Embed Size (px)
DESCRIPTION
Презентация компании Group-IB, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Citation preview
Компьютерная
криминалистика
Поиск цифровых носителей
информации
Сохранение целостности
цифровых носителей
информации
Анализ содержимого
цифровых носителей
информации
Изложение результатов по содержимому
цифровых носителей
информации
В соответствии с законодательством РФ: Основные законодательные нормативно-правовые акты
Федеральный закон от 31.05.2001 г. № 73-ФЗ "О государственной
судебно-экспертной деятельности в Российской Федерации"
Цели
Участие в следственных
действиях вместе с
правоохранительными органами
Сбор и сохранение
необходимой доказательной
базы, корректное
оформление и упаковка
объектов, которые далее
могут использоваться в
качестве вещественных
доказательств в суде
Самостоятельных выезд на
место инцидента
Участие в оперативно-
разыскных мероприятиях
вместе с правоохранительными
органами
(БСТМ, Управление «К» и др. структуры МВД РФ, ЦИБ ФСБ
РФ, Следственный комитет РФ, ФССП РФ)
Сферы деятельности
1. Выявление объектов исследования
2. Ограничение доступа к объектам
3. Вызов специалиста
4. Снятие криминалистических образов
(запись на однократно записываемые
носители информации)
5. Передача объектов на исследование
6. Юридически грамотное оформление
собранной информации
7. Устранение канала утечки
информации
Первичное реагирование
Исследование носителей информации по запросу пострадавшей стороны
Основание для
возбуждения уголовного
дела
Исследование носителей информации в рамках
предварительной проверки по запросам от
правоохранительных органов
Экспертиза носителей информации в рамках уголовного
дела по постановлениям от правоохранительных органов
Сведения о злоумышленнике для дальнейшего
расследования
Сферы деятельности
Установить факт инцидента
Восстановить обстоятельства инцидента
Установить причины возникновения инцидента
Определить методы совершения инцидента
Сформировать доказательную базу для правового
преследования виновных лиц
Обеспечить целостность доказательной базы
Выявить новые способы мошенничества
Задачи
Поиск следов работы вредоносного ПО
Поиск следов несанкционированного доступа
Анализ файлов
Анализ журналов системной активности
Анализ истории переписки e-mail агентов и программ
мгновенных сообщений
Анализ информации баз данных
Поиск следов работы программ, имеющих отношение к
инциденту
Восстановление удаленных файлов
Что делает криминалист?
Удаление файлов
Удаление значимых ключей системного реестра
Работа программ в оперативной памяти без сохранения
результатов работы на носителе информации
Работа программ в контексте других процессов
Заполнение содержимого
носителя информации или его
фрагментов нулевыми байтами
или произвольной информацией
Шифрование всего содержимого
носителя информации или
отдельных фрагментов
Скрытые разделы
Способы противодействия
Восстановленная хронология событий инцидента
Обнаруженные IP-адреса, доменные адреса интернет-
ресурсов злоумышленников
Сведения о личности и деятельности злоумышленника
Установление причастности сотрудников организации к
инциденту
Новое вредоносное ПО
Новые способы мошенничества
Результаты
1 – Выезды в рамках ОРМ
2 – Экспертизы по постановлению правоохранительных органов
3 – Выезды в рамках следственных мероприятий
4 – Исследования по запросам пострадавшей стороны
22
51
103
205
Статистика. I половина 2011
80 15
40
110
30 30
120
140
Мошенничества в ДБО
DDoS-атаки
Компрометации серверов и АРМ
Атака на Бренд в сети Интернет
Утечка информации
Фишинг и незаконное использование бренда
Криминалистические исследования
Восстановление данных
Проведены работы и собрана база знаний по более чем 560
инцидентам
Статистика
Удаленное управление (BeTwin, Radmin, netOP,
Teamviewer, Remote Manipulator System и т. д.)
Средство для мониторинга деятельности пользователя
(Mipko Employee Monitor)
Снимки экрана
Перехват вводимой информации с клавиатуры и нажатий
мыши с помощью специализированного вредоносного ПО
Специализированное вредоносное ПО (Win32/RDPdoor,
Win32/Sheldor, Win32/Carberp, Win32/Hodprot,
Win32/Qhost, Win32/Zbot, Win32/Shiz, Win32/SpyEye)
Автозалив
Мошенничество в ДБО
Обеспечение доказательной
базы
источники криминалистически значимой
компьютерной информации;
обеспечение сохранности и применение
неразрушающих методов копирования
компьютерной информации;
обеспечение юридической значимости изъятых
улик, учет всех требований законодательства
РФ;
корректность оформления процесса изъятия;
типичные ошибки
Сбор доказательств
накопители на жестких магнитных дисках (НЖМД);
накопители на гибких магнитных дисках (НГМД);
оперативная память ЭВМ;
журналы систем протоколирования, ОС,
межсетевых экранов, прокси-серверов,
антивирусных средств и др.;
отдельные файлы и каталоги;
сетевой трафик;
содержимое оптических дисков и накопителей на
основе флеш-памяти.
мобильные телефоны, планшетные ЭВМ, КПК и т.п.
Источники информации
Статья 57 Уголовно-процессуального кодекса
РФ:
«эксперт не вправе… проводить без
разрешения дознавателя, следователя, суда
исследования, могущие повлечь полное или
частичное уничтожение объектов либо
изменение их внешнего вида или основных
свойств»
Обеспечение сохранности
программные блокираторы записи
- программные комплексы для ОС Windows;
- функции для монтирования ФС в режиме «только чтение» в ОС Linux;
- с использованием операционной системы,
которая не отправляет каких-либо команд
записи;
аппаратные криминалистические
копировальщики с блокировкой записи
- автономные (forensic duplicator);
- встраиваемые в ЭВМ (forensic bridge);
Обеспечение сохранности
Программные:
«SAFE Block»
«Software Write Block Tools»
Аппаратные:
«EPOS WriteProtector»
«Software Write Block Tools»
«Tableau T3458is Forensic SATA/SCSI/IDE/USB
Combo Bridge»
Блокираторы записи
SAFE Block
Блокираторы записи
Tableau Forensic Duplicator model TD1
Блокираторы записи
Tableau T3458is Forensic SATA/SCSI/IDE/USB
Combo Bridge
Блокираторы записи
Достоинства:
Значительно выше скорость работы;
Дешевле аппаратных;
Возможность работы с несколькими устройствами;
Существуют бесплатные судебные дистрибутивы ОС
Linux.
Недостатки:
Не защищены от вредоносного ПО (в случае с
Windows);
Человеческий фактор.
Программные блокираторы
Достоинства:
Гарантированно защищают объект от внесения
изменений
Защищены от вредоносного ПО
Нет необходимости в приобретении и настройке
дополнительного оборудования
Недостатки:
Цена
Ниже скорость работы
Ограничено количество подключаемых одновременно
устройств
Не всегда возможно извлечь исходный носитель.
Аппаратные блокираторы
Случаи, когда применение блокираторов записи
невозможно или нецелесообразно
Есть основания полагать, что исходный носитель
зашифрован полностью, или содержит зашифрованные
области;
Есть основания полагать, что доступ к исходному
носителю может быть заблокирован посредством ATA-
пароля;
Прекращение работы конкретного компьютера критично
для организации;
Исходным носителем является RAID-массив большого
объема.
Блокираторы записи
Учет всех требований законодательства РФ
Привлечение сторонних квалифицированных
специалистов, не являющихся сотрудниками
организации;
Применение соответствующего оборудования и
программного обеспечения;
Корректность оформления процесса изъятия.
Юридическая значимость
Привлечение лиц, не обладающих
соответствующей квалификацией;
Внесение изменений в состояние систем после
инцидента;
Применение несоответствующего оборудования
и программного обеспечения;
Некорректность оформления процесса изъятия;
Некорректность идентификации и описания
изымаемого оборудования;
Ненадлежащая упаковка и хранение объектов.
Типичные ошибки
