Draft current state of digital forensic and data science Damir Delija
In this presentation we will introduce current state of digital forensics, its positioning in general IT security and relations with data science and data analyses. Many strong links exist among this technical and scientific fields, usually this links are not taken into consideration. For data owners, forensic researchers and investigators this connections and data views presents additional hidden values.
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...Damir Delija
Sažetak - U ovom radu razmatramo načine kontinuiranog uvođenje novih sadržaja u predmete s područja kibernetičke sigurnosti. Kao primjer navodimo „Osnove računalne forenzike“ u koji se novi sadržaji uvode korištenjem studentskih praktičnih i teoretskih radova, ideje za radove predlažu studenti i predavači. Predloženi postupak se sastoji iz testiranja kroz studentski rad, te ugradnje rezultata u nastavne materijale. Da bi se studentski rad uspješno koristio mora zadovoljiti niz zahtjeva: prilagođenost stupnju znanja studenta i raspoloživoj opremi, raspoloživost alata i sustava, jednostavna implementacija i prenosivost, upotreba alata otvorenog koda i slobodnih alata, te minimalna cijena.
Draft current state of digital forensic and data science Damir Delija
In this presentation we will introduce current state of digital forensics, its positioning in general IT security and relations with data science and data analyses. Many strong links exist among this technical and scientific fields, usually this links are not taken into consideration. For data owners, forensic researchers and investigators this connections and data views presents additional hidden values.
Uvođenje novih sadržaja u nastavu digitalne forenzike i kibernetičke sigurnos...Damir Delija
Sažetak - U ovom radu razmatramo načine kontinuiranog uvođenje novih sadržaja u predmete s područja kibernetičke sigurnosti. Kao primjer navodimo „Osnove računalne forenzike“ u koji se novi sadržaji uvode korištenjem studentskih praktičnih i teoretskih radova, ideje za radove predlažu studenti i predavači. Predloženi postupak se sastoji iz testiranja kroz studentski rad, te ugradnje rezultata u nastavne materijale. Da bi se studentski rad uspješno koristio mora zadovoljiti niz zahtjeva: prilagođenost stupnju znanja studenta i raspoloživoj opremi, raspoloživost alata i sustava, jednostavna implementacija i prenosivost, upotreba alata otvorenog koda i slobodnih alata, te minimalna cijena.
Pojam umjetne inteligenicja koji smo susretati samo u znanstveno fantastičkim filmovima sada je postao dio svakodnevnice i posve normalna pojava.
Od svojih početaka na slabašnim računalima pred kraj dvadesetog stoljeća, ekspertni sustavi su razvojem informatičke industrije dobili znatan porast mogućnosti i sve veći broj primjena u rješavanju problema u mnogim svakodnevnim situacijama.
U Srcu razvijamo, održavamo i dajemo podršku za veliki broj sustava, gdje se svaki sastoji od niza servisa i aplikacija, broj aktivnih korisnika ide i preko 150.000 (uglavnom iz akademske zajednice), a ti sustavi rade na raznim platformama (Java, .Net, PHP, ...). Potrebe i želje korisnika za doradama, nadogradnjama i proširenjima sustava konstantno rastu kako rastu i sami sustavi. Kako bi i dalje uspješno pratili potrebe korisnika smatramo da nam treba Platform as a service (PaaS) kao temelj za daljnji razvoj i održavanje naših sustava. U prezentaciji je prezentirano u kojim segmentima rada nam PaaS može pomoći.
Concepts and Methodology in Mobile Devices Digital Forensics Education and Tr...Damir Delija
One of draft versios of "Concepts and Methodology in Mobile Devices Digital Forensics Education and Training",
Abstract - This paper presents various issues in digital forensics of mobile devices and how to address these issues in the related education and training process. Mobile devices forensics is a new, very fast developing field which lacks standardization, compatibility, tools, methods and skills. All this drawbacks have impact on the results of forensic process and also have deep influence in training and education process. In this paper real life experience in training is presented, with tools, devices, procedures and organization with purpose to improve process of mobile devices forensics and mobile forensic training and education
Fuzzy logic in computer networks and systems management
Stanje računalne forenzike baza podataka
1. sigurnost
integrirana
Trenutno stanje računalne forenzike baza
podataka
Damir Delija
Dr.Sc.E.E
2. Plan predavanja
sigurnost
● Cilj prezentacije
– dati pregled što je računalna forenzika i kakvo je
trenutno stanje na području baza podataka
● Proći će se kroz
integrirana
– što je računalna forenzika i specifičnosti na
području baza podataka
– reakcije na incidente i računalna forenzika
– alati, komercijalni i open source
– primjene i uvođenja alata u postojeće velike
sustave
3. Razvoj računalne forenzike
sigurnost
Dva osnovna motiva
● razvoj računalnih znanosti i
integrirana
● razvoj računalnih incidenata tj užem smislu
računalni kriminal
4. Računalna forenzika
sigurnost
“Computer Forensics is simply the application
of computer investigation and analysis
techniques in the interest of determining
integrirana
potential legal evidence"
Judd Robbins
5. Zahtjevi na postupak
sigurnost
računalne forenzike
● Postupak mora biti dobro dokumentiran i
rezultati moraju biti ponovljivi
● Princip "najbolji dokazni materijal" tj. analiza
se radi na egzaktnoj kopiji a ne živom
integrirana
sustavu
● Lanac kontrole dokaza (Chain of custody)
mora garantirati pouzdanost dokaza
6. Legalni kriteriji
sigurnost
Uspostavljeni su kriteriji:
● Da li je tehnika i postupak pouzdano testiran;
● Da li je tehnika i postupak objavljen, provjeren od
znanstvene zajednice;
integrirana
● Da li se pouzdano zna koja je vjerojatnost greške
tehnike ili postupka;
● Da li je tehnika i postupak prihvaćena od
znanstvene zajednice.
7. Koraci forenzičkog postupka
sigurnost
Priprema
– priprema alata i opreme potrebne za forenzički postupak;
Prikupljanje
– prikupljanje dokumenta, logova, datoteka i izrada kopija
fizičkih objekata koji sadrže elektroničke dokaze
integrirana
Ispitivanje dokaza
– izdvajanje dokaza iz prikupljenog materijala
Analiza
– analiza dokaza prikupljenih u koraku ispitivanja
dokaza
Izvještavanje
– izrada izvještaja o nalazima
8. Računalna forenzika -
sigurnost
obzirom na obuhvat sustava
Forenzika pojedinačnog računala (host based)
● najčešći slučaj - analize radne stanice
● ulazi i forenzika aplikacije
Mrežnu forenziku (network enabled),
integrirana
● analizu sustava na razini mreže, analizu prometa na mreži,
upravljanja mrežom
Forenzika logova sustava (system log forensic)
9. Specifičnosti forenzike poslužitelja
sigurnost
baza podatka i baza podataka
Sličnosti:
● forenzičke metode koje se koriste su iste kao i za druge
složene računalne sustave
Razlike:
integrirana
● zahtjevi maksimalne raspoloživosti sustava,
● veliki volumen podataka,
● visoka pouzdanosti podataka,
● neprihvatljivosti zaustavljanja sustava
● ograničena ekspertiza raspoloživa u trenutku incidenta
● nepostojanje namjenskih alata
10. Dodatne specifičnosti forenzike
sigurnost
sustava baza podataka
Način na koji se dolazi do pokretanja forenzičkog
postupka (otkrića incidenta )
integrirana
– većina „data breach“ incidenata otkriva se
naknadno i izvana
– otežano otkrivanje tragova i vektora ulaska
11. Standardni koraci računalne
sigurnost
forenzike za baze podataka
– Pokretanje dokumentiranog opisa događaja u sustavu
– Identificiranje i kontrola incidenta
– Izrada i pohrana datoteka sa elektroničkim dokazima u lancu
odgovornosti o dokazima
– Oporavak usluga i vraćanje / rekonstrukcija obrisanih podataka
integrirana
– Prikupljanje i klasificiranje metadata podataka po vremenu
– Povezivanje svih informacija o događajima u lanac događaja na
osnovi vremena
– Analiza metadata timelinea
– Dokumentiranje cijelog forenzičkog procesa
– Korištenje rezultata u daljim koracima
– Detaljna analiza ključnih podatka
12. Računalna forenzika - po pristupu
sigurnost
Proaktivna računalna forenzika
● primjeni metoda računalne forenzike na zdravom
sustavu kako za dobivanje baseline sustava.
integrirana
Retroaktivna računalna forenzika (klasična forenzika)
● primjena i bez proaktivne ali puno manja efikasnost
Preduvjet za forenziku je kvalitetna administracija
sustava
13. Rezultat forenzičkog postupka
sigurnost
završno izvješće o incidentu
● Završno izvješće incidentu
sadrži relevantne podatke o incidentu;
glavni cilj - podizanje razine sigurnosti;
informacije iz tog izvješća moraju omogućiti:
integrirana
● prepoznavanje izvora napada;
● prepoznavanja i uklanjanje sigurnosnih propusta
●Koristiti se u sklopu procesa za upravljanje sigurnosnim
incidentima
●Računalna forenzika kao dio procesa kontrole incidenata i kao
dio procesa nadzora sustava
14. Alati i ekspertiza
sigurnost
Ne postoje namjesnki alat za forenziku baza
– Postoje alati za forenziku računalnog sustava na
nivou operacijskog sustava i sklopovlja
integrirana
– Ne postoje alati forenziku baze podataka i
pripadne aplikacije
– Ekspertiza vrlo rijetka
15. Komercijalni alati ili Opensource
sigurnost
● Nema idelanog alata
– može postojati zahtjevani alat!
● Prednost sa pravne strane na Komercijalnim
alatima
integrirana
● Opensource dodatni / kontrolni
● Filozofija odabira ista kao i za druge
korporativne sustave
– ključno je što mislite raditi i kako u vašem
sustavu
● Na samim bazama – open source ili home made
dominiraju
16. Alati
sigurnost
● EnCase guidance software
● FTK
● Helix CD
The Coroner's Toolkit (TCT)
integrirana
●
● Logminer
● Cadfile – oratime, orablock
● Mnogi drugi
17. Primjene i uvođenja alata u
sigurnost
postojeće sustave
● Primjene i uvođenja alata u postojeće velike
sustave
– dio incident responsa (IR)
– dio preventivne pripreme
integrirana
● Samo novi pogleda na stare prokušane
tehnike kontrole sustava
– dobra administracija sustva
● Dio pripreme za nastavak poslovanja
– bitno razumjevanje važnosti
18. Zaključak
sigurnost
● Računalna forenzika je dio kontrole i oporavka od incidenta
● prepoznavanje mogućnosti računalne forenzike
●U dogledno vrijeme možemo očekivati sve veću pojavu i
objavljivanje incidenata
●incidenti se ne mogu više držati unutar kuće
integrirana
●incidenati moraju biti legalno ispravno odrađeni
●Korištenje metoda računalne forenzike mora biti sustavno i kao
takvo ugrađeno u organizaciju
●Potrebna znanja i postupci moraju biti prepoznati kao nešto što
se mora imati na raspolaganju
Bez takvog pristupa računalni sustavi su izuzetno ugroženi
19. Linkovi i siteovi
sigurnost
www.databasesecurity.com
Krovni site za forenziku baza podataka
www.databasesecurity.com/oracle-forensics.htm
Oracle forenzika
integrirana
www.sans.org/reading_room
Različiti aspekti računalne sigurnosti
http://forensics.sans.org/community/downloads/
"SANS Computer forensic and E-Discovery" SANS
portal za računalnu forenziku