ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» (РОССИЯ) Особенности производства экспертиз по делам о несанкционированном доступе к реквизитам банковских карт и систем ДБО Докладчик: Юрин Игорь Юрьевич генеральный директор Центра Основные виды угроз при использовании ЭЦП • Кража денежных средств через системы ДБО • Уничтожение конфиденциальной информации • Отказ в обслуживании при работе с УЦ • Мошенничество и компрометация с использованием ЭЦП Последствия НСД к ключам ЭЦП в системах ДБО • Кража денежных средств со счета организации (в г.Тольятти – 43 000 000 российских рублей одним платежным поручением) • Уничтожение информации на компьютере пользователя в ходе «заметания следов» преступниками Осуществление НСД к ПК, подключаемому к ДБО • • • • • • • Весь НСД осуществляется при помощи вредоносных программ, оставляющих свои следы на ПК. Этапы НСД: Первичное проникновение Закрепление своих позиций на ПК Сбор информации о системе ДБО Подготовка «путей отхода» Ожидание поступления денег на счет Перевод денежных средств «Заметание следов» Этапы проведения экспертизы носителей информации • Обеспечение неизменности данных на исследуемом носителе • Поиск следов НСД к компьютерной информации (сбора информации) • Анализ полученной информации Работа в режиме «только чтение» Исследуемые носители информации подключаются к компьютеру эксперта в режиме «только чтение» для предотвращения модификации данных в процессе исследования. Области ПК, хранящие информацию о следах НСД • индексные файлы ОС Windows (index.dat) - все блоки, включая LEAK; • системные журналы событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx); • служебные файлы ОС Windows (Prefetch - *.pf, Link *.lnk, setupapi.log, *.xml DataColl); • служебные файлы программ-браузеров (Internet Explorer, Opera, Firefox, Chromium (Google Chrome, Xpom, Yandex.Browser, Chrome OS и тд.)); • кэш виртуальной машины Java; • файлы троянских программ. Выявление следов первичного проникновения Адрес, с которого было осуществлено внедрение эксплоита на компьютер пользователя Выявление следов первичного проникновения Адреса, с которых было осуществлено внедрение эксплоитов на компьютер пользователя, и даты событий. Снимок экрана специализированной программы «Forensic Assistant» Выявление следов сбора информации Выявление адресов, на которые отправлялась информация с компьютера и получались обновления троянцев. Снимок экрана специализированной программы «Forensic Assistant» Выявление следов сбора информации Примеры обнаруженных отчетов троянских программ Carberp и др. Снимок экрана специализированной программы «Forensic Assistant» Выявление следов сбора информации Выявление файлов с сертификатами ЭЦП. Снимок экрана специализированной программы «Forensic Assistant» Возможности исследования пластиковых карт Программа «Forensic Assistant» с версии 1.3.3 распознает карты платежных систем: • VISA • Master • Maestro • STB • Белкарт банков: • Беларусь: Ашчадный Банк, Беларусбанк, БелИнвестБанк, БелПромСтройБанк (БПС-Банк), Приорбанк, и др.; • Россия: несколько десятков банков; • Украина: Аваль, Надра, ОТП Банк, Ощадбанк, Приватбанк, УкрСибБанк, УкрСоцБанк и др.; • другие страны: несколько сотен банков. Возможности программы • Ведение БД считанных дампов карт; • Автоматическое определение банкаэмитента и характеристик карты; • Проверка корректности информации на магнитной полосе (соответствие треков друг другу, допустимость реквизитов); • Поддержка карт-ридеров MSR206 и аналогов, подключенных через USB и COM-порты. Спасибо за внимание! Контактная информация: E-mail: igor@nhtcu.ru Телефон +7-917-2011944 Факс +7 (8452) 722-066