====== Forenzní trénink 1: Úvod do forenzní analýzy ====== Na této stránce naleznete všechny potřebné informace o školení. ^ Poznámka Toto školení není pořádáno v pravidelných intervalech -- pokud máte zájem o účast, napište nám na [[sluzby@cesnet.cz]]. ^ ===== Základní informace ===== ^ Název školení | Forenzní trénink 1: Úvod do forenzní analýzy | ^ Lektoři | Ing. Aleš Padrta, Ph.D., Ing. Radomír Orkáč | ^ Popis školení | Obsahem dvoudenního školení je úvod do forenzní analýzy IT, kdy se účastníci pod vedením zkušených školitelů naučí základní principy forenzní analýzy, postup při zajišťování dat, vytváření časové osy (ze souborového systému a dalších informací) a její následnou analýzu, během které jsou postupně objevovány jednotlivé stopy vedoucí k vytvoření komplexního obrazu analyzovaného incidentu. Účastníci si také vyzkouší jak zjištěné výsledky prezentovat vhodnou formou. Výukové bloky se skládají z teoretického úvodu, praktického "hands-on" cvičení v prostředí počítačové laboratoře a také prezentace vzorového řešení. | ^ Součásti školení | Účastníci obdrží materiály používané během školení a certifikát o absolvování. Občerstvení během přestávek na kávu je zajištěno, stejně tak oběd během obou dnů. Večer prvního dne školení je k dispozici bezplatná a dobrovolná doplňková aktivita ve formě odborného večerního programu (Forensic Night @ CESNET).| ^ Jazyk školení | Školení bude vedeno v českém jazyce. | ^ Délka školení | 2 dny (12 hodin) | ^ Požadované schopnosti | GNU/Linux (alespoň na uživatelské úrovni, znalost práce v příkazové řádce) | ===== Časový harmonogram ===== ^ První den školení ^^^ | 8.50 | 9.10 | Registrace | | 9.10 | 9.20 | Uvítání | | 9.20 | 9.45 | Úvod do forenzní analýzy | | 9.45 | 10.50 | Zajištění podkladů | | **10.50** | **11.10** | **Přestávka na kávu** | | 11.10 | 12.30 | Časová osa souborového systému | | **12.30** | **13.30** | **Oběd** | | 13.30 | 16.00 | Časová osa událostí (část I) | ^ Druhý den školení ^^^ | 9.00 | 9.45 | Časová osa událostí (část II) | | 9.45 | 10.30 | Případ s MS Windows (část I) | | **10.30** | **10.50** | **Přestávka na kávu** | | 10.50 | 11.50 | Případ s MS Windows (část II) | | 11.50 | 12.10 | Prezentace výsledků (část I) | | **12.10** | **13.10** | **Oběd** | | 13.10 | 15.00 | Prezentace výsledků (část II) | | 15.00 | 15.10 | Ukončení kurzu | ===== Popis výukových bloků ===== **Úvod do forenzní analýzy** * Proč je forenzní analýza potřeba a v čem se liší od "obyčejné" * Pozice forenzní analýzy při vyšetřování bezpečnostního incidentu * Základní principy (neměnit data, best evidence, řetězec odvození, opakovatelnost, neutralita, srozumitelnost) * Obecný postup pro forenzní analýzu **Zajištění podkladů** * Jaké podklady lze zajistit * Příprava před zajišťováním * Pořadí zajišťování podkladů (s ohledem na volatilitu/prchlivost) * Snaha minimalizovat zásahy do zajištěných dat * Ukázka postupu * Představení základních nástrojů (''dd'', ''nc'', ''sha256sum'', ...) * Praktické cvičení -- vzdálené zajištění dat **Časová osa souborového systému** * Motivace -- většina činností v systému pracuje se soubory * Představení časových značek MACB * Připomenutí souborových systémů (data, metadata, inode, partitions, ...) * Intepretace časových značek * Připojení souborového systému (''mount'') * Časové vyhledávání v připojeném systému (''find'') * Příprava časové osy (//Sleuthkit//, ''fls'', ''mactime'') * Praktické cvičení -- vytvoření časové osy souborového systému a její analýza **Časová osa událostí** * Časové značky mimo souborový systém (exif, logy, prefetch, ...) * Timeline vs. supertimeline (výběrová časová osa vs. kompletní časová osa) * Nástroj pro vytváření supertimeline (framework //plaso//) * Časové zóny a jejich úskalí * Praktické cvičení -- vytvoření supertimeline a její analýza **Případ s MS Windows** * Rozšířené možnosti frameworku //plaso// (filtrování, tagování) * Základy analýzy MS Windows -- souborový systém a logy * Praktické cvičení -- vytvoření supertimeline a její analýza **Prezentace výsledků** * Proč je prezentace důležitá * Srozumitelnost a jak jí dosáhnout * Neutralita a jak jí dosáhnout * Opakovatelnost v prezentaci a jak jí dosáhnout * Co musí obsahovat závěrečná zpráva * Co musí obsahovat prezentace výsledků * Praktické cvičení -- prezentace výsledků analýzy z bloku //Časová osa událostí// nebo //Případ s MS Windows// (vybraní absolventi prezentují své postupy)