Как найти ddos-ера и заставить извиниться, Дмитрий...
DESCRIPTION
Доклад Дмитрия Волкова на HighLoad++ 2014.TRANSCRIPT
![Page 1: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/1.jpg)
Как найти DDoS-ера и заставить извиниться
![Page 2: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/2.jpg)
2
Group-IB
Основные направления деятельности:
® ОДНА ИЗ ВЕДУЩИХ МЕЖДУНАРОДНЫХ КОМПАНИЙ ПО ПРЕДОТВРАЩЕНИЮ И РАССЛЕДОВАНИЮ КИБЕРПРЕСТУПЛЕНИЙ И ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ С ИСПОЛЬЗОВАНИЕМ ВЫСОКИХ ТЕХНОЛОГИЙ
1
® Мониторинг и предотвращение киберугроз
2
® Расследование киберпреступлений и хищений, совершенных с использованием высоких технологий
3
® Компьютерная криминалистикаи экспертиза
4
® Аудит информационной безопасности и анализ защищенности
5
® Разработка инновационных продуктов в области информационной безопасности
![Page 3: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/3.jpg)
3
Этапы развития компании
ГОД ОСНОВАНИЯ GROUP-IB
2003 2009 2010 2011 2013
ВЫХОД НА МЕЖДУНАРОДНЫЙ РЫНОК
КРУПНЕЙШАЯ В ВОСТОЧНОЙ ЕВРОПЕ ЛАБОРАТОРИЯ КОМПЬЮТЕРНОЙ КРИМИНАЛИСТИКИ
СОЗДАН CERT-GIB
ОРГАНИЗАЦИЯ С УНИКАЛЬНЫМИ КОМПЕТЕНЦИЯМИ
20+
30+
80+СОТРУДНИКОВ
![Page 4: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/4.jpg)
Что делать, когда атака началась?
4
Проверьте почту, тикет систему, форму обратной связи и СПАМ фильтры на наличие письма с вымогательством
Если все хотите делать сами, то:
® Если атака типа HTTP-флуд, то обеспечьте сохранность журналов Веб-сервера
® Если атака через усилители, то сделайте кратковременный дамп трафика
® Фиксируйте даты и время изменения типа атаки
Если доверитесь профессионалам, то
® Они все сделают за вас
® Проверят наличие схожих атак
® Поймут какими способами может атаковать данная преступная группа
Не звоните нам со словами «Мы всех нашли, надо только доказать»
![Page 5: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/5.jpg)
5
Как рассчитать ущерб?
® Следствию не важно как рассчитывается ущерб
® Сумма ущерба определяет потерпевший и только он устанавливает стоимость затрат
® Не применяйте выражение «упущенная выгода»
® Прикладывайте к заявлению справку об ущербе
® В справке указывайте что не работало и какие у этого были последствия
® Оцените годовой ежедневный доход
® Рассчитайте доход в час и умножьте на продолжительность атаки
Способ №1 - простой
Сумма ущерба = 500 000 (ежедневный доход) * 0,5 (12 часов) = 250 000 рублей
![Page 6: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/6.jpg)
Как рассчитать ущерб?
6
® Сайт банка
® Интернет-банкинг для физических/юридических лиц
® СМС-информирование
® Банкоматы
® POS-терминалы
® Системы авторизации платежей
® Банкоматы филиальных сетей
® Брокерские системы
Способ №2 – пример для банка
Что может не работать?
® Клиенты не могут оставлять заявки на сайте банка
® Клиенты не могут совершать платежи/переводы
® Сотрудники банка не имеют доступа к внутренним сервисам
® Возрастает нагрузку на Call-центр
К чему это приводит?
![Page 7: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/7.jpg)
Как рассчитать ущерб?
7
Способ №2 – пример для банка
® Количество несовершенных операций ~ 20 000
® Средняя сумма операции ~ 1 000 рублей
® Прибыли банка ~ 15%
Ущерб = 20 000 * 1 000 * 0,15 = 3 000 000 рублей
Клиенты не могут оформлять заявки через сайт банка?
® Длительность разговора ~ 3 минуты
® Стоимость минуты разговора ~ 25 рублей
® Количество претензий ~ 3 000
Ущерб = 3 000 * 25 * 3 = 225 000 рублей
Возрастает нагрузка на Call-центр?
![Page 8: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/8.jpg)
8
ГОС. ЗАКУПКИ КАЗАХСТАН
![Page 9: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/9.jpg)
9
Первый контакт
![Page 10: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/10.jpg)
10
® accessforyou.in
® age999.in
® bez-voprosov.in
® cipas.in
® freedom-life.in
® libo1.in
® libo2.in
® libo3.in
® libo4.in
® libo5.in
® opticars.in
® privetsochi.in
® sipsips.in
® worldmails.in
![Page 11: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/11.jpg)
11
WMID 106461288458
® atv-sochi.in
® freedom-sochi.net
® gaiki.pro
® specautotrans.in
® wmklik.info
Доменные имена на [email protected]
![Page 12: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/12.jpg)
12
WMID 106461288458
![Page 15: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/15.jpg)
15
«Vanorik» и «fazer-2010»
![Page 16: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/16.jpg)
16
ТИНЬКОФФ
![Page 17: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/17.jpg)
17
Первый контакт
![Page 18: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/18.jpg)
18
Надо подтвердить что он атакующий
![Page 20: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/20.jpg)
20
Ecatel
195.82.146.130 = rutracker.org
![Page 21: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/21.jpg)
21
Jabber
[email protected]@swissjabber.ch [email protected] [email protected]@[email protected]@[email protected]@thesecure.biz
![Page 22: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/22.jpg)
22
Форумы
![Page 23: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/23.jpg)
23
Почта
![Page 24: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/24.jpg)
24
Заключение
® DDoS - атаки можно расследовать
® Доверяйте защиту профессионалам
® Не экономьте 10-20 тысяч при выборе между надёжным и дешевым поставщиком услуг защит
® Правильный выбор поставщика услуг защиты облегчает процесс расследования
![Page 25: Как найти DDoS-ера и заставить извиниться, Дмитрий Волков (Group-IB)](https://reader033.vdocuments.pub/reader033/viewer/2022050922/557ef1dbd8b42a34628b50c1/html5/thumbnails/25.jpg)
25
+7 (495) 984 33 64 www.group-ib.ru [email protected]
facebook.com/groupib
youtube.com/groupib linkedin.com/company/group-ib
twitter.com/groupib