снимков:
анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.
Результат
Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.
Инцидент №3, 2013 г.
В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.
Задачи расследования
• 1.Выяснить причину уничтожения данных; • 2.Установить личность злоумышленника,
совершившего уничтожение; • 3.Доказать вину злоумышленника и
привлечь к ответственности.
Исходные данные
• На жёстком диске была установлена UNIX-подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом.
• В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP-телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).
Действия
• Восстановление удалённых данных • Поиск среди восстановленных данных
каких-либо логов и их анализ. • Анализом логов установлен логин
пользователя, который последним логинился в систему.
• После логина пользователь перешёл в режим суперпользователя (root).
• Логи консоли заканчиваются запуском Midnight Commander
• Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа.
• Таким образом есть аккаунт-виновник, но нет лица злоумышленника.
Установление лица
• В востановленных логах зафиксирован удалённый IP-адрес злоумышленника.
• IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT.
• В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.
Результат
В данный момент продолжается следствие.Грозит: Ограничение свободы до 2 лет с
выплатой компенсации ущерба, нанесенного компании в результате простоя.
Перепродажа трафика
Терминация и оригинация голосового трафика:упаковка голоса в VoIP, передача в другую страну с приземлением трафика в сети мобильного оператора или телефонные сети общего пользования.
Действия
Получение распечаток и расшифровок трафика, изъятие оборудования, анализ биллинговой и транзитной информации в серверах, восстановление рабочей схемы системы.
Результат
Приговоры по ст. 361 – ограничение свободы от 1 до 2 лет, конфискация техники, возмещение нанесённого ущерба.
Мошенничество в ДБО
1. Множество эпизодов2. Огромные ущербы3. Сложность расследования4. Международные масштабы
Полезные ссылки:
• 1.Брайан Кэрриэ: Криминалистический анализ файловых систем
• 2.Н. Н. Федотов: Форензика – компьютерная криминалистика
• 3.Уголовный кодекс Украины.
У меня всё
У кого есть вопросы?