ISL - informacje wstępne

Transkrypt

Informatyka śledcza
informacje wstępne – organizacja zajęć
Dr inż. Magdalena Szeżyńska, CISA
Instytut Systemów Elektronicznych P.W.
[email protected]
EiTI, lato 2014
Informatyka śledcza – Digital Forensic Investigation
Według Briana Carriera:
●
●
digital investigation – cyfrowe śledztwo - to proces
znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów
i zdarzeń,
digital forensic investigation to specjalny przypadek
cyfrowego śledztwa, w którym zastosowane procedury i techniki
pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu
sądowym.
Informatyka śledcza - w01a - informacje wstępne
2
Informatyka śledcza – Computer Forensics
Informatyka śledcza jest procesem identyfikowania,
zabezpieczania, analizowania i prezentowania dowodów
elektronicznych w sposób umożliwiający dopuszczenie ich
w postępowaniu sądowym.
Forensic Computing Computer forensics is the process of
identifying, preserving, analysing and presenting digital
evidence in a manner that is legally acceptable.
R. McKemmish, 'What is Forensic Computing?' (Australian Institute of Criminology, 1999)
3
Informatyka śledcza
●
●
●
Zajęcia prowadzone w formie wykładu połączonego z laboratorium
poświęcone są informatyce śledczej, tzn. procesowi identyfikowania,
zabezpieczania, analizowania i prezentowania dowodów
elektronicznych w sposób umożliwiający dopuszczenie ich
w postępowaniu sądowym.
Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy
niezbędnej do realizacji rzetelnych praktyk informatyki śledczej.
Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte
w toku przedmiotów zalecanych jako poprzedniki i rozwijają je
w kontekście informatyki śledczej, a dobre rozumienie możliwości
technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa
systemów informatycznych.
4
Program przedmiotu
●
●
●
Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje,
potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy
śledztwa informatycznego – przygotowanie przypadku, rozpoczęcie
śledztwa, przeprowadzenie przykładowego badania, analiza przypadku,
sporządzanie dokumentacji.
Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo
systemów informatycznych) – reakcja na incydenty z zakresu
bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność
dochodzenia, analiza dowodów.
Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów
na miejscu przestępstwa i w laboratorium badawczym, katalogowanie
i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich
integralności, wiarygodności poufności itp.) oraz prezentacja wniosków
z informatycznego śledztwa.
5
Program przedmiotu
●
●
●
Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy,
specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne
platformy i komercyjne, techniki eDiscovery).
Wirtualizacja w służbie informatyki śledczej.
Procesy uruchamiania (booting) systemów, dyski startowe, partycje
rozruchowe, sektory i programy ładujące, tworzenie obrazów
uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD
i dysków USB w celu nieinwazyjnego dostępu do badanego systemu.
6
Program przedmiotu
●
●
●
●
●
Systemy plików FAT, NTFS/NTFS5, EXT2/EXT3, USF1/USF2 itp.specyfikacje, struktury danych, specyficzne techniki badania.
Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików
zawierających potencjalne dowody, interpretacja dzienników zdarzeń
aplikacji i logów systemowych, dowodzenie zaistnienia włamania.
Pozyskiwanie i analiza dowodów z urządzeń mobilnych.
Badanie systemów czynnych (live systems: Windows, Unix/Linux)
oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki
eDiscovery.
Przypadki prawdziwe - case studies.
7
Program przedmiotu - laboratoria
●
●
●
Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego
śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie
skasowanych i nadpisanych plików – tutorial.
Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów
dysków z zapewnieniem ich integralności poprzez obliczanie skrótów
przy wykorzystaniu dedykowanej dystrybucji Linuxa, tworzenie i analiza
obrazów zawierających system plików FAT i poszukiwanie ukrytych
w nich dowodów.
Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie
ukrytych w nim dowodów przy pomocy narzędzi dostępnych
w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń –
timelines.
8
Program przedmiotu - laboratoria
Wariantowo (2 z 4)
●
●
●
●
Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie
dostarczonego obrazu systemu).
Analiza materiału dowodowego pochodzącego z telefonu komórkowego
(na podstawie dostarczonego obrazu karty).
Wstęp do analizy Windows (czyli wszystko jest w rejestrze).
Prowadzenie śledztwa w sieci – poszukiwanie źródeł dowodów
dot. funkcjonowania grup przestępczych np. na przykładzie
internetowego serwisu inwestycyjnego typu HYIP.
9
Regulamin zaliczenia przedmiotu (wersja skrócona)
●
●
●
●
Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru
(po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności
sprawdzana bez zapowiedzi trzy razy w ciągu semestru).
Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się
od 10-minutowego testu (za każda błędną odpowiedź ocena końcowa
z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca
z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów.
Bez poprawek (powtórnych podejść). Nie ma wymagania zaliczenia
indywidualnie wykładów i laboratoriów.
Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów
sumują się. Do zaliczenia wymagane jest co najmniej 51 punktów.
Skala liniowa: (51-60 punktów na 3, 61-70 punktów na 3,5 itd.,
91- 103 punkty daje 5).
10
Organizacja zajęć
●
Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów,
terminy kolokwiów) będzie dostępny na stronie przedmiotu
http://studia.elka.pw.edu.pl/pub/14L/ISL.A/
●
Na stronie przedmiotu będą sukcesywnie udostępniane materiały
dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria
ocen, niezbędne formularze – po zalogowaniu na
https://studia.elka.pw.edu.pl/priv/14L/ISL.A/)
oraz inne ważne informacje, w tym bieżące komunikaty.
11
Narzędzia i literatura
●
Polecane narzędzia:
http://studia.elka.pw.edu.pl/pub/14L/ISL.A/tools.html
●
Literatura:
http://studia.elka.pw.edu.pl/pub/14L/ISL.A/books.html
12
Prowadzący zajęcia – Who is Who
●
dr inż Magdalena Szeżyńska, CISA
●
specjalizacja: elektronika i inżynieria komputerowa, kryptografia,
bezpieczeństwo informacji, audyt systemów informatycznych, informatyka
śledcza
●
zadania: koordynacja, wykłady
●
konsultacje: wtorki 14:30-15:30, pok. 249
●
e-mail: [email protected]
13
Prowadzący zajęcia – Who is Who
●
mgr inż. mgr Krzysztof Gołofit
●
●
specjalizacja: elektronika i inżynieria komputerowa, kryptografia,
bezpieczeństwo informacji, audyt systemów informatycznych, informatyka
śledcza, psychologia organizacji pracy,
●
zadania: laboratoria
●
konsultacje: do ustalenia, pok 249
●
mgr inż. Damian Gromek
●
●
specjalizacja: elektronika i inżynieria komputerowa, cyfrowe
przetwarzanie sygnałów, radiolokacja, radary z syntetyczną aperturą,
radary pasywne i aktywne
●
zadania: laboratoria
●
konsultacje: do ustalenia, pok 449
●
14
Komunikacja
●
Wszelką korespondencję elektroniczną należy kierować pod adres(y)
...elka.pw.edu.pl
●
Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl
będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe).
●
Listy nadchodzące spod innych adresów będą obsługiwane w dwa dni
w tygodniu (tj. we wtorek i czwartek) – o ile nie przepadną wśród
spamu.
15

ISL - informacje wstępne

Transkrypt

Podobne dokumenty

Program przedmiotu i organizacja zajęć

„Z miłości do prawdy” – Karina Pjankowa

Program przedmiotu i organizacja zajęć

BW badania komputerowe inf_sledczna_monitoring

Ramowy program kursu – Audyt śledczy w procesie kontroli

KATALOG KIERUNKÓW STUDIÓW W RAMACH

Informatyka śledcza jako element reakcji na incydenty

Informatyka Śledcza - Skuteczne Wykorzystanie Najnowszych

Postępowanie dochodzeniowe Informatyka śledcza