Forenzní trénink 1: Úvod do forenzní analýzy

Na této stránce naleznete všechny potřebné informace o školení.

Poznámka Toto školení není pořádáno v pravidelných intervalech – pokud máte zájem o účast, napište nám na sluzby@cesnet.cz.
Název školení Forenzní trénink 1: Úvod do forenzní analýzy
Lektoři Ing. Aleš Padrta, Ph.D., Ing. Radomír Orkáč
Popis školení Obsahem dvoudenního školení je úvod do forenzní analýzy IT, kdy se účastníci pod vedením zkušených školitelů naučí základní principy forenzní analýzy, postup při zajišťování dat, vytváření časové osy (ze souborového systému a dalších informací) a její následnou analýzu, během které jsou postupně objevovány jednotlivé stopy vedoucí k vytvoření komplexního obrazu analyzovaného incidentu. Účastníci si také vyzkouší jak zjištěné výsledky prezentovat vhodnou formou. Výukové bloky se skládají z teoretického úvodu, praktického „hands-on“ cvičení v prostředí počítačové laboratoře a také prezentace vzorového řešení.
Součásti školení Účastníci obdrží materiály používané během školení a certifikát o absolvování. Občerstvení během přestávek na kávu je zajištěno, stejně tak oběd během obou dnů. Večer prvního dne školení je k dispozici bezplatná a dobrovolná doplňková aktivita ve formě odborného večerního programu (Forensic Night @ CESNET).
Jazyk školení Školení bude vedeno v českém jazyce.
Délka školení 2 dny (12 hodin)
Požadované schopnosti GNU/Linux (alespoň na uživatelské úrovni, znalost práce v příkazové řádce)
První den školení
8.50 9.10 Registrace
9.10 9.20 Uvítání
9.20 9.45 Úvod do forenzní analýzy
9.45 10.50 Zajištění podkladů
10.50 11.10 Přestávka na kávu
11.10 12.30 Časová osa souborového systému
12.30 13.30 Oběd
13.30 16.00 Časová osa událostí (část I)
Druhý den školení
9.00 9.45 Časová osa událostí (část II)
9.45 10.30 Případ s MS Windows (část I)
10.30 10.50 Přestávka na kávu
10.50 11.50 Případ s MS Windows (část II)
11.50 12.10 Prezentace výsledků (část I)
12.10 13.10 Oběd
13.10 15.00 Prezentace výsledků (část II)
15.00 15.10 Ukončení kurzu

Úvod do forenzní analýzy

  • Proč je forenzní analýza potřeba a v čem se liší od „obyčejné“
  • Pozice forenzní analýzy při vyšetřování bezpečnostního incidentu
  • Základní principy (neměnit data, best evidence, řetězec odvození, opakovatelnost, neutralita, srozumitelnost)
  • Obecný postup pro forenzní analýzu

Zajištění podkladů

  • Jaké podklady lze zajistit
  • Příprava před zajišťováním
  • Pořadí zajišťování podkladů (s ohledem na volatilitu/prchlivost)
  • Snaha minimalizovat zásahy do zajištěných dat
  • Ukázka postupu
  • Představení základních nástrojů (dd, nc, sha256sum, …)
  • Praktické cvičení – vzdálené zajištění dat

Časová osa souborového systému

  • Motivace – většina činností v systému pracuje se soubory
  • Představení časových značek MACB
  • Připomenutí souborových systémů (data, metadata, inode, partitions, …)
  • Intepretace časových značek
  • Připojení souborového systému (mount)
  • Časové vyhledávání v připojeném systému (find)
  • Příprava časové osy (Sleuthkit, fls, mactime)
  • Praktické cvičení – vytvoření časové osy souborového systému a její analýza

Časová osa událostí

  • Časové značky mimo souborový systém (exif, logy, prefetch, …)
  • Timeline vs. supertimeline (výběrová časová osa vs. kompletní časová osa)
  • Nástroj pro vytváření supertimeline (framework plaso)
  • Časové zóny a jejich úskalí
  • Praktické cvičení – vytvoření supertimeline a její analýza

Případ s MS Windows

  • Rozšířené možnosti frameworku plaso (filtrování, tagování)
  • Základy analýzy MS Windows – souborový systém a logy
  • Praktické cvičení – vytvoření supertimeline a její analýza

Prezentace výsledků

  • Proč je prezentace důležitá
  • Srozumitelnost a jak jí dosáhnout
  • Neutralita a jak jí dosáhnout
  • Opakovatelnost v prezentaci a jak jí dosáhnout
  • Co musí obsahovat závěrečná zpráva
  • Co musí obsahovat prezentace výsledků
  • Praktické cvičení – prezentace výsledků analýzy z bloku Časová osa událostí nebo Případ s MS Windows (vybraní absolventi prezentují své postupy)