Расследование DDoS атак. Расследование компьютерных инцидентов и преступлений в России.

Содержание

Слайд 2

Преступная группа

Преступная группа

Слайд 3

Ответственность за нарушение ИБ

Отсутствие ответственности удешевляет стоимость нелегальных услуг и сводит работу

Ответственность за нарушение ИБ Отсутствие ответственности удешевляет стоимость нелегальных услуг и сводит
информационной безопасности в гонку вооружений.
20$ стоимость заражения 1000 машин
200 – 500 Euro – DDoS атака до 20Гб (24 часа)

Слайд 4

Вектора развития

Киберпреступность

Информационная безопасность

Технологии

Цель: прибыль

Цель: прибыль

Вектора развития Киберпреступность Информационная безопасность Технологии Цель: прибыль Цель: прибыль

Слайд 5

Задачи расследования

Привлекать в ответственности преступников
Если этого не делать, то стоимость услуг будет

Задачи расследования Привлекать в ответственности преступников Если этого не делать, то стоимость
далее дешеветь, а качество возрастать.
Как увеличить шансы:
Помогать правоохранительным органам
Обмениваться информацией (дела по одним и тем же людям лежат в разных подразделениях от разных заявителей)
Нет идеальных преступлений – при желании можно найти все

Слайд 6

Бот-сети. Тенденции 2009- 2010

1. Интеллектуальные боты
2. Появление ещё большого количества непрофессиональных бот

Бот-сети. Тенденции 2009- 2010 1. Интеллектуальные боты 2. Появление ещё большого количества
сетей: с помощью конструкторов или специальных программ для их создания. Для создания и управления такой сетью не требуются специальные знания.
3. Профессиональные бот сети стали использовать передовые технологии для управления и обеспечения анонимности
4. Усиление партнерских бот-сетей («партнерки»).

Слайд 7

Бот-сети. Технологии

First come – установление патчей после заражения;
2. Port knocking – аутентификация;
3.

Бот-сети. Технологии First come – установление патчей после заражения; 2. Port knocking
Использование пиринговых сетей для управления бот-нетом. Skype, p2p и т.д.
4. Fast flux – уже почти стандарт.
5. Текстовые управляющие центры (социальные сети, блоги)

Слайд 8

DDoS атаки

В 2009 году основными сферами деятельности, подвергшимися DDoS атакам являлись:
Банковские платежные

DDoS атаки В 2009 году основными сферами деятельности, подвергшимися DDoS атакам являлись:
системы
Системы электронных платежей
Предприятия электронной коммерции
Средства массовой информации
Телекоммуникационные компании
Расходы на атаку 100-500 евро в день.

Слайд 9

DDoS атаки

С прошлой недели и по текущий момент (с 15 апреля)
медицинские клиники
магазины

DDoS атаки С прошлой недели и по текущий момент (с 15 апреля)
автозапчастей
оконные фабрики

Слайд 10

Расследование обстоятельств DDoS
Используем возможности Honeynet

Расследование обстоятельств DDoS Используем возможности Honeynet

Слайд 11

Исследование команд бота

Бот под контролем

GET /main/rand/test.php?ver=0001id=151D4f12E2&cmd=0102 HTTP/1.0
Host: zlozlozlo.cn
HTTP/1.1 200 OK
Date: Tue, 26

Исследование команд бота Бот под контролем GET /main/rand/test.php?ver=0001id=151D4f12E2&cmd=0102 HTTP/1.0 Host: zlozlozlo.cn HTTP/1.1
Aug 2009 16:16:50 GMT
Server: Apache/2
X-Powered-By: PHP/5.0.11
Vary: Accept-Encoding,User-Agent
Content-Length: 17
Connection: close
Content-Type: text/html

Слайд 12

Где находится URL?

Бот под контролем
Host: zlozlozlo.cn
IP: далеко.далеко.далеко.далеко
Делаем трассировку!

Где находится URL? Бот под контролем Host: zlozlozlo.cn IP: далеко.далеко.далеко.далеко Делаем трассировку!

Слайд 13

TRACERT!

В реальности все ближе
Tracert IP: далеко.далеко.далеко.далеко
:7 11msk.datacentr.ru (120.209.15.202) 49.418 ms 49.416 ms

TRACERT! В реальности все ближе Tracert IP: далеко.далеко.далеко.далеко :7 11msk.datacentr.ru (120.209.15.202) 49.418
49.322 ms
8 77.91.231.212 (77.91.231.212) 49.440 ms 49.306 ms 49.822 ms
9 91.213.174.26 (196.213.174.26) 49.451 ms 49.545 ms 49.704 ms
7 te2.msk.dadadata.ru (155.239.10.202) 49.418 ms 49.416 ms 49.322 ms
8 77.91.231.212 (177.91.231.212) 49.440 ms 49.306 ms 49.822 ms
9 91.213.174.26 (99.213.174.26) 49.451 ms 49.545 ms 49.704 ms
7 tmsk.datacentr.ru (19.23.104.202) 49.418 ms 49.416 ms 49.322 ms
8 77.91.231.212 (177.191.21.212) 49.440 ms 49.306 ms 49.822 ms
9 далеко.далеко.далеко.далеко (далеко.далеко.далеко.далеко) 49.451 ms 49.545 ms 49.704 ms

Слайд 14

+ и -

Преимущества:
Быстро
Бесплатно
Если сервер в РФ расследование упрощается в разы
Есть вредоносная программа(273

+ и - Преимущества: Быстро Бесплатно Если сервер в РФ расследование упрощается
по старой практике)
Недостатки:
Не всегда работает (новые технологии ботнетов)
Бота может не быть в Honeynet

Слайд 15

Автономные сети

Смотрим схему

Автономные сети Смотрим схему

Слайд 16

Сбор доказательств

IP адреса (IP to IP c указанием времени)
Дамп трафика.
Не нужны

Сбор доказательств IP адреса (IP to IP c указанием времени) Дамп трафика.
30 ГБ файлы. Нужен фрагмент до 100 Мб. Если трафик меняется – новый дамп.
Делаем надпись на ресурсе «Сайт заблокирован» и нотариально снимаем копию – (скриптом)
Перед DDoS чаще всего идет сканирование ресурса, архитектуры сети. Снимаем логи с IDS.
http://www.snort.org/snort-rules/?#rules
1 to 5 units - $499.00 each
6 or more units - $399.00 each
5. Проверка информации в прессе/блогах и т.д.
Оформление служебной записки.
Расчет ущерба
Информация от Интернет-провайдера\хостинга

Слайд 17

Сбор доказательств на стороне ISP

В договоре на оказание телекоммуникационных услуг добавьте пункт

Сбор доказательств на стороне ISP В договоре на оказание телекоммуникационных услуг добавьте
о Ваших требованиях по хранению и содержанию логов.
Оповещение со стороны ISP в случае атаки – в SLA

Слайд 18

Хорошие новости

В новых комментариях к УК РФ, выпущенных Верховным судом РФ –

Хорошие новости В новых комментариях к УК РФ, выпущенных Верховным судом РФ
официальное признание создание бот сетей, а так же осуществления DDoS атак – преступлением.(272-273)

Слайд 19

Бот-сети. Наши меры

Информация для IPS в режиме реального времени о нахождении бот-машин

Бот-сети. Наши меры Информация для IPS в режиме реального времени о нахождении
в их сетях.
Распределенная кооперативная система для расследования DDoS атак и остановки
StopDDOS.ru (Константин Тимашков)

Слайд 20

Бот-сети. Наши меры

Создание, поддержание, развитие Российского сегмента Honeynet Project
Бесплатно устанавливаем HoneyPots, WatchDogs

Бот-сети. Наши меры Создание, поддержание, развитие Российского сегмента Honeynet Project Бесплатно устанавливаем
и другие кооперативные агенты для отслеживания и изучения бот-сетей.
Предоставление и обмен информацией на некоммерческой основе.

Слайд 21

Бот-сети и киберпреступность. Наши меры

Срочная бесплатная рассылка Group-IB & RISSPA:
методы совершения компьютерных

Бот-сети и киберпреступность. Наши меры Срочная бесплатная рассылка Group-IB & RISSPA: методы
преступлений;
сообщения с распределенных IDS систем о сетевых атаках и эпидемиях, о проводимых в данный момент DDoS атаках и информацию об активных бот-нета;
данные с систем Honey Net о новых типах вредоносного ПО и способа его распространения.

Ассоциация RISSPA (Russian Information Systems Security Professional Association, www.risspa.ru)

Слайд 22

Бот-сети. Проблемы

1. Отсутствие в России работающих CERT’ов (Computer Emergency Response Team)
2. Отсутствие

Бот-сети. Проблемы 1. Отсутствие в России работающих CERT’ов (Computer Emergency Response Team)
работающих международных соглашений и законодательства по борьбе с подобными явлениями.
3. Техническая безграмотность населения и простота заражения ПК вирусами. Стоимость заражения 1000 машин вирусами начинается от 20 долларов США.
4. Малое количество успешных уголовных дел из-за сложностей законодательства и правовых уловок, которыми пользуются злоумышленники и их адвокаты

Слайд 23

Мой любимый реальный пример

Как Вы думаете, сколько зарабатывает создатель «средней» по технологии

Мой любимый реальный пример Как Вы думаете, сколько зарабатывает создатель «средней» по технологии бот сети?
бот сети?

Слайд 24

Реальный пример

1 733 492 $ за 1.5 года

Реальный пример 1 733 492 $ за 1.5 года
Имя файла: Расследование-DDoS-атак.-Расследование-компьютерных-инцидентов-и-преступлений-в-России..pptx
Количество просмотров: 170
Количество скачиваний: 0