ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» (РОССИЯ)

1. ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» (РОССИЯ) Особенности производства экспертиз по делам о несанкционированном доступе к реквизитам банковских карт и систем ДБО Докладчик: Юрин Игорь Юрьевич генеральный директор Центра

2. Основные виды угроз при использовании ЭЦП • Кража денежных средств через системы ДБО • Уничтожение конфиденциальной информации • Отказ в обслуживании при работе с УЦ • Мошенничество и компрометация с использованием ЭЦП

3. Последствия НСД к ключам ЭЦП в системах ДБО • Кража денежных средств со счета организации (в г.Тольятти – 43 000 000 российских рублей одним платежным поручением) • Уничтожение информации на компьютере пользователя в ходе «заметания следов» преступниками

4. Осуществление НСД к ПК, подключаемому к ДБО Весь НСД осуществляется при помощи вредоносных программ, оставляющих свои следы на ПК. Этапы НСД: • Первичное проникновение • Закрепление своих позиций на ПК • Сбор информации о системе ДБО • Подготовка «путей отхода» • Ожидание поступления денег на счет • Перевод денежных средств • «Заметание следов»

5. Этапы проведения экспертизы носителей информации • Обеспечение неизменности данных на исследуемом носителе • Поиск следов НСД к компьютерной информации (сбора информации) • Анализ полученной информации

6. Работа в режиме «только чтение» Исследуемые носители информации подключаются к компьютеру эксперта в режиме «только чтение» для предотвращения модификации данных в процессе исследования.

7. Области ПК, хранящие информацию о следах НСД • индексные файлы ОС Windows (index.dat) - все блоки, включая LEAK; • системные журналы событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx); • служебные файлы ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log, *.xml DataColl); • служебные файлы программ-браузеров (Internet Explorer, Opera, Firefox, Chromium (Google Chrome, Xpom, Yandex.Browser, Chrome OS и тд.)); • кэш виртуальной машины Java; • файлы троянских программ.

8. Выявление следов первичного проникновения Адрес, с которого было осуществлено внедрение эксплоита на компьютер пользователя

9. Выявление следов первичного проникновения Адреса, с которых было осуществлено внедрение эксплоитов на компьютер пользователя, и даты событий. Снимок экрана специализированной программы «Forensic Assistant»

10. Выявление следов сбора информации Выявление адресов, на которые отправлялась информация с компьютера и получались обновлениятроянцев. Снимок экрана специализированной программы «Forensic Assistant»

11. Выявление следов сбора информации Примеры обнаруженных отчетов троянских программ Carberp и др. Снимок экрана специализированной программы «Forensic Assistant»

12. Выявление следов сбора информации Выявление файлов с сертификатами ЭЦП. Снимок экрана специализированной программы «Forensic Assistant»

13. Возможности исследования пластиковых карт Программа «Forensic Assistant»с версии 1.3.3 распознает карты платежных систем: • VISA • Master • Maestro • STB • Белкарт банков: • Беларусь: Ашчадный Банк, Беларусбанк, БелИнвестБанк, БелПромСтройБанк (БПС-Банк), Приорбанк, и др.; • Россия: несколько десятков банков; • Украина: Аваль, Надра, ОТП Банк, Ощадбанк, Приватбанк, УкрСибБанк, УкрСоцБанк и др.; • другие страны: несколько сотен банков.

17. Возможности программы • Ведение БД считанных дампов карт; • Автоматическое определение банка-эмитента и характеристик карты; • Проверка корректности информации на магнитной полосе (соответствие треков друг другу, допустимость реквизитов); • Поддержка карт-ридеров MSR206 и аналогов, подключенных через USB и COM-порты.

18. Спасибо за внимание! Контактная информация: E-mail: igor@nhtcu.ru Телефон +7-917-2011944 Факс +7 (8452) 722-066