Datautvinning från digitala lagringsmedia, 7.5 hp Kursbeskrivning Mattias Weckstén Högskolan i Halmstad Våren 2011 Veckorna 12-21
1 Introduktion Datautvinning från digitala lagringsmedia är en grundläggande kurs i incidenthantering, med syfte att lägga en grund till fördjupande kurser i forensiska verktyg. Kursen löper över 7,5 hp halv fart och består av föreläsningar, inlämningsuppgifter och laborationer. Kontinuerligt uppdaterad information om kursen hittar du på: http://www.hh.se/dt2002 Följande personal kommer att jobba med kursen: Examinator Kursansvarig Övriga roller Mattias Wecksten Mattias Wecksten, anknytning 7396, rum F313 Labassistent 2 Kursens syfte och lärandemål Kursen ska ge studenten kunskaper om metoder relaterat till kriminaltekniska verktyg för att säkra och utvinna data från digitala lagringsmedia. Efter avslutad kurs ska studenten kunna: hantera några av de på marknaden förekommande verktygen för utvinning av data från digitala lagringsmedia. självständigt analysera ett system för vilket datautvinning ska ske. självständigt planera utvinning av data ur systemet baserat på en systemanalys. genomföra en praktisk datautvinning från ett givet system. 3 Kursens innehåll Kursen omfattar en teoretisk introduktion till datautvinning från digitala lagringsmedia vilket innebär: Översikt över: de på marknaden förekommande hårdvarorna inom området. de vanligaste dataformaten. de på marknaden förekommande verktygen för datautvinning. Metoder för: datautvinning från fysiska enheter så som hårddiskar eller minneskort. datautvinning från logiska enheter så som epostsystem eller databaser. övervakning och logganalys. att dölja data. att kryptera data.
att förhindra förändring av data. Analys av: informationsspridning och dess effekter. vanligt förekommande virus, maskar och trojaner och deras användningsområden. Praktiska övningar i datautvinning.
4 Kursmoment Här följer en detaljerad plan över kursens olika moment. I texten anges läsanvisningar kopplat till varje moment, kursiv läsning anges omgivet av parenteser. Vecka 12 F1 Kursintroduktion/ Ämnesintroduktion Vid detta tillfälle kommer kursen att presenteras av kursansvarig. Det blir en genomgång av den här kursbeskrivningen och du kan ställa frågor om det är något som är oklart. Formen för examinationsmomenten gås igenom och tidsramar för dessa fastslås. En översikt av ITforensikerns roll och arbetsuppgifter ges tillsammans med förutsättningarna för digital datautvinning. Föreläsningen avslutas med en demonstration av datautvinning från ett datorsystem. F2 Incidenthantering/ Bevis, lagar och regler En översikt av incidenthantering. Vad är bevis? Hur ska bevis hanteras? Vilka lagar och regler styr hur vi måste agera? Vad ska vi göra med bevisen sedan? Vad gör en expert? Förbered - 1 Läs utdrag 2 ur förhandlingsprotokollet för målet Pirate Bay - Jämför och granska de två experternas utlåtanden. Läs Incident Response s. 3-32 Läs kursboken s.1-48. Skriven uppgift A, 2000 tecken, Svagheter i två expertutlåtanden
Vecka 13 F3 Lagringsteknik Hur kan man lagra data? F4 Bevishantering / Organisation Hur hanterar man bevis rent praktiskt? Hur hanterar vi bevis som inte är fysiska? Förbered - 2 Läs kursboken s.147-188, 49-94 Skriven uppgift B, 2000-4000 tecken, Ett lagringsmedium ur ett IT-forensiskt perspektiv Vecka 14 F5 Forensiska verktygslådan Vad behövs för att kunna säkra digitala bevis? Vilka analysverktyg har vi att arbeta med? F6 Inhämtning Hur genomför man en inhämtning av digitala bevis? Förbered - 3 Läs kursboken s. 209-241 + 267-293 Läs utdrag 1 ur FörUndersökningsProtokollet (FUP) för målet Pirate Bay - Fundera på vad som sägs med bakgrund av vad vi läst så långt. - Fundera över vilka argument det finns för att använda checksummor? Skriven uppgift C, 2000 tecken, Incidentkedjan i ett verkligt fall Vecka 15 F7 Volatila data/ Inhämtning av volatila data Vad är volatil data? F8 Inhämtning av volatila data Hur utvinner man volatil data? Vilka problem finns? L1 Laboration Datautvinning, checksummor och kontaminering.
Förbered - 4 Läs utdrag 3 och 4 från FUP och jämför hur man valt att dokumentera med bokens strategi. Läs kursboken s. 121-142 + 243-266 Uppgift D, Sätt samman en egen forensisk verktygslåda - Utgå från förslagen i boken - Samarbeta gärna i hela klassen - Dokumentera - Glöm inte att generera checksummor och kontrollera beroenden Vecka 16 F9 Nätverk Hur utvinner vi data från nätverk? Vad är volatilt och vad är statiskt? F10 Stora system Vilka problem uppstår då systemen är stora? L2 Laboration Datainsamling initial respons. Förbered - 5 Läs kursboken s.95-118 + 295-312 Vecka 17 -=OMTENTAVECKA=- Vecka 18 F11 Portabla enheter / Flyttbara media Hur hanteras flyttbara media och portable enheter? Vilka avtryck lämnar de? F12 Forensisk arbetsstation Vilka krav ska vi ställa på en forensisk arbetsstation?
L3 Laboration Datautvinning av Windowssystem och data-analys i AutoPsy. Förbered - 6 Läs kursboken s.189-207 + 315-341 + 345-365 Vecka 19 F13 Det forensiska labbet Hur bygger vi upp ett forensiskt labb? F14 Rapport Hur går man tillväga om man stöter på ett helt nytt okänt hackerverktyg som infekterat ditt system? Vad skiljer mellan olika typer av rapporter. Hur skriver man rapport för en person som är expert på ett annat område än det IT-forensiska? L4 Laboration Analys av en trojan i ett Linuxsystem. Förbered - 7 Läs Incident Response s. 435-453 Läs kursboken s.367-386
5 Kursmoment Obligatoriska moment För att få ut slutbetyg för genomförd kurs krävs att man: deltagit vid samtliga laborationer (4 stycken) med resultatet godkänd. skrivit tentamen med resultatet G. Valfria moment De skrivna uppgifterna A-C och miniprojektet uppgift D är valfria. De som genomför momenten och blir godkända kommer att tillgodoräknas bonuspoäng om slutresultatet blir U eller 3 på den skriftliga tentamens ordinarie skrivtillfälle. Varje avklarat moment ger bonuspoäng. 6 Betygskriterier För betyget 3 krävs att studenten kan: redogöra för grundläggande uttryck och begrepp. arbeta med förekommande forensiska verktyg. planera och genomföra datautvinning samt grundläggande forensisk analys. För betyget 4 krävs att studenten dessutom kan: applicera kända metoder på okända fall. För betyget 5 krävs att studenten kan: generalisera och utveckla egna metoder. 7 Litteraturlista Brown, Christopher. Computer Evidence: Collection and Preservation. Mandia, Proise, Pepe, Incident Response & Computer Forensics
8 Tidsplanering För att underlätta er möjlighet att påverka er utbildning så följer här en översikt av hur stor del de olika momenten i kursen tar i anspråk. För att underlätta er studieplanering hittar du här en mall för studieplan. Studieplan för DT2002 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 11 12 F F F F 13 F F F F 14 F F F F 15 L L F F F F 16 L L F F F F 17 18 L L F F F F 19 L L F F F F 20 21 F = Föreläsning L = Labb U = Uppgift A-D B = Inläsning T = Tentaprep.
9 Fördjupningsmaterial Hit by a bus Zip bomb TrueCrypt Sub7-analys i AutoPsy AdWare tcpdump Antisniff FreeBSD Avlyssning Okända lösenord Rainbowtables Sandman dcfldd dd Forensic Carving http://storm.net.nz/static/files/ab_firewire_rux2k6-final.pdf http://en.wikipedia.org/wiki/zip_bomb http://www.truecrypt.org/docs/ http://video.google.com/videoplay?docid=280510391858381437 http://philosecurity.org/2009/01/12/interview-with-an-adwareauthor http://openmaniak.com/tcpdump.php http://seclists.org/bugtraq/1999/jul/0195.html http://en.wikipedia.org/wiki/freebsd http://www.dgonzalez.net/pub/roc/roc.pdf http://en.wikipedia.org/wiki/password_cracking http://home.eunet.no/~pnordahl/ntpasswd/ http://www.openwall.com/john/interviews/sf-20060222-p1 http://en.wikipedia.org/wiki/rainbow_table http://tinyurl.com/6pmm7s http://www.forensicswiki.org/wiki/dcfldd http://linux.die.net/man/1/dcfldd http://www.linuxjournal.com/article/1320 http://tinyurl.com/c9gahs A smart carving approach http://sandbox.dfrws.org/2006/mora/dfrws2006.pdf Reguljära uttryck AutoPsy Hur används nmap Hur fungerar MD5? http://www.regular-expressions.info/ http://www.irongeek.com/i.php?page=videos/autopsy1 http://revision3.com/hak5/wontyoubemyneighbor/ http://nmap.org/book/man.html http://nmap.org/bennieston-tutorial/ http://en.wikipedia.org/wiki/md5 http://www.faqs.org/rfcs/rfc1321.html Vilka svagheter har MD5? http://www.win.tue.nl/hashclash/rogue-ca/