Совместно с Group-IB мы проводим конкурс по компьютерной криминалистике. Победитель получит возможность работать в Лаборатории Group-IB и заниматься интересной работой по расследованию IT-инцидентов в отличной компании.
На экспертизу поступили два образа носителей информации и только вам под силу пролить свет на произошедшие инциденты. Ответьте на поставленные вопросы и укажите иные сведения, которые помогут в расследовании инцидентов информационной безопасности.
Задание #1: Вредонос на флешке
Директору компании Group-IB И. К. Сачкову
от начальника Департамента информационной безопасности
ЗАО «Пикатинни» С. В. Аркадьева
Уважаемый Илья Константинович!
2 ноября 2011 года Департамент информационной безопасности (ДИБ) ЗАО «Пикатинни» зарегистрировал инцидент информационной безопасности, связанный с ут ечкой сведений, составляющих коммерческую тайну предприятия. В рамках проводимого внутреннего расследования был обнаружен накопитель USB Flash, принадлежащий одному из сотрудников, который предположительно связан с инцидентом. Работниками ДИБ был создан криминалистический образ накопителя в формате dd (raw). С учетом вышеизложенного, прошу Вас провести криминалистическое исследование образа носителя информации и установить, какие сведения, имеющие отношение к инциденту, на нем записаны.
Вопросы криминалисту:
1. Имеются ли в предоставленном образе вредоносные программы?
2. Если да, то на основании каких признаков они были признаны таковыми?
3. Каковы их функциональные возможности и осуществляемые сетевые взаимодействия?
4. Каковы обстоятельства установки и работы этих программ?
Задание #2: Сломанный Linux
Тип инцидента: взлом
Место инцидента: ООО «Ласточкин хвост»
Дата инцидента: 3 ноября 2011 года
3 ноября 2011 года системным администратором ООО «Ласточкин хвост» был зарегистрирован инцидент информационной безопасности, связанный со «взломом» виртуального сервера, работающего под управлением операционной системы на основе Linux. В этот же день указанный сервер был отключен и направлен на криминалистическое исследование.
Вопросы криминалисту:
1. Имеются ли в предоставленном образе следы неправомерного доступа к исследуемой системе? Если да, то какие?
2. Какие данные были скомпрометированы в исследуемой системе? На основании каких признаков был сделан этот вывод?
Решение задания следует оформить в виде электронного документа с учетом требований к оформлению криминалистических отчетов и с применением законодательно закрепленной терминологии. Процесс исследования опиши максимально подробно с указанием использованных программных средств и особенностей их применения.
Направь свое экспертное заключение до 31 Декабря на contest@group-ib.ru с пометкой «Конкурс» и получи возможность поработать с лучшими криминалистами России.
Подпишись на «Хакер»