Upload
dong
View
72
Download
4
Embed Size (px)
DESCRIPTION
ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» (РОССИЯ). Особенности производства экспертиз по делам о несанкционированном доступе к реквизитам банковских карт и систем ДБО Докладчик : Юрин Игорь Юрьевич генеральный директор Центра. - PowerPoint PPT Presentation
Citation preview
ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий»
(РОССИЯ)
Особенности производства экспертиз по делам о несанкционированном доступе
к реквизитам банковских карт и систем ДБО
Докладчик: Юрин Игорь Юрьевич
генеральный директор Центра
Основные виды угроз при использовании ЭЦП
• Кража денежных средств через системы ДБО
• Уничтожение конфиденциальной информации
• Отказ в обслуживании при работе с УЦ
• Мошенничество и компрометация с использованием ЭЦП
Последствия НСД к ключам ЭЦП в системах ДБО
• Кража денежных средств со счета организации (в г.Тольятти –
43 000 000 российских рублей одним платежным поручением)
• Уничтожение информации на компьютере пользователя в ходе «заметания следов» преступниками
Осуществление НСД к ПК, подключаемому к ДБО
Весь НСД осуществляется при помощи вредоносных программ, оставляющих свои
следы на ПК. Этапы НСД:• Первичное проникновение• Закрепление своих позиций на ПК• Сбор информации о системе ДБО• Подготовка «путей отхода»• Ожидание поступления денег на счет• Перевод денежных средств• «Заметание следов»
Этапы проведения экспертизы носителей информации
• Обеспечение неизменности данных на исследуемом носителе
• Поиск следов НСД к компьютерной информации (сбора информации)
• Анализ полученной информации
Работа в режиме «только чтение»
Исследуемые носители информации подключаются к компьютеру эксперта в режиме «только чтение» для предотвращения модификации данных в процессе исследования.
Области ПК, хранящие информацию о следах НСД
• индексные файлы ОС Windows (index.dat) - все блоки, включая LEAK;
• системные журналы событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx);
• служебные файлы ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log, *.xml DataColl);
• служебные файлы программ-браузеров (Internet Explorer, Opera, Firefox, Chromium (Google Chrome, Xpom, Yandex.Browser, Chrome OS и тд.));
• кэш виртуальной машины Java;• файлы троянских программ.
Выявление следов первичного проникновения
Адрес, с которого было осуществлено внедрение эксплоита на компьютер пользователя
Выявление следов первичного проникновения
Адреса, с которых было осуществлено внедрение эксплоитов на компьютер пользователя, и даты событий. Снимок экрана специализированной
программы «Forensic Assistant»
Выявление следов сбора информации
Выявление адресов, на которые отправлялась информация с компьютера и получались обновления троянцев. Снимок экрана
специализированной программы «Forensic Assistant»
Выявление следов сбора информации
Примеры обнаруженных отчетов троянских программ Carberp и др. Снимок экрана специализированной программы «Forensic
Assistant»
Выявление следов сбора информации
Выявление файлов с сертификатами ЭЦП. Снимок экрана специализированной программы «Forensic Assistant»
Возможности исследования пластиковых карт
Программа «Forensic Assistant» с версии 1.3.3 распознает карты платежных систем:
• VISA• Master• Maestro• STB• Белкартбанков:• Беларусь: Ашчадный Банк, Беларусбанк, БелИнвестБанк,
БелПромСтройБанк (БПС-Банк), Приорбанк, и др.;• Россия: несколько десятков банков;• Украина: Аваль, Надра, ОТП Банк, Ощадбанк, Приватбанк,
УкрСибБанк, УкрСоцБанк и др.;• другие страны: несколько сотен банков.
Возможности программы
• Ведение БД считанных дампов карт;• Автоматическое определение банка-
эмитента и характеристик карты;• Проверка корректности информации на
магнитной полосе (соответствие треков друг другу, допустимость реквизитов);
• Поддержка карт-ридеров MSR206 и аналогов, подключенных
через USB и COM-порты.
Спасибо за внимание!
Контактная информация:
E-mail: [email protected]
Телефон +7-917-2011944
Факс +7 (8452) 722-066