セキュリティ&プログラミングキャンプ2009
今年もセキュリティ 解析コースの講師として参加させていただいてますが、担当分が無事に終了できました。手伝っていただいたチューターの皆さんありがとうございました!
昨年同様、FATファイルシステム上で削除ファイルのリカバリや隠されたファイルを探し出すという課題に挑戦していただきました。時間通りには終了したのですが、最後のボーナス問題の解答とかは、最初に解いた生徒に解説してもらえばよかったかなぁと若干後悔していたりします。
毎年参加者のレベルの高さに驚かされるのですが、今年は村上先生人気により14名と参加者が多いなか、全体的にレベルが高い様子で、第三とか第四世代?のフォレンジック・エンジニアが今後この中から出てきてくれるのではないかと期待してしまう面々です。
課題のネタ1
課題のイメージファイルからファイルを抽出する部分でトラップをしかけていたのですが誰もひっかからなかったので解説するのを忘れていました(笑)
Scan24 と同じく意図的にディレクトリエントリを改ざんしていて、ファイルサイズを“2009”とかそれっぽいファイルサイズにしていたのですが、誰もエクスプローラからファイルを復元してなかったぽいので無駄な仕込みに終わったようです(^^;;、フォレンジックツールとか使うとひっかかるトラップだと思うのですが、バイナリエディタだけだとあまりひっかかりませんね。
仕込みの段階では、意図的にサイズをFFFFFFFFとか最大値にしてみたのですが、実体よりサイズが大きい場合、フォレンジック系のツールだと実体サイズ部分しか読まなかったりとあまりトラップにならかったので、小さくしていたんですが、Foremost使っていたので影響がなく・・・。
課題のネタ2
課題を解くのに必要なパスワードをどこかに仕込んでおかないといけなかったので、FATのロングファイル名のエントリとして書いておきました。(削除されているのでディレクトリエントリを検索しないと発見できないんですけど)
FATのロングファイル名のエントリは分割して文字列が保存されているので、エントリの途中に含まれる予約データなどが文字に見えたようで、なかなか苦労している生徒が多かったです。ディレクトリエントリの定義テーブルを参考にゆっくり見ながらいけば大丈夫かなと考えていたのですが、最後の1文字が抜けていたり、UTF-16で書かれているのでスペースを入れてしまったりと惜しい人が多かった気がします。
ヒントを仕込んでいたのですが、EnCaseでみた時のオフセット位置をヒントに書いていたので、単純にバイナリエディタで開いたときとオフセット位置がずれてしまいヒントではなく偽ヒントになってしまうという失敗もあったりしましたが...orz
生徒とのコミュニケーション
夜の講師陣反省会?において、プログラミングコースでは生徒同士や講師とのコミュニケーション手段として、Twitterなどを使っているそうで、それによりシャイ(死語)な参加者にも発言が促せるようで、なかなか面白い取り組みですね。セキュリティコースは危ないデータも扱うのでお外との接続が制限されている傾向にあるのですが、課題とかやっている最中に呟きたくもなるだろうなぁと思うことありますからねぇ。まぁ「やられたー」とか実際に呟いている生徒もいましたけど(笑)
っていうか、Twitter使ったことないのでよくわかんないんですけど、こいう時に使うのはなかなか面白そう。
まぁ、葉っぱな人からは「にこやかにしてないと駄目ですよ」と注意されてしまう今日この頃だったりしてますけど。
ダンプだほい
次は何時だ?という突っ込みがありましたので、そろそろ次回の計画を(笑)
前回の反省点として、講師の方の負担がかなり大きかった雰囲気があったので、もう少し事前の予習的なものがないと講師に申し訳ないような気がしていてなかなか第二回とか言い出せなかったのですが、心を入れ替えて?ちょっと前回の復習と事前勉強しないとですかね。
昨晩の反省会では、最近温泉で勉強会なくねぇ?、という話題もあったので温泉なのもそのうち企画されるんでしょうかね。
