Program przedmiotu i organizacja zajęć
Transkrypt
Program przedmiotu i organizacja zajęć
Informatyka śledcza informacje wstępne – organizacja zajęć dr inż. Magdalena Szeżyńska, CISA Instytut Systemów Elektronicznych P.W. [email protected] Zima 2016 Informatyka śledcza – Computer Forensics Informatyka śledcza jest procesem identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Forensic Computing Computer forensics is the process of identifying, preserving, analysing and presenting digital evidence in a manner that is legally acceptable. R. McKemmish, 'What is Forensic Computing?' (Australian Institute of Criminology, 1999) Informatyka śledcza - w01a - informacje wstępne 2 Informatyka śledcza – Digital Forensic Investigation Według Briana Carriera: ● ● digital investigation – cyfrowe śledztwo – to proces znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów i zdarzeń, digital forensic investigation to specjalny przypadek cyfrowego śledztwa, w którym zastosowane procedury i techniki pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu sądowym. Informatyka śledcza - w01a - informacje wstępne 3 Informatyka śledcza ● ● ● Zajęcia prowadzone w formie wykładu połączonego z laboratorium poświęcone są informatyce śledczej, tzn. procesowi identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy niezbędnej do realizacji rzetelnych praktyk informatyki śledczej. Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte w toku przedmiotów zalecanych jako poprzedniki i rozwijają je w kontekście informatyki śledczej, a dobre rozumienie możliwości technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa systemów informatycznych. Informatyka śledcza - w01a - informacje wstępne 4 Program przedmiotu ● ● ● Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje, potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy śledztwa informatycznego – przygotowanie przypadku, rozpoczęcie śledztwa, przeprowadzenie przykładowego badania, analiza przypadku, sporządzanie dokumentacji. Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo systemów informatycznych) – reakcja na incydenty z zakresu bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność dochodzenia, analiza dowodów. Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów na miejscu przestępstwa i w laboratorium badawczym, katalogowanie i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich integralności, wiarygodności poufności itp.) oraz prezentacja wniosków z informatycznego śledztwa. Informatyka śledcza - w01a - informacje wstępne 5 Program przedmiotu ● ● ● Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy, specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne platformy i komercyjne, techniki eDiscovery). Wirtualizacja w służbie informatyki śledczej. Procesy uruchamiania (booting) systemów, dyski startowe, partycje rozruchowe, sektory i programy ładujące, tworzenie obrazów uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD i dysków USB w celu nieinwazyjnego dostępu do badanego systemu. Informatyka śledcza - w01a - informacje wstępne 6 Program przedmiotu ● ● ● ● ● Systemy plików – specyfikacje, struktury danych, specyficzne techniki badania. Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików zawierających potencjalne dowody, interpretacja dzienników zdarzeń aplikacji i logów systemowych, dowodzenie zaistnienia włamania. Pozyskiwanie i analiza dowodów z urządzeń mobilnych. Badanie systemów czynnych (live systems: Windows, Unix/Linux) oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki eDiscovery. Przypadki prawdziwe – case studies. Informatyka śledcza - w01a - informacje wstępne 7 Program przedmiotu - laboratoria ● ● ● Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie skasowanych i nadpisanych plików – tutorial. Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów dysków z zapewnieniem ich integralności poprzez obliczanie skrótów przy wykorzystaniu dedykowanej dystrybucji Linuksa, tworzenie i analiza obrazów zawierających system plików FAT i poszukiwanie ukrytych w nich dowodów. Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie ukrytych w nim dowodów przy pomocy narzędzi dostępnych w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń – timelines. Informatyka śledcza - w01a - informacje wstępne 8 Program przedmiotu - laboratoria Wariantowo (2 z 4) ● ● ● ● Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie dostarczonego obrazu systemu). Analiza materiału dowodowego pochodzącego z tradycyjnego telefonu komórkowego (na podstawie dostarczonego obrazu pamięci wewnętrznej). Wstęp do analizy Windows 7 (czyli wszystko jest w rejestrze). Prowadzenie śledztwa w sieci – poszukiwanie źródeł dowodów dot. funkcjonowania grup przestępczych np. na przykładzie internetowego serwisu inwestycyjnego typu HYIP. Informatyka śledcza - w01a - informacje wstępne 9 Regulamin zaliczenia przedmiotu (wersja skrócona) ● ● Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru (po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu semestru). Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się od 10-minutowego testu (za każdą błędną odpowiedź ocena końcowa z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów. Informatyka śledcza - w01a - informacje wstępne 10 Regulamin zaliczenia przedmiotu (wersja skrócona) ● ● ● Nie ma poprawek (nie ma powtórnych podejść, w tym sprawdzianu poprawkowego). Nie ma wymagania zaliczenia indywidualnie wykładów i laboratoriów. Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów sumują się. Do zaliczenia wymagane jest więcej, niż 50 punktów. Skala liniowa: (50,01-60 punktów na 3, 60,01-70 punktów na 3,5 itd., 90,01-103 punkty daje 5). Informatyka śledcza - w01a - informacje wstępne 11 Obliczenie punktów ECTS dla ISL ● Godziny kontaktowe – 45 h; w tym: ● obecność na wykładach – 30 h ● obecność na laboratoriach – 15 h ● Przygotowanie do zajęć laboratoryjnych – 20 h ● Konsultacje – 2 h ● Samodzielne zapoznawanie się z literaturą – 15 h ● Przygotowanie do sprawdzianów – 20 h Łączny nakład pracy studenta wynosi 102 h co odpowiada 4 pkt. ECTS (przyjmuje się, że jeden punkt ECTS odpowiada 25-30 godzinom pracy studenta). Informatyka śledcza - w01a - informacje wstępne 12 Obliczenie punktów ECTS dla ISL ● ● Szacowanie nakładu pracy studenta uwzględnia wszystkie formy zajęć. Godziny kontaktowe to te, których czas jest określony planem studiów (rozkładem zajęć) – w przypadku ISL są to wykłady i laboratoria. Do tego nakładu doliczono czas poświęcony na przygotowanie się do laboratoriów, na samodzielne studiowanie przedmiotu oraz na przygotowanie się do sprawdzianów. Liczba punktów ECTS przypisanych „Informatyce śledczej” odzwierciedla nakład pracy przeciętnego studenta uczęszczającego na ten przedmiot. Zdolny student nie będzie musiał poświęcić na przedmiot aż stu godzin, natomiast słabszy student będzie musiał tego czasu poświęcić znacznie więcej. Informatyka śledcza - w01a - informacje wstępne 13 Organizacja zajęć ● Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów, terminy kolokwiów) będzie dostępny na stronie przedmiotu http://studia.elka.pw.edu.pl/pub/16Z/ISL.A/ ● Na stronie przedmiotu będą sukcesywnie udostępniane materiały dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria ocen, niezbędne formularze – po zalogowaniu na https://studia.elka.pw.edu.pl/priv/16Z/ISL.A/) oraz inne ważne informacje, w tym bieżące komunikaty. ● Polecane narzędzia: http://studia.elka.pw.edu.pl/pub/16Z/ISL.A/tools.html ● Literatura: http://studia.elka.pw.edu.pl/pub/16Z/ISL.A/books.html Informatyka śledcza - w01a - informacje wstępne 14 Przekładanie terminów wykonania laboratorium i pisania sprawdzianu Prawo do wykonywania laboratorium lub pisania sprawdzianu w innym terminie, niż przewidziany harmonogramem, przysługuje osobom, które: ● ● ● nie mogą być na laboratorium lub sprawdzianie, ponieważ w tym samym terminie wyznaczono im inne obowiązkowe zajęcia na P.W. (np. obowiązkowe ćwiczenia lub sprawdzian przeprowadzany przez innego wykładowcę), nie mogą być na laboratorium lub sprawdzianie z powodu choroby (potwierdzonej zwolnieniem lekarskim) przed końcem semestru wyjeżdżają w ramach wymiany zagranicznej. Niezależnie od powyższego każda osoba może indywidualnie zamienić się terminem wykonania danego ćwiczenia laboratoryjnego z koleżanką lub kolegą z grupy alternatywnej (szczegółowe wytyczne – na liście dyskusyjnej przedmiotu). Informatyka śledcza - w01a - informacje wstępne 15 Prowadzący zajęcia – Who is Who ● dr inż. Magdalena Szeżyńska, CISA ● specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza ● zadania: koordynacja, wykłady, laboratoria ● konsultacje: wtorki 14:30-15:30, pok. 249 ● e-mail: [email protected] ● strona domowa: http://staff.elka.pw.edu.pl/~mszezyns/ Informatyka śledcza - w01a - informacje wstępne 16 Prowadzący zajęcia – Who is Who ● dr inż. mgr Krzysztof Gołofit ● specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza, psychologia organizacji pracy ● zadania: wsparcie, laboratoria ● konsultacje: do ustalenia, pok 249 ● e-mail: [email protected] Informatyka śledcza - w01a - informacje wstępne 17 Komunikacja ● Wszelką korespondencję elektroniczną należy kierować pod adres(y) [email protected] ● Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe). ● Listy nadchodzące spod innych adresów będą obsługiwane bez pośpiechu i sporadycznie – o ile nie przepadną wśród spamu. Informatyka śledcza - w01a - informacje wstępne 18