View
284
Download
0
Category
Preview:
Citation preview
Компьютерная криминалистика
Балашов В.Ю.
Харьковский НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса
Киберпреступление
• Мошенничество (ст. 190 ККУ)
• Нарушение авторских прав (ст. 176 ККУ)
• Незаконные действия с документами средствами доступа к банковским счетам (ст. 200 ККУ)
• Уклонение от налогов (ст. 212 ККУ)
• Порнография (ст. 301 ККУ)
• Нарушение различных видов тайн (ст. 231 ККУ)
Новые типы преступлений
Раздел XVI ККУ
ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН
(КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ
Статья 361
Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к:
• -Утечке;
• -Утрате;
• -Подделке;
• -Блокированию информации;
• -Искажению процесса обработки информации;
• -Нарушению установленного порядкамаршрутизации
Карается
штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение.
Повторное нарушение или в составе группы лиц:
Лишение свободы от 3 до 6 лет.
361-1 - зловред
Создание с целью:
использования, распространения или сбыта,
либо
распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.
Карается
- штрафом от 500 до 1000 необлагаемых минимумов,
- исправительными работами до 2 лет
- лишением свободы до 2 лет с конфискацией разработанных или сбываемых средств.
Повторно или в составе группы лиц:
Лишение свободы до 5 лет
Статья 361-2
Несанкционированный сбыт или распространение информации с ограниченным доступом, которая хранится в электронном виде.
Карается
Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3 лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет
Статья 362
Несанкционированные действия с информацией с ограниченным доступом, которая храниться в электронном виде, совершенные лицом, имеющим право доступа к данной информации.
Карается
Изменение, уничтожение или блокирование:штрафом от 600 до 100 необлагаемых минимумов илиисправительными работами на срок до двух лет с конфискацией программных или технических средств, с помощью которых деяния были совершены.
Перехват или копирование, которое привело к утечке:Лишение свободы на срок до трёх лет с лишением права занимать некоторые должности в течение того же срока, с конфискацией программных или технических средств, с помощью которых деяния были совершены.
Статья 363
Нарушение правил эксплуатации информационно-телекоммуникационных систем и правил защиты информации, которая в них хранится, которое привело к значительному вреду.
Карается
От 500 до 1000 необлагаемых минимумов или лишением свободы на срок до 3 лет с лишением права занимать некоторые должности или заниматься некоторой деятельностью на тот же самый срок.
Статья 363 - спам
Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.
Карается
Штраф от 500 до 1000 необлагаемых минимумов или ограничение свободы до 3
лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет
Кто ищет
Служба безопасности Украины
Управление по борьбе с киберпреступностьюМВД Украины
CERT-UA
Украинский Государственный Центр Радиочастот
Кто анализирует
• Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины
• Институт специальной техники и судебных экспертиз СБУ
• Экспертно-криминалистические центры МВД Украины
• Эксперты, не работающие в специализированных структурах и частные специалисты
Как ищут
-Получение данных от провайдеров
-Получение информации с носителей в серверах хостинга
-Социальное взаимодействие
-Наблюдение
-Прослушка
Что ищут
-Идентифицирующие признаки оборудования
-Наличие на носителе информации, свидетельствующей о причастности
-Цепочку последовательностей событийинцидента
-Артефакты, свидетельствующие о каких-либо событиях
Видео и звук
Идентификация личности по устной илиписьменной речи
Установление наличия или отсутствия монтажа в записях
Установление количества лиц, принимающих участие в разговоре
ПРИМЕРЫ ИЗ ЖИЗНИ
Инцидент №1, 2011 г.
В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.
Действия
• 1.Изъятие почтового сервера и передача его на исследование.
• 2.Обнаружение причины утечки. • 3.Установление географического расположения
оборудования злоумышленика. • 4.Установление лица, которому принадлежит
оборудование. • 5. Установление личности злоумышленника• 6. Анализ информации на носителях оборудования. • 7. Доказательство вины злоумышленника на основе
информации в его ПК.
Результат
Обвинительный приговор по ст. 361
Инцидент №2, 2011 г.
Мобильные устройства.
Несовершеннолетний парень сделал несколько фото своих половых органов на камеру мобильного телефона и отправил в
MMS.
Задача
•На этот ли мобильный телефон были сделаны снимки?
•Когда были сделаны снимки?
•Отправлялись ли снимки?
•Имеются ли на сфотографированном органе идентифицирующие признаки?)
Действия
• Установление происхождения снимков:
• Timestamp-ы файловой системы;
• Метаданные в Exif;
• Уникальность матрицы камеры;
• Способ и порядок именования снимков.
Установление отправки снимков:
анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.
Результат
Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.
Инцидент №3, 2013 г.
В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.
Задачи расследования
• 1.Выяснить причину уничтожения данных;
• 2.Установить личность злоумышленника, совершившего уничтожение;
• 3.Доказать вину злоумышленника и привлечь к ответственности.
Исходные данные
• На жёстком диске была установлена UNIX-подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом.
• В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP-телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).
Действия
• Восстановление удалённых данных
• Поиск среди восстановленных данных каких-либо логов и их анализ.
• Анализом логов установлен логин пользователя, который последним логинился в систему.
• После логина пользователь перешёл в режим суперпользователя (root).
• Логи консоли заканчиваются запуском Midnight Commander
• Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа.
• Таким образом есть аккаунт-виновник, но нет лица злоумышленника.
Установление лица
• В востановленных логах зафиксирован удалённый IP-адрес злоумышленника.
• IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT.
• В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.
Результат
В данный момент продолжается следствие.
Грозит: Ограничение свободы до 2 лет с выплатой компенсации ущерба, нанесенного
компании в результате простоя.
Перепродажа трафика
Терминация и оригинация голосового трафика:
упаковка голоса в VoIP, передача в другую страну с приземлением трафика в сети мобильного оператора или телефонные сети общего пользования.
Действия
Получение распечаток и расшифровок трафика, изъятие оборудования, анализ биллинговой и транзитной информации в серверах, восстановление рабочей схемы системы.
Результат
Приговоры по ст. 361 – ограничение свободы от 1 до 2 лет, конфискация техники, возмещение нанесённого ущерба.
Мошенничество в ДБО
1. Множество эпизодов
2. Огромные ущербы
3. Сложность расследования
4. Международные масштабы
Полезные ссылки:
• 1.Брайан Кэрриэ: Криминалистический анализ файловых систем
• 2.Н. Н. Федотов: Форензика –компьютерная криминалистика
• 3.Уголовный кодекс Украины.
У меня всё
У кого есть вопросы?
Recommended