Расследование кибер преступлений и компьютерная

криминалистика

Балашов Виталий Харьковский НИИ

судебных экспертиз

им. Засл. Проф. Н.С. Бокариуса

Кибер преступление

это деяния, предусмотренные статьями 361 – 363-1 Уголовного кодекса Украины.

361 - вмешательство

Несанционированное вмешательство в работу компьютерных систем и сетей, которое привело к:

- Утечке;

- Утрате;

- Подделке;

- Блокированию информации;

- Искажению процесса обработки информации;

- Нарушение установленного порядка маршрутизации

Карается штрафом от 600 до 1000 необлагаемых минимумов или ограничением свободы на срок до 3 лет с конфискацией программных и технических средств, с помощью которых было совершено правонарушение.

Повторное нарушение или в составе группы лиц:

Лишение свободы от 3 до 6 лет.

361-1 – зловред Создание с целью:

использования, распространения или сбыта,

либо

распространение и сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу компьютерных систем и сетей.

Карается

- штрафом от 500 до 1000 необлагаемых минимумов,

- исправительными работами до 2 лет

- Лишением свободы до 2 лет с конфискацией разработанных или сбываемых средств.

Повторно или в составе группы лиц:

Лишение свободы до 5 лет

363-1 - Спам

Умышленное распространение сообщений электросвязи, осуществляемое без предварительного согласия адресатов, которое привело к нарушению или прекращению работы компьютерной системы или сети.

Карается

Штраф от 500 до 1000 необлагаемых минимумов или

ограничение свободы до 3 лет

Повторно или в составе группы лиц:

Ограничение либо лишение свободы до 5 лет

Кто ищет

• Служба безопасности Украины

• Управление по борьбе с кибер преступностью МВД Украины

Кто анализирует

• Специализированные судебно-экспертные учреждения системы Министерства Юстиции Украины

• Институт специальной техники и судебных экспертиз СБУ

• Экспертно-криминалистические центры МВД Украины

• Эксперты, не работающие в специализированных структурах и частные специалисты

Как ищут

- Получение данных от провайдеров

- Получение информации с носителей в серверах хостинга

- Социальное взаимодействие

- Наблюдение

- Прослушка

Что ищут

- Идентифицирующие признаки оборудования

- Наличие на носителе информации, свидетельствующей о причастности

- Цепочку последовательностей событий инцидента

Судебная экспертиза

• Заключение специалиста

• Судебная экспертиза

Компьютерная криминалистика НЕ СУЩЕСТВУЕТ

По крайней мере пока

ПРИМЕРЫ ИЗ ЖИЗНИ

Инцидент №1, 2011 г.

В компании стало известно о утечке внутрикорпоративной информации, поступившей на корпоративный электронный ящик.

Действия

1. Изъятие почтового сервера и передача его на исследование.

2. Обнаружение причины утечки.

3. Установление географического расположения оборудования злоумышленика.

4. Установление лица, которому принадлежит оборудование.

5. Установление личности злоумышленника

6. Анализ информации на носителях оборудования.

7. Доказательство вины злоумышленника на основе информации в его ПК.

Результат

Обвинительный приговор по 361 статье

Инцидент №2, 2011 г.

Мобильные устройства. Несовершеннолетний парень сделал несколько фото своих половых органов на камеру мобильного телефона и отправил в MMS.

Задача

• На этот ли мобильный телефон были сделаны снимки?

• Когда были сделаны снимки?

• Отправлялись ли снимки?

• Имеются ли на сфотографированном органе идентифицирующие признаки?)

Действия

Установление происхождения снимков:

Timestamp-ы файловой системы;

Метаданные в Exif;

Уникальность матрицы камеры;

Способ и порядок именования снимков.

Установление отправки снимков:

анализ отправленных сообщений (в том числе удалённых) с последующим подтверждением передачи сообщения оператором по логам оператора мобильной связи.

Вопрос идентификации органа не решался)

Результат

Установлено происхождение фотоснимков с точностью до уникального устройства по совокупности исключительно цифровых доказательств.

Инцидент №3, 2013 г.

В крупной коммерческой компании однажды перестала работать вся сетевая инфраструктура. На главном сервере данные практически полностью уничтожены. Работа 100+ человек персонала парализована.

Задачи расследования

1. Выяснить причину уничтожения данных;

2. Установить личность злоумышленника, совершившего уничтожение;

3. Доказать вину злоумышленника и привлечь к ответственности.

Исходные данные

• На жёстком диске была установлена UNIX-подобная ОС, выполнявшая маршрутизацию между внутренней сетью и Интерентом.

• В инфраструктуре присутствовала виртуальная машина, выполнявшая роль сервера IP-телефонии. Вход на виртуальную машину возможен только после успешной аутентификации на физический сервер (маршрутизатор).

Действия

• Восстановление удалённых данных

• Поиск среди восстановленных данных каких-либо логов и их анализ.

• Анализом логов установлен логин пользователя, который последним логинился в систему.

• После логина пользователь перешёл в режим суперпользователя (root).

• Логи консоли заканчиваются запуском Midnight Commander

• Восстановлено точное время удаления каждого файла: спустя несколько минут после успешного входа.

Таким образом есть аккаунт-виновник, но нет лица злоумышленника.

Установление лица

• В востановленных логах зафиксирован удалённый IP-адрес злоумышленника.

• IP-адрес принадлежит мирной коммерческой компании. Компания не использовала NAT.

• В мирной компании, за машиной с указанным IP и DNS-именем работал бывший сисадмин пострадавшей стороны.

Результат

На данный момент дело рассматривается судом, решение ещё не принято.

Полезные ссылки:

1. Брайан Кэрриэ: Криминалистический анализ файловых систем

2. Н. Н. Федотов: Форензика – компьютерная криминалистика

3. Уголовный кодекс Украины.

У меня всё

У кого есть вопросы? :)