Informatyka śledcza informacje wstępne organizacja zajęć dr inż. Magdalena Szeżyńska, CISA Instytut Systemów Elektronicznych P.W. m.szezynska@elka.pw.edu.pl Zima 2015
Informatyka śledcza Computer Forensics Informatyka śledcza jest procesem identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Forensic Computing Computer forensics is the process of identifying, preserving, analysing and presenting digital evidence in a manner that is legally acceptable. R. McKemmish, 'What is Forensic Computing?' (Australian Institute of Criminology, 1999) 2
Informatyka śledcza Digital Forensic Investigation Według Briana Carriera: digital investigation cyfrowe śledztwo to proces znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów i zdarzeń, digital forensic investigation to specjalny przypadek cyfrowego śledztwa, w którym zastosowane procedury i techniki pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu sądowym. 3
Informatyka śledcza Zajęcia prowadzone w formie wykładu połączonego z laboratorium poświęcone są informatyce śledczej, tzn. procesowi identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy niezbędnej do realizacji rzetelnych praktyk informatyki śledczej. Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte w toku przedmiotów zalecanych jako poprzedniki i rozwijają je w kontekście informatyki śledczej, a dobre rozumienie możliwości technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa systemów informatycznych. 4
Program przedmiotu Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje, potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy śledztwa informatycznego przygotowanie przypadku, rozpoczęcie śledztwa, przeprowadzenie przykładowego badania, analiza przypadku, sporządzanie dokumentacji. Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo systemów informatycznych) reakcja na incydenty z zakresu bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność dochodzenia, analiza dowodów. Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów na miejscu przestępstwa i w laboratorium badawczym, katalogowanie i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich integralności, wiarygodności poufności itp.) oraz prezentacja wniosków z informatycznego śledztwa. 5
Program przedmiotu Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy, specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne platformy i komercyjne, techniki ediscovery). Wirtualizacja w służbie informatyki śledczej. Procesy uruchamiania (booting) systemów, dyski startowe, partycje rozruchowe, sektory i programy ładujące, tworzenie obrazów uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD i dysków USB w celu nieinwazyjnego dostępu do badanego systemu. 6
Program przedmiotu Systemy plików specyfikacje, struktury danych, specyficzne techniki badania. Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików zawierających potencjalne dowody, interpretacja dzienników zdarzeń aplikacji i logów systemowych, dowodzenie zaistnienia włamania. Pozyskiwanie i analiza dowodów z urządzeń mobilnych. Badanie systemów czynnych (live systems: Windows, Unix/Linux) oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki ediscovery. Przypadki prawdziwe case studies. 7
Program przedmiotu - laboratoria Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie skasowanych i nadpisanych plików tutorial. Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów dysków z zapewnieniem ich integralności poprzez obliczanie skrótów przy wykorzystaniu dedykowanej dystrybucji Linuksa, tworzenie i analiza obrazów zawierających system plików FAT i poszukiwanie ukrytych w nich dowodów. Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie ukrytych w nim dowodów przy pomocy narzędzi dostępnych w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń timelines. 8
Program przedmiotu - laboratoria Wariantowo (2 z 4) Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie dostarczonego obrazu systemu). Analiza materiału dowodowego pochodzącego z tradycyjnego telefonu komórkowego (na podstawie dostarczonego obrazu karty). Wstęp do analizy Windows 7 (czyli wszystko jest w rejestrze). Prowadzenie śledztwa w sieci poszukiwanie źródeł dowodów dot. funkcjonowania grup przestępczych np. na przykładzie internetowego serwisu inwestycyjnego typu HYIP. 9
Regulamin zaliczenia przedmiotu (wersja skrócona) Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru (po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu semestru). Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się od 10-minutowego testu (za każdą błędną odpowiedź ocena końcowa z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów. 10
Regulamin zaliczenia przedmiotu (wersja skrócona) Nie ma poprawek (nie ma powtórnych podejść, w tym sprawdzianu poprawkowego). Nie ma wymagania zaliczenia indywidualnie wykładów i laboratoriów. Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów sumują się. Do zaliczenia wymagane jest więcej, niż 50 punktów. Skala liniowa: (50,01-60 punktów na 3, 60,01-70 punktów na 3,5 itd., 90,01-103 punkty daje 5). 11
Obliczenie punktów ECTS dla ISL Godziny kontaktowe 45 h; w tym: obecność na wykładach 30 h obecność na laboratoriach 15 h Przygotowanie do zajęć laboratoryjnych 20 h Konsultacje 2 h Samodzielne zapoznawanie się z literaturą 15 h Przygotowanie do sprawdzianów 20 h Łączny nakład pracy studenta wynosi 102 h co odpowiada 4 pkt. ECTS (przyjmuje się, że jeden punkt ECTS odpowiada 25-30 godzinom pracy studenta). 12
Obliczenie punktów ECTS dla ISL Szacowanie nakładu pracy studenta uwzględnia wszystkie formy zajęć. Godziny kontaktowe to te, których czas jest określony planem studiów (rozkładem zajęć) w przypadku ISL są to wykłady i laboratoria. Do tego nakładu doliczono czas poświęcony na przygotowanie się do laboratoriów, na samodzielne studiowanie przedmiotu oraz na przygotowanie się do sprawdzianów. Liczba punktów ECTS przypisanych Informatyce śledczej odzwierciedla nakład pracy przeciętnego studenta uczęszczającego na ten przedmiot. Zdolny student nie będzie musiał poświęcić na przedmiot aż stu godzin, natomiast słabszy student będzie musiał tego czasu poświęcić znacznie więcej. 13
Organizacja zajęć Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów, terminy kolokwiów) będzie dostępny na stronie przedmiotu http://staff.elka.pw.edu.pl/~mszezyns/isl/ Na stronie przedmiotu będą sukcesywnie udostępniane materiały dydaktyczne oraz inne ważne informacje, w tym bieżące komunikaty. Materiały wykładowe, instrukcje laboratoryjne, kryteria ocen oraz niezbędne formularze będą publikowane na stronie http://staff.elka.pw.edu.pl/~mszezyns/isl/priv/) dostępnej po zalogowaniu przy pomocy hasła i loginu otrzymanego od wykładowcy. 14
Przekładanie terminów wykonania laboratorium i pisania sprawdzianu Prawo do wykonywania laboratorium lub pisania sprawdzianu w innym terminie, niż przewidziany harmonogramem, przysługuje osobom, które: nie mogą być na laboratorium lub sprawdzianie, ponieważ w tym samym terminie wyznaczono im inne obowiązkowe zajęcia na P.W. (np. obowiązkowe ćwiczenia lub sprawdzian przeprowadzany przez innego wykładowcę), nie mogą być na laboratorium lub sprawdzianie z powodu choroby (potwierdzonej zwolnieniem lekarskim) przed końcem semestru wyjeżdżają w ramach wymiany zagranicznej. Niezależnie od powyższego każda osoba może indywidualnie zamienić się terminem wykonania danego ćwiczenia laboratoryjnego z koleżanką lub kolegą z grupy alternatywnej (szczegółowe wytyczne zostaną przesłane pocztą elektroniczną). 15
Prowadzący zajęcia Who is Who dr inż. Magdalena Szeżyńska, CISA specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza zadania: koordynacja, wykłady, laboratoria konsultacje: wtorki 14:30-15:30, pok. 249 e-mail: m.szezynska@elka.pw.edu.pl strona domowa: http://staff.elka.pw.edu.pl/~mszezyns/ 16
Prowadzący zajęcia Who is Who dr inż. mgr Krzysztof Gołofit specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza, psychologia organizacji pracy zadania: wsparcie, laboratoria konsultacje: do ustalenia, pok 249 e-mail: k.golofit@elka.pw.edu.pl 17
Komunikacja Wszelką korespondencję elektroniczną należy kierować pod adres(y)...@elka.pw.edu.pl Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe). Listy nadchodzące spod innych adresów będą obsługiwane bez pośpiechu i sporadycznie o ile nie przepadną wśród spamu. 18