Informatyka śledcza informacje wstępne organizacja zajęć Dr inż. Magdalena Szeżyńska, CISA Instytut Systemów Elektronicznych P.W. m.szezynska@elka.pw.edu.pl EiTI, zima 2012
Informatyka śledcza Zajęcia prowadzone w formie wykładu połączonego z laboratorium poświęcone są informatyce śledczej, tzn. procesowi identyfikowania, zabezpieczania, analizowania i prezentowania dowodów elektronicznych w sposób umożliwiający dopuszczenie ich w postępowaniu sądowym. Celem zajęć jest dostarczenie słuchaczom podstawowej wiedzy niezbędnej do realizacji rzetelnych praktyk informatyki śledczej. Zajęcia laboratoryjne wykorzystują umiejętności techniczne nabyte w toku przedmiotów zalecanych jako poprzedniki i rozwijają je w kontekście informatyki śledczej, a dobre rozumienie możliwości technik śledczych zwiększa świadomość zagrożeń bezpieczeństwa systemów informatycznych. 2
Program przedmiotu Wprowadzenie podstawowych koncepcji informatyki śledczej - definicje, potrzeby, wymagania, podstawy prawne, aspekty etyczne; główne fazy śledztwa informatycznego przygotowanie przypadku, rozpoczęcie śledztwa, przeprowadzenie przykładowego badania, analiza przypadku, sporządzanie dokumentacji. Informatyka śledcza a bezpieczeństwo informacji (bezpieczeństwo systemów informatycznych) reakcja na incydenty z zakresu bezpieczeństwa informacji, aspekty prawne i regulacyjne, skuteczność dochodzenia, analiza dowodów. Identyfikacja elektronicznych dowodów winy, zabezpieczanie dowodów na miejscu przestępstwa i w laboratorium badawczym, katalogowanie i przechowywanie dowodów, zabezpieczanie dowodów (zapewnienie ich integralności, wiarygodności poufności itp.) oraz prezentacja wniosków z informatycznego śledztwa. 3
Program przedmiotu Narzędzia pracy informatycznego śledczego (TCT, Sleuthkit, Autopsy, specjalizowane dystrybucje Linuxa, rozwiązania przeznaczone na inne platformy i komercyjne, techniki ediscovery). Wirtualizacja w służbie informatyki śledczej. Procesy uruchamiania (booting) systemów, dyski startowe, partycje rozruchowe, sektory i programy ładujące, tworzenie obrazów uruchomieniowych CD/DVD i USB oraz wykorzystywanie płyt CD/DVD i dysków USB w celu nieinwazyjnego dostępu do badanego systemu. 4
Program przedmiotu Systemy plików FAT, NTFS/NTFS5, EXT2/EXT3, USF1/USF2 itp.- specyfikacje, struktury danych, specyficzne techniki badania. Rozpoznawanie typów, rekonstrukcja i analiza zawartości plików zawierających potencjalne dowody, interpretacja dzienników zdarzeń aplikacji i logów systemowych, dowodzenie zaistnienia włamania. Pozyskiwanie i analiza dowodów z urządzeń mobilnych. Badanie systemów czynnych (live systems: Windows, Unix/Linux) oraz ruchu sieciowego, poszukiwanie dowodów w Internecie, techniki ediscovery. Przypadki prawdziwe - case studies. 5
Program przedmiotu - laboratoria Zapoznanie się ze stacją roboczą i oprogramowaniem informatycznego śledczego, analiza obrazu dysku typu pendrive, odzyskiwanie skasowanych i nadpisanych plików tutorial. Zabezpieczanie dowodów, tj. samodzielne wykonywanie obrazów dysków z zapewnieniem ich integralności poprzez obliczanie skrótów przy wykorzystaniu dedykowanej dystrybucji Linuxa, tworzenie i analiza obrazów zawierających system plików FAT i poszukiwanie ukrytych w nich dowodów. Tworzenie obrazu systemu plików NTFS, jego analiza i poszukiwanie ukrytych w nim dowodów przy pomocy narzędzi dostępnych w środowiskach Linux i Windows, odtwarzanie sekwencji zdarzeń timelines. 6
Program przedmiotu - laboratoria Wariantowo (2 z 4) Przeprowadzenie analizy powłamaniowej systemu Linux (na podstawie dostarczonego obrazu systemu). Analiza materiału dowodowego pochodzącego z telefonu komórkowego (na podstawie dostarczonego obrazu karty). Wstęp do analizy Windows (czyli wszystko jest w rejestrze). Prowadzenie śledztwa w sieci poszukiwanie źródeł dowodów dot. funkcjonowania grup przestępczych np. na przykładzie internetowego serwisu inwestycyjnego typu HYIP. 7
Narzędzia i literatura Polecane narzędzia: http://studia.elka.pw.edu.pl/pub/12z/isl.a/tools.html Literatura: http://studia.elka.pw.edu.pl/pub/12z/isl.a/books.html 8
Computer Forensic Analysis Class W sierpniu 1999r. w IBM T.J. Watson Research Center (Yorktown Heights, NY, USA) odbyło się seminarium, podczas którego Dan Farmer (Earthlink) i Wietse Venema (IBM) poprowadzili całodniowe warsztaty poświęcone analizie powłamaniowej systemów uniksowych. Na stronie http://www.porcupine.org/forensics/ dostępne są: materiały wykładowe z 1999r., podręcznik Forensic Discovery oraz The Coroner's Toolkit (TCT) zestaw narzędzi prezentowany na seminarium i wykorzystywany w ćwiczeniach opisanych w podręczniku. 9
Organizacja zajęć Szczegółowy harmonogram zajęć (terminy wykładów i laboratoriów, terminy kolokwiów) będzie dostępny na stronie przedmiotu http://studia.elka.pw.edu.pl/pub/12z/isl.a/ Na stronie przedmiotu będą sukcesywnie udostępniane materiały dydaktyczne (materiały wykładowe, instrukcje laboratoryjne, kryteria ocen, niezbędne formularze po zalogowaniu na https://studia.elka.pw.edu.pl/priv/12z/isl.a/) oraz inne ważne informacje, w tym bieżące komunikaty. 10
Regulamin zaliczenia przedmiotu Wykłady: Dwa testy (bez notatek) w połowie i na koniec semestru (po 25 punktów). 3 dodatkowe punkty za obecność (lista obecności sprawdzana bez zapowiedzi trzy razy w ciągu semestru). Laboratoria: Pięć 3-godzinnych laboratoriów rozpoczynających się od 10-minutowego testu (za każda błędną odpowiedź ocena końcowa z laboratorium zostaje obniżona o 1 punkt), potem indywidualna praca z naciskiem na dokumentację. Do uzyskania 5 x 10 punktów. Bez poprawek (powtórnych podejść). Nie ma wymagania zaliczenia indywidualnie wykładów i laboratoriów. Ostateczny wynik: Punkty z testów, za obecność i z laboratoriów sumują się. Do zaliczenia wymagane jest co najmniej 51 punktów. Skala liniowa: (51-60 punktów na 3, 61-70 punktów na 3,5 itd., 91-103 punkty daje 5). 11
Komunikacja Wszelką korespondencję elektroniczną należy kierować pod adres m.szezynska@elka.pw.edu.pl Listy nadchodzące z adresów znajdujących się w domenie pw.edu.pl będą obsługiwane bez zbędnej zwłoki (tj. najszybciej, jak to możliwe). Listy nadchodzące spod innych adresów będą obsługiwane w dwa dni w tygodniu (tj. we wtorek i czwartek) o ile nie przepadną wśród spamu. Miejsce i termin konsultacji: pok. 249 GE wtorki 13:30-14:30 (lub innego dnia po umówieniu się e-mailem). 12