Forensics, Digital Behavior 등 뭐 그런거...

Larry가 들려주는 포렌식이 사람들을 도와주는 방법...그냥 공부하는 입장에서 한번쯤
읽으면 동기부여가 되는 좋은글 같다. 좀 추상적인 부분도 있지만, 공부할땐 이런게
더욱 도움이 될때가 있다.

블로그 주인장님께서 직접 번역을 하신건지 알수 없지만, 증거물 수집과 보관에 관한
RFC 3227에 대한 번역글, 이 포스트 때문에 좋은 자료를 잘 본것 같다.정말 감사드려요.

자 이건 뭐 시작에 불과하다 계속해서 쏟아질 이러한 '보안' 솔루션을 보면 무슨 생각이
드는가? 과연 전원 코드를 뽑아버리는 전통 포렌식으로 감당할 수 있을까? 이러한
뉴스들이 바로 전통 포렌식의 한계를 드러내주는 지침들이다. 우린 다음세대로 ㄱㄱ

이 발표를 안들어서 어떤 내용인지 정확힌 알수 없지만, 기사 제목과 같은 취지로 발표를
했다면, 이 발표자, 나아가 이 회사는 쳐다 볼 가치 조차도 없다.
다행히 그렇지 않은 것이라 생각하고 싶다. 뭐 그럼 우리가 야근하는건 에디슨 때문인가?
말같은 소릴 해야지. 기사가 일부러 자극적으로 작성된건지 아니면 발언 취지가 실제로
그런건지 원인이 된 사람은 정말 반성해야 한다.

이건 좀 따져보고 싶어서 퍼온 기사...과연 이스트소프트가 손가락질 할 자격이 있을까?
대기업보다 중소기업 편에서 생각하려는 나에게도 이건 아닌것 같다. 이스트소프트는
그렇다면 그 기술들을 자체 개발한것인가? 이건 기술로 시시비비를 가릴것은 아니다.
왜냐면 기술 자체는 이스트소프트도 모방을 한것 뿐이기 때문이다. 알집도 그렇고,
툴바의 제스쳐 기능도 그렇고...이스트소프트가 기술 선도적인 집단이 아니다. 분명
1차 기술을 가공하여 사용자들에게 쉽게 다가갈 수 있는 좋은 소프트웨어를 만드는
회사이긴하나, 결코 기술력의 회사는 아니다. 그런데 기술 모방이라 네이버를 손가락질
한다니 웃긴다. 이것보단 이전 근무자들이 NHN으로 옮긴데 대한 소스 유출의 의심?과
NHN에 대한 개발자 빼먹기에 관한 도덕적 비난이 맞다고 생각한다. 물론 NHN이 개발자를
빼간게 비난의 대상은 아니겠지만, 같은 개발자로 같은 프로그램을 만든것은 비난받을 수도
있다고 생각한다.이 정도 선을 벗어난 지적은 이스트소프트가 할수 있는 입장이 아니다.
이번 언론 보도는 내게 있던 그 회사의 좋은 이미지를 깍아버렸다.쩝

포렌식 도구 소개입니다.누구말대로 유저-푸뤤들리한 툴~
네트워크야 뭐 와이어샤크라는 훌륭한 툴이 있지만, 그것보다 좀더 사용자 친숙한
(User-Friendly)한 UI를 가진 도구다. jeff 님께서 포스팅 하여 주셔서 알게 되었는데
꽤 좋아보인다. 전문적으론 와이어샤크를 빠르게 리뷰는 이걸 사용하면 좋아보인다.

얼마전 해외 채널에 협박했다던 내용이 몇개 보이더니, 결국 피해 업체가 현상금을
걸었다. 협박범에게 미안한 말이지만, 이정도면 게임 끝이다 - _-ㅋ 대부분의 해커나
해킹이 걸리거나 잡히지 않는건 그만한 가치가 없거나 동기 부여가 없기 때문이다.
말그대로 잡을수 없는게 아니라 안 잡아 주는거...근데 이렇게 됐으니 뭐, IR전문가나
포렌식 전문가 한명만 있어도 대충 특정되고 이후에 자료 정리 해서 사립 탐정이나
수사기관 같은 사람들과 연계하면 게임 끝...게다가 외국엔 엄청난 IR 고수들이 많다고!
국내에서도 이런게 저 금액으로 떨어지면 나도 직장 관두고 팀 모집해서 해볼만 ..-_-;;

PinpointLabs에 올라오는 글들은 전혀 깊이 있는 글이 아니다. 하지만 가장 기초적인
내용을 가장 명확히 깔끔하게 정리하여 주는 점이 인상 깊다. 기초 개념이 잘못 잡혀
버리면 이후 배울때 애를 꽤 먹게 된다. 하지만 이곳의 글을 보면 매우 Clear해진다고
할까?^^ 게다가 그림 한장으로 보여주는 정리의 기술은 참으로 놀랍다.

너무 진부하고 오래된 그리고 기초적인 이야기...
요즘도 이렇게 크랙되는 네퉉이 있다는 사실에 놀랍기만 하다. 비단 WEP을 위한게 아닌
무선 인터넷 보안에 대해 알수 있는 좋은 글 같아 퍼왔다. 파코즌 윤여문씨 감사__)

Nchovy에는 늘 볼거리가 많지만, 이런게 나오면 특히 반갑다.
방화벽 설정시 비정상 패턴 탐지를 통하여 내부의 다수 단말들로 부터 트로이목마를
찾는 문서, 기본적인 내용이지만, 뭔가 실무적인 내용이 있어 도움이 많이 된다.

봇넷 파악을 위해 봇을 만들어 활용한다. 다분히 해커스럽다. Bladerunner는 처음 접했는데
엄청 맘에 든다. 저자의 말대로 잘 활용하다 보면 가만 앉아서 봇넷 마스터를 추적할수도
있어보인다. 이거 구해서 정말 좀 심각히 공부 해봐야겠다. 흐흐흐

아직도 SQL 인젝션 대응이 안되어 있다면, 참고하세요-_-

국내에서 이슈가 되기엔 이른감이 지만, 재밌는 사례 같다. 보고 한참 웃었다.
글의 요지는 영장이 정하는 범위 이외에 대한 검색의 결과가 과연 합법적인가?
뭐 이런 내용같은데 사례가 재밌다..

월세를 못내서 쫓겨난 사람의 물건들을 처분하는 과정에서 PC를 집주인이 자기 친구에게
주었고, 친구가 여기서 아동 포르노를 발견하여 경찰에 신고-_-; PC 원래 주인은 집주인을
절도 혐의로 신고-_-;;; 이런 상황에서 해당 PC를 압수하여 분석하는 과정에서 그 친구가
발견했던 야동 이외 추가적으로 발견된 야동과 야사에 대한 영장이 필요한가?

라는 문제에 대한 것이며, 이에 대해 사례 몇가지를 들었는데, 일단은 합법적이라는 결론을
내리며, 하지만 여전히 문제의 소지가 있다고 마무리 하는것 같다(뒷부분은 대충...앞부분만
재밌다ㅋ 뒤엔 머리 아픈 내용)

늘? 쓰는 프로그램들이 어디서 오나...관련해서 읽어볼만한 글 :)

TaoSecurity : NASA v China
광팔이님 블로그 : 백악관 펜타곤 이번엔 누가 뚫었나,“중국은 미국을 마비시킬 수 있다”
뿐만 아니라 슈나이어의 블로그에는 정말 자주 관련 글이 올라온다. 그 분은 미국 국방에
대해 깊이 고민하는 것으로 보인다-_- 물론 관련 일도 하고 있는거 같다.
과연 미국과 중국만이 전쟁중일까? 우리나라는? ... 침략중인것은 분명해 보이고... 어디선가
대비나 전쟁이나 하고 있기를 바랄뿐이다. 분명한건 우리가 수세에 있다는 사실정도?

최근 들어 Nchovy에 번역글이 많이 올라오는 듯 싶다. 침해시 대응 치트시트, 간략하고 좋은
참고용이다. 단지 이건 아주 최소화되어 있는 가이드란것만 잊지 않음 될듯 하다. :)
늘 좋은 자료를 제공 해주시는 관련자분들께 감사의 마음을 가지며 사용-_-

모바일 포렌식에 관해 읽어볼만한 광범위한 글...대충 훑어보기만 했지만, 역시 모바일쪽은
내 적성이 아니다-_-;;좀 거리를 두고 싶은 분야..

사고 대응에 대하여 미리 준비하는 것과 아닌 것 사이에 경제적인 측면을 포함하여 여러 차이를
설명하는 글, 그러니깐 준비하는게 좋긴한데 뭘 선택하겠냐 뭐 이런...
좀 규모가 있는 회사들은 다들 IR 부서를 만들어야 해...그래야 내가 좀 갈때가 생기지-_-;; ㅋ

5가지 필수 포렌식 툴이라는 사설, 여기서 말하는 5가지는
Live View, StartupList, OpenFilesView, Wireshark, Helix3 이다. 근데 StartupList는 링크가
잘 작동을 안해서 따로 다운 받아놨다. 구버젼일지도..-_- <StartupList.exe>
이 툴들에 대한 간략한 설명을 하고 있긴 한데, 좋은 도구들이긴 하지만 이게 필수인지...좀
게다가 helix같은건 툴 하나로 보긴 무리가 있지 않나?-_- 좀 황당함..아무튼 도구 소개에 대해
그냥 볼만한거 같다. 뭐 그다지 동감하진 않지만...