Program przedmiotu i organizacja zajęć

Transkrypt

Informatyka śledcza
informacje wstępne – organizacja zajęć
dr inż. Magdalena Szeżyńska, CISA
Instytut Systemów Elektronicznych P.W.
[email protected]
Zima 2016
Informatyka śledcza – Computer Forensics
Informatyka śledcza jest procesem identyfikowania,
zabezpieczania, analizowania i prezentowania
dowodów elektronicznych w sposób umożliwiający
dopuszczenie ich w postępowaniu sądowym.
Forensic Computing Computer forensics is the process of
identifying, preserving, analysing and presenting digital
evidence in a manner that is legally acceptable.
R. McKemmish, 'What is Forensic Computing?' (Australian Institute of Criminology, 1999)
Informatyka śledcza - w01a - informacje wstępne
2
Informatyka śledcza – Digital Forensic Investigation
Według Briana Carriera:
●
●
digital investigation – cyfrowe śledztwo – to proces
znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów
i zdarzeń,
digital forensic investigation to specjalny przypadek
cyfrowego śledztwa, w którym zastosowane procedury i techniki
pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu
sądowym.
3
Informatyka śledcza
●
●
●
Zajęcia prowadzone w formie wykładu połączonego z laboratorium
poświęcone są informatyce śledczej, tzn. procesowi identyfikowania,
zabezpieczania, analizowania i prezentowania dowodów
elektronicznych w sposób umożliwiający dopuszczenie ich
w postępowaniu sądowym.
Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy
niezbędnej do realizacji rzetelnych praktyk informatyki śledczej.
Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte
w toku przedmiotów zalecanych jako poprzedniki i rozwijają je
w kontekście informatyki śledczej, a dobre rozumienie możliwości
technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa
systemów informatycznych.
4
Program przedmiotu
●
●
●
Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje,
potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy
śledztwa informatycznego – przygotowanie przypadku, rozpoczęcie
śledztwa, przeprowadzenie przykładowego badania, analiza przypadku,
sporządzanie dokumentacji.
Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo
systemów informatycznych) – reakcja na incydenty z zakresu
bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność
dochodzenia, analiza dowodów.
Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów
na miejscu przestępstwa i w laboratorium badawczym, katalogowanie
i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich
integralności, wiarygodności poufności itp.) oraz prezentacja wniosków
z informatycznego śledztwa.
5
Program przedmiotu
●
●
●
Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy,
specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne
platformy i komercyjne, techniki eDiscovery).
Wirtualizacja w służbie informatyki śledczej.
Procesy uruchamiania (booting) systemów, dyski startowe, partycje
rozruchowe, sektory i programy ładujące, tworzenie obrazów
uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD
i dysków USB w celu nieinwazyjnego dostępu do badanego systemu.
6
Program przedmiotu
●
●
●
●
●
Systemy plików – specyfikacje, struktury danych, specyficzne techniki
badania.
Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików
zawierających potencjalne dowody, interpretacja dzienników zdarzeń
aplikacji i logów systemowych, dowodzenie zaistnienia włamania.
Pozyskiwanie i analiza dowodów z urządzeń mobilnych.
Badanie systemów czynnych (live systems: Windows, Unix/Linux)
oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki
eDiscovery.
Przypadki prawdziwe – case studies.
7
Program przedmiotu - laboratoria
●
●
●
Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego
śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie
skasowanych i nadpisanych plików – tutorial.
Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów
dysków z zapewnieniem ich integralności poprzez obliczanie skrótów
przy wykorzystaniu dedykowanej dystrybucji Linuksa, tworzenie
i analiza obrazów zawierających system plików FAT i poszukiwanie
ukrytych w nich dowodów.
Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie
ukrytych w nim dowodów przy pomocy narzędzi dostępnych
w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń –
timelines.
8
Program przedmiotu - laboratoria
Wariantowo (2 z 4)
●
●
●
●
Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie
dostarczonego obrazu systemu).
Analiza materiału dowodowego pochodzącego z tradycyjnego telefonu
komórkowego (na podstawie dostarczonego obrazu pamięci
wewnętrznej).
Wstęp do analizy Windows 7 (czyli wszystko jest w rejestrze).
Prowadzenie śledztwa w sieci – poszukiwanie źródeł dowodów
dot. funkcjonowania grup przestępczych np. na przykładzie
internetowego serwisu inwestycyjnego typu HYIP.
9
Regulamin zaliczenia przedmiotu (wersja skrócona)
●
●
Wykłady: Dwa testy (bez notatek) w połowie i na koniec
semestru (po 25 punktów). 3 dodatkowe punkty za obecność
(lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu
semestru).
Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających
się od 10-minutowego testu (za każdą błędną odpowiedź ocena
końcowa z laboratorium zostaje obniżona o 1 punkt), potem
indywidualna praca z naciskiem na dokumentację. Do uzyskania
5 x 10 punktów.
10
Regulamin zaliczenia przedmiotu (wersja skrócona)
●
●
●
Nie ma poprawek (nie ma powtórnych podejść,
w tym sprawdzianu poprawkowego).
Nie ma wymagania zaliczenia indywidualnie wykładów
i laboratoriów.
Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów
sumują się. Do zaliczenia wymagane jest więcej, niż 50 punktów.
Skala liniowa: (50,01-60 punktów na 3, 60,01-70 punktów na 3,5
itd., 90,01-103 punkty daje 5).
11
Obliczenie punktów ECTS dla ISL
●
Godziny kontaktowe – 45 h; w tym:
●
obecność na wykładach – 30 h
●
obecność na laboratoriach – 15 h
●
Przygotowanie do zajęć laboratoryjnych – 20 h
●
Konsultacje – 2 h
●
Samodzielne zapoznawanie się z literaturą – 15 h
●
Przygotowanie do sprawdzianów – 20 h
Łączny nakład pracy studenta wynosi 102 h co odpowiada
4 pkt. ECTS
(przyjmuje się, że jeden punkt ECTS odpowiada 25-30 godzinom pracy studenta).
12
Obliczenie punktów ECTS dla ISL
●
●
Szacowanie nakładu pracy studenta uwzględnia wszystkie formy
zajęć. Godziny kontaktowe to te, których czas jest określony
planem studiów (rozkładem zajęć) – w przypadku ISL są to
wykłady i laboratoria. Do tego nakładu doliczono czas
poświęcony na przygotowanie się do laboratoriów,
na samodzielne studiowanie przedmiotu oraz na przygotowanie
się do sprawdzianów.
Liczba punktów ECTS przypisanych „Informatyce śledczej”
odzwierciedla nakład pracy przeciętnego studenta
uczęszczającego na ten przedmiot. Zdolny student nie będzie
musiał poświęcić na przedmiot aż stu godzin, natomiast słabszy
student będzie musiał tego czasu poświęcić znacznie więcej.
13
Organizacja zajęć
●
Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów,
terminy kolokwiów) będzie dostępny na stronie przedmiotu
http://studia.elka.pw.edu.pl/pub/16Z/ISL.A/
●
Na stronie przedmiotu będą sukcesywnie udostępniane materiały
dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria
ocen, niezbędne formularze – po zalogowaniu na
https://studia.elka.pw.edu.pl/priv/16Z/ISL.A/)
oraz inne ważne informacje, w tym bieżące komunikaty.
●
Polecane narzędzia:
http://studia.elka.pw.edu.pl/pub/16Z/ISL.A/tools.html
●
Literatura:
http://studia.elka.pw.edu.pl/pub/16Z/ISL.A/books.html
14
Przekładanie terminów wykonania laboratorium i pisania sprawdzianu
Prawo do wykonywania laboratorium lub pisania sprawdzianu
w innym terminie, niż przewidziany harmonogramem, przysługuje
osobom, które:
●
●
●
nie mogą być na laboratorium lub sprawdzianie, ponieważ w tym
samym terminie wyznaczono im inne obowiązkowe zajęcia na P.W.
(np. obowiązkowe ćwiczenia lub sprawdzian przeprowadzany przez
innego wykładowcę),
nie mogą być na laboratorium lub sprawdzianie z powodu choroby
(potwierdzonej zwolnieniem lekarskim)
przed końcem semestru wyjeżdżają w ramach wymiany zagranicznej.
Niezależnie od powyższego każda osoba może indywidualnie zamienić się terminem
wykonania danego ćwiczenia laboratoryjnego z koleżanką lub kolegą z grupy
alternatywnej (szczegółowe wytyczne – na liście dyskusyjnej przedmiotu).
15
Prowadzący zajęcia – Who is Who
●
dr inż. Magdalena Szeżyńska, CISA
●
specjalizacja: elektronika i inżynieria komputerowa,
kryptografia, bezpieczeństwo informacji, audyt systemów
informatycznych, informatyka śledcza
●
zadania: koordynacja, wykłady, laboratoria
●
konsultacje: wtorki 14:30-15:30, pok. 249
●
e-mail: [email protected]
●
strona domowa:
http://staff.elka.pw.edu.pl/~mszezyns/
16
Prowadzący zajęcia – Who is Who
●
dr inż. mgr Krzysztof Gołofit
●
specjalizacja: elektronika i inżynieria komputerowa,
kryptografia, bezpieczeństwo informacji, audyt systemów
informatycznych, informatyka śledcza, psychologia
organizacji pracy
●
zadania: wsparcie, laboratoria
●
konsultacje: do ustalenia, pok 249
●
e-mail: [email protected]
17
Komunikacja
●
Wszelką korespondencję elektroniczną należy kierować
pod adres(y)
[email protected]
●
Listy nadchodzące z adresów znajdujących się w domenie
pw.edu.pl będą obsługiwane bez zbędnej zwłoki
(tj. najszybciej, jak to możliwe).
●
Listy nadchodzące spod innych adresów będą obsługiwane bez
pośpiechu i sporadycznie – o ile nie przepadną wśród spamu.
18

Program przedmiotu i organizacja zajęć

Transkrypt

Podobne dokumenty

Program przedmiotu i organizacja zajęć

ISL - informacje wstępne

Informatyka Śledcza - Skuteczne Wykorzystanie Najnowszych

Postępowanie dochodzeniowe Informatyka śledcza

Analiza urządzeń mobilnych – karta SIM

Zeszyt 2/2008 - Ius Et Administratio

KMP LESZNO BEZPIECZNY DOM

Przykładowy List Motywacyjny