Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Форензика. Компьютерная криминалистика. Н.Н. Федотов

Информационная безопасность *
image

Уважаемые хабраюзеры!

Позвольте порекомендовать вам единственную и по-настоящему стоящую книгу по тематике компьютерной криминалистики на русском языке.

Аннотация говорит сама за себя:
Читать дальше →
Всего голосов 87: ↑76 и ↓11 +65
Просмотры 17K
Комментарии 70

Яблочный forensic. Извлекаем данные из iOS-устройств при помощи open source инструментов

Блог компании Журнал Хакер Информационная безопасность *Open source *Разработка под iOS *
По состоянию на июль прошлого года Apple продала более 800 миллионов устройств, работающих под управлением iOS. Более половины из них — различные модели iPhone. При таком количестве устройств в обращении совершенно не удивительно, что они часто становятся объектами компьютерно-технической экспертизы (forensics). На рынке представлены различные решения для автоматизации подобных экспертиз, но ценник на них зачастую делает их недоступными. Поэтому сегодня мы поговорим о том, как можно провести такую экспертизу с минимальными затратами или, проще говоря, используя бесплатные и/или open source инструменты.

Немного теории


При проведении экспертизы в большинстве случаев подразумевается физический доступ к устройству, и перед экспертом стоят две задачи: извлечь как можно больше данных и информации из устройства и оставить при этом как можно меньше следов (артефактов). Вторая задача особенно важна, если результаты экспертизы представляются в суде: слишком большое количество артефактов может помешать проведению повторной экспертизы, что, в свою очередь, может поставить результаты первоначальной экспертизы под сомнение. Во многих случаях избежать появления артефактов невозможно; эту проблему пытаются решать, подробно документируя артефакты, создаваемые на различных этапах проведения исследования.
Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 40K
Комментарии 0

Средства сбора данных в компьютерно-технической экспертизе

Информационная безопасность *

forensics data acquisition


В этой статье я расскажу о некоторых особенностях различных способов создания копий (образов) носителей информации в компьютерной криминалистике (форензике). Статья будет полезна сотрудникам отделов информационной безопасности, которые реагируют на инциденты ИБ и проводят внутренние расследования. Надеюсь, что и судебные эксперты, проводящие компьютерно-техническую экспертизу (далее КТЭ), найдут в ней что-то новое.

Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры 31K
Комментарии 30

История одного расследования или как DLP-система выявила целенаправленную атаку

Блог компании Ростелеком-Солар Информационная безопасность *
Аналитики Solar JSOC и Solar Dozor в своих статьях часто говорят о том, что даже все многообразие средств защиты, существующих на рынке, не защитит компанию от атаки, если она рассматривает данные каждой системы в отдельности. Чаще всего атаку, если она не совсем примитивная, можно выявить только сведя воедино данные с различных источников.

Сегодня мы хотим рассказать об очередном примере, подтверждающем эту истину. Под катом – история одной атаки, которая едва не прошла незамеченной.


Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры 13K
Комментарии 19

Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок

Информационная безопасность *

 
Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.
Читать дальше →
Всего голосов 38: ↑36 и ↓2 +34
Просмотры 102K
Комментарии 14

Компьютерная криминалистика (форензика): подборка полезных ссылок

Информационная безопасность *
image

 
Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

Читать дальше →
Всего голосов 36: ↑34 и ↓2 +32
Просмотры 40K
Комментарии 8

DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки

Блог компании Ростелеком-Солар Информационная безопасность *Антивирусная защита *SaaS / S+S *
Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.

Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:

  1. Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
  2. Пользователи обнаруживали, что их учетная запись заблокирована.
  3. Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.


Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры 15K
Комментарии 11

Подборка бесплатных утилит компьютерной криминалистики (форензики)

Информационная безопасность *
image

В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.
Читать дальше →
Всего голосов 49: ↑48 и ↓1 +47
Просмотры 87K
Комментарии 18

Linux-форензика в лице трекинга истории подключений USB-устройств

Информационная безопасность *Open source *Python **nix *Разработка под Linux *
image

В рамках погружения в одну из дисциплин (в процессе обучения по специальности компбеза) я работал над одним занимательным проектом, который бы мне не хотелось просто похоронить в недрах папки «Универ» на внешнем винчестере.

Сей проект носит название usbrip и представляет собой небольшую консольную опенсорс утилиту для Linux-форензики, а именно для работы с историей подключений USB-устройств. Программа написана на чистом Python 3 (с использованием некоторых сторонних модулей) и не требует зависимостей помимо Python 3.x интерпретатора и пары строк из requirements.txt, разрешающихся одной строкой с помощью pip.

В этом посте я опишу некоторые возможности данного софта и оставлю краткий мануал со ссылкой на источник загрузки.

Снято! (… в смысле Cut!)
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 14K
Комментарии 6

Solar JSOC Forensics: дело о майнинге на 32-х несуществующих гипервизорах

Блог компании Ростелеком-Солар Информационная безопасность *IT-инфраструктура *
Последний год можно считать расцветом массового майнинга криптовалют. Ровно год назад этот хайп достиг пика, и цены на видеокарты в магазинах взлетели. Затем алгоритмы майнинга портировали в браузеры, и появился знаменитый сервис Сoinhive. Даже недавнее падение курса основных криптовалют не сильно затормозило процесс. Естественно, злоумышленники не только следили за этим явлением, но принимали в нем активное участие.

Можно по-разному относиться к самим криптовалютам и токенам, однако каждый безопасник негативно относится к майнингу, когда он производится несанкционированно и на оборудовании предприятия. Мы фиксировали и расследовали множество инцидентов, когда внешние нарушители распространяют майнеры в нагрузку к основному модулю вредоносного ПО, скрывают его под именами системных процессов (например, C:\Windows\Sys\taskmgr.exe), а иногда бывали случаи, когда распространение шло за счет сетевых эксплойтов, Psexec-ов и их аналогов, и разумеется, вредоносного Javascript.

Но, кроме нарушителя внешнего, бывает нарушитель внутренний. И чаще всего он хорошо знает, что делает и как скрыть следы так, чтобы остаться безнаказанным. Один такой случай нас попросили расследовать.

Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Просмотры 6.1K
Комментарии 3

По следам RTM. Криминалистическое исследование компьютера, зараженного банковским трояном

Блог компании Group-IB Информационная безопасность *Алгоритмы *Математика *Настольные компьютеры


Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ведущих специалистов Group-IB по компьютерной криминалистике — Олег Скулкин подробно рассказал о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном в рамках реагирования/расследования инцидента.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 11K
Комментарии 7

Несколько историй из жизни JSOC CERT, или Небанальная форензика

Блог компании Ростелеком-Солар Информационная безопасность *Антивирусная защита *Восстановление данных *


Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения в сеть получить пароли от десятков не связанных между собой доменных учеток? Подробности, как всегда, под катом.
Читать дальше →
Всего голосов 33: ↑33 и ↓0 +33
Просмотры 6.6K
Комментарии 7

Открыт набор на совместный обучающий курс Group-IB и Belkasoft по компьютерной криминалистике

Блог компании Group-IB Информационная безопасность *


С 9 по 11 сентября в Москве пройдет совместный обучающий курс Group-IB и Belkasoft «Belkasoft Digital Forensics», на котором специалисты Group-IB расскажут, как эффективно работать над криминалистическими расследованиями с помощью инструментов Belkasoft.

Продукты Belkasoft более 10 лет известны на российском и мировом рынках решений по компьютерной криминалистике и используются для борьбы с различными видами преступлений.

Обучение позволит слушателям эффективно работать с Belkasoft Evidence Center для решения задач по расследованию инцидентов и цифровой криминалистике, а экспертиза и многолетний опыт Group-IB помогут получить максимальную пользу от продукта с первого дня его использования.

Программа будет интересна специалистам по ИБ и ИТ, аналитикам SOC и CERT, криминалистам и всем, кто работает в сфере высоких технологий.

Что интересного будет на курсе?


На курсе вы:

  • Познакомитесь с основами компьютерной криминалистики;
  • Научитесь решать типовые криминалистические задачи: извлекать данные, искать артефакты, анализировать полученные данные и составлять отчет;
  • Ознакомитесь с рекомендациями по повседневному использованию Belkasoft Evidence Center;
  • Станете обладателем сертификата Group-IB и Belkasoft о прохождении обучения;
  • Получите приятные бонусы от Belkasoft.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 3.1K
Комментарии 1

Совместные курсы Group-IB и Belkasoft: чему научим и кому приходить

Блог компании Group-IB Информационная безопасность *Учебный процесс в IT

Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных — все эти и другие темы можно изучить на новых совместных курсах Group-IB и Belkasoft. В августе мы анонсировали первый курс Belkasoft Digital Forensics, который стартует уже 9 сентября, и, получив большое количество вопросов, решили подробнее рассказать о том, что будут изучать слушатели, какие знания, компетенции и бонусы (!) получат те, кто дойдет до конца. Обо всём по порядку.
Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Просмотры 3.8K
Комментарии 0

Мамкины хацкеры или мой путь в CTF

Информационная безопасность *Программирование *CTF *
Из песочницы
Это был далекий 2014 год, когда еще зеленые, недавно поступившие в универ, парни, услышали, что есть какие-то соревнования с завлекающим названием — «Capture the flag» (сокр. CTF, в переводе «Захват флага»).


Фото с сайта securitylab.ru к новости про Facebook CTF 2016

На факультете был один парнишка, который уже играл в эту увлекательную игру и потому соизволил рассказать нам что же это такое и с чем его едят…

Итак, давайте теперь я вам немножко поведаю:

1. CTF (Capture the flag или Захват флага) — командные соревнования (изредка бывают личными) в области компьютерной (информационной) безопасности.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 13K
Комментарии 0

Обеспечение сетевой безопасности совместно с брокерами сетевых пакетов. Часть первая. Пассивные средства безопасности

Блог компании НПП «Цифровые решения» Информационная безопасность *IT-инфраструктура *Сетевые технологии *Сетевое оборудование

С ростом облачных вычислений и виртуализации современные компьютерные сети становятся всё более уязвимыми и постоянно развиваются, принося с собой новые риски и неопределённости. Давно прошли времена хакерства для удовольствия, хакеры финансово мотивированы и более изощрены, чем когда-либо. Некоторые из них создали хакерские группы, такие как LulzSec и Anonymous, чтобы обмениваться опытом и действовать сообща. Профессионалы ИТ-безопасности изо всех сил стараются не отставать, пытаясь использовать пассивные (для обнаружения) и активные (для блокировки) инструменты сетевой безопасности. Несмотря на то, что вендоры своевременно разрабатывают и предоставляют инструменты сетевой безопасности для защиты от новейших киберугроз, внедрение этих инструментов является постоянной проблемой по разным причинам. В этой серии публикаций мы опишем наиболее основные средства сетевой безопасности, которые борются с киберугрозами, рассмотрим типичные проблемы при развёртывании и пути их решения с помощью брокеров сетевых пакетов.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 6.9K
Комментарии 7

Бег по граблям: 10 «уязвимостей» компьютерного криминалиста

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT IT-компании

Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 5.9K
Комментарии 5

Война с пиратами. Силы спецопераций Microsoft

Информационная безопасность *Читальный зал IT-компании
Перевод

Обращение модератора: эта статья была опубликована ранее, но автора обвинили в выдаче переводного материала за свой. Однако метка перевода была снесена из-за технического сбоя при переносе статьи из Песочницы. Прошу отнестись с пониманием!

----

Однажды утром в марте 2009 года, когда солнце поднялось над горами, окружающими Лос-Рейес, город в мексиканском штате Мичоакан, караван из более чем 300 вооруженных до зубов сотрудников правоохранительных органов отправился в рейд. Все, кроме головной машины, выключили фары, чтобы избежать наблюдателей, называемых “соколами”, которые работают на La Familia Michoacana, жестокий мексиканский картель, контролирующий торговлю наркотиками. На этот раз полиция не охотилась за тайником с наркотиками, оружием или деньгами. Вместо этого они попытались расправиться с растущим кольцом поддельного программного обеспечения La Familia.

ЛОНГРИД с кружкой чая
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 8.8K
Комментарии 8