Program przedmiotu i organizacja zajęć

Informatyka śledcza
informacje wstępne – organizacja zajęć
Dr inż. Magdalena Szeżyńska, CISA
Instytut Systemów Elektronicznych P.W.
[email protected]
EiTI, zima 2012
Informatyka śledcza
●
●
●
Zajęcia prowadzone w formie wykładu połączonego z laboratorium
poświęcone są informatyce śledczej, tzn. procesowi identyfikowania,
zabezpieczania, analizowania i prezentowania dowodów
elektronicznych w sposób umożliwiający dopuszczenie ich
w postępowaniu sądowym.
Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy
niezbędnej do realizacji rzetelnych praktyk informatyki śledczej.
Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte
w toku przedmiotów zalecanych jako poprzedniki i rozwijają je
w kontekście informatyki śledczej, a dobre rozumienie możliwości
technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa
systemów informatycznych.
Informatyka śledcza - w01a - informacje wstępne
2
Program przedmiotu
●
●
●
Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje,
potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy
śledztwa informatycznego – przygotowanie przypadku, rozpoczęcie
śledztwa, przeprowadzenie przykładowego badania, analiza przypadku,
sporządzanie dokumentacji.
Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo
systemów informatycznych) – reakcja na incydenty z zakresu
bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność
dochodzenia, analiza dowodów.
Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów
na miejscu przestępstwa i w laboratorium badawczym, katalogowanie
i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich
integralności, wiarygodności poufności itp.) oraz prezentacja wniosków
z informatycznego śledztwa.
Informatyka śledcza - w01a - informacje wstępne
3
Program przedmiotu
●
●
●
Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy,
specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne
platformy i komercyjne, techniki eDiscovery).
Wirtualizacja w służbie informatyki śledczej.
Procesy uruchamiania (booting) systemów, dyski startowe, partycje
rozruchowe, sektory i programy ładujące, tworzenie obrazów
uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD
i dysków USB w celu nieinwazyjnego dostępu do badanego systemu.
Informatyka śledcza - w01a - informacje wstępne
4
Program przedmiotu
●
●
●
●
●
Systemy plików FAT, NTFS/NTFS5, EXT2/EXT3, USF1/USF2 itp.specyfikacje, struktury danych, specyficzne techniki badania.
Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików
zawierających potencjalne dowody, interpretacja dzienników zdarzeń
aplikacji i logów systemowych, dowodzenie zaistnienia włamania.
Pozyskiwanie i analiza dowodów z urządzeń mobilnych.
Badanie systemów czynnych (live systems: Windows, Unix/Linux)
oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki
eDiscovery.
Przypadki prawdziwe - case studies.
Informatyka śledcza - w01a - informacje wstępne
5
Program przedmiotu - laboratoria
●
●
●
Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego
śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie
skasowanych i nadpisanych plików – tutorial.
Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów
dysków z zapewnieniem ich integralności poprzez obliczanie skrótów
przy wykorzystaniu dedykowanej dystrybucji Linuxa, tworzenie i analiza
obrazów zawierających system plików FAT i poszukiwanie ukrytych
w nich dowodów.
Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie
ukrytych w nim dowodów przy pomocy narzędzi dostępnych
w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń –
timelines.
Informatyka śledcza - w01a - informacje wstępne
6
Program przedmiotu - laboratoria
Wariantowo (2 z 4)
●
●
●
●
Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie
dostarczonego obrazu systemu).
Analiza materiału dowodowego pochodzącego z telefonu komórkowego
(na podstawie dostarczonego obrazu karty).
Wstęp do analizy Windows (czyli wszystko jest w rejestrze).
Prowadzenie śledztwa w sieci – poszukiwanie źródeł dowodów
dot. funkcjonowania grup przestępczych np. na przykładzie
internetowego serwisu inwestycyjnego typu HYIP.
Informatyka śledcza - w01a - informacje wstępne
7
Narzędzia i literatura
●
Polecane narzędzia:
http://studia.elka.pw.edu.pl/pub/12Z/ISL.A/tools.html
●
Literatura:
http://studia.elka.pw.edu.pl/pub/12Z/ISL.A/books.html
Informatyka śledcza - w01a - informacje wstępne
8
Computer Forensic Analysis Class
W sierpniu 1999r. w IBM T.J. Watson Research Center (Yorktown Heights,
NY, USA) odbyło się seminarium , podczas którego Dan Farmer (Earthlink)
i Wietse Venema (IBM) poprowadzili całodniowe warsztaty poświęcone analizie
powłamaniowej systemów uniksowych.
Na stronie
http://www.porcupine.org/forensics/
dostępne są:
●
materiały wykładowe z 1999r.,
●
podręcznik „Forensic Discovery” oraz
●
Informatyka śledcza - w01a - informacje wstępne
The Coroner's Toolkit (TCT) – zestaw
narzędzi prezentowany na seminarium
i wykorzystywany w ćwiczeniach opisanych
w podręczniku.
9
Organizacja zajęć
●
Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów,
terminy kolokwiów) będzie dostępny na stronie przedmiotu
http://studia.elka.pw.edu.pl/pub/12Z/ISL.A/
●
Na stronie przedmiotu będą sukcesywnie udostępniane materiały
dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria
ocen, niezbędne formularze – po zalogowaniu na
https://studia.elka.pw.edu.pl/priv/12Z/ISL.A/)
oraz inne ważne informacje, w tym bieżące komunikaty.
Informatyka śledcza - w01a - informacje wstępne
10
Regulamin zaliczenia przedmiotu
●
●
●
●
Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru
(po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności
sprawdzana bez zapowiedzi trzy razy w ciągu semestru).
Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się
od 10-minutowego testu (za każda błędną odpowiedź ocena końcowa
z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca
z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów.
Bez poprawek (powtórnych podejść). Nie ma wymagania zaliczenia
indywidualnie wykładów i laboratoriów.
Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów
sumują się. Do zaliczenia wymagane jest co najmniej 51 punktów.
Skala liniowa: (51-60 punktów na 3, 61-70 punktów na 3,5 itd.,
91- 103 punkty daje 5).
Informatyka śledcza - w01a - informacje wstępne
11
Komunikacja
●
Wszelką korespondencję elektroniczną należy kierować pod adres
[email protected]
●
Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl
będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe).
●
●
Listy nadchodzące spod innych adresów będą obsługiwane w dwa dni
w tygodniu (tj. we wtorek i czwartek) – o ile nie przepadną wśród
spamu.
Miejsce i termin konsultacji: pok. 249 GE – wtorki 13:30-14:30
(lub innego dnia po umówieniu się e-mailem).
Informatyka śledcza - w01a - informacje wstępne
12