Incident Response e Analisi Forense: Problematiche di Individuazione delle Intrusioni, Analisi dei Log, Risposta Organizzata agli Incidenti e Analisi Forense

Milano 4-5 ottobre 2007

Programma

Primo Giorno 1 Introduzione 1.1 Case study: cosa ci troveremo di fronte 1.2 Esempi tipici di abuso di un sistema e di investigazione digitale 2 Preparazione alla gestione degli incidenti 2.1 Preparazione alla gestione degli incidenti 2.2 Preparare l'organizzazione agli incidenti: creazione di un team di incident response 2.3 Preparare la tecnologia: creazione dell'infrastruttura di supporto per le indagini 3 Toolkit dell'investigatore digitale 3.1 TCPdump e famiglia 3.2 Strumenti di analisi per dischi e media digitali 3.3 Altri strumenti utili 4 Log analysis 4.1 Esempi di log, e perché molte indagini falliscono già qui 4.1.2 Syslog, logging UNIX, sistemi Solaris 4.1.3 Logging in sistemi NT e Windows 4.2 Validazione ed analisi dei log; perché molti log non sono attendibili 4.3 Correlazione tra log 5 Uso di un sistema NIDS per tracciare incidenti di rete 5.1 Analisi dei log di un NIDS (e.g. Snort) 5.2 Come correlare e valicare i log di un NIDS, falsi positivi

Secondo Giorno 6 Analisi di media digitali (dischi, etc.) 6.1 Architettura dei file system 6.2 Lettura delle ceneri, ovvero come recuperare file perduti o cancellati 6.3 Acquisizione e validazione dei dati, dump forense, procedure di hashing 6.4 Strumenti open e close, discussione delle best e worst practice tipiche dell'incident response nostrana 7 Procedura di Incident Response 7.1 Come scatta l'allarme 7.2 Individuare le fonti e le vittime, tracing 7.3 Preservare le prove 7.4 Eseguire una risposta preliminare (contenimento) 7.5 Procedure di analisi immediata 7.6 Procedure di ripristino 8 Aspetti legali ed etici 8.1 Normativa italiana sul crimine informatico 8.2 Ripetibilità delle prove, e come (non) testimoniare in tribunale 8.3 La problematica della privacy 8.4 Etica e legge, due aspetti non sempre coincident