ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» (РОССИЯ) Особенности производства экспертиз по делам о несанкционированном. - презентация

1 ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» (РОССИЯ) Особенности производства экспертиз по делам о несанкционированном доступе к реквизитам банковских карт и систем ДБО Докладчик: Юрин Игорь Юрьевич генеральный директор Центра

2 Основные виды угроз при использовании ЭЦП Кража денежных средств через системы ДБО Уничтожение конфиденциальной информации Отказ в обслуживании при работе с УЦ Мошенничество и компрометация с использованием ЭЦП

3 Последствия НСД к ключам ЭЦП в системах ДБО Кража денежных средств со счета организации (в г.Тольятти – российских рублей одним платежным поручением) Уничтожение информации на компьютере пользователя в ходе «заметания следов» преступниками

4 Осуществление НСД к ПК, подключаемому к ДБО Весь НСД осуществляется при помощи вредоносных программ, оставляющих свои следы на ПК. Этапы НСД: Первичное проникновение Закрепление своих позиций на ПК Сбор информации о системе ДБО Подготовка «путей отхода» Ожидание поступления денег на счет Перевод денежных средств «Заметание следов»

5 Этапы проведения экспертизы носителей информации Обеспечение неизменности данных на исследуемом носителе Поиск следов НСД к компьютерной информации (сбора информации) Анализ полученной информации

6 Работа в режиме «только чтение» Исследуемые носители информации подключаются к компьютеру эксперта в режиме «только чтение» для предотвращения модификации данных в процессе исследования.

7 Области ПК, хранящие информацию о следах НСД индексные файлы ОС Windows (index.dat) - все блоки, включая LEAK; системные журналы событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx); служебные файлы ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log, *.xml DataColl); служебные файлы программ-браузеров (Internet Explorer, Opera, Firefox, Chromium (Google Chrome, Xpom, Yandex.Browser, Chrome OS и тд.)); кэш виртуальной машины Java; файлы троянских программ.

8 Выявление следов первичного проникновения Адрес, с которого было осуществлено внедрение эксплоита на компьютер пользователя

9 Выявление следов первичного проникновения Адреса, с которых было осуществлено внедрение эксплоитов на компьютер пользователя, и даты событий. Снимок экрана специализированной программы «Forensic Assistant»

10 Выявление следов сбора информации Выявление адресов, на которые отправлялась информация с компьютера и получались обновления троянцев. Снимок экрана специализированной программы «Forensic Assistant»

11 Выявление следов сбора информации Примеры обнаруженных отчетов троянских программ Carberp и др. Снимок экрана специализированной программы «Forensic Assistant»

12 Выявление следов сбора информации Выявление файлов с сертификатами ЭЦП. Снимок экрана специализированной программы «Forensic Assistant»

13 Возможности исследования пластиковых карт Программа «Forensic Assistant» с версии распознает карты платежных систем: VISA Master Maestro STB Белкарт банков: Беларусь: Ашчадный Банк, Беларусбанк, БелИнвестБанк, БелПромСтройБанк (БПС-Банк), Приорбанк, и др.; Россия: несколько десятков банков; Украина: Аваль, Надра, ОТП Банк, Ощадбанк, Приватбанк, УкрСибБанк, УкрСоцБанк и др.; другие страны: несколько сотен банков.

14

15

16

17 Возможности программы Ведение БД считанных дампов карт; Автоматическое определение банка- эмитента и характеристик карты; Проверка корректности информации на магнитной полосе (соответствие треков друг другу, допустимость реквизитов); Поддержка карт-ридеров MSR206 и аналогов, подключенных через USB и COM-порты.

18 Спасибо за внимание! Контактная информация: Телефон Факс +7 (8452)