В ходе изучения данного курса слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам; научатся анализировать собранные материалы с целью выявления источника атаки и восстановления работоспособности системы, а также документировать противоправные действия злоумышленников.
Цель курса:
По окончании настоящего курса слушатели научатся:
Определять последовательности действий при расследовании
Правильно писать экспертное заключение
Выявлять объекты, содержащие уличающую информацию
Самостоятельно разбираться с хронологией событий при инциденте
Определять различные методы сокрытия данных от обнаружения
Выявлять все следы совершения преступления и найти виновных лиц
Анализировать собранные материалы
Основным принципам изъятия компьютерной техники
Применять полученные знания на практике
Аудитория курса:
Специалисты, уже имеющие опыт практического использования современных технологий в сфере информационной безопасности.
Введение
Информация и ее роль. Основные понятия в сфере оборота информации.
Факторы угроз для информации и их классификация.
Понятие компьютерного инцидента (КИ). Некоторые примеры инцидентов.
Понятие и классификация КИ. Узкое и расширенное толкование КИ.
Основные предпосылки для возникновения КИ.
Возможные последствия несанкционированного доступа к критически важной информации.
Неизбежность КИ как следствие невозможности создания абсолютной защиты.
Основные стадии КИ (подготовка, развитие, скрытие следов).
Расследование инцидентов информационной безопасности.
Цели расследования инцидентов информационной безопасности.
Основные субъекты таких расследований.
Неотложные действия после инцидента информационной безопасности.
Последовательность действий при расследовании.
Работа с лог-файлами. Анализ лог-файлов сетевого трафика.
Что такое сервис whois.
Утилита tracert.
Какую информацию может дать провайдерская компания.
Правовые основы производства экспертиз.
Правовая регламентация производства экспертиз по гражданским и уголовным делам.
Процессуальный статус эксперта и соблюдение норм законодательства.
Требования к экспертному заключению.
Допрос эксперта в суде.
Изъятие и исследование компьютерной техники и носителей информации.
Правовые основы для изъятия и исследования компьютерной техники.
Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр).
Правовой статус специалиста.
Методика изъятия компьютерной техники и носителей информации.
Обеспечение доказательственного значения изъятых материалов.
Описание и пломбирование техники.
Методика исследования компьютерной техники.
Общие принципы исследования техники.
Программное средство EnCase.
Выводы эксперта и экспертное заключение.
Производство компьютерно-технической экспертизы.
Основное оборудование и программные средства, необходимые для производства экспертизы.
Блокираторы записи и дубликаторы.
Экспертные системы – EnCase, Paraben Commander, Forensic Toolkit.
Возможные виды проводимых исследований.
Планирование экспертизы в зависимости от вопросов, сформулированных следователем.
Поиск уликовой информации на компьютерах.
Основные принципы изъятия компьютерной техники.
В каких объектах содержится уликовая информация.
Методы сокрытия таких данных от обнаружения.
Исследование реестра ОС. Системы сбора и анализа журналов ОС.
Корреляция событий. Создание и исследование Timeline.
Исследование дампов оперативной памяти.
Поиск информации с помощью системы Paraben Commander
Поиск сообщений электронной почты.
Основные почтовые программы и места, где они сохраняют данные.
Чтение почты с помощью Paraben Commander.
Структура почтового сообщения.
Анализ служебной информации.
Работа с криптографией.
Основные средства криптографической защиты.
AES, EFS, PGP, архиваторы с шифрованием, офисные пакеты, базы данных.
Основы поиска зашифрованных данных.
Вскрытие защищённых данных.
Программное обеспечение Passware Forensic Kit.
Программное обеспечение ElcomSoft Password Recovery Bundle.
Взлом хешей MD5, SHA-1, SHA-256, LM, NTLM и т.д.
Извлечение паролей из браузеров, программ для мгновенного обмена сообщениями и других программ.
Практическая работа - расследование реального киберпреступления
Постановка задачи.
Вводная информация о выявлении инцидента в сфере информационной безопасности.
Планирование расследования.
Самостоятельное планирование хода расследования слушателями.
Групповое обсуждение и корректировка плана.
Пошаговое расследование инцидента.
Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе.
Исследование зараженного компьютера.
Составление всех необходимых документов.
Использование технических средств и организация поисковых мероприятий в сети Интернет.