Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Форензика. Компьютерная криминалистика. Н.Н. Федотов

Информационная безопасность
image

Уважаемые хабраюзеры!

Позвольте порекомендовать вам единственную и по-настоящему стоящую книгу по тематике компьютерной криминалистики на русском языке.

Аннотация говорит сама за себя:
Читать дальше →
Всего голосов 87: ↑76 и ↓11 +65
Просмотры17.1K
Комментарии 70

Яблочный forensic. Извлекаем данные из iOS-устройств при помощи open source инструментов

Блог компании Журнал ХакерИнформационная безопасностьOpen sourceРазработка под iOS
По состоянию на июль прошлого года Apple продала более 800 миллионов устройств, работающих под управлением iOS. Более половины из них — различные модели iPhone. При таком количестве устройств в обращении совершенно не удивительно, что они часто становятся объектами компьютерно-технической экспертизы (forensics). На рынке представлены различные решения для автоматизации подобных экспертиз, но ценник на них зачастую делает их недоступными. Поэтому сегодня мы поговорим о том, как можно провести такую экспертизу с минимальными затратами или, проще говоря, используя бесплатные и/или open source инструменты.

Немного теории


При проведении экспертизы в большинстве случаев подразумевается физический доступ к устройству, и перед экспертом стоят две задачи: извлечь как можно больше данных и информации из устройства и оставить при этом как можно меньше следов (артефактов). Вторая задача особенно важна, если результаты экспертизы представляются в суде: слишком большое количество артефактов может помешать проведению повторной экспертизы, что, в свою очередь, может поставить результаты первоначальной экспертизы под сомнение. Во многих случаях избежать появления артефактов невозможно; эту проблему пытаются решать, подробно документируя артефакты, создаваемые на различных этапах проведения исследования.
Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры37.8K
Комментарии 0

Средства сбора данных в компьютерно-технической экспертизе

Информационная безопасность

forensics data acquisition


В этой статье я расскажу о некоторых особенностях различных способов создания копий (образов) носителей информации в компьютерной криминалистике (форензике). Статья будет полезна сотрудникам отделов информационной безопасности, которые реагируют на инциденты ИБ и проводят внутренние расследования. Надеюсь, что и судебные эксперты, проводящие компьютерно-техническую экспертизу (далее КТЭ), найдут в ней что-то новое.

Читать дальше →
Всего голосов 20: ↑17 и ↓3 +14
Просмотры29.4K
Комментарии 30

История одного расследования или как DLP-система выявила целенаправленную атаку

Блог компании Ростелеком-СоларИнформационная безопасность
Аналитики Solar JSOC и Solar Dozor в своих статьях часто говорят о том, что даже все многообразие средств защиты, существующих на рынке, не защитит компанию от атаки, если она рассматривает данные каждой системы в отдельности. Чаще всего атаку, если она не совсем примитивная, можно выявить только сведя воедино данные с различных источников.

Сегодня мы хотим рассказать об очередном примере, подтверждающем эту истину. Под катом – история одной атаки, которая едва не прошла незамеченной.


Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры12.7K
Комментарии 19

Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок

Информационная безопасность

 
Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.
Читать дальше →
Всего голосов 38: ↑36 и ↓2 +34
Просмотры91.7K
Комментарии 14

Компьютерная криминалистика (форензика): подборка полезных ссылок

Информационная безопасность
image

 
Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

Читать дальше →
Всего голосов 36: ↑34 и ↓2 +32
Просмотры38.3K
Комментарии 8

DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки

Блог компании Ростелеком-СоларИнформационная безопасностьАнтивирусная защитаSaaS / S+S
Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.

Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:

  1. Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
  2. Пользователи обнаруживали, что их учетная запись заблокирована.
  3. Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.


Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры14.6K
Комментарии 11

Подборка бесплатных утилит компьютерной криминалистики (форензики)

Информационная безопасность
image

В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.
Читать дальше →
Всего голосов 49: ↑48 и ↓1 +47
Просмотры83.5K
Комментарии 18

Linux-форензика в лице трекинга истории подключений USB-устройств

Информационная безопасностьOpen sourcePython*nixРазработка под Linux
image

В рамках погружения в одну из дисциплин (в процессе обучения по специальности компбеза) я работал над одним занимательным проектом, который бы мне не хотелось просто похоронить в недрах папки «Универ» на внешнем винчестере.

Сей проект носит название usbrip и представляет собой небольшую консольную опенсорс утилиту для Linux-форензики, а именно для работы с историей подключений USB-устройств. Программа написана на чистом Python 3 (с использованием некоторых сторонних модулей) и не требует зависимостей помимо Python 3.x интерпретатора и пары строк из requirements.txt, разрешающихся одной строкой с помощью pip.

В этом посте я опишу некоторые возможности данного софта и оставлю краткий мануал со ссылкой на источник загрузки.

Снято! (… в смысле Cut!)
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры11.9K
Комментарии 6

Solar JSOC Forensics: дело о майнинге на 32-х несуществующих гипервизорах

Блог компании Ростелеком-СоларИнформационная безопасностьIT-инфраструктура
Последний год можно считать расцветом массового майнинга криптовалют. Ровно год назад этот хайп достиг пика, и цены на видеокарты в магазинах взлетели. Затем алгоритмы майнинга портировали в браузеры, и появился знаменитый сервис Сoinhive. Даже недавнее падение курса основных криптовалют не сильно затормозило процесс. Естественно, злоумышленники не только следили за этим явлением, но принимали в нем активное участие.

Можно по-разному относиться к самим криптовалютам и токенам, однако каждый безопасник негативно относится к майнингу, когда он производится несанкционированно и на оборудовании предприятия. Мы фиксировали и расследовали множество инцидентов, когда внешние нарушители распространяют майнеры в нагрузку к основному модулю вредоносного ПО, скрывают его под именами системных процессов (например, C:\Windows\Sys\taskmgr.exe), а иногда бывали случаи, когда распространение шло за счет сетевых эксплойтов, Psexec-ов и их аналогов, и разумеется, вредоносного Javascript.

Но, кроме нарушителя внешнего, бывает нарушитель внутренний. И чаще всего он хорошо знает, что делает и как скрыть следы так, чтобы остаться безнаказанным. Один такой случай нас попросили расследовать.

Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Просмотры6K
Комментарии 3

По следам RTM. Криминалистическое исследование компьютера, зараженного банковским трояном

Блог компании Group-IBИнформационная безопасностьАлгоритмыМатематикаНастольные компьютеры


Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ведущих специалистов Group-IB по компьютерной криминалистике — Олег Скулкин подробно рассказал о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном в рамках реагирования/расследования инцидента.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры10.8K
Комментарии 7

Несколько историй из жизни JSOC CERT, или Небанальная форензика

Блог компании Ростелеком-СоларИнформационная безопасностьАнтивирусная защитаВосстановление данных


Мы в JSOC CERT расследуем инциденты. Вообще все 170 человек в JSOC занимаются расследованиями, но в руки экспертов CERT попадают наиболее технологически сложные случаи. Как, к примеру, обнаружить следы вредоноса, если злоумышленник прибрал за собой? Каким образом найти «волшебника», удалившего важные бизнес-документы с файлового сервера, на котором толком не настроено логирование? Ну и на сладкое: как может злоумышленник без проникновения в сеть получить пароли от десятков не связанных между собой доменных учеток? Подробности, как всегда, под катом.
Читать дальше →
Всего голосов 33: ↑33 и ↓0 +33
Просмотры6.4K
Комментарии 7

Открыт набор на совместный обучающий курс Group-IB и Belkasoft по компьютерной криминалистике

Блог компании Group-IBИнформационная безопасность


С 9 по 11 сентября в Москве пройдет совместный обучающий курс Group-IB и Belkasoft «Belkasoft Digital Forensics», на котором специалисты Group-IB расскажут, как эффективно работать над криминалистическими расследованиями с помощью инструментов Belkasoft.

Продукты Belkasoft более 10 лет известны на российском и мировом рынках решений по компьютерной криминалистике и используются для борьбы с различными видами преступлений.

Обучение позволит слушателям эффективно работать с Belkasoft Evidence Center для решения задач по расследованию инцидентов и цифровой криминалистике, а экспертиза и многолетний опыт Group-IB помогут получить максимальную пользу от продукта с первого дня его использования.

Программа будет интересна специалистам по ИБ и ИТ, аналитикам SOC и CERT, криминалистам и всем, кто работает в сфере высоких технологий.

Что интересного будет на курсе?


На курсе вы:

  • Познакомитесь с основами компьютерной криминалистики;
  • Научитесь решать типовые криминалистические задачи: извлекать данные, искать артефакты, анализировать полученные данные и составлять отчет;
  • Ознакомитесь с рекомендациями по повседневному использованию Belkasoft Evidence Center;
  • Станете обладателем сертификата Group-IB и Belkasoft о прохождении обучения;
  • Получите приятные бонусы от Belkasoft.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры2.6K
Комментарии 1

Совместные курсы Group-IB и Belkasoft: чему научим и кому приходить

Блог компании Group-IBИнформационная безопасностьУчебный процесс в IT

Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных — все эти и другие темы можно изучить на новых совместных курсах Group-IB и Belkasoft. В августе мы анонсировали первый курс Belkasoft Digital Forensics, который стартует уже 9 сентября, и, получив большое количество вопросов, решили подробнее рассказать о том, что будут изучать слушатели, какие знания, компетенции и бонусы (!) получат те, кто дойдет до конца. Обо всём по порядку.
Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Просмотры3.3K
Комментарии 0

Мамкины хацкеры или мой путь в CTF

Информационная безопасностьПрограммированиеCTF
Из песочницы
Это был далекий 2014 год, когда еще зеленые, недавно поступившие в универ, парни, услышали, что есть какие-то соревнования с завлекающим названием — «Capture the flag» (сокр. CTF, в переводе «Захват флага»).


Фото с сайта securitylab.ru к новости про Facebook CTF 2016

На факультете был один парнишка, который уже играл в эту увлекательную игру и потому соизволил рассказать нам что же это такое и с чем его едят…

Итак, давайте теперь я вам немножко поведаю:

1. CTF (Capture the flag или Захват флага) — командные соревнования (изредка бывают личными) в области компьютерной (информационной) безопасности.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры4.9K
Комментарии 0

Обеспечение сетевой безопасности совместно с брокерами сетевых пакетов. Часть первая. Пассивные средства безопасности

Блог компании НПП «Цифровые решения»Информационная безопасностьIT-инфраструктураСетевые технологииСетевое оборудование

С ростом облачных вычислений и виртуализации современные компьютерные сети становятся всё более уязвимыми и постоянно развиваются, принося с собой новые риски и неопределённости. Давно прошли времена хакерства для удовольствия, хакеры финансово мотивированы и более изощрены, чем когда-либо. Некоторые из них создали хакерские группы, такие как LulzSec и Anonymous, чтобы обмениваться опытом и действовать сообща. Профессионалы ИТ-безопасности изо всех сил стараются не отставать, пытаясь использовать пассивные (для обнаружения) и активные (для блокировки) инструменты сетевой безопасности. Несмотря на то, что вендоры своевременно разрабатывают и предоставляют инструменты сетевой безопасности для защиты от новейших киберугроз, внедрение этих инструментов является постоянной проблемой по разным причинам. В этой серии публикаций мы опишем наиболее основные средства сетевой безопасности, которые борются с киберугрозами, рассмотрим типичные проблемы при развёртывании и пути их решения с помощью брокеров сетевых пакетов.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры4.8K
Комментарии 7

Бег по граблям: 10 «уязвимостей» компьютерного криминалиста

Блог компании Group-IBИнформационная безопасностьИсследования и прогнозы в ITIT-компании

Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры4.3K
Комментарии 5