Informatyka śledcza informacje wstępne organizacja zajęć Dr inż. Magdalena Szeżyńska, CISA Instytut Systemów Elektronicznych P.W. m.szezynska@elka.pw.edu.pl EiTI, lato 2014
Informatyka śledcza Digital Forensic Investigation Według Briana Carriera: digital investigation cyfrowe śledztwo - to proces znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów i zdarzeń, digital forensic investigation to specjalny przypadek cyfrowego śledztwa, w którym zastosowane procedury i techniki pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu sądowym. 2
Informatyka śledcza Computer Forensics Informatyka śledcza jest procesem identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Forensic Computing Computer forensics is the process of identifying, preserving, analysing and presenting digital evidence in a manner that is legally acceptable. R. McKemmish, 'What is Forensic Computing?' (Australian Institute of Criminology, 1999) 3
Informatyka śledcza Zajęcia prowadzone w formie wykładu połączonego z laboratorium poświęcone są informatyce śledczej, tzn. procesowi identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy niezbędnej do realizacji rzetelnych praktyk informatyki śledczej. Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte w toku przedmiotów zalecanych jako poprzedniki i rozwijają je w kontekście informatyki śledczej, a dobre rozumienie możliwości technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa systemów informatycznych. 4
Program przedmiotu Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje, potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy śledztwa informatycznego przygotowanie przypadku, rozpoczęcie śledztwa, przeprowadzenie przykładowego badania, analiza przypadku, sporządzanie dokumentacji. Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo systemów informatycznych) reakcja na incydenty z zakresu bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność dochodzenia, analiza dowodów. Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów na miejscu przestępstwa i w laboratorium badawczym, katalogowanie i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich integralności, wiarygodności poufności itp.) oraz prezentacja wniosków z informatycznego śledztwa. 5
Program przedmiotu Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy, specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne platformy i komercyjne, techniki ediscovery). Wirtualizacja w służbie informatyki śledczej. Procesy uruchamiania (booting) systemów, dyski startowe, partycje rozruchowe, sektory i programy ładujące, tworzenie obrazów uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD i dysków USB w celu nieinwazyjnego dostępu do badanego systemu. 6
Program przedmiotu Systemy plików FAT, NTFS/NTFS5, EXT2/EXT3, USF1/USF2 itp.- specyfikacje, struktury danych, specyficzne techniki badania. Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików zawierających potencjalne dowody, interpretacja dzienników zdarzeń aplikacji i logów systemowych, dowodzenie zaistnienia włamania. Pozyskiwanie i analiza dowodów z urządzeń mobilnych. Badanie systemów czynnych (live systems: Windows, Unix/Linux) oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki ediscovery. Przypadki prawdziwe - case studies. 7
Program przedmiotu - laboratoria Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie skasowanych i nadpisanych plików tutorial. Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów dysków z zapewnieniem ich integralności poprzez obliczanie skrótów przy wykorzystaniu dedykowanej dystrybucji Linuxa, tworzenie i analiza obrazów zawierających system plików FAT i poszukiwanie ukrytych w nich dowodów. Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie ukrytych w nim dowodów przy pomocy narzędzi dostępnych w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń timelines. 8
Program przedmiotu - laboratoria Wariantowo (2 z 4) Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie dostarczonego obrazu systemu). Analiza materiału dowodowego pochodzącego z telefonu komórkowego (na podstawie dostarczonego obrazu karty). Wstęp do analizy Windows (czyli wszystko jest w rejestrze). Prowadzenie śledztwa w sieci poszukiwanie źródeł dowodów dot. funkcjonowania grup przestępczych np. na przykładzie internetowego serwisu inwestycyjnego typu HYIP. 9
Regulamin zaliczenia przedmiotu (wersja skrócona) Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru (po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu semestru). Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się od 10-minutowego testu (za każda błędną odpowiedź ocena końcowa z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów. Bez poprawek (powtórnych podejść). Nie ma wymagania zaliczenia indywidualnie wykładów i laboratoriów. Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów sumują się. Do zaliczenia wymagane jest co najmniej 51 punktów. Skala liniowa: (51-60 punktów na 3, 61-70 punktów na 3,5 itd., 91-103 punkty daje 5). 10
Organizacja zajęć Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów, terminy kolokwiów) będzie dostępny na stronie przedmiotu http://studia.elka.pw.edu.pl/pub/14l/isl.a/ Na stronie przedmiotu będą sukcesywnie udostępniane materiały dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria ocen, niezbędne formularze po zalogowaniu na https://studia.elka.pw.edu.pl/priv/14l/isl.a/) oraz inne ważne informacje, w tym bieżące komunikaty. 11
Narzędzia i literatura Polecane narzędzia: http://studia.elka.pw.edu.pl/pub/14l/isl.a/tools.html Literatura: http://studia.elka.pw.edu.pl/pub/14l/isl.a/books.html 12
Prowadzący zajęcia Who is Who dr inż Magdalena Szeżyńska, CISA specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza zadania: koordynacja, wykłady konsultacje: wtorki 14:30-15:30, pok. 249 e-mail: m.szezynska@elka.pw.edu.pl 13
Prowadzący zajęcia Who is Who mgr inż. mgr Krzysztof Gołofit specjalizacja: elektronika i inżynieria komputerowa, kryptografia, bezpieczeństwo informacji, audyt systemów informatycznych, informatyka śledcza, psychologia organizacji pracy, zadania: laboratoria konsultacje: do ustalenia, pok 249 e-mail: k.golofit@elka.pw.edu.pl mgr inż. Damian Gromek specjalizacja: elektronika i inżynieria komputerowa, cyfrowe przetwarzanie sygnałów, radiolokacja, radary z syntetyczną aperturą, radary pasywne i aktywne zadania: laboratoria konsultacje: do ustalenia, pok 449 e-mail: d.gromek@stud.elka.pw.edu.pl 14
Komunikacja Wszelką korespondencję elektroniczną należy kierować pod adres(y)...elka.pw.edu.pl Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe). Listy nadchodzące spod innych adresów będą obsługiwane w dwa dni w tygodniu (tj. we wtorek i czwartek) o ile nie przepadną wśród spamu. 15