Datautvinning från digitala lagringsmedia, 7.5 hp Kursbeskrivning Mattias Weckstén Högskolan i Halmstad Våren 2010 Veckorna 12-21
1 Introduktion Datautvinning från digitala lagringsmedia är en grundläggande kurs i incidenthantering, med syfte att lägga en grund till fördjupande kurser i forensiska verktyg. Kursen löper över 7,5 hp halv fart och består av föreläsningar, inlämningsuppgifter och laborationer. Kontinuerligt uppdaterad information om kursen hittar du på: http://www.hh.se/dt2002 Följande personal kommer att jobba med kursen: Examinator Mattias Wecksten Kursansvarig Mattias Wecksten, anknytning 7396, rum F313 Övriga roller Labassistent
2 Kursens syfte och lärandemål Kursen ska ge studenten kunskaper om metoder relaterat till kriminaltekniska verktyg för att säkra och utvinna data från digitala lagringsmedia. Efter avslutad kurs ska studenten kunna: hantera några av de på marknaden förekommande verktygen för utvinning av data från digitala lagringsmedia. självständigt analysera ett system för vilket datautvinning ska ske. självständigt planera utvinning av data ur systemet baserat på en systemanalys. genomföra en praktisk datautvinning från ett givet system. 3 Kursens innehåll Kursen omfattar en teoretisk introduktion till datautvinning från digitala lagringsmedia vilket innebär: Översikt över: de på marknaden förekommande hårdvarorna inom området. de vanligaste dataformaten. de på marknaden förekommande verktygen för datautvinning. Metoder för: datautvinning från fysiska enheter så som hårddiskar eller cashminnen. datautvinning från logiska enheter så som epostsystem eller databaser. övervakning och logganalys. att dölja data. att kryptera data. att förhindra förändring av data. Analys av: informationsspridning och dess effekter. vanligt förekommande virus, maskar och trojaner och deras användningsområden. Praktiska övningar i datautvinning.
4 Kursmoment Här följer en detaljerad plan över kursens olika moment. I texten anges läsanvisningar kopplat till varje moment, kursiv läsning anges omgivet av parenteser. Vecka 12 F1 Kursintroduktion Vid detta tillfälle kommer kursen att presenteras av kursansvarig. Det blir en genomgång av den här kursbeskrivningen och du kan ställa frågor om det är något som är oklart. Formen för examinationsmomenten gås igenom och tidsramar för dessa fastslås. En översikt av ITforensikerns roll och arbetsuppgifter ges tillsammans med förutsättningarna för digital datautvinning. Föreläsningen avslutas med en demonstration av datautvinning från ett datorsystem. F2 Ämnesintroduktion Vad är en incident och hur identifierar man den? Hur utför man det preventiva arbetet? Förbered - 1 Läs utdrag 1 ur FörUndersökningsProtokollet (FUP) för målet Pirate Bay - Fundera på vad som sägs med bakgrund av dagens föreläsning - Fundera över vilka argument det finns för att använda checksummor? Hade man inte lika gärna kunnat jämföra hela filer med filer ur backupen? Läs kursboken s.1-73 Skriven uppgift A, 2000 tecken, Incidentkedjan i ett verkligt fall Hur fungerar MD5? Vilka svagheter har MD5? http://en.wikipedia.org/wiki/md5 http://www.faqs.org/rfcs/rfc1321.html http://www.win.tue.nl/hashclash/rogue-ca/
Vecka 13 F3 Initial respons Incidenten har inträffat! Vilken blir vår initiala respons? Förbered - 2 Läs kursboken s.75-92 + 217-237 Ni får ta till er avsnittet 10 (hårddisken) genom självstudier. Boken är en bra start men har några år på nacken. Er uppgift blir att hitta aktuell kompletterande information och sammanfatta detta i ett arbete. Skriven uppgift B, 2000-4000 tecken, Hur fungerar hårddisken ur ett IT-forensiskt perspektiv Vecka 14 O M T E N T A V E C K A
Vecka 15 F4 Forensisk duplicering Vad krävs för att kunna använda utvunnet data som bevis? F5 Analystekniker Hur analyserar man den inhämtade datan för att utvinna informationen? Förbered - 3 Läs utdrag 2 ur förhandlingsprotokollet för målet Pirate Bay - Jämför och granska de två experternas utlåtanden. Läs kursboken s.151-172 + 239-289 (155-157) Skriven uppgift C, 2000 tecken, Svagheter i två expertutlåtanden dcfldd http://www.forensicswiki.org/wiki/dcfldd http://linux.die.net/man/1/dcfldd dd http://www.linuxjournal.com/article/1320 Forensic Carving http://tinyurl.com/c9gahs A smart carving approach http://sandbox.dfrws.org/2006/mora/dfrws2006.pdf Reguljära uttryck http://www.regular-expressions.info/ AutoPsy http://www.irongeek.com/i.php?page=videos/autopsy1
Vecka 16 F6 Bevishantering När vi väl har skaffat oss bevisdata måste det hanteras korrekt under hela undersökningen. F7 Datainsamling - Windows Systemet är identifierat. Hur går vi tillväga för att säkra data med minimal åverkan? L1 Laboration Datautvinning, checksummor och kontaminering. Förbered - 4 Läs utdrag 3 och 4 från FUP och jämför hur man valt att dokumentera med bokens strategi. Uppgift D, Sätt samman en egen forensisk verktygslåda - Utgå från förslagen i boken - Samarbeta gärna i hela klassen - Dokumentera - Glöm inte att generera checksummor och kontrollera beroenden Läs kursboken s.197-213 + 95-124 Okända lösenord Rainbowtables Sandman http://en.wikipedia.org/wiki/password_cracking http://home.eunet.no/~pnordahl/ntpasswd/ http://www.openwall.com/john/interviews/sf-20060222-p1 http://en.wikipedia.org/wiki/rainbow_table http://tinyurl.com/6pmm7s
Vecka 17 F8 Datainsamling UNIX/ LINUX Hur skiljer sig datainsamling i UNIX/ LINUX från datainsamling i ett Windowssystem? F9 Routeranalys Vilka spår lämnas kvar i routrar och hur kan vi hantera den? L2 Laboration Datainsamling initial respons. Förbered - 5 Läs kursboken s.125-149 + 173-194 Hur används nmap http://revision3.com/hak5/wontyoubemyneighbor/ http://nmap.org/book/man.html http://nmap.org/bennieston-tutorial/
Vecka 18 F10 Analys av Windowsbaserade system Hur går man mest effektivt tillväga för att analysera ett Windowsbaserat datorsystem? F11 Analys av UNIX/ LINUX-baserade system Hur går man mest effektivt tillväga för att analysera ett UNIX/ LINUX-baserat datorsystem? Förbered - 6 Läs kursboken s.291-358 Thumbdrive-prints USB-device artefacts LiveView Windows eventlogs http://www.hak5.org/episodes/episode-425 http://tinyurl.com/yaz84ph http://www.hak5.org/episodes/episode-413 http://tinyurl.com/mnckds
Vecka 19 F12 Avlyssning Hur går avlyssning till, vad är syftet och vilka är begränsningarna? F13 Nätverksanalys Hur kan nyttig information utvinnas från den data vi avlyssnat? L3 Laboration Datautvinning av Windowssystem och data-analys i AutoPsy. Förbered - 7 Läs kursboken s.173-194 + 359-380 AdWare http://philosecurity.org/2009/01/12/interview-with-an-adware-author tcpdump http://openmaniak.com/tcpdump.php Antisniff http://seclists.org/bugtraq/1999/jul/0195.html FreeBSD http://en.wikipedia.org/wiki/freebsd Avlyssning http://www.dgonzalez.net/pub/roc/roc.pdf
Vecka 20 F14 Analys av hackerverktyg / forensisk rapport Hur går man tillväga om man stöter på ett helt nytt okänt hackerverktyg som infekterat ditt system? Vad skiljer mellan olika typer av rapporter. Hur skriver man rapport för en person som är expert på ett annat område än det IT-forensiska? L4 Laboration Analys av en trojan i ett Linuxsystem. Förbered - 8 Läs kursboken s.385-413 + 435-453 Zip bomb http://en.wikipedia.org/wiki/zip_bomb Hit by a bus http://storm.net.nz/static/files/ab_firewire_rux2k6-final.pdf Antiforensics --- TrueCrypt http://www.truecrypt.org/docs/ Sub7-analys i AutoPsy http://video.google.com/videoplay?docid=280510391858381437 Övningstentor
5 Kursmoment Obligatoriska moment För att få ut slutbetyg för genomförd kurs krävs att man: deltagit vid samtliga laborationer (4 stycken) med resultatet godkänd. skrivit tentamen med resultatet 3, 4 eller 5. Valfria moment De skrivna uppgifterna A-C och miniprojektet uppgift D är valfria. De som genomför momenten och blir godkända kommer att tillgodoräknas bonuspoäng om slutresultatet blir U eller 3 på den skriftliga tentamens ordinarie skrivtillfälle. Varje avklarat moment ger 4 bonuspoäng. 6 Betygskriterier För betyget 3 krävs att studenten kan: redogöra för grundläggande uttryck och begrepp. arbeta med förekommande forensiska verktyg. planera och genomföra datautvinning samt forensisk analys. För betyget 4 krävs att studenten dessutom kan: applicera och resonera runt grundläggande uttryck och begrepp. För betyget 5 krävs att studenten kan: analysera och argumentera runt givna situationer med utgångspunkt i grundläggande uttryck och begrepp. 7 Litteraturlista Kursens huvudlitteratur som finns att tillgå gratis på ebrary är: Mandia, Proise, Pepe, Incident Response & Computer Forensics, ISBN 0-07-222696-X Som referenslitteratur (användbar i flera kurser) rekommenderas: Jones, Bejtlich, Rose, Farmer, Venema, Carrier, The Computer Forensics Library, ISBN 0-321-52564-7
8 Tidsplanering För att underlätta er möjlighet att påverka er utbildning så följer här en översikt av hur stor del de olika momenten i kursen tar i anspråk. Timbudget Föreläsning Labbar Administration För att underlätta er studieplanering hittar du här en mall för studieplan. Studieplan för DT2002 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 11 12 F F F F 13 F F 14 15 F F F F 16 L L F F F F 17 L L F F F F 18 F F F F 19 L L F F F F 20 L L F F 21 F = Föreläsning L = Labb U = Uppgift A-D B = Inläsning T = Tentaprep. Varje ruta är en timma. Hela kursen är 200 timmar.