Program przedmiotu i organizacja zajęć
Transkrypt
Program przedmiotu i organizacja zajęć
Informatyka śledcza informacje wstępne – organizacja zajęć Dr inż. Magdalena Szeżyńska, CISA Instytut Systemów Elektronicznych P.W. [email protected] EiTI, zima 2012 Informatyka śledcza ● ● ● Zajęcia prowadzone w formie wykładu połączonego z laboratorium poświęcone są informatyce śledczej, tzn. procesowi identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy niezbędnej do realizacji rzetelnych praktyk informatyki śledczej. Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte w toku przedmiotów zalecanych jako poprzedniki i rozwijają je w kontekście informatyki śledczej, a dobre rozumienie możliwości technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa systemów informatycznych. Informatyka śledcza - w01a - informacje wstępne 2 Program przedmiotu ● ● ● Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje, potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy śledztwa informatycznego – przygotowanie przypadku, rozpoczęcie śledztwa, przeprowadzenie przykładowego badania, analiza przypadku, sporządzanie dokumentacji. Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo systemów informatycznych) – reakcja na incydenty z zakresu bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność dochodzenia, analiza dowodów. Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów na miejscu przestępstwa i w laboratorium badawczym, katalogowanie i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich integralności, wiarygodności poufności itp.) oraz prezentacja wniosków z informatycznego śledztwa. Informatyka śledcza - w01a - informacje wstępne 3 Program przedmiotu ● ● ● Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy, specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne platformy i komercyjne, techniki eDiscovery). Wirtualizacja w służbie informatyki śledczej. Procesy uruchamiania (booting) systemów, dyski startowe, partycje rozruchowe, sektory i programy ładujące, tworzenie obrazów uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD i dysków USB w celu nieinwazyjnego dostępu do badanego systemu. Informatyka śledcza - w01a - informacje wstępne 4 Program przedmiotu ● ● ● ● ● Systemy plików FAT, NTFS/NTFS5, EXT2/EXT3, USF1/USF2 itp.specyfikacje, struktury danych, specyficzne techniki badania. Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików zawierających potencjalne dowody, interpretacja dzienników zdarzeń aplikacji i logów systemowych, dowodzenie zaistnienia włamania. Pozyskiwanie i analiza dowodów z urządzeń mobilnych. Badanie systemów czynnych (live systems: Windows, Unix/Linux) oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki eDiscovery. Przypadki prawdziwe - case studies. Informatyka śledcza - w01a - informacje wstępne 5 Program przedmiotu - laboratoria ● ● ● Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie skasowanych i nadpisanych plików – tutorial. Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów dysków z zapewnieniem ich integralności poprzez obliczanie skrótów przy wykorzystaniu dedykowanej dystrybucji Linuxa, tworzenie i analiza obrazów zawierających system plików FAT i poszukiwanie ukrytych w nich dowodów. Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie ukrytych w nim dowodów przy pomocy narzędzi dostępnych w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń – timelines. Informatyka śledcza - w01a - informacje wstępne 6 Program przedmiotu - laboratoria Wariantowo (2 z 4) ● ● ● ● Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie dostarczonego obrazu systemu). Analiza materiału dowodowego pochodzącego z telefonu komórkowego (na podstawie dostarczonego obrazu karty). Wstęp do analizy Windows (czyli wszystko jest w rejestrze). Prowadzenie śledztwa w sieci – poszukiwanie źródeł dowodów dot. funkcjonowania grup przestępczych np. na przykładzie internetowego serwisu inwestycyjnego typu HYIP. Informatyka śledcza - w01a - informacje wstępne 7 Narzędzia i literatura ● Polecane narzędzia: http://studia.elka.pw.edu.pl/pub/12Z/ISL.A/tools.html ● Literatura: http://studia.elka.pw.edu.pl/pub/12Z/ISL.A/books.html Informatyka śledcza - w01a - informacje wstępne 8 Computer Forensic Analysis Class W sierpniu 1999r. w IBM T.J. Watson Research Center (Yorktown Heights, NY, USA) odbyło się seminarium , podczas którego Dan Farmer (Earthlink) i Wietse Venema (IBM) poprowadzili całodniowe warsztaty poświęcone analizie powłamaniowej systemów uniksowych. Na stronie http://www.porcupine.org/forensics/ dostępne są: ● materiały wykładowe z 1999r., ● podręcznik „Forensic Discovery” oraz ● Informatyka śledcza - w01a - informacje wstępne The Coroner's Toolkit (TCT) – zestaw narzędzi prezentowany na seminarium i wykorzystywany w ćwiczeniach opisanych w podręczniku. 9 Organizacja zajęć ● Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów, terminy kolokwiów) będzie dostępny na stronie przedmiotu http://studia.elka.pw.edu.pl/pub/12Z/ISL.A/ ● Na stronie przedmiotu będą sukcesywnie udostępniane materiały dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria ocen, niezbędne formularze – po zalogowaniu na https://studia.elka.pw.edu.pl/priv/12Z/ISL.A/) oraz inne ważne informacje, w tym bieżące komunikaty. Informatyka śledcza - w01a - informacje wstępne 10 Regulamin zaliczenia przedmiotu ● ● ● ● Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru (po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu semestru). Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się od 10-minutowego testu (za każda błędną odpowiedź ocena końcowa z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów. Bez poprawek (powtórnych podejść). Nie ma wymagania zaliczenia indywidualnie wykładów i laboratoriów. Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów sumują się. Do zaliczenia wymagane jest co najmniej 51 punktów. Skala liniowa: (51-60 punktów na 3, 61-70 punktów na 3,5 itd., 91- 103 punkty daje 5). Informatyka śledcza - w01a - informacje wstępne 11 Komunikacja ● Wszelką korespondencję elektroniczną należy kierować pod adres [email protected] ● Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe). ● ● Listy nadchodzące spod innych adresów będą obsługiwane w dwa dni w tygodniu (tj. we wtorek i czwartek) – o ile nie przepadną wśród spamu. Miejsce i termin konsultacji: pok. 249 GE – wtorki 13:30-14:30 (lub innego dnia po umówieniu się e-mailem). Informatyka śledcza - w01a - informacje wstępne 12