andre ross rus 18.11.10
TRANSCRIPT
![Page 1: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/1.jpg)
Расследование компьютерных преступленийЗарубежный опыт расследования компьютерных преступлений (на примере Австралии)
![Page 2: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/2.jpg)
PwC
Три случая из практики
Расследование мошенничества на Австралийской фондовой бирже “Pump and Dump”
Поиск хакера, взломавшего информационную систему интернет магазина и укравшего около 200 000 номеров кредитных карт
Получение информации с зашифрованного ноутбука подозреваемого
Ноябрь 2010
2
Расследование компьютерных преступлений
![Page 3: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/3.jpg)
PwC
Расследование мошенничества на Австралийской фондовой бирже “Pump and Dump”
Ноябрь 2010
3
Расследование компьютерных преступлений
![Page 4: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/4.jpg)
PwC
Классическая схема “Pump & Dump”
Ноябрь 2010
4
Расследование компьютерных преступлений
![Page 5: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/5.jpg)
PwC
Стратегия расследования
Выявить, кто получил наибольшую выгоду.
Выявить по IP адресам место, откуда производились транзакции.
Выявить источник утечки информации клиентских паролей.
Ноябрь 2010
5
Расследование компьютерных преступлений
![Page 6: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/6.jpg)
PwC
Кто получил набольшую выгоду?
• 2 человека
• Фотографии с камеры наружного наблюдения
• Один не опознан
Ноябрь 2010
6
Расследование компьютерных преступлений
![Page 7: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/7.jpg)
PwC
IP адреса
• 5 различных интернет кафе
• Опять камера наружного наблюдения
• Ранее неопознанный подозреваемый
• Найден компьютер, с которого производились покупки и продажи акций
• Флешка
Расследование компьютерных преступлений
7
Ноябрь 2010
![Page 8: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/8.jpg)
PwC
Источник утечки информации
• Интернет-кафе в центре города
• Серийный номер флешки в setupapi.log
• 30 компьютеров проверенно за 10 минут
• 4 компьютера с искомым серийным номером
• “Perfect Keylogger”
Расследование компьютерных преступлений
8
Ноябрь 2010
![Page 9: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/9.jpg)
PwC
Happy Ending
• Личность подозреваемого
• Обыск
• Суд
Расследование компьютерных преступлений
9
Ноябрь 2010
![Page 10: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/10.jpg)
PwC
Поиск хакера, взломавшего информационную систему интернет-магазина и укравшего около 200 000 номеров кредитных карт
Ноябрь 2010
10
Расследование компьютерных преступлений
![Page 11: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/11.jpg)
PwC
Взлом информационной системы интернет-магазина
• Болезнь роста
• Внедрение и поддержка IT- инфраструктуры
• IT инфраструктура – один из основных компонентов бизнеса
• Обнаружение утечки информации и начальная стадия расследования
Расследование компьютерных преступлений
11
Ноябрь 2010
![Page 12: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/12.jpg)
PwC
Логи
• Около 1 терабайта текстовых логов и несколько терабайтов скопированных компьютерных систем
• Использование «специализированных» программ для обнаружения подозрительных событий
• Микрософт LogParser и DtSearch
• C:\>logparser -i:FS "SELECT TOP 20 Path, CreationTime from c:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1
Расследование компьютерных преступлений
12
Ноябрь 2010
![Page 13: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/13.jpg)
PwC
SQL injection
• Внедрение SQL-кода – поиск
• Установлений временных рамок атак
• Проверка событий в этих временных рамках
• Проверка файлов, созданных или изменѐнных в этих промежутках времени
Расследование компьютерных преступлений
13
Ноябрь 2010
![Page 14: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/14.jpg)
PwC
Rootkit
• Руткит (англ. rootkit)
• Полный контроль системы –был размещен на web сервере
• c:\inetpub\wwwroot\help\About.asp
• Google как средство поиска подозреваемого
• Игрок
Расследование компьютерных преступлений
14
Ноябрь 2010
![Page 15: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/15.jpg)
PwC
Получение информации с зашифрованного ноутбука подозреваемого
Ноябрь 2010
15
Расследование компьютерных преступлений
![Page 16: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/16.jpg)
PwC
Зашифрованный ноутбук
• Мошенник использовал “SecurStarDriveCrypt” для шифрования всего жесткого диска.
• Программа использует 1334 бит AES, Blowfish и т.д. алгоритмы шифрования.
• Компьютер оказался включен, но программа шифрования требовала пароль для доступа.
• Ноутбук был изъят во время обыска и доставлен в лабораторию.
Ноябрь 2010
16
Расследование компьютерных преступлений
![Page 17: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/17.jpg)
PwC
Питон приходит на помощь
• Коммерческих программ для обхода защиты нет
• К счастью, ноутбук имел порт Firewire
• Спецификация OHCI-1394 предполагает прямой доступ к оперативной памяти (DMA)
• 2008 Ruxcon – демонстрация метода обхода защиты
• Питон код: libraw1394; 1394memimage; Winlockpwn
• Сегодня есть более современная версия “Forensic1394” library by Freddie Witherden
• “Volatility”
Расследование компьютерных преступлений
17
Ноябрь 2010
![Page 18: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/18.jpg)
PwC
Копирование ОЗУ
• Память скопирована с помощью DD.
• Использована тестовая машина для обнаружения уникального пароля.
• WinHex для поиска уникального пароля в памяти тестовой машины.
• Поиск пароля в копии памяти ноутбука подозреваемого.
Расследование компьютерных преступлений
18
Ноябрь 2010
![Page 19: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/19.jpg)
PwC
Развязка
• Пароль найден и получен доступ к информации на ноутбуке.
• Также было найдено несколько тысяч номеров кредитных карт и другая полезная для мошенничества информация.
• В результате владелец ноутбука был осужден на 18 месяцев.
Расследование компьютерных преступлений
19
Ноябрь 2010
![Page 20: Andre ross rus 18.11.10](https://reader034.vdocuments.pub/reader034/viewer/2022052601/559700831a28abe6358b4589/html5/thumbnails/20.jpg)
Спасибо за внимание!
© 2010 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.
Под "PwC" и “PricewaterhouseCoopers” понимается «ПрайсвотерхаусКуперс Раша Б.В.»
или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть компаний
PricewaterhouseCoopers International Limited, каждая из которых является
самостоятельным юридическим лицом.
Андрей Росс
Старший менеджер, Форензик
+7 (495) 223-5096