Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих...

г. Новосибирск30 марта 2017#CODEIB

Вячеслав Медведев

Доктор Веб

ООО "Доктор Веб"

+7(495)789-4587

+7(495)796-8992

Почему вирусы до сих пор

существуют?Готовы ли компании к компьютерному инциденту

2

#CODEIBг. Новосибирск30 марта 2017

Можно ли наказать преступника?

3


В УК РФ все необходимое есть

Глава 28 “Преступления в сфере компьютерной

информации”:• Ст. 272 “Неправомерный доступ к компьютерной информации”,

• Ст. 273 “Создание, использование и распространение

вредоносных компьютерных программ”

• Ст. 274 “Нарушение правил эксплуатации средств хранения,

обработки или передачи компьютерной информации и

информационно-телекоммуникационных сетей”.

4


Плюс к предыдущему – компьютерные преступления,

подпадающие под главу 28 УК РФ зачастую

сопровождаются другими: • нарушение авторских и смежных прав (ст. 146 УК),

• мошенничество (ст. 159 УК),

• изготовление или сбыт поддельных кредитных либо расчетных

карт и иных платежных документов (ст. 187 УК),

• уклонение от уплаты налогов с организаций (ст. 199 УК),

• нарушение тайны переписки, телефонных переговоров,

почтовых, телеграфных или иных сообщений (ст. 138 УК),

• незаконные получение и разглашение сведений, составляющих

коммерческую или банковскую тайну (ст. 183 УК)

5


Но количество известных решений судов по

данным статьям крайне невелико.

Почему?

6


Факт инцидента ИБ должен быть замечен

(именно замечен и именно факт инцидента, а не

установлен факт преступления – это важная

разница)

Прежде чем говорить о процедурах

Проблема № 1

7


Очень многие пользователи до сих пор считают, что:

• Факт заражения будет ими замечен

• Простой осторожности достаточно, чтобы отказаться от антивируса

• Для защиты достаточно использовать только антивирус

• Антивирус должен ловить все вредоносные программы в момент

заражения

Все четыре утверждения –

ложные!

8


Имеются ли в компании средства контроля за

изменениями в локальной сети?

Насколько оперативно обрабатываются сообщения

систем защиты и уведомления партнеров?

Вы готовы отличить обычный инцидент безопасности от

компьютерного преступления?

Ведь действия, которые нужно предпринять в этих

случаях совершенно разные…

9


Готовы ли вы в любой

момент решить, что нечто

замеченное вами – именно

инцидент, требующий

расследования?

10


Для эффективного проведения расследования:

✓необходимо наличие специального программного

обеспечения, что позволяет избежать искажения

информации в ходе технических экспертиз.

✓необходимо наличие в штате сотрудников, имеющих

опыт проведения подобных мероприятий - их проведение

требует особой квалификации

Что потребуется кроме средств аудита?

11


Как вы считаете, достаточно ли использования dd, продуктов от Acronis

или их аналогов для того, чтобы снять образ системы, удовлетворяющий

требованиям суда?

12


Действует ли в компании процедура описывающая действия всех причастных к

обработке инцидента?

Решает ли процедура конфликт интересов:

• руководства компаний-жертв,

• системных администраторов и специалистов по безопасности компаний-жертв,

• специалистов по расследованию компьютерных преступлений?

13


• Системные администраторы, не зная

необходимости ряда процедур,

необходимых для привлечения к

ответственности виновников проблемы,

хотят максимально быстро устранить

уязвимость в системе

Конфликт интересов и отсутствие опыта

сбора доказательств:

14


Один, но показательный пример

Знаете ли вы, что нужно сделать, получив требование о

выкупе зашифрованных данных?

• Сколько файлов нужно послать на экспертизу?

• Каких типов?

• …

Знает ли дежурная смена кому звонить?

А если вас нет на месте?

Насколько часто вы проверяете актуальность процедуры

обработки инцидента?

15

#CODEIB

йГотовы ли вы к вирусному инциденту?

Скоро праздники! Готовы ли вы к ним?

г. Новосибирск30 марта 2017

16


От имени кого в вашей компании можно подать

заявление в полицию?

17


Ерундовый вопрос? А если директор в отпуске?

Статья 144 Уголовно-процессуального кодекса РФ отводит

на т.н. доследственную проверку 10 дней с момента подачи

заявления.

Статья 145 УПК разрешает следователю принять решение об

отказе в возбуждении уголовного дела или о направлении

материалов проверки по подследственности.

18


Органы полиции зачастую не обладают опытом проведения

расследования компьютерных преступлений, не имеют

необходимого оборудования, опытных специалистов в

области анализа компьютерных данных (или их необходимого

количества) – в результате даже явного преступления для

осуждения преступника не хватает доказательств

Необходимо заранее озаботиться поиском контактов нужных

специалистов и компаний – время не ждет

Крайне важно определиться, кто будет заниматься

первичным анализом инцидента.

19


А у вас есть юрист, разбирающийся в тонкостях

уголовного права?

20


Определена ли цель обработки инцидента?

• Ближайшими целями расследования инцидентов безопасности являются

выяснение причин возникновения инцидента и установление виновных в

возникновении инцидента лиц (сотрудников компании, ее клиентов,

криминальных структур) и их мотивации.

• Конечной целью расследования является усовершенствование системы

безопасности компании, а также обеспечение возможности привлечения

виновных в возникновении инцидента к ответственности

21


Понимаете ли вы кто может быть признан

виновным и должен пострадать?

В качестве виновных могут выступать несколько

категорий лиц – от системных администраторов и

руководителей, не обеспечивших создание надежной

системы защиты и до непосредственных виновников

возникновения инцидента

Важно определить другие стороны внутри организации, которые

возможно будут принимать участие в реагировании на инциденты:

• Менеджмент.

• Подразделение информационной безопасности.

• IT подразделение.

• Юридический отдел.

• Служба по взаимодействию с общественностью.

• Отдел кадров.

• Управлению непрерывностью бизнеса.

• Подразделения физической и объектовой безопасности.

NIST Special Publication 800-61 Revision 2. Computer Security Incident

Handling Guide

2222


Внешними сторонами, с которыми может возникнуть

необходимость взаимодействия, могут быть:

• Средства массовой информации.

• Интернет сервис провайдер.

• Надзорные органы.

• Компании-поставщики ПО и услуг.

• Пользователи.

• и др.

NIST Special Publication 800-61 Revision 2. Computer

Security Incident Handling Guide

2323


Коммуникации членов команды реагирования на инциденты:

• Контактная информация для членов команды и других внутри и за

пределами организации.

• Информация по эскалации инцидентов.

• Механизм отчетности по инциденту, (например, номера телефонов,

адреса электронной почты, онлайн-формы, и системы мгновенного обмена

сообщениями, которые пользователи могут использовать для сообщения о

предполагаемых инцидентах; по крайней мере, один механизм должен

позволять людям сообщать о таких случаях анонимно).

• Система управления проблемами для отслеживания информацию об

инцидентах, их статусе и т.д.

• Смартфоны, на членов команды для связи, как в рабочее, так и нерабочее

время.

NIST Special Publication 800-61 Revision 2. Computer Security Incident Handling

Guide

2424


• Установление факта преступления

• Установление места, времени и способа проникновения/проникновений в

компьютерную систему или сеть

• Выявление обстоятельств, способствовавших компьютерному преступлению

• Установление виновности и мотивов лиц, как совершивших преступление, так и

способствовавших ему.

• Установление последствий преступления.

И наконец о процедуре обработки инцидента

25


Что нужно сделать?

Для начала расследования необходима информация о нем – заявление потерпевших или

должностных лиц, результаты контрольно - ревизионных проверок, сведения, полученные в

результате иных оперативно-розыскных мероприятий, непосредственное обнаружение

следователем, прокурором или судом признаков преступления, статьи, заметки и письма,

опубликованные в средствах массовой информации.

Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с

жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).

Образец заявления

26


Что необходимо для получения реакции от органов, которые могут

заниматься расследованием?

http://legal.drweb.com/templates

В сильно упрощенном виде:• Предварительная проверка материалов, поступивших в

правоохранительные органы

• Получение информации от заявителя или лиц, указанных в

заявлении

• Осмотр места происшествия и проведение оперативно-

розыскных мероприятий, получение необходимой информации

(в том числе в ходе экспертиз либо путем допросов)

• Задержание преступника и установление связей задержанного

и лиц, причастных к совершению преступления

• Анализ полученной информации

27


28


Вы готовы к тому, что любой компьютер и любое

устройство компании могут быть изъяты на

экспертизу на длительный срок?

Обнаружение, осмотр и изъятие компьютеров и компьютерной

информации в процессе следственных действий могут совершаться

при следственном осмотре (ст. 190 КПК), при обыске (ст. 178 КПК),

выемке (ст. 179 КПК), воспроизведении обстоятельств и обстановки

происшествия (ст.194 КПК).

• никогда и ни при каких условиях не работать на изъятом компьютере. Компьютер -

объект исследования специалиста.

• до передачи экспертам компьютер желательно даже не включать, категорически

запрещено исполнять любые операции на изъятом компьютере, не обеспечив

необходимых мер защиты (например, защиты от модификации или создания

резервной копии)

• не допускается загрузка такого компьютера с использованием его собственной

операционной системы.

29


Как снять доказательства?

Типичные ошибки

• Допуск к компьютеру владельца (пользователя) компьютера должен быть

исключен.

• Для исключения возможности опровержения в суде идентичности предъявленного

на процессе программного обеспечения тому, которое находилось на данном

компьютере на момент изъятия - компьютер, следует опечатать в присутствии

понятых, не включая.

• До начала экспертизы необходимо снять копию с жесткого магнитного диска или

иного носителя - вещественного доказательства – с помощью спецоборудования

Часто под давлением защиты в суде электронные доказательства не принимаются

во внимание. Чтобы исключить такую ситуацию необходимо строго

придерживаться уголовно-процессуального законодательства, а также

стандартизированных приемов и методик их изъятия

30


• Не пользуйтесь компьютером, с которого предположительно произошла утечка

средств аутентификации к системе ДБО — даже если в нем есть острая

(производственная) необходимость!

• Не пытайтесь переустановить операционную систему!

• Не пытайтесь удалить с диска какие-либо файлы или программы!

• Не пытайтесь обновить антивирус или запустить сканирование — так вы

уничтожите следы злоумышленников в системе!

• Если вы запустили антивирусное сканирование, нельзя предпринимать никаких

необратимых действий по лечению/удалению вредоносных объектов.

31


А ваши логи защищены от несанкционированных

правок?

32

#CODEIB

Вся инфраструктура сети должна быть контролируема в

любой момент времени


Проверяете ли вы трафик этих устройств?

А трафик, идущий на сетевые устройства? Думаете, что

заражают только домашние роутеры?

33

#CODEIB

Согласно каким правилам устройства ваших сотрудников

входят в сеть?


Делаете ли вы резервные копии?

Надежно ли вы защищаете бекап от изменений?

Продумали ли вы процедуру на случай заражения

резервной копии?

34

#CODEIB

йВы должны доверять вашему бекапу


Кстати!

А вы всегда выходите из сервиса корректно – или просто

закрываете браузер?

35


А сотрудники вашей компании?

36


А значит рано или поздно вам потребуется…

37


Экспертиза ВКИ

Экспертиза ПО, использованного для совершения компьютерного

мошенничества, является одним из процессуальных действий при

расследовании киберпреступлений, одним из важнейших элементов

доказательственной базы.

Компания «Доктор Веб» производит экспертизу компьютерных

инцидентов против конфиденциальности, целостности и

доступности компьютерных данных и систем, для совершения

которых использовались вредоносные программы и

потенциально опасное ПО.

38


Вопросы Ответы

Что было скомпрометировано

(объект экспертизы)

▪Была ли нарушена целостность компьютерной системы.

▪Был ли КИ совершен с помощью вредоносного ПО (в этом случае он является ВКИ,

а значит, лежит в пределах границ экспертизы «Доктор Веб»).

▪Являлся ли ВКИ последствием умышленных действий.

Где произошел ВКИ (среда

ВКИ)

▪Описание технических характеристик и особенностей системы, в которой

произошел ВКИ, а также ее окружения. Цели использования системы заказчиком

(необходимо для правильной приоритизации ИИБ).

▪Есть ли признаки несанкционированного доступа к компьютерной системе.

▪Описание средств защиты системы, в которой произошел ВКИ, и были ли они

скомпрометированы. Если да — что послужило причиной компрометации.

Каким образом совершен

ВКИ

▪Перечень вирусов и вредоносного ПО, использованного для совершения ВКИ, с

описанием их функциональных особенностей (как задействованных

злоумышленником в данном ВКИ, так и несущих потенциальную угрозу).

▪Действия, предпринятые сотрудниками заказчика для обнаружения ВКИ, и после

его обнаружения. Оценка правильности этих действий.

К каким результатам привел

ВКИ

▪Текущее состояние компьютерной системы.

▪В чем состоит факт компрометации (что похищено).

▪Последствия компрометации.

▪Можно ли продолжать пользоваться скомпрометированной компьютерной

системой.

Перечень услуг экспертизы ВКИ «Доктор Веб»

39


Вопросы Ответы

Что послужило причиной

возникновения (совершения)

ВКИ

▪Какие нарушения правил эксплуатации компьютерной системы или политики

безопасности со стороны персонала послужили причиной ВКИ.

Кто причастен к ВКИ ▪Круг лиц, причастных к ВКИ (умышленно или по халатности), и мера причастности

каждого.

Какие собраны

доказательства совершения

ВКИ

▪Находится ли ВКИ в области юрисдикции судебной компьютерно-технической

экспертизы (СКТЭ). Возможно ли обращение в правоохранительные органы и затем

в суд. Шансы на выигрыш дела.

▪Перечень собранных доказательств.

Как не допустить подобных

ВКИ в будущем

▪Рекомендации по построению системы антивирусной защиты с целью недопущения

ВКИ или сокращения их количества в будущем.

Перечень услуг экспертизы ВКИ «Доктор Веб»

40


СПАСИБО ЗА ВНИМАНИЕ!

И как можно меньше вирусов вашей компании!

Номер службы технической поддержки компании Доктор

Веб:

8-800-333-7932

Форма подачи заявки на экспертизу:

https://support.drweb.com/expertise.

41


Доктор Веб. Вячеслав Медведев. "Почему вирусы до сих...

Software