Bilgisayar ve Ağ İnceleme (Forensic) Eğitimi

Amaç

Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir.

Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir.

Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.

Bu eğitimin amacı, bilgisayar ve ağ inceleme ile ilgili temel teknik bilginin aktarılabilmesidir. Bu sayede katılımcılar müdahale metodlarını daha doğru belirleyebilecek ve araç yatırımlarını daha verimli yapabilecektir.

Ön Koşullar

Katılımcıların eğitimden en yüksek faydayı sağlayabilmeleri için temel disk mimarisi, dosya sistemi, Unix ve Windows işletim sistemleri ve TCP/IP ağ bilgisine sahip olmalarında fayda bulunmaktadır.

Teknik bilgisi zayıf olan katılımcılar eğitimin kavramsal bölümlerinden adli bilişim alanını oluşturan temel uzmanlık alanlarını öğrenme imkanına kavuşabilir.

Katılımcılar

Bilgi güvenliği ve bilgi teknolojileri risk, kontrol ve denetim uzmanları, adli bilişim ihtiyacı bulunan hukuk personeli, sistem ve ağ yönetimi uzmanları eğitime katılabilir.

İçerik
  • Bilişim suçlarına giriş
    • Bilişim sistemlerine yönelik suçlar
    • Bilişim sistemleri aracılığı ile gerçekleştirilen suçlar
    • Türk Ceza Kanunu ve Adli Bilişim Delillerinin Geçerliliği
    • 5651 Sayılı Yasa
    • Fikri Mülkiyet Hakları ile ilgili Düzenlemeler
    • Siber olaylara müdahale ekiplerinin kuruluşu ile ilgili tebliğ
  • Adli bilişim ihtiyaçları ve hedefler
    • Olayın gerçekleştiğinin ve olaya karışan tarafların tespiti
    • Olayın gerçekleştiği zaman aralığının tespiti
    • Olayın kapsamı ve sonuçlarının tespiti
    • Olaya ilişkin geçerli kanıtların elde edilmesi
  • Olay müdahalesi
    • Olay müdahale strateji seçenekleri
    • Genel olay yönetim süreci ve bilişim olaylarına özel durumlar
    • Olay tespitine yardımcı güvenlik ve izleme sistemleri
      • IDS / IPS sistemleri
      • Log ve İzleme Çözümleri
      • Operasyon Ekipleri
    • Olay müdahalesi ve adli bilişim delillerinin toplanması ile ilgili genel prensipler
    • Kanıtların bütünlüklerinin sağlanması ve raporlama
  • Bilgisayar inceleme
    • Bilişim sistemlerine yönelik suç durumlarında yapılabilecek incelemeler
      • Bilgi sistemlerine yönelik olası suç türleri (suistimal amaçlı veri çalma veya manipülasyonu, sistemi ele geçirme ve kötüye kullanım, rastgele saldırı, aktivizm)
      • Log inceleme
      • Disk / cihaz inceleme
      • Hafıza inceleme
    • Bilişim sistemleri kullanılarak işlenen suçlarla ilgili yapılabilecek incelemeler
      • Disk / cihaz inceleme
      • E-posta izleri
      • Tarayıcı izleri
      • İşletim sistemi veri yapılarında bulunacak izler (dosya sisteminde kalan silinmiş dosya bilgileri, registry veritabanı)
  • Ağ temelli inceleme
    • Ağ üzerinde gözlenebilecek aktiviteler
      • Zararlı yazılım aktiviteleri
      • Suistimal amaçlı kurulan bağlantılar
      • Kurum verilerinin sızdırılması
    • Ağ üzerinde akan trafiğe yönelik yapılabilecek incelemeler
      • Akan paketlerin içeriğinde saldırı veya sızma işaretlerinin aranması (alarm verisi)
      • Akan paketler izlenerek trafik verilerinin üretilmesi (oturum verisi)
      • Belli özellikleri taşıyan paketlerin taşıdıkları veriler ile kaydedilerek veri analizi yapılması (içerik verisi)
  • Adli bilişim için gerekli temel bilişim kavramları
    • Veri analizi ile ilgili kavramlar
      • Disk üzerinde saklanan veri birim ve yapıları
      • Dosya sistemleri
      • İşletim sistemleri ve cihaz sürücüler
      • Uygulama katmanı
      • Hafıza kavramları
    • Ağ teknolojisi ile ilgili kavramlar
      • Ağ mimarisi ve paketleri
      • IP ve port kavramları
      • Temel TCP/IP protokolleri
      • Soket programları, ağ servis uygulamaları
      • Bulut bilişim, sanallaştırma
    • Kriptografi kavramları
      • Veri ve log bütünlüğü için kullanılan kriptografi kavramları
      • Gizliliği güvence altına almak için kullanılan kriptografi kavramları
      • İnkar edilemezliği güvence altına almak için kullanılan kriptografi kavramları
  • Disk mimarisi
    • Temel disk veri birimleri
    • Disk adresleme kavramları
    • Partition yapısı
      • DOS partition yapısı inceleme (R-Studio ile)
    • Dosya sistemleri
      • FAT16 üzerinde inceleme (dosya oluşturma ve silme) (R-Studio ile)
      • NTFS (NTFS alternate stream verileri)
      • EXT3
      • Dosya sistemleri veri yapılarında bulunan forensic verileri, bu verilerin yanıltılabilir olanları
    • Linux işletim sistemi üzerinde partition tablosu ve dosya sistemi oluşturma
    • Windows işletim sistemi üzerinde partition tablosu ve dosya sistemi oluşturma
  • Canlı analiz
    • Proses analizi
    • Aktif ağ bağlantılarının analizi
    • Dosya analizi
    • Hafıza içinde veri arama
  • Temel ağ protokolleri
    • Ethernet protokolü
    • IP protokolü
    • TCP protokolü
    • UDP protokolü
    • HTTP protokolü
    • HTTPS protokolü
    • İçerik verisi ve oturum verisi analizi olarak Wireshark ile paket inceleme, oturum inceleme (HTTP üzerinden bir dosya indirme ve dosya içeriğini oluşturma örneği)
    • Alarm verisi analizi olarak Snort IDS uygulama örneği
  • Adli bilişim donanım ve yazılımları
    • Write blocker
    • Disk kopyalama donanımları
    • Forensic imaj alma yazılımları
      • FTK Imager ile imaj alma örneği
      • Linux dd komutu ile imaj alma örneği
    • Forensic imajı inceleme ve raporlama çözümleri
      • Ticari çözümler
      • Açık kaynak kodlu çözümler
    • Forensic imajı alma ve inceleme uygulama örneği – FTK ile analiz örneği
  • Adli bilişim çözümlerinin uyguladığı teknikler
    • Silinmiş dosyaların tespiti
      • Dosya sistemi veri yapılarından faydalanarak
      • Dosya başlıklarından faydalanarak
    • Dosya kazıma
    • Anahtar kelime endeksleme ve arama
      • Karmaşık arama yöntemleri
      • Sıkıştırılmış dosya ve arşivlerin açılması ve incelenmesi
      • Kullanılan ve kullanılmayan disk alanlarında inceleme
      • Dosyaları sınıflandırma ve bu sınıflar içinde arama imkanı
    • İşletim sistemi ve uygulama katmanında veri yapıları analizi
      • Registry analizi
      • Tarayıcı izleri analizi
    • Kriptolanmış dosyaların tespiti
    • Bilinen sistem dosyalarının ayıklanması
  • Mobil cihazlarda adli bilişim incelemesi
    • Android cihaz inceleme
    • iOS (iPhone, iPad) cihaz inceleme
  • Zararlı yazılım analiz yöntemleri
    • Dinamik analiz yöntemleri
    • Statik analiz yöntemleri
    • Derlenmiş yazılım dosya imajları hakkında temel bilgiler
  • Kriptolu dosyaların açılması veya kırılması
    • Sözlük saldırısı için kelime oluşturma
    • Ofis dokümanlarının zayıflıklarından faydalanma
    • Kaba kuvvet yöntemi ile kırma
Süre / Yer

Süre: 2 gün

Yer: İstanbul