קורס פרקטיקום לחקירות Forensics
Transcription
קורס פרקטיקום לחקירות Forensics
קורס פרקטיקום לחקירות Forensics יועץ אקדמי :מר אבי ויסמן ,מרצים ראשיים :נדב נחמיאס ,אלעד בר-איתן תוכנית ממוקדת לאוכלוסיות טכנולוגיות ,לבעלי רקע במחשבים להכשרת מיישמים ואנשי אינטגרציה בתחומי אבטחת המידע. (תאריכים בעמוד הראשי של המכללה) מבוא תוכנית הלימודים "מומחי חקירה" ,הינה תוכנית מקורית אשר נבנתה בישראל .היא נועדה להכשיר מומחי Forensicsלהפעיל ולשלוט באמצעים לפענוח אירועי מחשב ,לצורך שחזור ופענוח כשלי תוכנה וחומרה ,וכמובן - לצורך מניעתם בעתיד. מאפייני תוכנית הלימודים קהל: מנהלים /סביבתיים /מקצוענים אוריינטציה: מנהלית /טכנית /יישום שלב: מתחילים /מתקדמים ויקיפדיה מגדירה את המונח Computer Forensicsכענף במדע הזיהוי הפלילי שייעודו – איתור ראיות משפטיות המצויות בנבכי המחשב ובאמצעי האחסון שלו .לעיתים מכונה הענף גם .Digital Forensics הסמכות: סט כלי Forensicsנועד לספק אמצעים לפענוח אירועי פשיעת מחשב. שעות: 48שעות השימוש בכלים מסוג זה מבוצע בדרך כלל במקרים הבאים: מתכונת: 12מפגשי ערב ,כ 2 -חודשים תרגול בית: לא קיים /קיים .1 .2 .3 .4 רוחב: ממוקד /רחב עומק: סוקר /עמוק See Security - Certified Forensics Professional במסגרת משפטית – לצורך בחינת מערכות מחשב אשר שימוש את הנאשמים ,הנתבעים או את התובעים. לצורך שחזור מידע על-גבי מדיות שניזוקו עקב כשל חומרה או תוכנה. על-מנת להבין את התהליכים המתקיימים במערכת לצורך שיפור ביצועים ,או לצורך שחזור תקלה לצורך מניעתה בעתיד. על-מנת להבין את התהליכים המתקיימים במערכת בעת חדירת תוקף ,לצורך הבנת ההתקפה ומניעתה בעתיד ,או לצורך זיהוי התוקף. מטרת התוכנית הכשרת אנשי מקצוע כמומחי Forensicsלצורך שליטה והפעלה נכונים של כלי פענוח אירועי מחשב. קהל יעד בעלי ידע מעשי בתחום התשתיות (מערכות הפעלה ותקשורת ,ורצוי ידע בסיסי בכלי אבטחה בסיסיים) וכן בוגרי תואר ראשון או שני במדעי המחשב ,הנדסת תוכנה\חומרה .המסלול לא מתאים למתחילים. הסמכה התוכנית נבנתה לצרכי ידע מעשי .לעומדים בדרישות התוכנית ,תוענק תעודה מטעם :See-Security "מוסמך חקירות אירועי מחשב" "."Certified Forensics Professional מי שאינם עומדים בדרישות יהיו זכאים לתעודת השתתפות ,ולהשלמת מחויבויותיהם (השתתפות חוזרת /עבודות ומשימות) ללא תשלום. בעלי רקע בחקירות מחשב יכולים לגשת למבחני CCFPשל (ISC)2בכפוף להנחיות הארגון. הכרה הסמכות מכללת See Securityנעשו סטנדרט דה-פקטו בישראל. תובל ,30רמת-גן – ,5252242טל' ,054-5222305 ,03-5799555 ,03-6122831 :פקס03-6122593 : avi@see-security.com www.see-security.com קורס פרקטיקום לחקירות Forensics תנאי קבלה רקע קודם בניהול רשתות Windowsאו Linuxאו באבטחת מידע .התלמיד נדרש להכיר מערכות הפעלה כגון Windows ו ,Linux-פרוטוקולי תקשורת ומודל TCP/IPואת עולם ה.WEB- נכונות לעבודה עצמית מונחית (כ 100 -שעות לימוד ביתי). ראיון אישי. מטלות תוכנית הלימודים קיימת חובת נוכחות ב 80%-מהמפגשים. כל מודול נלמד מחייב עמידה במבחן פנימי ו/או בעבודות בציון 70לפחות (ראה תקנון קורס במכללה). בנושאים הטכניים -תרגול ( )Hands-onבכיתה (מעבדת מחשבים). מתכונת הלימודים משך התכנית כ 48 -שעות ,במתכונת של 12מפגשי ערב (כ 2 -חודשים) .הלימודים מתקיימים בקמפוס See Security ברמת-גן .המסלול נפתח פעמיים בשנה. עלות הלימודים סך ₪ 400 + ₪ 12,000דמי רישום (כולל מע"מ) מידע נוסף מידע מינהלי: יועץ אקדמי: אלוירה אליסייבelvira@see-security.com ,052-8787889 ,03-6122831 , avi@see-security.com ,054-5222305 אבי ויסמן, מתודולוגיה מסלול Forensicsנבנה על סמך היכרות המכללה עם עולם אבטחת המידע והסייבר בישראל ובעולם .התכנים נבנו בסיוע אנשי מקצוע מהמעולים בתחום הנושאים על גבם ניסיון ארוך טווח והיכרות עם טכנולוגית מגוונת בתחומי הלימוד. תוכנית הלימודים (מקוצר) 1. Introduction to digital Forensics סקירה של תחום ה , forensics -אופיים של חקירה וממצאים ,והתמקדות בקבצים ממספר סוגים ()Formats ודוגמאות לשימוש חריג בהם (החבאה וזיהוי שלה) .תרגול של שיטות וכלים להחבאת מידע ומציאת מידע חבוי או חריג בקבצים מסוגים שונים. How to conduct a digital forensic investigation The nature of digital findings Common file formats, use and abuse Hiding data in plain sight Tools for uncovering hidden data 2. Initial survey of an infected system תיאור הפעולות שניתן לבצע על מנת לאסוף מידע ראשוני ממערכת החשודה כמודבקת ,על מנת לאמוד את הנזק ולתחקר את האירוע .שימוש בכלי איסוף בסיסיים של מערכת ההפעלה וכן נקודות מפתח לבדיקה ידנית ,וההשלכות של ממצאים מסוגים שונים שניתן לפגוש .תרגול סקירה ראשונית על מערכות מודבקות מסוג Windowsו.Linux- Preliminary evidence gathering Built-in information sources: System and Application event logs Crash dumps and error reports תובל ,30רמת-גן – ,5252242טל' ,054-5222305 ,03-5799555 ,03-6122831 :פקס03-6122593 : avi@see-security.com www.see-security.com Forensics קורס פרקטיקום לחקירות Common File-system locations Information gathering tools Windows-specific artifacts and implications Linux-specific artifacts and implications 3. File-system Internals הסבר על מבנה.EXT- וFAT, NTFS :תיאור אופן הפעולה והשוואת תכונות של מערכות הקבצים הנפוצות היום תרגול.מערכת הקבצים ברמת מערכת ההפעלה והמשמעות של פעולות משתמש מבחינת המידע המאוחסן בפועל .של גישה וביצוע "ידני" של פעולות על מנת לשנות מאפיינים ולהסתיר קבצים על ידי גישה ישירה להתקן האחסון File storage and partitioning of physical volumes Introduction to file-systems and comparison Windows-centric file-system internals FAT NTFS Linux-centric file-system internals EXT NFS TMPFS File-system recovery Journaling Recovery after corruption Deleted file recovery Direct access and manipulation of data and meta-data 4. Image data extraction וכן קבצים מתוך,)TSK( שימוש בכלים מתקדמים על מנת לחלץ מידע שאינו נגיש למשתמש מתוך מערכות קבצים תרגול באחזור קבצים ומידע גולמי מתוך מערכת.)carving: foremost/scalpel( מערכות קבצים שלא ניתן לשחזר .קבצים אחרי מחיקה או נזק למערכת – עם ובלי כלי עזר Locating and identifying information inside a HDD/partition image File extraction and recovery using TSK and Autopsy File carving using Foremost and Scalpel Locating and extracting custom files and other information 5. Conducting the investigation כגון ציר זמן או, על ידי שימוש במידע שנאסף וכלי ניתוח,מהלך חקירה לשם גילוי נוזקות או שיבוש מצד משתמשים .Linux- וWindows תירגול חקירה של מכונות מודבקות בנוזקה מסוג.זיהוי חריגות Clues and leads Constructing a time-line of events Pattern detection Anomaly detection Malware-oriented information gathering User-related information gathering 6. Live snapshot analysis איתור תהליכים חשודים וממצאים חריגים לשם.ביצוע איסוף וניתוח תמונת הזיכרון חלקית או מלאה של מכונה רצה . וכן ניתוח מכונות שהודבקו מנוזקות מוכרות, תירגול בתפיסת מחשב מודבק "ידנית" וניתוחו.אפיון הפרצה במחשב Performing a snapshot Artifacts in live snapshots Using Volatility and Rekall for Windows and Linux snapshots 03-6122593 : פקס,054-5222305 ,03-5799555 ,03-6122831 :' טל,5252242 – גן- רמת,30 תובל www.see-security.com avi@see-security.com קורס פרקטיקום לחקירות Forensics 7. Network and Internet-related behavior ניתוח תעבורת רשת בראי מקרה של הדבקת מחשב ,וגילוי ממצאים המקדמים את החקירה .תרגול בניתוח תעבורה של מחשב מודבק לשם איתור הנוזקה והתחקות אחר המקור שלה והמידע ששודר מהמחשב. חקירת עקבות של התנהגות משתמשים באינטרנט :היסטורית גלישה ושימוש בתוכנות מבוססות רשת כגון צ'אט ודוא"ל .תרגול בשחזור היסטוריה והסקת מסקנות לגבי אירועי פריצה המבוססים על טעויות אנוש. Common malware network patterns Cross-referencing network findings with other results User content and artifacts Browsing history and cookies Chat and e-mail logs Activity logs Hidden activity information 8. Mobile devices חקירה של מערכות ההפעלה מכשירים ניידים ,תוך התמקדות מ .Android-תרגול של חקירת מערכת Android מודבקת. Comparison to traditional operating systems Android-specific artifacts and implications IOS-specific artifacts and implications 9. Anti-forensic technologies זיהוי והבנת מנגנון ואופן הפעולה של כלי החבאה ,שמטרתם לסכל חקירות ,Forensicsותרגול בהפעלת כלים שונים למטרה זו והשפעתם על החקירה והממצאים לאחר מכן. Hiding or destroying information Evasion from traditional forensic tools Detecting anti-forensic methods Overcoming anti-forensic methods Before the fact After the fact הערות לתוכנית הלימודים א .תוכנית הלימודים מחייבת בהכנת שיעורי בית להשגת יעדי הלימוד. ב .משימות קריאה מהווים חובה לימודית. ג .תכנים ,נושאים ו/או יצרנים עשויים להשתנות במהלך הרצת התוכנית כתוצאה ממגבלות שיווקיות /אחרות. הערות מינהל פתיחת כל תכנית מותנית במספר הנרשמים. דמי ההרשמה אינם מוחזרים ,אלא במקרה של אי פתיחת התכנית על ידי ביה"ס. דמי ההרשמה ומבחנים חיצוניים כלשהם אינם כלולים בשכר הלימוד. ייתכנו שינויים במערך התכנית ,במועדי הלימודים והבחינות או בכל נושא אחר .הודעה על כל שינוי תימסר למשתתפים. מידע נוסף מידע מינהלי: יועץ אקדמי: אלוירה אליסייבelvira@see-security.com ,052-8787889 ,03-6122831 , avi@see-security.com ,054-5222305 אבי ויסמן, תובל ,30רמת-גן – ,5252242טל' ,054-5222305 ,03-5799555 ,03-6122831 :פקס03-6122593 : avi@see-security.com www.see-security.com קורס פרקטיקום לחקירות Forensics לכבוד המכללה לאבטחת מידע וללוחמת מידע שיא סקיוריטי טכנולוג'יז בע"מ רמת-גן – פקס03-6122593 : נא לרשום אותי לתוכנית הלימודים ברמת גן פרקטיקה בחקירות – Forensics Practicum פרטים אישיים: שם פרטי שם משפחה שנת לידה ________ ת.ז. . כתובת פרטית טל' נייד טל' בבית: . פקס . כתובת E –mail מקום עבודה: טל' שם החברה . תפקיד לתשלום (נא סמן בחירתך): - ₪ 400דמי רישום (חובה בכל מקרה) ₪ שכר לימוד בסך ________ - ₪מקדמה (בגובה 10%משכר הלימוד) מצ"ב שיק מס' _______________ע"ס _________ ( ₪ניתן לשלם עד ____תשלומים בהמחאות דחויות) (את ההמחאות יש לרשום לפקודת שיא סקיוריטי בע"מ) מצ"ב מכתב התחייבות המעסיק ,אם הינך ממומן על ידו )1( .יודפס ע"ג נייר לוגו ( )2בציון מספר ח.פ של החברה)3( , לתשלום שוטף 30 +ממועד הפתיחה לכל היותר) נא לחייב כרטיס אשראי בתוקף עד בתשלום אחד ב _____ -תשלומים (עד 18תשלומים בקרדיט). ב_____ -תשלומים ללא ריבית. ת.ז .בעל הכרטיס שם בעל הכרטיס . תא' לידה של בעל הכרטיס כתובת בעל הכרטיס ,המעודכנת בחברת האשראי . טלפון בעל הכרטיס ,המעודכן בחב' כרטיסי האשראי . שם בנק+סניף הבנק בו מנוהל חשבון כרטיס האשראי . דמי ההרשמה אינם מוחזרים ,אלא במקרה של אי פתיחת התכנית על ידי .See Security דמי ההרשמה אינם כלולים בשכר הלימוד. יש לוודא כי התשלומים יסתיימו עד למועד סיום הקורס. תאריך: חתימה: . תובל ,30רמת-גן – ,5252242טל' ,054-5222305 ,03-5799555 ,03-6122831 :פקס03-6122593 : avi@see-security.com www.see-security.com