IRIF講座終了
ということで?公開講座が行われている隣の教室で8/29〜9/2までの一週間、中央大学研究開発機構研究ユニット「情報セキュリティ教育システムの開発」主催で、「インシデントレスポンスと情報法科学実践講座」の講師をしていました。*1
5日間の内容はこんな感じ。
■講座内容: 1日目 AM インシデント・レスポンス/フォレンジック概要 PM dd, netcat, md5sum, HELIX実習 2日目 AM TSK&Autopsy実習 PM Ethereal実習、調査方針の検討 3日目 AM 調査実習(証拠の解析) PM 調査実習(証拠の解析・報告書の作成) 4日目 AM EnCase実習(攻撃者Windows PCの解析) PM 〃 5日目 AM 報告書(プレゼン)作成 PM 発表
インシデント・レスポンスから始め、データ保全から解析、報告書(プレゼン)の作成までを5日間で実践していただく内容です。今回は3名毎にチームとなって作業していただきました。
受講された皆さんおつかれさまでしたm(_ _)m
シナリオ
不正アクセス者役の講師のかたが起こした侵入事件を解析するというものです。
調査対象は RedHat 7.1 と偶然(笑)取得されていた該当時刻のパケットキャプチャデータが題材となっています。VMware 環境ですが、まさに今被害が出たばかりの稼働中システムと、そのディスクイメージを使ったコンピュータ・フォレンジック、パケット キャプチャデータを使ったネットワーク・フォレンジックをやっていただくというわけです。
4日目には攻撃者側の Windows PC を EnCase*1 で調査し、攻撃方法のヒントが得られるような筋道になってました。
5日間といっても朝9時30分〜17時までの中で、概念やツールの使い方などを説明しながらですので、調査にかけられる時間はだいたい 8時間くらいでしょうか。
最終日には各チーム毎に解析結果を報告し、結果を検証しました。*2
内容についてはネタバレにならない範囲で、受講された方々まとめているということですのでそれが公開されるのを待ちましょうかね(w
解析ツール
主には TSK&Autopsy と Ethereal ですが、Zeitline が結構活躍していたみたいですね。あとは定番の HELIX で chkrootkit とか dcfldd とか nc というある意味王道なセットによる実習ですね。
今回の調査対象では意図せず?!アンチ・フォレンジックな手法が取られていたりして、解析に少し手間取る部分もあったようですが、ツールの限界とかもわかっていただけたのではないかと考えています。
反省点
あれやこれやと実は色々とあったりはします。カーネルモードrootkitの解析とかもネタとしては用意していたのですが、時間がなくて割愛したり、資料もあっちへ飛んだりといろいろとやってました。ただ、資料は恐らく次回もあっちこっちへ飛びながら解説せざる得ない気がしています(^^;;
実習の時間配分についても少し検討する必要があると考えていますが、受講者の感想からすると今回くらいの時間が丁度よかったりもするのかなぁ。どうもついついネタを増やしたくなるんですよねぇ(笑)
ただなんといっても「実践講座」ですから実習の時間を多めに取ることを今回は目標にしてましたので、話し足りない点は幾つもあるものの、全体の実習を通して考え方はしっかり学んでいただけたのではないかと思っていたり。
あ、そうだ。いいかげんリーフキット(istrings)の使い方に関するまともな PPT を書かないといけないと今回改めて思ってみたり(笑)
次回は恐らく2月頃にあるのではないかと思いますが、もう少し今回のネタをブラッシュアップするか、全然違うシナリオ(インシデント)にしちゃうのも面白いかなぁ。
サーバ側の解析チームと、攻撃者側の解析チームと分けて実施して解析結果を最終日に照らし合わせるっていうのはどうかなぁ〜
事前学習
打ち上げで学生さんとお話していたら、有名な書籍や映画を見ていないことが発覚...orz
カッコウはコンピュータに卵を産む〈上〉 を読んでないとか、ウォー・ゲーム [DVD]やスニーカーズ [DVD]を観てないということで、次回は事前に参考資料?として必須項目にしておこうかと考えてみたり。*1
読書感想文ってのはいいアイデアですね!!>id:tikuta:20050815#1124093537
*1:思わず帰ってきてからウォーゲームのDVDを見てしまった、スニーカーズも久しぶりにみちゃおうかなぁ...っていうか仕事が...
memfetch
Linuxで実行中プロセスのメモリをダンプするにはどうすれば?というのを塩月さんと話していた気がするのでメモしておこう。何の話題でそんな話になったのかを覚えていなかったり...orz
http://lcamtuf.coredump.cx/
http://fire.dmzs.com/?section=tools&subsection=S