ISL - informacje wstępne
Transkrypt
ISL - informacje wstępne
Informatyka śledcza informacje wstępne – organizacja zajęć Dr inż. Magdalena Szeżyńska, CISA Instytut Systemów Elektronicznych P.W. [email protected] EiTI, lato 2014 Informatyka śledcza – Digital Forensic Investigation Według Briana Carriera: ● ● digital investigation – cyfrowe śledztwo - to proces znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów i zdarzeń, digital forensic investigation to specjalny przypadek cyfrowego śledztwa, w którym zastosowane procedury i techniki pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu sądowym. Informatyka śledcza - w01a - informacje wstępne 2 Informatyka śledcza – Computer Forensics Informatyka śledcza jest procesem identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Forensic Computing Computer forensics is the process of identifying, preserving, analysing and presenting digital evidence in a manner that is legally acceptable. R. McKemmish, 'What is Forensic Computing?' (Australian Institute of Criminology, 1999) Informatyka śledcza - w01a - informacje wstępne 3 Informatyka śledcza ● ● ● Zajęcia prowadzone w formie wykładu połączonego z laboratorium poświęcone są informatyce śledczej, tzn. procesowi identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy niezbędnej do realizacji rzetelnych praktyk informatyki śledczej. Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte w toku przedmiotów zalecanych jako poprzedniki i rozwijają je w kontekście informatyki śledczej, a dobre rozumienie możliwości technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa systemów informatycznych. Informatyka śledcza - w01a - informacje wstępne 4 Program przedmiotu ● ● ● Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje, potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy śledztwa informatycznego – przygotowanie przypadku, rozpoczęcie śledztwa, przeprowadzenie przykładowego badania, analiza przypadku, sporządzanie dokumentacji. Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo systemów informatycznych) – reakcja na incydenty z zakresu bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność dochodzenia, analiza dowodów. Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów na miejscu przestępstwa i w laboratorium badawczym, katalogowanie i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich integralności, wiarygodności poufności itp.) oraz prezentacja wniosków z informatycznego śledztwa. Informatyka śledcza - w01a - informacje wstępne 5 Program przedmiotu ● ● ● Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy, specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne platformy i komercyjne, techniki eDiscovery). Wirtualizacja w służbie informatyki śledczej. Procesy uruchamiania (booting) systemów, dyski startowe, partycje rozruchowe, sektory i programy ładujące, tworzenie obrazów uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD i dysków USB w celu nieinwazyjnego dostępu do badanego systemu. Informatyka śledcza - w01a - informacje wstępne 6 Program przedmiotu ● ● ● ● ● Systemy plików FAT, NTFS/NTFS5, EXT2/EXT3, USF1/USF2 itp.specyfikacje, struktury danych, specyficzne techniki badania. Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików zawierających potencjalne dowody, interpretacja dzienników zdarzeń aplikacji i logów systemowych, dowodzenie zaistnienia włamania. Pozyskiwanie i analiza dowodów z urządzeń mobilnych. Badanie systemów czynnych (live systems: Windows, Unix/Linux) oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki eDiscovery. Przypadki prawdziwe - case studies. Informatyka śledcza - w01a - informacje wstępne 7 Program przedmiotu - laboratoria ● ● ● Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie skasowanych i nadpisanych plików – tutorial. Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów dysków z zapewnieniem ich integralności poprzez obliczanie skrótów przy wykorzystaniu dedykowanej dystrybucji Linuxa, tworzenie i analiza obrazów zawierających system plików FAT i poszukiwanie ukrytych w nich dowodów. Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie ukrytych w nim dowodów przy pomocy narzędzi dostępnych w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń – timelines. Informatyka śledcza - w01a - informacje wstępne 8 Program przedmiotu - laboratoria Wariantowo (2 z 4) ● ● ● ● Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie dostarczonego obrazu systemu). Analiza materiału dowodowego pochodzącego z telefonu komórkowego (na podstawie dostarczonego obrazu karty). Wstęp do analizy Windows (czyli wszystko jest w rejestrze). Prowadzenie śledztwa w sieci – poszukiwanie źródeł dowodów dot. funkcjonowania grup przestępczych np. na przykładzie internetowego serwisu inwestycyjnego typu HYIP. Informatyka śledcza - w01a - informacje wstępne 9 Regulamin zaliczenia przedmiotu (wersja skrócona) ● ● ● ● Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru (po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu semestru). Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się od 10-minutowego testu (za każda błędną odpowiedź ocena końcowa z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów. Bez poprawek (powtórnych podejść). Nie ma wymagania zaliczenia indywidualnie wykładów i laboratoriów. Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów sumują się. Do zaliczenia wymagane jest co najmniej 51 punktów. Skala liniowa: (51-60 punktów na 3, 61-70 punktów na 3,5 itd., 91- 103 punkty daje 5). Informatyka śledcza - w01a - informacje wstępne 10 Organizacja zajęć ● Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów, terminy kolokwiów) będzie dostępny na stronie przedmiotu http://studia.elka.pw.edu.pl/pub/14L/ISL.A/ ● Na stronie przedmiotu będą sukcesywnie udostępniane materiały dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria ocen, niezbędne formularze – po zalogowaniu na https://studia.elka.pw.edu.pl/priv/14L/ISL.A/) oraz inne ważne informacje, w tym bieżące komunikaty. Informatyka śledcza - w01a - informacje wstępne 11 Narzędzia i literatura ● Polecane narzędzia: http://studia.elka.pw.edu.pl/pub/14L/ISL.A/tools.html ● Literatura: http://studia.elka.pw.edu.pl/pub/14L/ISL.A/books.html Informatyka śledcza - w01a - informacje wstępne 12 Prowadzący zajęcia – Who is Who ● dr inż Magdalena Szeżyńska, CISA ● specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza ● zadania: koordynacja, wykłady ● konsultacje: wtorki 14:30-15:30, pok. 249 ● e-mail: [email protected] Informatyka śledcza - w01a - informacje wstępne 13 Prowadzący zajęcia – Who is Who ● mgr inż. mgr Krzysztof Gołofit ● ● specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza, psychologia organizacji pracy, ● zadania: laboratoria ● konsultacje: do ustalenia, pok 249 ● e-mail: [email protected] mgr inż. Damian Gromek ● ● specjalizacja: elektronika i inżynieria komputerowa, cyfrowe przetwarzanie sygnałów, radiolokacja, radary z syntetyczną aperturą, radary pasywne i aktywne ● zadania: laboratoria ● konsultacje: do ustalenia, pok 449 ● e-mail: [email protected] Informatyka śledcza - w01a - informacje wstępne 14 Komunikacja ● Wszelką korespondencję elektroniczną należy kierować pod adres(y) ...elka.pw.edu.pl ● Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe). ● Listy nadchodzące spod innych adresów będą obsługiwane w dwa dni w tygodniu (tj. we wtorek i czwartek) – o ile nie przepadną wśród spamu. Informatyka śledcza - w01a - informacje wstępne 15