Как найти ddos-ера и заставить извиниться, Дмитрий...
DESCRIPTION
Доклад Дмитрия Волкова на HighLoad++ 2014.TRANSCRIPT
Как найти DDoS-ера и заставить извиниться
2
Group-IB
Основные направления деятельности:
® ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ ТЕХНОЛОГИЙ
1
® Мониторинг и предотвращение киберугроз
2
® Расследование киберпреступлений и хищений, совершенных с использованием высоких технологий
3
® Компьютерная криминалистикаи экспертиза
4
® Аудит информационной безопасности и анализ защищенности
5
® Разработка инновационных продуктов в области информационной безопасности
3
Этапы развития компании
ГОД ОСНОВАНИЯ GROUP-IB
2003 2009 2010 2011 2013
ВЫХОД НА МЕЖДУНАРОДНЫЙ РЫНОК
КРУПНЕЙШАЯ В ВОСТОЧНОЙ ЕВРОПЕ ЛАБОРАТОРИЯ КОМПЬЮТЕРНОЙ КРИМИНАЛИСТИКИ
СОЗДАН CERT-GIB
ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ
20+
30+
80+СОТРУДНИКОВ
Что делать, когда атака началась?
4
Проверьте почту, тикет систему, форму обратной связи и СПАМ фильтры на наличие письма с вымогательством
Если все хотите делать сами, то:
® Если атака типа HTTP-флуд, то обеспечьте сохранность журналов Веб-сервера
® Если атака через усилители, то сделайте кратковременный дамп трафика
® Фиксируйте даты и время изменения типа атаки
Если доверитесь профессионалам, то
® Они все сделают за вас
® Проверят наличие схожих атак
® Поймут какими способами может атаковать данная преступная группа
Не звоните нам со словами «Мы всех нашли, надо только доказать»
5
Как рассчитать ущерб?
® Следствию не важно как рассчитывается ущерб
® Сумма ущерба определяет потерпевший и только он устанавливает стоимость затрат
® Не применяйте выражение «упущенная выгода»
® Прикладывайте к заявлению справку об ущербе
® В справке указывайте что не работало и какие у этого были последствия
® Оцените годовой ежедневный доход
® Рассчитайте доход в час и умножьте на продолжительность атаки
Способ №1 - простой
Сумма ущерба = 500 000 (ежедневный доход) * 0,5 (12 часов) = 250 000 рублей
Как рассчитать ущерб?
6
® Сайт банка
® Интернет-банкинг для физических/юридических лиц
® СМС-информирование
® Банкоматы
® POS-терминалы
® Системы авторизации платежей
® Банкоматы филиальных сетей
® Брокерские системы
Способ №2 – пример для банка
Что может не работать?
® Клиенты не могут оставлять заявки на сайте банка
® Клиенты не могут совершать платежи/переводы
® Сотрудники банка не имеют доступа к внутренним сервисам
® Возрастает нагрузку на Call-центр
К чему это приводит?
Как рассчитать ущерб?
7
Способ №2 – пример для банка
® Количество несовершенных операций ~ 20 000
® Средняя сумма операции ~ 1 000 рублей
® Прибыли банка ~ 15%
Ущерб = 20 000 * 1 000 * 0,15 = 3 000 000 рублей
Клиенты не могут оформлять заявки через сайт банка?
® Длительность разговора ~ 3 минуты
® Стоимость минуты разговора ~ 25 рублей
® Количество претензий ~ 3 000
Ущерб = 3 000 * 25 * 3 = 225 000 рублей
Возрастает нагрузка на Call-центр?
8
ГОС. ЗАКУПКИ КАЗАХСТАН
9
Первый контакт
10
® accessforyou.in
® age999.in
® bez-voprosov.in
® cipas.in
® freedom-life.in
® libo1.in
® libo2.in
® libo3.in
® libo4.in
® libo5.in
® opticars.in
® privetsochi.in
® sipsips.in
® worldmails.in
11
WMID 106461288458
® atv-sochi.in
® freedom-sochi.net
® gaiki.pro
® specautotrans.in
® wmklik.info
Доменные имена на [email protected]
12
WMID 106461288458
15
«Vanorik» и «fazer-2010»
16
ТИНЬКОФФ
17
Первый контакт
18
Надо подтвердить что он атакующий
20
Ecatel
195.82.146.130 = rutracker.org
21
Jabber
[email protected]@swissjabber.ch [email protected] [email protected]@[email protected]@[email protected]@thesecure.biz
22
Форумы
23
Почта
24
Заключение
® DDoS - атаки можно расследовать
® Доверяйте защиту профессионалам
® Не экономьте 10-20 тысяч при выборе между надёжным и дешевым поставщиком услуг защит
® Правильный выбор поставщика услуг защиты облегчает процесс расследования
25
+7 (495) 984 33 64 www.group-ib.ru [email protected]
facebook.com/groupib
youtube.com/groupib linkedin.com/company/group-ib
twitter.com/groupib