Upload File

andre ross rus 18.11.10

20
Расследование компьютерных преступлений Зарубежный опыт расследования компьютерных преступлений (на примере Австралии)

Upload: risspa

Post on 04-Jul-2015

812 views

Category:

Documents


1 download

Report

TRANSCRIPT

Page 1: Andre ross rus 18.11.10

Расследование компьютерных преступленийЗарубежный опыт расследования компьютерных преступлений (на примере Австралии)

Page 2: Andre ross rus 18.11.10

PwC

Три случая из практики

Расследование мошенничества на Австралийской фондовой бирже “Pump and Dump”

Поиск хакера, взломавшего информационную систему интернет магазина и укравшего около 200 000 номеров кредитных карт

Получение информации с зашифрованного ноутбука подозреваемого

Ноябрь 2010

2

Расследование компьютерных преступлений

Page 3: Andre ross rus 18.11.10

PwC

Расследование мошенничества на Австралийской фондовой бирже “Pump and Dump”

Ноябрь 2010

3

Расследование компьютерных преступлений

Page 4: Andre ross rus 18.11.10

PwC

Классическая схема “Pump & Dump”

Ноябрь 2010

4

Расследование компьютерных преступлений

Page 5: Andre ross rus 18.11.10

PwC

Стратегия расследования

Выявить, кто получил наибольшую выгоду.

Выявить по IP адресам место, откуда производились транзакции.

Выявить источник утечки информации клиентских паролей.

Ноябрь 2010

5

Расследование компьютерных преступлений

Page 6: Andre ross rus 18.11.10

PwC

Кто получил набольшую выгоду?

• 2 человека

• Фотографии с камеры наружного наблюдения

• Один не опознан

Ноябрь 2010

6

Расследование компьютерных преступлений

Page 7: Andre ross rus 18.11.10

PwC

IP адреса

• 5 различных интернет кафе

• Опять камера наружного наблюдения

• Ранее неопознанный подозреваемый

• Найден компьютер, с которого производились покупки и продажи акций

• Флешка

Расследование компьютерных преступлений

7

Ноябрь 2010

Page 8: Andre ross rus 18.11.10

PwC

Источник утечки информации

• Интернет-кафе в центре города

• Серийный номер флешки в setupapi.log

• 30 компьютеров проверенно за 10 минут

• 4 компьютера с искомым серийным номером

• “Perfect Keylogger”

Расследование компьютерных преступлений

8

Ноябрь 2010

Page 9: Andre ross rus 18.11.10

PwC

Happy Ending

• Личность подозреваемого

• Обыск

• Суд

Расследование компьютерных преступлений

9

Ноябрь 2010

Page 10: Andre ross rus 18.11.10

PwC

Поиск хакера, взломавшего информационную систему интернет-магазина и укравшего около 200 000 номеров кредитных карт

Ноябрь 2010

10

Расследование компьютерных преступлений

Page 11: Andre ross rus 18.11.10

PwC

Взлом информационной системы интернет-магазина

• Болезнь роста

• Внедрение и поддержка IT- инфраструктуры

• IT инфраструктура – один из основных компонентов бизнеса

• Обнаружение утечки информации и начальная стадия расследования

Расследование компьютерных преступлений

11

Ноябрь 2010

Page 12: Andre ross rus 18.11.10

PwC

Логи

• Около 1 терабайта текстовых логов и несколько терабайтов скопированных компьютерных систем

• Использование «специализированных» программ для обнаружения подозрительных событий

• Микрософт LogParser и DtSearch

• C:\>logparser -i:FS "SELECT TOP 20 Path, CreationTime from c:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1

Расследование компьютерных преступлений

12

Ноябрь 2010

Page 13: Andre ross rus 18.11.10

PwC

SQL injection

• Внедрение SQL-кода – поиск

• Установлений временных рамок атак

• Проверка событий в этих временных рамках

• Проверка файлов, созданных или изменѐнных в этих промежутках времени

Расследование компьютерных преступлений

13

Ноябрь 2010

Page 14: Andre ross rus 18.11.10

PwC

Rootkit

• Руткит (англ. rootkit)

• Полный контроль системы –был размещен на web сервере

• c:\inetpub\wwwroot\help\About.asp

• Google как средство поиска подозреваемого

• Игрок

Расследование компьютерных преступлений

14

Ноябрь 2010

Page 15: Andre ross rus 18.11.10

PwC

Получение информации с зашифрованного ноутбука подозреваемого

Ноябрь 2010

15

Расследование компьютерных преступлений

Page 16: Andre ross rus 18.11.10

PwC

Зашифрованный ноутбук

• Мошенник использовал “SecurStarDriveCrypt” для шифрования всего жесткого диска.

• Программа использует 1334 бит AES, Blowfish и т.д. алгоритмы шифрования.

• Компьютер оказался включен, но программа шифрования требовала пароль для доступа.

• Ноутбук был изъят во время обыска и доставлен в лабораторию.

Ноябрь 2010

16

Расследование компьютерных преступлений

Page 17: Andre ross rus 18.11.10

PwC

Питон приходит на помощь

• Коммерческих программ для обхода защиты нет

• К счастью, ноутбук имел порт Firewire

• Спецификация OHCI-1394 предполагает прямой доступ к оперативной памяти (DMA)

• 2008 Ruxcon – демонстрация метода обхода защиты

• Питон код: libraw1394; 1394memimage; Winlockpwn

• Сегодня есть более современная версия “Forensic1394” library by Freddie Witherden

• “Volatility”

Расследование компьютерных преступлений

17

Ноябрь 2010

Page 18: Andre ross rus 18.11.10

PwC

Копирование ОЗУ

• Память скопирована с помощью DD.

• Использована тестовая машина для обнаружения уникального пароля.

• WinHex для поиска уникального пароля в памяти тестовой машины.

• Поиск пароля в копии памяти ноутбука подозреваемого.

Расследование компьютерных преступлений

18

Ноябрь 2010

Page 19: Andre ross rus 18.11.10

PwC

Развязка

• Пароль найден и получен доступ к информации на ноутбуке.

• Также было найдено несколько тысяч номеров кредитных карт и другая полезная для мошенничества информация.

• В результате владелец ноутбука был осужден на 18 месяцев.

Расследование компьютерных преступлений

19

Ноябрь 2010

Page 20: Andre ross rus 18.11.10

Спасибо за внимание!

© 2010 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.

Под "PwC" и “PricewaterhouseCoopers” понимается «ПрайсвотерхаусКуперс Раша Б.В.»

или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть компаний

PricewaterhouseCoopers International Limited, каждая из которых является

самостоятельным юридическим лицом.

Андрей Росс

Старший менеджер, Форензик

+7 (495) 223-5096

[email protected]

mailto:[email protected]

RUS DİLİ - მთავარიncp.ge/files/ESG/2010 wlamde/rusuli_azer.pdf · X.D. Rus. - 3 RUS DİLİ 2009 İbtidai pillənin rus dili üzrə proqramının məzmunu Proqramın

Russian Studies - jmu.edu · Russian Civilization RUS 315. Russian Phonetics RUS 320. Russian Oral and Written Communication RUS 400. Advanced Russian Conversation RUS 405. Russian

The name of the story: "Mike's lucky day" Name: Adi.R. Date: 18.11.10

Henrija Tomasija (1901–1971) DOMINIK RUS Nadja Rus trumpet

KMBT C554e-20161208134456 · Donna Gambol, Chair r Andre Andre Andre Andre Andre Andre Andre Andre Gambol/ Andre Andre Andre Bèsolutibn- Locked fine to Saw no bees on 913 Remove

Noa .S. 7 Grade 4 18.11.10

PL UK RUS KZ UZ TJ KGZ CHN KGZ KZ RUS · PL UK RUS KZ UZ TJ KGZ CHN KGZ KZ RUS

Alloys rus

)UD 7HUMH+HUPDQVHQ WHUMH#RUS QR 6HQGW 7LO ... · Utvikling av området kommerplanarbeid.ikke i konflikt med den regionale planen for masseforvaltning, 8. Andre miljøkonsekvenser

airtribune-production.s3.amazonaws.com · RUS KAZ RUS RUS RUS RUS KAZ KAZ KAZ KAZ RUS RUS KAZ RUS RUS KAZ KAZ RUS KAZ RUS RUS RUS RUS KAZ RUS KAZ Name Aleksandr Isaev Denis Klimov

ANDRE KUNSTROM – ANDRE SAMMENHENGER · Andre kunstrom − Andre sammenhenger er et bidrag i dette formidlingsarbeidet. De 12 kunstprosjektene som presenteres her er realisert i

Mantra rus

Deutsche Leasing Presentation 18.11.10

POL - RUS GRE - RUS GRE - CZE CZE - POL

final project 18.11.10 ppt

Company Course CTS RUs CTS-D CTS-I RUs ·  · 2018-02-09Company Course CTS RUs CTS-D RUs CTS-I RUs ... Analog Way Live Core Certification Program- Advanced 12 12 0 ... Signal Management

Sovyetler Birliği’nde Rus Milliyetçiliği ve Rus Milli

VoiceCom1XXManual RUS

Beyond Nash: Raising the Flag of Rebellion Yisrael Aumann University of Haifa, 11 Kislev 5771 (18.11.10)

Débats autour du concept dexcellence J-F Méla (EHESS 18.11.10)

TEPAV RUS MERKEZİ - tepav.org.tr · Rus Merkezi, Ankara’da TOBB Ekonomi ve Teknoloji Üniversitesinde rus kültür günlerini organize etti. Etkinliğin amacı, rus dili ve kültürünü

Verdi Te Deum - Paolo Pandolfo · te- Tu se des in — des n a Pa - Pa - Pa - teram De-i g or i -a g10-ri- -rus. er - -rus. -rus. -rus. -rus. er _ -rus. -rus. -rus. re - go, go, q

Rus og psykiatrifolk.ntnu.no/flovig/Rus og psykiatri.pdf · 2013-03-19 · Rus og psykiatri John Chr. Fløvig Psykiater, PhD Overlege Østmarka RoP- lidelser: Rus og Psykiatri –

Levanger kommune Økonomiplan 2014 2017 og Budsjett 2014 · • Rus og psykiatritjenesten avvikles som egen tjeneste, kompetanse flyttes til andre enheter • Redusert og samkjørt

Rus byliny

VolusonE RUS

Andre Scară modulară dreaptă - magazindescari.ro · Andre detaliu de prindere balustradă Andre dimensiune treaptă și reglaj Andre gol de scară și gardă de corp etaj Andre

Krasnoyarsk Russie · 31 3065 RUS RAIKOV VIKTOR 32 3326 RUS SEKLETSOV Vladimir 33 5210 RUS SUCHKOV Alexander 34 3745 RUS TSYRENOV ALEXEI 35 4469 RUS VILISOV Alexandre 36 5243 USA

Veien Videre - kriminalitetsforebygging.no · tidligere, raskere og bedre hjelp. – Rus og psykisk helse er ikke like lett å snakke om som andre sykdommer. Det er fort-satt tabubelagt,

når psykiske vansker, rus og andre belastninger forstyrrer ... Annette Bjelland PDF psykologiske... · antas å være mellom 10 – 20% i Norge, og å være økende • Her- og nåforekomst

KYIV RUS CULTURE. Plan 1. Origin of Kyiv Rus culture 2. Literature and education in Kyiv Rus 3. Architecture and art of Kyiv Rus

THE BRONZE AXES HOARD OF FÂNTÂNELE-RUS (RUS … Banatului Arheologie-Istorie/Analele... · THE BRONZE AXES HOARD OF FÂNTÂNELE-RUS (RUS COMMUNE ... Keywords: North-west Romania,

18.11.10 marina+carolina ile maurice

Tjenestemottakere med rus- og psykiske …brukerplan.no/BrukerPlanÅrsrapport2017 Digital.pdf78 prosent av disse har samtidig rus og psykiske problemer. Den andre delen omfatter tjenestemottakere

David Rus Rus - Portfolio