Особенности производства экспертиз по делам о

реклама
ООО «Национальный центр по борьбе
с преступлениями в сфере высоких технологий»
(РОССИЯ)
Особенности производства экспертиз
по делам о несанкционированном доступе
к реквизитам банковских карт и систем ДБО
Докладчик: Юрин Игорь Юрьевич
генеральный директор Центра
Основные виды угроз
при использовании ЭЦП
• Кража денежных средств через системы
ДБО
• Уничтожение конфиденциальной
информации
• Отказ в обслуживании при работе с УЦ
• Мошенничество и компрометация
с использованием ЭЦП
Последствия НСД к ключам
ЭЦП в системах ДБО
• Кража денежных средств со счета
организации (в г.Тольятти –
43 000 000 российских рублей одним
платежным поручением)
• Уничтожение информации на
компьютере пользователя в ходе
«заметания следов» преступниками
Осуществление НСД к ПК,
подключаемому к ДБО
•
•
•
•
•
•
•
Весь НСД осуществляется при помощи
вредоносных программ, оставляющих свои
следы на ПК. Этапы НСД:
Первичное проникновение
Закрепление своих позиций на ПК
Сбор информации о системе ДБО
Подготовка «путей отхода»
Ожидание поступления денег на счет
Перевод денежных средств
«Заметание следов»
Этапы проведения экспертизы
носителей информации
• Обеспечение неизменности данных на
исследуемом носителе
• Поиск следов НСД к компьютерной
информации (сбора информации)
• Анализ полученной информации
Работа в режиме
«только чтение»
Исследуемые носители информации подключаются к
компьютеру эксперта в режиме «только чтение» для
предотвращения модификации данных в процессе
исследования.
Области ПК, хранящие
информацию о следах НСД
• индексные файлы ОС Windows (index.dat) - все
блоки, включая LEAK;
• системные журналы событий (Event Logs) ОС
Windows, включая Windows Vista/7 (*.evt, *.evtx);
• служебные файлы ОС Windows (Prefetch - *.pf, Link *.lnk, setupapi.log, *.xml DataColl);
• служебные файлы программ-браузеров (Internet
Explorer, Opera, Firefox, Chromium (Google Chrome,
Xpom, Yandex.Browser, Chrome OS и тд.));
• кэш виртуальной машины Java;
• файлы троянских программ.
Выявление следов первичного
проникновения
Адрес, с которого было осуществлено внедрение
эксплоита на компьютер пользователя
Выявление следов первичного
проникновения
Адреса, с которых было осуществлено внедрение
эксплоитов на компьютер пользователя, и даты
событий. Снимок экрана специализированной
программы «Forensic Assistant»
Выявление следов сбора
информации
Выявление адресов, на которые отправлялась информация
с компьютера и получались обновления троянцев. Снимок
экрана специализированной программы «Forensic Assistant»
Выявление следов сбора
информации
Примеры обнаруженных отчетов троянских программ Carberp и др.
Снимок экрана специализированной программы «Forensic
Assistant»
Выявление следов сбора
информации
Выявление файлов с сертификатами ЭЦП. Снимок экрана
специализированной программы «Forensic Assistant»
Возможности исследования
пластиковых карт
Программа «Forensic Assistant» с версии 1.3.3 распознает карты
платежных систем:
• VISA
• Master
• Maestro
• STB
• Белкарт
банков:
• Беларусь: Ашчадный Банк, Беларусбанк, БелИнвестБанк,
БелПромСтройБанк (БПС-Банк), Приорбанк, и др.;
• Россия: несколько десятков банков;
• Украина: Аваль, Надра, ОТП Банк, Ощадбанк, Приватбанк,
УкрСибБанк, УкрСоцБанк и др.;
• другие страны: несколько сотен банков.
Возможности программы
• Ведение БД считанных дампов карт;
• Автоматическое определение банкаэмитента и характеристик карты;
• Проверка корректности информации на
магнитной полосе (соответствие треков
друг другу, допустимость реквизитов);
• Поддержка карт-ридеров MSR206 и
аналогов, подключенных
через USB и COM-порты.
Спасибо за внимание!
Контактная информация:
E-mail: [email protected]
Телефон +7-917-2011944
Факс +7 (8452) 722-066
Скачать