קורס פרקטיקום לחקירות Forensics

‫קורס פרקטיקום לחקירות ‪Forensics‬‬
‫יועץ אקדמי‪ :‬מר אבי ויסמן‪ ,‬מרצים ראשיים‪ :‬נדב נחמיאס‪ ,‬אלעד בר‪-‬איתן‬
‫תוכנית ממוקדת לאוכלוסיות טכנולוגיות‪ ,‬לבעלי רקע במחשבים‬
‫להכשרת מיישמים ואנשי אינטגרציה בתחומי אבטחת המידע‪.‬‬
‫(תאריכים בעמוד הראשי של המכללה)‬
‫מבוא‬
‫תוכנית הלימודים "מומחי חקירה"‪ ,‬הינה תוכנית מקורית אשר נבנתה‬
‫בישראל‪ .‬היא נועדה להכשיר מומחי ‪ Forensics‬להפעיל ולשלוט באמצעים‬
‫לפענוח אירועי מחשב‪ ,‬לצורך שחזור ופענוח כשלי תוכנה וחומרה‪ ,‬וכמובן ‪-‬‬
‫לצורך מניעתם בעתיד‪.‬‬
‫מאפייני תוכנית הלימודים‬
‫קהל‪:‬‬
‫מנהלים ‪ /‬סביבתיים ‪ /‬מקצוענים‬
‫אוריינטציה‪:‬‬
‫מנהלית‪ /‬טכנית ‪ /‬יישום‬
‫שלב‪:‬‬
‫מתחילים ‪ /‬מתקדמים‬
‫ויקיפדיה מגדירה את המונח ‪ Computer Forensics‬כענף במדע הזיהוי‬
‫הפלילי שייעודו – איתור ראיות משפטיות המצויות בנבכי המחשב ובאמצעי‬
‫האחסון שלו‪ .‬לעיתים מכונה הענף גם ‪.Digital Forensics‬‬
‫הסמכות‪:‬‬
‫סט כלי ‪ Forensics‬נועד לספק אמצעים לפענוח אירועי פשיעת מחשב‪.‬‬
‫שעות‪:‬‬
‫‪ 48‬שעות‬
‫השימוש בכלים מסוג זה מבוצע בדרך כלל במקרים הבאים‪:‬‬
‫מתכונת‪:‬‬
‫‪ 12‬מפגשי ערב‪ ,‬כ‪ 2 -‬חודשים‬
‫תרגול בית‪:‬‬
‫לא קיים ‪ /‬קיים‬
‫‪.1‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫רוחב‪:‬‬
‫ממוקד ‪ /‬רחב‬
‫עומק‪:‬‬
‫סוקר ‪ /‬עמוק‬
‫‪See Security - Certified‬‬
‫‪Forensics Professional‬‬
‫במסגרת משפטית – לצורך בחינת מערכות מחשב אשר שימוש את הנאשמים‪ ,‬הנתבעים או את התובעים‪.‬‬
‫לצורך שחזור מידע על‪-‬גבי מדיות שניזוקו עקב כשל חומרה או תוכנה‪.‬‬
‫על‪-‬מנת להבין את התהליכים המתקיימים במערכת לצורך שיפור ביצועים‪ ,‬או לצורך שחזור תקלה לצורך מניעתה בעתיד‪.‬‬
‫על‪-‬מנת להבין את התהליכים המתקיימים במערכת בעת חדירת תוקף‪ ,‬לצורך הבנת ההתקפה ומניעתה בעתיד‪ ,‬או לצורך‬
‫זיהוי התוקף‪.‬‬
‫מטרת התוכנית‬
‫הכשרת אנשי מקצוע כמומחי ‪ Forensics‬לצורך שליטה והפעלה נכונים של כלי פענוח אירועי מחשב‪.‬‬
‫קהל יעד‬
‫בעלי ידע מעשי בתחום התשתיות (מערכות הפעלה ותקשורת‪ ,‬ורצוי ידע בסיסי בכלי אבטחה בסיסיים) וכן בוגרי תואר ראשון‬
‫או שני במדעי המחשב‪ ,‬הנדסת תוכנה\חומרה‪ .‬המסלול לא מתאים למתחילים‪.‬‬
‫הסמכה‬
‫התוכנית נבנתה לצרכי ידע מעשי‪ .‬לעומדים בדרישות התוכנית‪ ,‬תוענק תעודה מטעם ‪:See-Security‬‬
‫"מוסמך חקירות אירועי מחשב"‬
‫"‪."Certified Forensics Professional‬‬
‫מי שאינם עומדים בדרישות יהיו זכאים לתעודת השתתפות‪ ,‬ולהשלמת מחויבויותיהם (השתתפות חוזרת ‪ /‬עבודות ומשימות)‬
‫ללא תשלום‪.‬‬
‫בעלי רקע בחקירות מחשב יכולים לגשת למבחני ‪ CCFP‬של ‪ (ISC)2‬בכפוף להנחיות הארגון‪.‬‬
‫הכרה‬
‫הסמכות מכללת ‪ See Security‬נעשו סטנדרט דה‪-‬פקטו בישראל‪.‬‬
‫תובל ‪ ,30‬רמת‪-‬גן – ‪ ,5252242‬טל'‪ ,054-5222305 ,03-5799555 ,03-6122831 :‬פקס‪03-6122593 :‬‬
‫‪[email protected]‬‬
‫‪www.see-security.com‬‬
‫קורס פרקטיקום לחקירות ‪Forensics‬‬
‫תנאי קבלה‬
‫‪ ‬רקע קודם בניהול רשתות ‪ Windows‬או ‪ Linux‬או באבטחת מידע‪ .‬התלמיד נדרש להכיר מערכות הפעלה כגון ‪Windows‬‬
‫ו‪ ,Linux-‬פרוטוקולי תקשורת ומודל ‪ TCP/IP‬ואת עולם ה‪.WEB-‬‬
‫‪ ‬נכונות לעבודה עצמית מונחית (כ‪ 100 -‬שעות לימוד ביתי)‪.‬‬
‫‪ ‬ראיון אישי‪.‬‬
‫מטלות תוכנית הלימודים‬
‫‪ ‬קיימת חובת נוכחות ב‪ 80%-‬מהמפגשים‪.‬‬
‫‪ ‬כל מודול נלמד מחייב עמידה במבחן פנימי ו‪/‬או בעבודות בציון ‪ 70‬לפחות (ראה תקנון קורס במכללה)‪.‬‬
‫‪ ‬בנושאים הטכניים ‪ -‬תרגול (‪ )Hands-on‬בכיתה (מעבדת מחשבים)‪.‬‬
‫מתכונת הלימודים‬
‫משך התכנית כ‪ 48 -‬שעות‪ ,‬במתכונת של ‪ 12‬מפגשי ערב (כ‪ 2 -‬חודשים)‪ .‬הלימודים מתקיימים בקמפוס ‪See Security‬‬
‫ברמת‪-‬גן‪ .‬המסלול נפתח פעמיים בשנה‪.‬‬
‫עלות הלימודים‬
‫סך ‪ ₪ 400 + ₪ 12,000‬דמי רישום (כולל מע"מ)‬
‫מידע נוסף‬
‫‪ ‬מידע מינהלי‪:‬‬
‫‪ ‬יועץ אקדמי‪:‬‬
‫אלוירה אליסייב‪[email protected] ,052-8787889 ,03-6122831 ,‬‬
‫‪[email protected] ,054-5222305‬‬
‫אבי ויסמן‪,‬‬
‫מתודולוגיה‬
‫מסלול ‪ Forensics‬נבנה על סמך היכרות המכללה עם עולם אבטחת המידע והסייבר בישראל ובעולם‪ .‬התכנים נבנו בסיוע‬
‫אנשי מקצוע מהמעולים בתחום הנושאים על גבם ניסיון ארוך טווח והיכרות עם טכנולוגית מגוונת בתחומי הלימוד‪.‬‬
‫תוכנית הלימודים (מקוצר)‬
‫‪1. Introduction to digital Forensics‬‬
‫סקירה של תחום ה‪ , forensics -‬אופיים של חקירה וממצאים‪ ,‬והתמקדות בקבצים ממספר סוגים (‪)Formats‬‬
‫ודוגמאות לשימוש חריג בהם (החבאה וזיהוי שלה)‪ .‬תרגול של שיטות וכלים להחבאת מידע ומציאת מידע חבוי או‬
‫חריג בקבצים מסוגים שונים‪.‬‬
‫‪How to conduct a digital forensic investigation‬‬
‫‪The nature of digital findings‬‬
‫‪Common file formats, use and abuse‬‬
‫‪Hiding data in plain sight‬‬
‫‪Tools for uncovering hidden data‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪2. Initial survey of an infected system‬‬
‫תיאור הפעולות שניתן לבצע על מנת לאסוף מידע ראשוני ממערכת החשודה כמודבקת‪ ,‬על מנת לאמוד את הנזק‬
‫ולתחקר את האירוע‪ .‬שימוש בכלי איסוף בסיסיים של מערכת ההפעלה וכן נקודות מפתח לבדיקה ידנית‪ ,‬וההשלכות‬
‫של ממצאים מסוגים שונים שניתן לפגוש‪ .‬תרגול סקירה ראשונית על מערכות מודבקות מסוג ‪ Windows‬ו‪.Linux-‬‬
‫‪Preliminary evidence gathering‬‬
‫‪Built-in information sources:‬‬
‫‪ System and Application event logs‬‬
‫‪ Crash dumps and error reports‬‬
‫תובל ‪ ,30‬רמת‪-‬גן – ‪ ,5252242‬טל'‪ ,054-5222305 ,03-5799555 ,03-6122831 :‬פקס‪03-6122593 :‬‬
‫‪[email protected]‬‬
‫‪www.see-security.com‬‬
‫‪‬‬
‫‪‬‬
Forensics ‫קורס פרקטיקום לחקירות‬



 Common File-system locations
Information gathering tools
Windows-specific artifacts and implications
Linux-specific artifacts and implications
3. File-system Internals
‫ הסבר על מבנה‬.EXT-‫ ו‬FAT, NTFS :‫תיאור אופן הפעולה והשוואת תכונות של מערכות הקבצים הנפוצות היום‬
‫ תרגול‬.‫מערכת הקבצים ברמת מערכת ההפעלה והמשמעות של פעולות משתמש מבחינת המידע המאוחסן בפועל‬
.‫של גישה וביצוע "ידני" של פעולות על מנת לשנות מאפיינים ולהסתיר קבצים על ידי גישה ישירה להתקן האחסון‬






File storage and partitioning of physical volumes
Introduction to file-systems and comparison
Windows-centric file-system internals
 FAT
 NTFS
Linux-centric file-system internals
 EXT
 NFS
 TMPFS
File-system recovery
 Journaling
 Recovery after corruption
 Deleted file recovery
Direct access and manipulation of data and meta-data
4. Image data extraction
‫ וכן קבצים מתוך‬,)TSK( ‫שימוש בכלים מתקדמים על מנת לחלץ מידע שאינו נגיש למשתמש מתוך מערכות קבצים‬
‫ תרגול באחזור קבצים ומידע גולמי מתוך מערכת‬.)carving: foremost/scalpel( ‫מערכות קבצים שלא ניתן לשחזר‬
.‫קבצים אחרי מחיקה או נזק למערכת – עם ובלי כלי עזר‬




Locating and identifying information inside a HDD/partition image
File extraction and recovery using TSK and Autopsy
File carving using Foremost and Scalpel
Locating and extracting custom files and other information
5. Conducting the investigation
‫ כגון ציר זמן או‬,‫ על ידי שימוש במידע שנאסף וכלי ניתוח‬,‫מהלך חקירה לשם גילוי נוזקות או שיבוש מצד משתמשים‬
.Linux-‫ ו‬Windows ‫ תירגול חקירה של מכונות מודבקות בנוזקה מסוג‬.‫זיהוי חריגות‬



Clues and leads
 Constructing a time-line of events
 Pattern detection
 Anomaly detection
Malware-oriented information gathering
User-related information gathering
6. Live snapshot analysis
‫ איתור תהליכים חשודים וממצאים חריגים לשם‬.‫ביצוע איסוף וניתוח תמונת הזיכרון חלקית או מלאה של מכונה רצה‬
.‫ וכן ניתוח מכונות שהודבקו מנוזקות מוכרות‬,‫ תירגול בתפיסת מחשב מודבק "ידנית" וניתוחו‬.‫אפיון הפרצה במחשב‬



Performing a snapshot
Artifacts in live snapshots
Using Volatility and Rekall for Windows and Linux snapshots
03-6122593 :‫ פקס‬,054-5222305 ,03-5799555 ,03-6122831 :'‫ טל‬,5252242 – ‫גן‬-‫ רמת‬,30 ‫תובל‬
www.see-security.com
[email protected]
‫קורס פרקטיקום לחקירות ‪Forensics‬‬
‫‪7. Network and Internet-related behavior‬‬
‫ניתוח תעבורת רשת בראי מקרה של הדבקת מחשב‪ ,‬וגילוי ממצאים המקדמים את החקירה‪ .‬תרגול בניתוח תעבורה‬
‫של מחשב מודבק לשם איתור הנוזקה והתחקות אחר המקור שלה והמידע ששודר מהמחשב‪.‬‬
‫חקירת עקבות של התנהגות משתמשים באינטרנט‪ :‬היסטורית גלישה ושימוש בתוכנות מבוססות רשת כגון צ'אט‬
‫ודוא"ל‪ .‬תרגול בשחזור היסטוריה והסקת מסקנות לגבי אירועי פריצה המבוססים על טעויות אנוש‪.‬‬
‫‪Common malware network patterns‬‬
‫‪Cross-referencing network findings with other results‬‬
‫‪User content and artifacts‬‬
‫‪ Browsing history and cookies‬‬
‫‪ Chat and e-mail logs‬‬
‫‪ Activity logs‬‬
‫‪ Hidden activity information‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪8. Mobile devices‬‬
‫חקירה של מערכות ההפעלה מכשירים ניידים‪ ,‬תוך התמקדות מ‪ .Android-‬תרגול של חקירת מערכת ‪Android‬‬
‫מודבקת‪.‬‬
‫‪Comparison to traditional operating systems‬‬
‫‪Android-specific artifacts and implications‬‬
‫‪IOS-specific artifacts and implications‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪9. Anti-forensic technologies‬‬
‫זיהוי והבנת מנגנון ואופן הפעולה של כלי החבאה‪ ,‬שמטרתם לסכל חקירות ‪ ,Forensics‬ותרגול בהפעלת כלים שונים‬
‫למטרה זו והשפעתם על החקירה והממצאים לאחר מכן‪.‬‬
‫‪Hiding or destroying information‬‬
‫‪Evasion from traditional forensic tools‬‬
‫‪Detecting anti-forensic methods‬‬
‫‪Overcoming anti-forensic methods‬‬
‫‪ Before the fact‬‬
‫‪ After the fact‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫הערות לתוכנית הלימודים‬
‫א‪ .‬תוכנית הלימודים מחייבת בהכנת שיעורי בית להשגת יעדי הלימוד‪.‬‬
‫ב‪ .‬משימות קריאה מהווים חובה לימודית‪.‬‬
‫ג‪ .‬תכנים‪ ,‬נושאים ו‪/‬או יצרנים עשויים להשתנות במהלך הרצת התוכנית כתוצאה ממגבלות שיווקיות ‪ /‬אחרות‪.‬‬
‫הערות מינהל‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫פתיחת כל תכנית מותנית במספר הנרשמים‪.‬‬
‫דמי ההרשמה אינם מוחזרים‪ ,‬אלא במקרה של אי פתיחת התכנית על ידי ביה"ס‪.‬‬
‫דמי ההרשמה ומבחנים חיצוניים כלשהם אינם כלולים בשכר הלימוד‪.‬‬
‫ייתכנו שינויים במערך התכנית‪ ,‬במועדי הלימודים והבחינות או בכל נושא אחר‪ .‬הודעה על כל שינוי תימסר למשתתפים‪.‬‬
‫מידע נוסף‬
‫‪ ‬מידע מינהלי‪:‬‬
‫‪ ‬יועץ אקדמי‪:‬‬
‫אלוירה אליסייב‪[email protected] ,052-8787889 ,03-6122831 ,‬‬
‫‪[email protected] ,054-5222305‬‬
‫אבי ויסמן‪,‬‬
‫תובל ‪ ,30‬רמת‪-‬גן – ‪ ,5252242‬טל'‪ ,054-5222305 ,03-5799555 ,03-6122831 :‬פקס‪03-6122593 :‬‬
‫‪[email protected]‬‬
‫‪www.see-security.com‬‬
‫קורס פרקטיקום לחקירות ‪Forensics‬‬
‫לכבוד‬
‫המכללה לאבטחת מידע וללוחמת מידע‬
‫שיא סקיוריטי טכנולוג'יז בע"מ‬
‫רמת‪-‬גן – פקס‪03-6122593 :‬‬
‫נא לרשום אותי לתוכנית הלימודים ברמת גן‬
‫פרקטיקה בחקירות – ‪Forensics Practicum‬‬
‫פרטים אישיים‪:‬‬
‫שם פרטי‬
‫שם משפחה‬
‫שנת לידה ________‬
‫ת‪.‬ז‪.‬‬
‫‪.‬‬
‫כתובת פרטית‬
‫טל' נייד‬
‫טל' בבית‪:‬‬
‫‪.‬‬
‫פקס‬
‫‪.‬‬
‫כתובת ‪E –mail‬‬
‫מקום עבודה‪:‬‬
‫טל'‬
‫שם החברה‬
‫‪.‬‬
‫תפקיד‬
‫לתשלום (נא סמן בחירתך)‪:‬‬
‫‪‬‬
‫‪ - ₪ 400‬דמי רישום (חובה בכל מקרה)‬
‫‪‬‬
‫‪₪‬‬
‫שכר לימוד בסך‬
‫‪‬‬
‫________ ‪ - ₪‬מקדמה (בגובה ‪ 10%‬משכר הלימוד)‬
‫‪ ‬מצ"ב שיק מס' _______________ע"ס _________ ‪( ₪‬ניתן לשלם עד ____תשלומים בהמחאות דחויות)‬
‫(את ההמחאות יש לרשום לפקודת שיא סקיוריטי בע"מ)‬
‫‪ ‬מצ"ב מכתב התחייבות המעסיק‪ ,‬אם הינך ממומן על ידו‪ )1( .‬יודפס ע"ג נייר לוגו (‪ )2‬בציון מספר ח‪.‬פ של החברה‪)3( ,‬‬
‫לתשלום שוטף ‪ 30 +‬ממועד הפתיחה לכל היותר)‬
‫‪ ‬נא לחייב כרטיס אשראי‬
‫בתוקף עד‬
‫‪‬‬
‫בתשלום אחד‬
‫‪‬‬
‫ב‪ _____ -‬תשלומים (עד ‪ 18‬תשלומים בקרדיט)‪.‬‬
‫‪‬‬
‫ב‪_____ -‬תשלומים ללא ריבית‪.‬‬
‫ת‪.‬ז‪ .‬בעל הכרטיס‬
‫שם בעל הכרטיס‬
‫‪.‬‬
‫תא' לידה של בעל הכרטיס‬
‫כתובת בעל הכרטיס‪ ,‬המעודכנת בחברת האשראי‬
‫‪.‬‬
‫טלפון בעל הכרטיס‪ ,‬המעודכן בחב' כרטיסי האשראי‬
‫‪.‬‬
‫שם בנק‪+‬סניף הבנק בו מנוהל חשבון כרטיס האשראי‬
‫‪.‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫דמי ההרשמה אינם מוחזרים‪ ,‬אלא במקרה של אי פתיחת התכנית על ידי ‪.See Security‬‬
‫דמי ההרשמה אינם כלולים בשכר הלימוד‪.‬‬
‫יש לוודא כי התשלומים יסתיימו עד למועד סיום הקורס‪.‬‬
‫תאריך‪:‬‬
‫חתימה‪:‬‬
‫‪.‬‬
‫תובל ‪ ,30‬רמת‪-‬גן – ‪ ,5252242‬טל'‪ ,054-5222305 ,03-5799555 ,03-6122831 :‬פקס‪03-6122593 :‬‬
‫‪[email protected]‬‬
‫‪www.see-security.com‬‬