View
805
Download
1
Category
Preview:
Citation preview
Расследование компьютерных преступленийЗарубежный опыт расследования компьютерных преступлений (на примере Австралии)
PwC
Три случая из практики
Расследование мошенничества на Австралийской фондовой бирже “Pump and Dump”
Поиск хакера, взломавшего информационную систему интернет магазина и укравшего около 200 000 номеров кредитных карт
Получение информации с зашифрованного ноутбука подозреваемого
Ноябрь 2010
2
Расследование компьютерных преступлений
PwC
Расследование мошенничества на Австралийской фондовой бирже “Pump and Dump”
Ноябрь 2010
3
Расследование компьютерных преступлений
PwC
Классическая схема “Pump & Dump”
Ноябрь 2010
4
Расследование компьютерных преступлений
PwC
Стратегия расследования
Выявить, кто получил наибольшую выгоду.
Выявить по IP адресам место, откуда производились транзакции.
Выявить источник утечки информации клиентских паролей.
Ноябрь 2010
5
Расследование компьютерных преступлений
PwC
Кто получил набольшую выгоду?
• 2 человека
• Фотографии с камеры наружного наблюдения
• Один не опознан
Ноябрь 2010
6
Расследование компьютерных преступлений
PwC
IP адреса
• 5 различных интернет кафе
• Опять камера наружного наблюдения
• Ранее неопознанный подозреваемый
• Найден компьютер, с которого производились покупки и продажи акций
• Флешка
Расследование компьютерных преступлений
7
Ноябрь 2010
PwC
Источник утечки информации
• Интернет-кафе в центре города
• Серийный номер флешки в setupapi.log
• 30 компьютеров проверенно за 10 минут
• 4 компьютера с искомым серийным номером
• “Perfect Keylogger”
Расследование компьютерных преступлений
8
Ноябрь 2010
PwC
Happy Ending
• Личность подозреваемого
• Обыск
• Суд
Расследование компьютерных преступлений
9
Ноябрь 2010
PwC
Поиск хакера, взломавшего информационную систему интернет-магазина и укравшего около 200 000 номеров кредитных карт
Ноябрь 2010
10
Расследование компьютерных преступлений
PwC
Взлом информационной системы интернет-магазина
• Болезнь роста
• Внедрение и поддержка IT- инфраструктуры
• IT инфраструктура – один из основных компонентов бизнеса
• Обнаружение утечки информации и начальная стадия расследования
Расследование компьютерных преступлений
11
Ноябрь 2010
PwC
Логи
• Около 1 терабайта текстовых логов и несколько терабайтов скопированных компьютерных систем
• Использование «специализированных» программ для обнаружения подозрительных событий
• Микрософт LogParser и DtSearch
• C:\>logparser -i:FS "SELECT TOP 20 Path, CreationTime from c:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1
Расследование компьютерных преступлений
12
Ноябрь 2010
PwC
SQL injection
• Внедрение SQL-кода – поиск
• Установлений временных рамок атак
• Проверка событий в этих временных рамках
• Проверка файлов, созданных или изменѐнных в этих промежутках времени
Расследование компьютерных преступлений
13
Ноябрь 2010
PwC
Rootkit
• Руткит (англ. rootkit)
• Полный контроль системы –был размещен на web сервере
• c:\inetpub\wwwroot\help\About.asp
• Google как средство поиска подозреваемого
• Игрок
Расследование компьютерных преступлений
14
Ноябрь 2010
PwC
Получение информации с зашифрованного ноутбука подозреваемого
Ноябрь 2010
15
Расследование компьютерных преступлений
PwC
Зашифрованный ноутбук
• Мошенник использовал “SecurStarDriveCrypt” для шифрования всего жесткого диска.
• Программа использует 1334 бит AES, Blowfish и т.д. алгоритмы шифрования.
• Компьютер оказался включен, но программа шифрования требовала пароль для доступа.
• Ноутбук был изъят во время обыска и доставлен в лабораторию.
Ноябрь 2010
16
Расследование компьютерных преступлений
PwC
Питон приходит на помощь
• Коммерческих программ для обхода защиты нет
• К счастью, ноутбук имел порт Firewire
• Спецификация OHCI-1394 предполагает прямой доступ к оперативной памяти (DMA)
• 2008 Ruxcon – демонстрация метода обхода защиты
• Питон код: libraw1394; 1394memimage; Winlockpwn
• Сегодня есть более современная версия “Forensic1394” library by Freddie Witherden
• “Volatility”
Расследование компьютерных преступлений
17
Ноябрь 2010
PwC
Копирование ОЗУ
• Память скопирована с помощью DD.
• Использована тестовая машина для обнаружения уникального пароля.
• WinHex для поиска уникального пароля в памяти тестовой машины.
• Поиск пароля в копии памяти ноутбука подозреваемого.
Расследование компьютерных преступлений
18
Ноябрь 2010
PwC
Развязка
• Пароль найден и получен доступ к информации на ноутбуке.
• Также было найдено несколько тысяч номеров кредитных карт и другая полезная для мошенничества информация.
• В результате владелец ноутбука был осужден на 18 месяцев.
Расследование компьютерных преступлений
19
Ноябрь 2010
Спасибо за внимание!
© 2010 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.
Под "PwC" и “PricewaterhouseCoopers” понимается «ПрайсвотерхаусКуперс Раша Б.В.»
или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть компаний
PricewaterhouseCoopers International Limited, каждая из которых является
самостоятельным юридическим лицом.
Андрей Росс
Старший менеджер, Форензик
+7 (495) 223-5096
andre.ross@ru.pwc.com
Recommended