Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations
-
Upload
defconrussia -
Category
Technology
-
view
540 -
download
0
description
Transcript of Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations
![Page 1: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/1.jpg)
![Page 2: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/2.jpg)
Инциденты в системах ДБО
✗ Сетевая атака на клиента банка
✗ Действия работника клиента банка
✗ Инцидент в банке
часто
редко
> 90 %
![Page 3: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/3.jpg)
Действия правоохранительных органов
На начальном этапе:
✔ Определение признаков преступления
✔ Возбуждение уголовного дела
✔ Назначение судебной экспертизы
![Page 4: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/4.jpg)
✔ Установление обстоятельств передачи ПП:I. исследование программII. исследование лог-файлов (журналов)III. исследование иных сведений
Привлечение специалиста(до возбуждения УД)
Цель:определение признаков преступления
![Page 5: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/5.jpg)
Назначение судебной экспертизы
Цель:получение доказательства (заключения эксперта)
✔ Установление обстоятельств передачи ПП:I. исследование программII. исследование лог-файлов (журналов)III. исследование иных сведений
![Page 6: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/6.jpg)
«специалист не проводит исследование вещественных доказательств и не формулирует выводы, а лишь высказывает суждение по вопросам, поставленным перед ним сторонами»
Постановление Пленума ВС РФ №28 от 21.12.10(п. 20)
Особенности привлечения специалиста после возбуждения УД
![Page 7: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/7.jpg)
«Справки, акты, заключения и иные формы фиксации результатов ведомственного или другого исследования, полученные по запросу органов предварительного следствия или суда, не могут рассматриваться как заключение эксперта и служить основанием к отказу в проведении судебной экспертизы»
Постановление Пленума ВС РФ №28 от 21.12.10(п. 6)
Нужно ли назначать экспертизу?
![Page 8: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/8.jpg)
«Под негосударственными судебно-экспертными учреждениями следует понимать некоммерческие организации»
Постановление Пленума ВС РФ №28 от 21.12.10(п. 2)
Кому назначать экспертизу?
![Page 9: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/9.jpg)
✔ Эксперт и специалист решают технические вопросы
✔ Они не решают юридические вопросы
✔ Они решают вопросы в пределах собственной компетенции
✔ Они не решают «нерешаемые» вопросы
Вопросы эксперту и специалисту
![Page 10: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/10.jpg)
✗ Технические ошибки
✗ Попытка решения юридических вопросов
✗ Выход за пределы компетенции
✗ Необоснованность суждений и выводов
✗ Невсесторонность исследований
✗ Отсутствие в заключении необходимых сведений
Ошибки экспертов и специалистов
![Page 11: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/11.jpg)
✗ Исследование оригинальных данных без блокирования записи
✔ Нарушение методик крим. исследования✔ Нарушение п. 3 ч. 4 ст. 57 УПК РФ
Распространенная техн. ошибка
![Page 12: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/12.jpg)
✗ Эффективность антивирусного сканирования
Поиск вредоносных программ
![Page 13: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/13.jpg)
✗ Методические рекомендации по поиску недетектируемых вредоносных программ устаревают
Поиск вредоносных программ
(из отчета ESET)
![Page 14: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/14.jpg)
Поиск вредоносных программ
✗ Новые версии трояна-банкера «Carberp» используют буткит
✗ На закрытых форумах продают «Ring0 bundle»
![Page 15: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/15.jpg)
Поиск вредоносных программ
![Page 16: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/16.jpg)
✔ Программа, детектируемая антивирусом, не всегда является вредоносной
✔ Следует указывать действия программы с информацией
✔ Следует указывать режим этих действий
Для признания программы вредоносной...
![Page 17: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/17.jpg)
✔ Часть вредоносных программ загружают дополнительные модули из Интернета
✔ Злоумышленники стараются уничтожить все следы собственных действий после инцидента
Исследование вредоносных программ
![Page 18: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/18.jpg)
✗ Самостоятельная загрузка и исследование данных из Интернета — нарушение п. 2 ч. 4 ст. 57 УПК РФ
✗ Возможности восстановления данных ограничены:
✗ перезаписанные данные не восстановить✗ конфигурационные файлы троянских программ
не восстановить стандартными средствами
Исследование вредоносных программ
![Page 19: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/19.jpg)
Основные инструменты криминалиста — strings, hexdump и KCalc
Иногда...
![Page 20: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/20.jpg)
Group-IB
![Page 21: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/21.jpg)
✔ Первая и единственная негосударственная организация в РФ, оказывающая комплексные услуги консалтинга в области расследования инцидентов информационной безопасности
✔ Основана в 2003 г.
✔ Сотрудничество c профильными организациями в 52 странах
✔ 24/7 мониторинг и поддержка
![Page 22: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/22.jpg)
![Page 23: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/23.jpg)
✔ Группы по реагированию на инциденты (CERT) в 52 странах мира
✔ Антивирусные компании✔ Производители решений для компьютерной
криминалистики и информационной безопасности✔ Университеты США и Европы✔ Международные криминалистические организации ✔ Ассоциация сертифицированных специалистов по
борьбе с мошенничествами (ACFE)✔ Центры изучения угроз информационной
безопасности✔
![Page 24: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/24.jpg)
![Page 25: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/25.jpg)
![Page 27: Maxim Suhanov - Fraud in remote banking systems problems in computer forensic investigations](https://reader034.fdocuments.us/reader034/viewer/2022042813/549bce7cac7959d32a8b458a/html5/thumbnails/27.jpg)