Аннотация
В ходе изучения данного курса слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам; научатся анализировать собранные материалы с целью выявления источника атаки и восстановления работоспособности системы, а также документировать противоправные действия злоумышленников.
Аудитория
Специалисты, уже имеющие опыт практического использования современных технологий в сфере информационной безопасности.
По окончании настоящего курса слушатели научатся:
· Определять последовательности действий при расследовании
· Правильно писать экспертное заключение
· Выявлять объекты, содержащие уличающую информацию
· Самостоятельно разбираться с хронологией событий при инциденте
· Определять различные методы сокрытия данных от обнаружения
· Выявлять все следы совершения преступления и найти виновных лиц
· Анализировать собранные материалы
· Основным принципам изъятия компьютерной техники
· Применять полученные знания на практике
1. Введение
· Информация и ее роль. Основные понятия в сфере оборота информации.
· Факторы угроз для информации и их классификация.
· Понятие компьютерного инцидента (КИ). Некоторые примеры инцидентов.
· Понятие и классификация КИ. Узкое и расширенное толкование КИ.
· Основные предпосылки для возникновения КИ.
· Возможные последствия несанкционированного доступа к критически важной информации.
· Неизбежность КИ как следствие невозможности создания абсолютной защиты.
· Основные стадии КИ (подготовка, развитие, скрытие следов).
2. Расследование инцидентов информационной безопасности.
· Цели расследования инцидентов информационной безопасности.
· Основные субъекты таких расследований.
· Неотложные действия после инцидента информационной безопасности.
· Последовательность действий при расследовании.
· Работа с лог-файлами. Анализ лог-файлов сетевого трафика.
· Что такое сервис whois.
· Утилита tracert.
· Какую информацию может дать провайдерская компания.
3. Правовые основы производства экспертиз.
· Правовая регламентация производства экспертиз по гражданским и уголовным делам.
· Процессуальный статус эксперта и соблюдение норм законодательства.
· Требования к экспертному заключению.
· Допрос эксперта в суде.
4. Изъятие и исследование компьютерной техники и носителей информации.
· Правовые основы для изъятия и исследования компьютерной техники.
· Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр,
добровольная выдача) и в административном порядке (осмотр).
· Правовой статус специалиста.
· Методика изъятия компьютерной техники и носителей информации.
· Обеспечение доказательственного значения изъятых материалов.
· Описание и пломбирование техники.
· Методика исследования компьютерной техники.
· Общие принципы исследования техники.
· Программное средство EnCase.
· Выводы эксперта и экспертное заключение.
5. Производство компьютерно-технической экспертизы.
· Основное оборудование и программные средства, необходимые для производства экспертизы.
· Блокираторы записи и дубликаторы.
· Экспертные системы – EnCase, Paraben Commander, Forensic Toolkit.
· Возможные виды проводимых исследований.
· Планирование экспертизы в зависимости от вопросов, сформулированных следователем.
6. Поиск уликовой информации на компьютерах.
· Основные принципы изъятия компьютерной техники.
· В каких объектах содержится уликовая информация.
· Методы сокрытия таких данных от обнаружения.
· Исследование реестра ОС. Системы сбора и анализа журналов ОС.
· Корреляция событий. Создание и исследование Timeline.
· Исследование дампов оперативной памяти.
· Поиск информации с помощью системы Paraben Commander
7. Поиск сообщений электронной почты.
· Основные почтовые программы и места, где они сохраняют данные.
· Чтение почты с помощью Paraben Commander.
· Структура почтового сообщения.
· Анализ служебной информации.
8. Работа с криптографией.
· Основные средства криптографической защиты.
· AES, EFS, PGP, архиваторы с шифрованием, офисные пакеты, базы данных.
· Основы поиска зашифрованных данных.
· Вскрытие защищённых данных.
· Программное обеспечение Passware Forensic Kit.
· Программное обеспечение ElcomSoft Password Recovery Bundle.
· Взлом хешей MD5, SHA-1, SHA-256, LM, NTLM и т.д.
· Извлечение паролей из браузеров, программ для мгновенного обмена сообщениями и других программ.
9. Практическая работа - расследование реального киберпреступления
· Постановка задачи.
· Вводная информация о выявлении инцидента в сфере информационной безопасности.
· Планирование расследования.
· Самостоятельное планирование хода расследования слушателями.
· Групповое обсуждение и корректировка плана.
· Пошаговое расследование инцидента.
· Самостоятельное поэтапное проведение полного цикла расследования с использованием информации,
добытой на каждом этапе.
· Исследование зараженного компьютера.
· Составление всех необходимых документов.
· Использование технических средств и организация поисковых мероприятий в сети Интернет.