Инциденты в системах ДБО

✗ Сетевая атака на клиента банка

✗ Действия работника клиента банка

✗ Инцидент в банке

часто

редко

> 90 %

Действия правоохранительных органов

На начальном этапе:

✔ Определение признаков преступления

✔ Возбуждение уголовного дела

✔ Назначение судебной экспертизы

✔ Установление обстоятельств передачи ПП:I. исследование программII. исследование лог-файлов (журналов)III. исследование иных сведений

Привлечение специалиста(до возбуждения УД)

Цель:определение признаков преступления

Назначение судебной экспертизы

Цель:получение доказательства (заключения эксперта)

✔ Установление обстоятельств передачи ПП:I. исследование программII. исследование лог-файлов (журналов)III. исследование иных сведений

«специалист не проводит исследование вещественных доказательств и не формулирует выводы, а лишь высказывает суждение по вопросам, поставленным перед ним сторонами»

Постановление Пленума ВС РФ №28 от 21.12.10(п. 20)

Особенности привлечения специалиста после возбуждения УД

«Справки, акты, заключения и иные формы фиксации результатов ведомственного или другого исследования, полученные по запросу органов предварительного следствия или суда, не могут рассматриваться как заключение эксперта и служить основанием к отказу в проведении судебной экспертизы»

Постановление Пленума ВС РФ №28 от 21.12.10(п. 6)

Нужно ли назначать экспертизу?

«Под негосударственными судебно-экспертными учреждениями следует понимать некоммерческие организации»

Постановление Пленума ВС РФ №28 от 21.12.10(п. 2)

Кому назначать экспертизу?

✔ Эксперт и специалист решают технические вопросы

✔ Они не решают юридические вопросы

✔ Они решают вопросы в пределах собственной компетенции

✔ Они не решают «нерешаемые» вопросы

Вопросы эксперту и специалисту

✗ Технические ошибки

✗ Попытка решения юридических вопросов

✗ Выход за пределы компетенции

✗ Необоснованность суждений и выводов

✗ Невсесторонность исследований

✗ Отсутствие в заключении необходимых сведений

Ошибки экспертов и специалистов

✗ Исследование оригинальных данных без блокирования записи

✔ Нарушение методик крим. исследования✔ Нарушение п. 3 ч. 4 ст. 57 УПК РФ

Распространенная техн. ошибка

✗ Эффективность антивирусного сканирования

Поиск вредоносных программ

✗ Методические рекомендации по поиску недетектируемых вредоносных программ устаревают

Поиск вредоносных программ

(из отчета ESET)

Поиск вредоносных программ

✗ Новые версии трояна-банкера «Carberp» используют буткит

✗ На закрытых форумах продают «Ring0 bundle»

Поиск вредоносных программ

✔ Программа, детектируемая антивирусом, не всегда является вредоносной

✔ Следует указывать действия программы с информацией

✔ Следует указывать режим этих действий

Для признания программы вредоносной...

✔ Часть вредоносных программ загружают дополнительные модули из Интернета

✔ Злоумышленники стараются уничтожить все следы собственных действий после инцидента

Исследование вредоносных программ

✗ Самостоятельная загрузка и исследование данных из Интернета — нарушение п. 2 ч. 4 ст. 57 УПК РФ

✗ Возможности восстановления данных ограничены:

✗ перезаписанные данные не восстановить✗ конфигурационные файлы троянских программ

не восстановить стандартными средствами

Исследование вредоносных программ

Основные инструменты криминалиста — strings, hexdump и KCalc

Иногда...

Group-IB

✔ Первая и единственная негосударственная организация в РФ, оказывающая комплексные услуги консалтинга в области расследования инцидентов информационной безопасности

✔ Основана в 2003 г.

✔ Сотрудничество c профильными организациями в 52 странах

✔ 24/7 мониторинг и поддержка

✔ Группы по реагированию на инциденты (CERT) в 52 странах мира

✔ Антивирусные компании✔ Производители решений для компьютерной

криминалистики и информационной безопасности✔ Университеты США и Европы✔ Международные криминалистические организации ✔ Ассоциация сертифицированных специалистов по

борьбе с мошенничествами (ACFE)✔ Центры изучения угроз информационной

безопасности✔

Максим Суханов

suhanov@group-ib.ru

Вопросы?