Upload
defconrussia
View
541
Download
0
Embed Size (px)
DESCRIPTION
International Security Conference "ZeroNights 2011" - http://www.zeronights.org/
Citation preview
Инциденты в системах ДБО
✗ Сетевая атака на клиента банка
✗ Действия работника клиента банка
✗ Инцидент в банке
часто
редко
> 90 %
Действия правоохранительных органов
На начальном этапе:
✔ Определение признаков преступления
✔ Возбуждение уголовного дела
✔ Назначение судебной экспертизы
✔ Установление обстоятельств передачи ПП:I. исследование программII. исследование лог-файлов (журналов)III. исследование иных сведений
Привлечение специалиста(до возбуждения УД)
Цель:определение признаков преступления
Назначение судебной экспертизы
Цель:получение доказательства (заключения эксперта)
✔ Установление обстоятельств передачи ПП:I. исследование программII. исследование лог-файлов (журналов)III. исследование иных сведений
«специалист не проводит исследование вещественных доказательств и не формулирует выводы, а лишь высказывает суждение по вопросам, поставленным перед ним сторонами»
Постановление Пленума ВС РФ №28 от 21.12.10(п. 20)
Особенности привлечения специалиста после возбуждения УД
«Справки, акты, заключения и иные формы фиксации результатов ведомственного или другого исследования, полученные по запросу органов предварительного следствия или суда, не могут рассматриваться как заключение эксперта и служить основанием к отказу в проведении судебной экспертизы»
Постановление Пленума ВС РФ №28 от 21.12.10(п. 6)
Нужно ли назначать экспертизу?
«Под негосударственными судебно-экспертными учреждениями следует понимать некоммерческие организации»
Постановление Пленума ВС РФ №28 от 21.12.10(п. 2)
Кому назначать экспертизу?
✔ Эксперт и специалист решают технические вопросы
✔ Они не решают юридические вопросы
✔ Они решают вопросы в пределах собственной компетенции
✔ Они не решают «нерешаемые» вопросы
Вопросы эксперту и специалисту
✗ Технические ошибки
✗ Попытка решения юридических вопросов
✗ Выход за пределы компетенции
✗ Необоснованность суждений и выводов
✗ Невсесторонность исследований
✗ Отсутствие в заключении необходимых сведений
Ошибки экспертов и специалистов
✗ Исследование оригинальных данных без блокирования записи
✔ Нарушение методик крим. исследования✔ Нарушение п. 3 ч. 4 ст. 57 УПК РФ
Распространенная техн. ошибка
✗ Эффективность антивирусного сканирования
Поиск вредоносных программ
✗ Методические рекомендации по поиску недетектируемых вредоносных программ устаревают
Поиск вредоносных программ
(из отчета ESET)
Поиск вредоносных программ
✗ Новые версии трояна-банкера «Carberp» используют буткит
✗ На закрытых форумах продают «Ring0 bundle»
Поиск вредоносных программ
✔ Программа, детектируемая антивирусом, не всегда является вредоносной
✔ Следует указывать действия программы с информацией
✔ Следует указывать режим этих действий
Для признания программы вредоносной...
✔ Часть вредоносных программ загружают дополнительные модули из Интернета
✔ Злоумышленники стараются уничтожить все следы собственных действий после инцидента
Исследование вредоносных программ
✗ Самостоятельная загрузка и исследование данных из Интернета — нарушение п. 2 ч. 4 ст. 57 УПК РФ
✗ Возможности восстановления данных ограничены:
✗ перезаписанные данные не восстановить✗ конфигурационные файлы троянских программ
не восстановить стандартными средствами
Исследование вредоносных программ
Основные инструменты криминалиста — strings, hexdump и KCalc
Иногда...
Group-IB
✔ Первая и единственная негосударственная организация в РФ, оказывающая комплексные услуги консалтинга в области расследования инцидентов информационной безопасности
✔ Основана в 2003 г.
✔ Сотрудничество c профильными организациями в 52 странах
✔ 24/7 мониторинг и поддержка
✔ Группы по реагированию на инциденты (CERT) в 52 странах мира
✔ Антивирусные компании✔ Производители решений для компьютерной
криминалистики и информационной безопасности✔ Университеты США и Европы✔ Международные криминалистические организации ✔ Ассоциация сертифицированных специалистов по
борьбе с мошенничествами (ACFE)✔ Центры изучения угроз информационной
безопасности✔