アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

エコとリモートでのフォレンジックツール

id:sonodam さんのところで、F-Response 関連の記事がリンクされていたのですが、一瞬全米各地に散らばっている端末の調査に F-Response が導入されたのか、WAN 越えとかはどうなんだろう?!と空目したのですが、記事をよく読むとそういうことではないってことなんでしょうかね。園田さんのネタ本題とは関係ないことですけど(笑)

■[セキュリティ]暗号化ディスクの解析事情
http://d.hatena.ne.jp/sonodam/20091021/p2

ここで紹介されている「“グリーン・セキュリティ”は是か非か」の記事で、ゼネラル・エレクトリック(GE)が F-Response をエコもあって採用という説明があります。
なんとなく全米に散らばる端末に F-Response のクライアントを展開して移動せずに調査!とかの体制かと思ったのですが、その前に仮想化技術に注目と書いてありますね。これってひょっとしてシンクライアント的な構成にしているんですかね。
現在の F-Response は通信に iSCSI を使っていますが、通信データの暗号化などはエンタープライズ版でも恐らく行われておらず、別途 IPsec などを併用する必要があると理解しています。WAN 越えでかつデータの暗号化なども考えると、価格的には安くても展開や運用が中々大変ではないのかな?と思ったのですが、センターに仮想化によりPCが集約されているのであれば、そこで通信が発生するだけなので、通信経路の危険性とかは考えなくてもよさそうな気がしますね。
しかも仮想化された端末内にエージェントを仕込むのではなくて、仮想化を提供しているサーバ側で使うって方法もあるかもしれませんので、それはそれでなかなか便利そうですね。仮想化環境のホスト側でゲストOSを停止して、リモートからそのゲストOSのイメージファイルをF-Response経由で持ってくるとかもできるかなとも思ったのですが、よく考えるとエクスプローラで普通にコピーすればいいからそれは無いか...orz

肝心の暗号化ディスクに対するライブでの解析やコレクションについては、ちょっと幾つか懸念点などもありネタを書こうかとも思ったのですが、幾つかテストが必要なのでまた後日。