시리즈 목록
Live Forensic은 어떻게 번역되어야 할까? '실시간 포렌식'? '날 포렌식'? '쌩 포렌식'?ㅋㅋ
뭐 아무튼 오늘은 이 'Live'에 대해 좀 생각해볼까 한다.
회 포렌식...은 좀 번역이 특히 아닌거 같다 :)
Live Forensic이란게 뭐냐? 라고 하시는 분들은 <여기>나 <여기>를 보시면 될 것 같다.
처음 포렌식을 접할때에만 해도... 혹은 여타 입문서에도, 혹은 어느 교육과정에서 포렌식의
기초에 대해 배울때에만 해도 증거를 확보할때, PC(혹은 서버) 앞에 가서 사진을 찍은 후
가장 먼저 할일은 전원코드를 뽑아 그 상태를 유지하는것 이라고 했다. 다른 분들이야
어떻든 나는 그렇게 배웠었다. 그게 그 당시에도 의문이 참 많았는데, 이제는 당당히 완전히
잘못된 것이라 말하고 싶다.(심지어 Live Forensic issue를 떠나서도)
이제 누군가 그렇게 말한다면 손들고 자신있게 아니라고 말해라. 뭐 한대 맞아도 어쩔수 없다
<※ 덧붙임 081120 : 미국 표준 지침에도 코드를 뽑자고 나와 있지만, 이제는 확실히 잘못된
지침임에 분명하다!!!>
기본적으로 컴퓨터에서 Data를 저장하는데 있어 여러 저장 공간이 존재하는데 하드 디스크,
CD, DVD, USB, Memory, Cache 등..정말 엄밀하게 따져보면 CPU나 VGA 안에도
저장공간이 있다. 그리고 각 매체들에 저장되는 내용이 각기 다르다. HDD,CD,DVD,USB등의
반영구적 저장공간에 있는 Data가 지금 고민하고자 하는게 아니다. 컴퓨터의 파워를 Off 했을때
RAM으로 대표되는 휘발성 저장공간은 자신을 비워버린다.(비운다기 보다 유지할 수 가 없다.)
그럼 반영구적 저장공간 말고 휘발성 저장공간에
있는 내용에는 어떠한 것이 있을까? 일반적으로
메모리에 로딩 되어 있는 자료이다.그것들은
네트워크 연결 현황, 암호화 키 값등을 포함할 뿐만
아니라, 각기 작동중인 프로세스의 Detail한 정보,
어떤 파일을 열고 있는지 어디를 참조하고 있는지
누가 부모인지,자식인지 등의 정보까지도 포함하고
있다. 더 나아가 로딩된 각 프로세스가 로딩한 data
역시 메모리안에 들어 있게 된다. 완전 진짜 Data
들이 적재되어 있는 것이다.
뭐 이런 이점 이외에도 라이브 포렌식은 얼마전 올렸듯이 디스크 자체를 암호화 한 컴퓨터에
대한 가장 현명한 대응 방안이기도 하다. 사실 수많은 유용한 데이터를 두고 전원을 내린다는것은
마치 맨주먹으로 곰을 때려잡는 일과 흡사 하다. 이러한 짓이 불가능한 일임은 둘째 치고 성공해도
만신창이가 되는 것도 미뤄놓고...잡았을 경우에도 곰은 피떡이 되어 원래의 목적?에는 그다지
활용하기가 힘들것이다. 디지털 증거를 라이브한 상황에서 추출하지 아니 하고 죽여놓고 해부를
하여 추출한다면 그 증거의 오염 가능성이 더욱 증가되고 신뢰성은 더욱 떨어질 것이다.
어디 보자 요새 IT의 화두가 무엇인가? 클라우딩 컴퓨팅과 대형화, 가상화가 바로 추세 아닌가?
그럼 그 화두에 맞춰보자 클라우드 안에 있는 Data에 대하여 라이브한 단말을 죽여놓고 확보하려는
행동이 현명한것일까? Trusted 되어 있는 Virtual 환경을 버리고 가상 환경을 볼수 있는 3D안경을
두고 적나라한 0과 1의 조합인 바이너리 Data만 눈껌뻑대면서 바라보는게 소위 배웠다는 사람의
행동일까? 100 TB짜리 서버를 통채로 들고 오는 방법과 통채로 복사해오는 방법, 현장에서 필요한
자료만 추출하여 CD 혹은 DVD만 들고 오는 방법과 어느게 현명하고 현실성 있는 방안일까?
점차 단순 사후 포렌식으로만 얻을 수 있는 정보는 사라져 가고 있다.
암호화된 디스크, 대형 저장공간, Massive한 Log Data, Virtual Network, Thin Client,
다양화 되는 저장매체, 언제 어디서나(하지만 인가된 방법을 통해야만) 접근 할 수 있는
클라우드... 이건 뭐..지금 대비를 안하면 나중엔 증거가 있는 매체 혹은 컴퓨터를 눈앞에 두고
책상에 앉아 눈만 껌뻑껌뻑 하다가 아무것도 못하다 퇴근 하는 길에 괜한 퍽치기를 만나 비명 횡사
해도 아무도 알아 주지 않는 그런 상황이 안온다곤 장담 할 수 없는 것이다.
(....왠지 소설을 써볼까 하는 생각도-_-ㅋ)
하지만 지금 우리는 아직 시간이 많다. 나쁜애들은 이러한 변화를 받아 들이기엔 나쁜짓 하느라 너무
바쁘고 좀 멍청하다.우리가 먼저 똑똑하고 발빠르게 대응해야 하는 거 아닐까?
벌써부터 작은 걸림돌이 되고 있다면 조만간 거대한 벽이 되어 우리를 가로 막을 것이다. 이러한
문제들에 효율적으로 대응 할 수 있는 것이 바로 Live 포렌식이다. 최근에는 몇몇 천재?들에 의해
이런걸 더욱 쉽게 접근 할수 있는 길이 열린 것이다.
예전에 들었던 어떤 분의 말씀이 떠오른다.
존재한다. 단지 알아보기만 하면 되는 것이다. 게다가 해보면 굉장히 매력적인 분야 같다.
우리가 먼저 Live로 가자.(아니 뭐 외국 애들은 뭐 RAM을 얼려가지고 Encrypt Key를 추출 한다
어쩐다 하던대 그런짓까진 안해도 어느정도 나쁜애들 보단 똑똑하게 해야 하자나...)
시대의 흐름이 본의 아니게 전통 포렌식의 한계점을 넘어 버렸다면, 우리도 훌쩍 뛰어 넘어 다시
진지 구축을 할 필요가 있다고 생각한다.
추가 링크: Dark Reading : Digital Forensics & Incident Response Go Live
p.s:하도 퍼오기만 하고 글을 안썼더니 내용이 매끄럽지 못한거 같다.
다음 주제는 좀 깔끔하게 써봐야지-_-어렵네...
LF_Part 1 : 이제 전원 코드는 함부로 뽑지 마라...Live란 단어를 마땅히 국어로 옮기기 힘들때가 있다.
LF_Part 2 : 세계적으로 Live Forensics이 대세(해외 포스트 정리)
LF_Part 3 : Live Forensics 해보기...
LF_Part 3-1 : Memoryze + EnCase... 이얍!
Live Forensic은 어떻게 번역되어야 할까? '실시간 포렌식'? '날 포렌식'? '쌩 포렌식'?ㅋㅋ
뭐 아무튼 오늘은 이 'Live'에 대해 좀 생각해볼까 한다.
회 포렌식...은 좀 번역이 특히 아닌거 같다 :)
Live Forensic이란게 뭐냐? 라고 하시는 분들은 <여기>나 <여기>를 보시면 될 것 같다.
처음 포렌식을 접할때에만 해도... 혹은 여타 입문서에도, 혹은 어느 교육과정에서 포렌식의
기초에 대해 배울때에만 해도 증거를 확보할때, PC(혹은 서버) 앞에 가서 사진을 찍은 후
가장 먼저 할일은 전원코드를 뽑아 그 상태를 유지하는것 이라고 했다. 다른 분들이야
어떻든 나는 그렇게 배웠었다. 그게 그 당시에도 의문이 참 많았는데, 이제는 당당히 완전히
잘못된 것이라 말하고 싶다.(심지어 Live Forensic issue를 떠나서도)
이제 누군가 그렇게 말한다면 손들고 자신있게 아니라고 말해라. 뭐 한대 맞아도 어쩔수 없다
<※ 덧붙임 081120 : 미국 표준 지침에도 코드를 뽑자고 나와 있지만, 이제는 확실히 잘못된
지침임에 분명하다!!!>
기본적으로 컴퓨터에서 Data를 저장하는데 있어 여러 저장 공간이 존재하는데 하드 디스크,
CD, DVD, USB, Memory, Cache 등..정말 엄밀하게 따져보면 CPU나 VGA 안에도
저장공간이 있다. 그리고 각 매체들에 저장되는 내용이 각기 다르다. HDD,CD,DVD,USB등의
반영구적 저장공간에 있는 Data가 지금 고민하고자 하는게 아니다. 컴퓨터의 파워를 Off 했을때
RAM으로 대표되는 휘발성 저장공간은 자신을 비워버린다.(비운다기 보다 유지할 수 가 없다.)
그럼 반영구적 저장공간 말고 휘발성 저장공간에있는 내용에는 어떠한 것이 있을까? 일반적으로
메모리에 로딩 되어 있는 자료이다.그것들은
네트워크 연결 현황, 암호화 키 값등을 포함할 뿐만
아니라, 각기 작동중인 프로세스의 Detail한 정보,
어떤 파일을 열고 있는지 어디를 참조하고 있는지
누가 부모인지,자식인지 등의 정보까지도 포함하고
있다. 더 나아가 로딩된 각 프로세스가 로딩한 data
역시 메모리안에 들어 있게 된다. 완전 진짜 Data
들이 적재되어 있는 것이다.
뭐 이런 이점 이외에도 라이브 포렌식은 얼마전 올렸듯이 디스크 자체를 암호화 한 컴퓨터에
대한 가장 현명한 대응 방안이기도 하다. 사실 수많은 유용한 데이터를 두고 전원을 내린다는것은
마치 맨주먹으로 곰을 때려잡는 일과 흡사 하다. 이러한 짓이 불가능한 일임은 둘째 치고 성공해도
만신창이가 되는 것도 미뤄놓고...잡았을 경우에도 곰은 피떡이 되어 원래의 목적?에는 그다지
활용하기가 힘들것이다. 디지털 증거를 라이브한 상황에서 추출하지 아니 하고 죽여놓고 해부를
하여 추출한다면 그 증거의 오염 가능성이 더욱 증가되고 신뢰성은 더욱 떨어질 것이다.
어디 보자 요새 IT의 화두가 무엇인가? 클라우딩 컴퓨팅과 대형화, 가상화가 바로 추세 아닌가?
그럼 그 화두에 맞춰보자 클라우드 안에 있는 Data에 대하여 라이브한 단말을 죽여놓고 확보하려는
행동이 현명한것일까? Trusted 되어 있는 Virtual 환경을 버리고 가상 환경을 볼수 있는 3D안경을
두고 적나라한 0과 1의 조합인 바이너리 Data만 눈껌뻑대면서 바라보는게 소위 배웠다는 사람의
행동일까? 100 TB짜리 서버를 통채로 들고 오는 방법과 통채로 복사해오는 방법, 현장에서 필요한
자료만 추출하여 CD 혹은 DVD만 들고 오는 방법과 어느게 현명하고 현실성 있는 방안일까?
점차 단순 사후 포렌식으로만 얻을 수 있는 정보는 사라져 가고 있다.
암호화된 디스크, 대형 저장공간, Massive한 Log Data, Virtual Network, Thin Client,
다양화 되는 저장매체, 언제 어디서나(하지만 인가된 방법을 통해야만) 접근 할 수 있는
클라우드... 이건 뭐..지금 대비를 안하면 나중엔 증거가 있는 매체 혹은 컴퓨터를 눈앞에 두고
책상에 앉아 눈만 껌뻑껌뻑 하다가 아무것도 못하다 퇴근 하는 길에 괜한 퍽치기를 만나 비명 횡사
해도 아무도 알아 주지 않는 그런 상황이 안온다곤 장담 할 수 없는 것이다.
(....왠지 소설을 써볼까 하는 생각도-_-ㅋ)
하지만 지금 우리는 아직 시간이 많다. 나쁜애들은 이러한 변화를 받아 들이기엔 나쁜짓 하느라 너무
바쁘고 좀 멍청하다.우리가 먼저 똑똑하고 발빠르게 대응해야 하는 거 아닐까?
벌써부터 작은 걸림돌이 되고 있다면 조만간 거대한 벽이 되어 우리를 가로 막을 것이다. 이러한
문제들에 효율적으로 대응 할 수 있는 것이 바로 Live 포렌식이다. 최근에는 몇몇 천재?들에 의해
이런걸 더욱 쉽게 접근 할수 있는 길이 열린 것이다.
예전에 들었던 어떤 분의 말씀이 떠오른다.
솔루션은 반드시 있다. 단지 모를 뿐이다.지금 현재 포렌식의 한계 넘어 존재하게 되는 문제들이 발생하고 있고 이에 대한 대응 방안도 역시
존재한다. 단지 알아보기만 하면 되는 것이다. 게다가 해보면 굉장히 매력적인 분야 같다.
우리가 먼저 Live로 가자.(아니 뭐 외국 애들은 뭐 RAM을 얼려가지고 Encrypt Key를 추출 한다
어쩐다 하던대 그런짓까진 안해도 어느정도 나쁜애들 보단 똑똑하게 해야 하자나...)
시대의 흐름이 본의 아니게 전통 포렌식의 한계점을 넘어 버렸다면, 우리도 훌쩍 뛰어 넘어 다시
진지 구축을 할 필요가 있다고 생각한다.
추가 링크: Dark Reading : Digital Forensics & Incident Response Go Live
+ 요지는 위에 나왔던 문제들 말고도 요새 Malware, 해킹툴들의 진화로 인해 Live Forensic은
시대의 요구다 뭐 그런 내용
p.s:하도 퍼오기만 하고 글을 안썼더니 내용이 매끄럽지 못한거 같다.
다음 주제는 좀 깔끔하게 써봐야지-_-어렵네...
덧글