Презентация с форума http://hackit-ukraine.com/ Виталий Балашов Харьковский НИИ Компьютерная криминалистика Зав. лабораторей компьютерной криминалистики, Харьковский НИИ О спикере: Заведующий лабораторей компьютерной криминалистики Харьковского НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса МЮ Украины. В расследовании киберпреступлений с 2010 года. Выполнил более 500 экспертиз в самых разных отраслях компьютерных и телекоммуникационных исследований в рамках уголовных, гражданских и хозяйственных процессов. Тесно работает со Службой безопасности Украины, МВД и другими силовыми структурами.

1. Компьютерная
криминалистика
Балашов В.Ю.
Харьковский НИИ судебных
экспертиз им. Засл. проф.
М.С. Бокариуса

2. Киберпреступление
• Мошенничество (ст. 190 ККУ)
• Нарушение авторских прав (ст. 176 ККУ)
• Незаконные действия с документами средствами доступа
к банковским счетам (ст. 200 ККУ)
• Уклонение от налогов (ст. 212 ККУ)
• Порнография (ст. 301 ККУ)
• Нарушение различных видов тайн (ст. 231 ККУ)

3. Новые типы преступлений
Раздел XVI ККУ
ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ
ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН
(КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ
МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ

4. Статья 361
Несанционированное вмешательство в работу
компьютерных систем и сетей, которое привело к:
• -Утечке;
• -Утрате;
• -Подделке;
• -Блокированию информации;
• -Искажению процесса обработки информации;
• -Нарушению установленного порядка
маршрутизации

5. Карается
штрафом от 600 до 1000 необлагаемых минимумов
или ограничением свободы на срок до 3 лет с
конфискацией программных и технических средств,
с помощью которых было совершено
правонарушение.
Повторное нарушение или в составе группы лиц:
Лишение свободы от 3 до 6 лет.

6. 361-1 - зловред
Создание с целью:
использования, распространения или сбыта,
либо
распространение и сбыт вредных
программных или технических средств,
предназначенных для несанкционированного
вмешательства в работу компьютерных
систем и сетей.

7. Карается
- штрафом от 500 до 1000 необлагаемых
минимумов,
- исправительными работами до 2 лет
- лишением свободы до 2 лет с конфискацией
разработанных или сбываемых средств.
Повторно или в составе группы лиц:
Лишение свободы до 5 лет

8. Статья 361-2
Несанкционированный сбыт или
распространение информации с
ограниченным доступом, которая хранится в
электронном виде.

9. Карается
Штраф от 500 до 1000 необлагаемых
минимумов или ограничение свободы до 3
лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет

10. Статья 362
Несанкционированные действия с
информацией с ограниченным доступом,
которая храниться в электронном виде,
совершенные лицом, имеющим право
доступа к данной информации.

11. Карается
Изменение, уничтожение или блокирование:
штрафом от 600 до 100 необлагаемых минимумов или
исправительными работами на срок до двух лет с
конфискацией программных или технических средств, с
помощью которых деяния были совершены.
Перехват или копирование, которое привело к утечке:
Лишение свободы на срок до трёх лет с лишением права
занимать некоторые должности в течение того же срока, с
конфискацией программных или технических средств, с
помощью которых деяния были совершены.

12. Статья 363
Нарушение правил эксплуатации
информационно-телекоммуникационных
систем и правил защиты информации,
которая в них хранится, которое привело к
значительному вреду.

13. Карается
От 500 до 1000 необлагаемых минимумов
или лишением свободы на срок до 3 лет с
лишением права занимать некоторые
должности или заниматься некоторой
деятельностью на тот же самый срок.

14. Статья 363 - спам
Умышленное распространение сообщений
электросвязи, осуществляемое без
предварительного согласия адресатов,
которое привело к нарушению или
прекращению работы компьютерной
системы или сети.

15. Карается
Штраф от 500 до 1000 необлагаемых
минимумов или ограничение свободы до 3
лет
Повторно или в составе группы лиц:
Ограничение либо лишение свободы до 5 лет

16. Кто ищет
Служба безопасности Украины
Управление по борьбе с киберпреступностью
МВД Украины
CERT-UA
Украинский Государственный Центр Радиочастот

17. Кто анализирует
• Специализированные судебно-экспертные
учреждения системы Министерства Юстиции
Украины
• Институт специальной техники и судебных
экспертиз СБУ
• Экспертно-криминалистические центры МВД
Украины
• Эксперты, не работающие в
специализированных структурах и частные
специалисты

18. Как ищут
-Получение данных от провайдеров
-Получение информации с носителей в
серверах хостинга
-Социальное взаимодействие
-Наблюдение
-Прослушка

19. Что ищут
-Идентифицирующие признаки оборудования
-Наличие на носителе информации,
свидетельствующей о причастности
-Цепочку последовательностей событий
инцидента
-Артефакты, свидетельствующие о каких-либо
событиях

20. Видео и звук
Идентификация личности по устной или
письменной речи
Установление наличия или отсутствия
монтажа в записях
Установление количества лиц, принимающих
участие в разговоре

21. ПРИМЕРЫ ИЗ ЖИЗНИ

22. Инцидент №1, 2011 г.
В компании стало известно о утечке
внутрикорпоративной информации,
поступившей на корпоративный электронный
ящик.

23. Действия
• 1.Изъятие почтового сервера и передача его на
исследование.
• 2.Обнаружение причины утечки.
• 3.Установление географического расположения
оборудования злоумышленика.
• 4.Установление лица, которому принадлежит
оборудование.
• 5. Установление личности злоумышленника
• 6. Анализ информации на носителях оборудования.
• 7. Доказательство вины злоумышленника на основе
информации в его ПК.

24. Результат
Обвинительный приговор по ст. 361

25. Инцидент №2, 2011 г.
Мобильные устройства.
Несовершеннолетний парень сделал
несколько фото своих половых органов на
камеру мобильного телефона и отправил в
MMS.

26. Задача
•На этот ли мобильный телефон были
сделаны снимки?
•Когда были сделаны снимки?
•Отправлялись ли снимки?
•Имеются ли на сфотографированном органе
идентифицирующие признаки?)

27. Действия
• Установление происхождения снимков:
• Timestamp-ы файловой системы;
• Метаданные в Exif;
• Уникальность матрицы камеры;
• Способ и порядок именования снимков.

28. Установление отправки снимков:
анализ отправленных сообщений (в том
числе удалённых) с последующим
подтверждением передачи сообщения
оператором по логам оператора мобильной
связи.

29. Результат
Установлено происхождение фотоснимков с
точностью до уникального устройства по
совокупности исключительно цифровых
доказательств.

30. Инцидент №3, 2013 г.
В крупной коммерческой компании однажды
перестала работать вся сетевая
инфраструктура. На главном сервере данные
практически полностью уничтожены. Работа
100+ человек персонала парализована.

31. Задачи расследования
• 1.Выяснить причину уничтожения данных;
• 2.Установить личность злоумышленника,
совершившего уничтожение;
• 3.Доказать вину злоумышленника и
привлечь к ответственности.

32. Исходные данные
• На жёстком диске была установлена UNIX-
подобная ОС, выполнявшая маршрутизацию
между внутренней сетью и Интерентом.
• В инфраструктуре присутствовала виртуальная
машина, выполнявшая роль сервера IP-
телефонии. Вход на виртуальную машину
возможен только после успешной
аутентификации на физический сервер
(маршрутизатор).

33. Действия
• Восстановление удалённых данных
• Поиск среди восстановленных данных
каких-либо логов и их анализ.
• Анализом логов установлен логин
пользователя, который последним
логинился в систему.
• После логина пользователь перешёл в
режим суперпользователя (root).

34. • Логи консоли заканчиваются запуском
Midnight Commander
• Восстановлено точное время удаления
каждого файла: спустя несколько минут
после успешного входа.
• Таким образом есть аккаунт-виновник, но
нет лица злоумышленника.

35. Установление лица
• В востановленных логах зафиксирован
удалённый IP-адрес злоумышленника.
• IP-адрес принадлежит мирной
коммерческой компании. Компания не
использовала NAT.
• В мирной компании, за машиной с
указанным IP и DNS-именем работал
бывший сисадмин пострадавшей стороны.

36. Результат
В данный момент продолжается следствие.
Грозит: Ограничение свободы до 2 лет с
выплатой компенсации ущерба, нанесенного
компании в результате простоя.

37. Перепродажа трафика
Терминация и оригинация голосового
трафика:
упаковка голоса в VoIP, передача в другую
страну с приземлением трафика в сети
мобильного оператора или телефонные сети
общего пользования.

38. Действия
Получение распечаток и расшифровок
трафика, изъятие оборудования, анализ
биллинговой и транзитной информации в
серверах, восстановление рабочей схемы
системы.

39. Результат
Приговоры по ст. 361 – ограничение свободы
от 1 до 2 лет, конфискация техники,
возмещение нанесённого ущерба.

40. Мошенничество в ДБО
1. Множество эпизодов
2. Огромные ущербы
3. Сложность расследования
4. Международные масштабы

41. Полезные ссылки:
• 1.Брайан Кэрриэ: Криминалистический
анализ файловых систем
• 2.Н. Н. Федотов: Форензика –
компьютерная криминалистика
• 3.Уголовный кодекс Украины.

42. У меня всё
У кого есть вопросы?