Opis wydarzenia
Nowa pięciodniowa edycja warsztatów została gruntownie zmodyfikowana tak, aby uczestnicy mogli wykonywać jak najwięcej ćwiczeń praktycznych – jest to około 70 % czasu warsztatów.
Warsztat są przygotowane i prowadzone przez specjalistów posiadających praktyczną wiedzę z zakresu informatyki śledczej, którzy na co dzień współpracują z instytucjami państwowymi (Prokuratora, Policja, Sądy i inne).
Główny cel szkolenia
Warsztat został opracowany w sposób umożliwiający uczestnikom po ukończeniu kursu wykonanie poprawnego zabezpieczenia i analizy danych które mogą stanowić dowód w sądzie.
Zakres warsztatów
Przebieg warsztatów i poruszane zagadnienia są poukładane chronologicznie począwszy od aspektów prawnych, identyfikacji, zabezpieczenia, analizy, dokumentowania i interpretacji danych a skończywszy na prezentacji dowodu elektronicznego. Analiza powłamaniowa nie jest oderwaną od rzeczywistości dziedziną i bardzo często uzupełnia proces obsługi incydentów bezpieczeństwa dlatego też na warsztatach będą poruszane zagadnienia związanie z obsługą incydentów (jednakże tylko w kontekście incydentów, które mogą mieć wpływ na jakość zabezpieczanych i analizowanych danych).
Kurs daje okazję do zapoznania się z aktualnymi zagadnieniami i problemami z dziedziny Computer Forensics, poznania standardów międzynarodowych, najlepszych praktyk oraz narzędzi najczęściej stosowanych podczas analizy powłamaniowej przez osoby zajmujące się zawodowo informatyką śledczą.
Warsztaty w głównej mierze dotyczą systemów Microsoft Windows.
Korzyści
- Umiejętności uzyskane dzięki udziale w proponowanych warsztatach to:
- Praktyczna znajomość technik analizy stosowanych przez osoby zawodowo zajmujące się informatyką śledczą
- Wykorzystanie darmowego oprogramowania do przeprowadzanie analizy
- Możliwość analizy rzeczywistych incydentów które miały miejsce w Polsce ale też na świecie
- Możliwość przećwiczenia alternatywnych metod zabezpieczania danych
- Praktycznie ćwiczenia z zakresu tworzenia kopii i analizy pamięci fizycznej komputera RAM systemu operacyjnego Microsoft Windows
- Możliwość sprawdzenia najnowszych narzędzie do informatyki śledczej (dziedzina Computer Forensics bardzo dynamicznie się rozwija – powstają nowe narzędzia, techniki ukrywania danych, metody ułatwiające analizę, itp.)
Na kursie nauczysz się:
- Tworzyć skuteczne i zgodne z obowiązującym prawem procedury właściwej reakcji na incydenty w firmie
- Przeprowadzać pełen proces analizy powłamaniowej od momentu inicjującej reakcji do utworzenia raportu końcowego
- PRAWIDŁOWO zabezpieczyć dane
- Wykonywać analizy dostępnych danych (np. dyski twarde, pamięć fizyczna) oraz odzyskiwać usunięte bądź ukryte dane
- Rekonstruować aktywność użytkowników na podstawie danych z wiadomości email, plików tymczasowych przeglądarek WWW, dzienników zdarzeń serwerów WWW, rejestrów Windows oraz meta danych zawartych na dyskach oraz w pamięci komputera
- Identyfikować złośliwe oprogramowanie które znajduje się na zabezpieczonym dysku i pamięci komputera
- Budowy systemów plików oraz poznasz podstawowe elementy architektury systemów operacyjnych Microsoft Windows
Kurs przeznaczony jest dla:
Administratorów systemów i sieci oraz osób odpowiedzialnych za reakcje na incydenty bezpieczeństwa. W kursie powinni również uczestniczyć audytorzy oraz pracownicy i kierownicy działów IT, bezpieczeństwa, zgodności i wykrywania/przeciwdziałania nadużyciom. Zapraszamy też wszystkich, którzy interesują się szeroko pojętym bezpieczeństwem teleinformatycznym.
W ramach warsztatów uczestnicy otrzymują:
- Cykl wykładów teoretycznych omawiających poszczególne elementy związane z informatyką śledczą
- Ćwiczenia praktycznie mające na celu utrwalenie zdobytej wiedzy (ponad 70% całkowitego czasu warsztatów)
- Konwerter USB do dysków twardych SATA/IDE (2.5” i 3.5”)
- Płytę bootable CD – płyta zawiera zestaw oprogramowania, które służy do zabezpieczania i analizy danych
- Materiały szkoleniowe w postaci drukowanej i elektronicznej
- Przerwy kawowe
- Obiad
- Certyfikat potwierdzający ukończenie szkolenia lub certyfikat „Certified Forensic Computer Engineer” po zdaniu egzaminu praktycznego
Omawiane tematy:
- Obsługa incydentów wg SANS Institute, ISO TR 18044, PN-ISO/IEC 27001, NIST 800-61
- Pojęcie dowodu elektronicznego oraz Polskie i Europejskie regulacje prawne
- Najlepsze praktyki – procedury
- Pozyskanie i zabezpieczanie danych ulotnych i nieulotnych
- TRIAGE w Computer Forensics
- Protokół oględzin komputera oraz łańcuch dowodowy
- Budowa systemów plików: FAT, JFS, NTFS, EXT2/EXT3
- Odzyskiwanie danych oraz metody analizy danych zawartych na dyskach
- Odzyskiwanie pofragmentowanych plików
- Historia działań wykonywanych na zabezpieczonych dyskach
- Analiza powłamaniowa na podstawie logów historii przeglądarek WWW
- Analiza dzienników zdarzeń serwera WWW
- Analiza wiadomości e-mail i identyfikacja nadawcy
- Analiza rejestrów systemu Windows
- Identyfikacja nielegalnego oprogramowania
- Analiza pamięci fizycznej RAM
- Analiza urządzeń przenośnych
- Metody anty-forensics: ukrywanie i niszczenie danych oraz metody unikania tworzenia śladów przestępstw
Lista głównych narzędzi z którymi zaznajomią się użytkownicy kursu: The Sleuth Kit/Autopsy, narzędzia z pakietu HELIX, ProDiscover, HexDump, DD, Live View, foremost, F-Response, pakiet binutils, ssdeep, Volatility, Memoryze, HashConverter, Odessa, WRR, UserAssist i wiele innych.
Egzamin
Ostatnim etapem kursu jest egzamin praktyczny (1 godziny). Po pomyślnym zdaniu egzaminu uczestnik warsztatów otrzymuje certyfikat:
Certified Forensic Computer Engineer
Zakres tematyczny wymagany na egzaminie:
- tworzenie obrazów dysków
- budowa i analiza systemów plików NTFS i FAT
- analiza nagłówków wiadomości email
- analiza logów historii przeglądarek internetowych
- wyszukiwanie danych
- metody usuwania danych
Egzamin odbędzie się pod koniec piątego dnia. Powodzenia!
Wymagania od uczestników warsztatów
W celu skutecznego przyswojenia wiedzy przez uczestników zaleca się, aby uczestnicy posiadali podstawową wiedzę z zakresu:
- Systemów operacyjnych (Microsoft Windows, Unix lub Linux)
- Podstawowych komend interpretera poleceń
Cena udziału:
Zgłoszenie do 18 marca 2011r.: 6000zł + 23%VAT
Zgłoszenie od 19 marca 2011r.: 6200zł + 23%VAT
11 Lipiec 2011
