DandyLife | 보안은 이득, 심리 그리고 기술이 합쳐진 흥미로운 전쟁.
보통 초기대응이라고 하면, Digital Forensic을 하는 입장에서
사고가 발생한 현장에서 논리적인 형태 - 휘발성 데이터 수집 및 절차 등 - 를 떠올리기 쉬우나
여기서는 실제 수사시 물리적으로 어떻게 무엇을 준비하고 증거물을 획득해야 하는지에 대한
- 하지만 간과하기 쉬운 - 상세한 절차와 방법에 대해 다루고 있다.
1. Planning and Preparation
계획과 준비가 가장 중요하다!
Successful implementation of incident response rests on...
"policies and procedures, plans, drills, staff training and experience, and proper equipment".
(1) 물리적 위치 (Physical Location)
* 초기대응시 무엇보다도 안전이 최우선!
* 건물형태 : 주거용인지 사업용인지, 몇 명이 사는지, 몇 층인지, 쓰임새는 무엇인지 (창고, 연구실, 가게?)
* 크기, 반경, 또다른 특징들은 뭔지? : 이웃, 경보시스템, 경비, 무기, ISP, 유무선, 여러개 건물인지, 몇명이 연루되었는지?
* 또는 외국에 서버를 두고 있어 사법권 (jusrisdiction)이 없는지?
(2) 용의자 파악 (Personnel) : 고려해야 할 사항이 많으나 실제 수사에서 체계적으로 할 필요가 있음
* 근무시간, 출근시간은?
* 시스템 관리자, 네트워크 관리자, 계정을 얻을 수 있으면 더 좋고.
* 어디서 일하는지? : 길거리, 연구실, 창고, 사무직인지
* 처음에 수사를 나왔을 때 용의자들은 어디에 있었는지
* 용의자 계정, 이메일, 집주소, 핸드폰 주소는?
* 용의자가 몰고 다니는 차, 주민번호, 겉모습, 사진, 기범죄여부
* 용의자와 공모해서 범죄를 저지를 만한 녀석들, 돈을 주고 살 만한 녀석들 (tip off)
(3) 컴퓨터 시스템 (Computer Systems)
* 어떤 형태의 증거가 있으려나? : 불법 소프트웨어, 아동포르노, 횡령장부
* 수색범위는 어디까지인가? : 영장소유여부, 특정파일만 검색해야 하는거 아닌지?
* 사고현장에 컴퓨터는 몇 대인지? : 동작 중인 건? 밤에는 끄는지?
* 비즈니스나 정부물품이면 정책이나 규정이 있는지, 감시를 위한 사전동의와 프라이버시 문제는?
* 옛날 컴퓨터인지 현대식 컴퓨터인지, 운영체제는 무엇인지?
* 암호방식이 사용되고 있는지? : Microsoft Encrypted File System (EFS), PGPdisk, Jetico’s BestCrypt
* 네트워크가 사용 중이라면 어떤 방식인지? : Ethernet, Token Ring
* 서버는? 네트워크 위상(구조, topology)은? 백업위치는? (on-site, off-site)
* 프락시, 라우터, 방화벽, 웹서버, 주요로그수집서버는?
* 네트워크를 포함한 IT는 직접운영하는지 외주인력을 사용하는지?
* 누가 관리자 패스워드를 가지고 있는지, 네트워크나 특정장비를 내렸는지?
* 무선 네트워크가 있다면 형태, 범위나 특징적인 점은?
* 사용하는 시스템을 꺼 버렸다면 왜, 누가, 어떻게, 언제 그랬는지?
* 용의자가 이동식 저장장치나 노트북, 모바일 장치를 가지고 있는지?
* 부근에 가까운 컴퓨터 부품점이 있는지? 오픈시간, 위치, 주소..
* 기타 사항들도 더 있지만 여기까지.
(4) 가지고 다녀야 할 것 (Checklists/Toolkits to keep in mind!)
아래 것을 전부 다 가지고 갈 수 있을까 하는 의심이 들지만 아무튼 전문적으로 이론적으로 필요하단다.
* 컴퓨터 기술자가 가지고 다녀할 기본툴킷 (Toolkits)
* 이동식 전등 및 전구, 건전지, 돋보기, 고무장갑(latex glove), PC참고가이드, 디지털카메라, 자
* UPS, 멀티탭(multistrip receptacles), 전선, 전압보호기 (surge protector), IDE/SATA 케이블
* Digital camera to capture live data on screens and the state of the scene. Include a ruler!
* 크로스 케이블, 파워 케이블, 플로피 디스크용 케이블, IDE/SCSI/SATA/USB 케이블을 포함한 온갖 케이블,
-> 현장에만 가면 잘 되던 것들도 안된단다... 여분을 될수 있음 많이.
* 네트워크 카드, 플로피디스크, EnCase 부팅디스크/CD 필요한 만큼
* 포렌식적으로 검증된 부팅가능한 리눅스 배포판 (Forensically sound bootable Linux distributions)
* 완전삭제와 포맷 (wiped and formatted)된 이미지 저장장치
* Guidance Software의 FastBloc(하드웨어적으로 쓰기방지), 2.5인치 노트북 하드디스크
* 이동식 이미징용 컴퓨터 (노트북, 어댑터, 케이블, 파워, 주변장치, 키보드, 마우스, 디스크, 필요한 소프트웨어 전부).
* 백업장비, EnCase 매뉴얼,
* 어댑터: IDE to SATA, USB to SATA, SCSI 50~68핀, SCSI 68-80핀, Toshiba Protege 1.8 drive, 3.5인치 IDE(애플용)
* 태그, 레이블, 가방, 정전기 방지 가방(antistatic bags), 증거테이프, 번지지 않는 마카(indelible ink markers)
* 현장용 쓸거리 (Field logbook or notebook) 펜, 연필
2. Handling Evidence at the Scene
(1) 현장 보존 (Securing the Scene)
"무엇보다 안전이 최우선이다!"
(2) 현장 기록 및 사진 (Recording and Photographing the Scene)
* 레코더, 사진가, 수색 및 압수 전문가, 디지털 증거 수집 전문가
(3) 디지털 증거 압수
* 물리적 증거 : 지문, 털, 섬유조직(fibers or body tissues) -> 고무장갑을 끼고 오염되지 않도록 조심해야 한다.
* 컴퓨터 부속품들은 비위생적일 수 있으니 마스크를 착용하고 외부접촉이 되지 않도록 주의한다.
* 휘발성 디지털 증거
* 컴퓨터 Shutdown 절차 및 유의점
- 윈도우 운영체제는 서버가 돌고 있으면 (서버 운영체제가 아니라도) 정상종료한다!!
- 유닉스 계통 운영체제도 역시 정상종료한다!!
- 기타 윈도우 운영체제 (Dos, Win3.1, Win95/98/ME/2K/NT Workstation/XP/Vista)는 컴퓨터 뒤 전원을 즉시 분리한다!!
- 그냥 코드를 빼지말라, UPS가 돌고 있어 바로 안 꺼질 수도 있다.
(4) Bagging and Tagging
* 모든 증거품은 태깅을..
* Chain of Custody in Evidence
First Response
보통 초기대응이라고 하면, Digital Forensic을 하는 입장에서
사고가 발생한 현장에서 논리적인 형태 - 휘발성 데이터 수집 및 절차 등 - 를 떠올리기 쉬우나
여기서는 실제 수사시 물리적으로 어떻게 무엇을 준비하고 증거물을 획득해야 하는지에 대한
- 하지만 간과하기 쉬운 - 상세한 절차와 방법에 대해 다루고 있다.
1. Planning and Preparation
계획과 준비가 가장 중요하다!
Successful implementation of incident response rests on...
"policies and procedures, plans, drills, staff training and experience, and proper equipment".
(1) 물리적 위치 (Physical Location)
* 초기대응시 무엇보다도 안전이 최우선!
* 건물형태 : 주거용인지 사업용인지, 몇 명이 사는지, 몇 층인지, 쓰임새는 무엇인지 (창고, 연구실, 가게?)
* 크기, 반경, 또다른 특징들은 뭔지? : 이웃, 경보시스템, 경비, 무기, ISP, 유무선, 여러개 건물인지, 몇명이 연루되었는지?
* 또는 외국에 서버를 두고 있어 사법권 (jusrisdiction)이 없는지?
(2) 용의자 파악 (Personnel) : 고려해야 할 사항이 많으나 실제 수사에서 체계적으로 할 필요가 있음
* 근무시간, 출근시간은?
* 시스템 관리자, 네트워크 관리자, 계정을 얻을 수 있으면 더 좋고.
* 어디서 일하는지? : 길거리, 연구실, 창고, 사무직인지
* 처음에 수사를 나왔을 때 용의자들은 어디에 있었는지
* 용의자 계정, 이메일, 집주소, 핸드폰 주소는?
* 용의자가 몰고 다니는 차, 주민번호, 겉모습, 사진, 기범죄여부
* 용의자와 공모해서 범죄를 저지를 만한 녀석들, 돈을 주고 살 만한 녀석들 (tip off)
(3) 컴퓨터 시스템 (Computer Systems)
* 어떤 형태의 증거가 있으려나? : 불법 소프트웨어, 아동포르노, 횡령장부
* 수색범위는 어디까지인가? : 영장소유여부, 특정파일만 검색해야 하는거 아닌지?
* 사고현장에 컴퓨터는 몇 대인지? : 동작 중인 건? 밤에는 끄는지?
* 비즈니스나 정부물품이면 정책이나 규정이 있는지, 감시를 위한 사전동의와 프라이버시 문제는?
* 옛날 컴퓨터인지 현대식 컴퓨터인지, 운영체제는 무엇인지?
* 암호방식이 사용되고 있는지? : Microsoft Encrypted File System (EFS), PGPdisk, Jetico’s BestCrypt
* 네트워크가 사용 중이라면 어떤 방식인지? : Ethernet, Token Ring
* 서버는? 네트워크 위상(구조, topology)은? 백업위치는? (on-site, off-site)
* 프락시, 라우터, 방화벽, 웹서버, 주요로그수집서버는?
* 네트워크를 포함한 IT는 직접운영하는지 외주인력을 사용하는지?
* 누가 관리자 패스워드를 가지고 있는지, 네트워크나 특정장비를 내렸는지?
* 무선 네트워크가 있다면 형태, 범위나 특징적인 점은?
* 사용하는 시스템을 꺼 버렸다면 왜, 누가, 어떻게, 언제 그랬는지?
* 용의자가 이동식 저장장치나 노트북, 모바일 장치를 가지고 있는지?
* 부근에 가까운 컴퓨터 부품점이 있는지? 오픈시간, 위치, 주소..
* 기타 사항들도 더 있지만 여기까지.
(4) 가지고 다녀야 할 것 (Checklists/Toolkits to keep in mind!)
아래 것을 전부 다 가지고 갈 수 있을까 하는 의심이 들지만 아무튼 전문적으로 이론적으로 필요하단다.
* 컴퓨터 기술자가 가지고 다녀할 기본툴킷 (Toolkits)
* 이동식 전등 및 전구, 건전지, 돋보기, 고무장갑(latex glove), PC참고가이드, 디지털카메라, 자
* UPS, 멀티탭(multistrip receptacles), 전선, 전압보호기 (surge protector), IDE/SATA 케이블
* Digital camera to capture live data on screens and the state of the scene. Include a ruler!
* 크로스 케이블, 파워 케이블, 플로피 디스크용 케이블, IDE/SCSI/SATA/USB 케이블을 포함한 온갖 케이블,
-> 현장에만 가면 잘 되던 것들도 안된단다... 여분을 될수 있음 많이.
* 네트워크 카드, 플로피디스크, EnCase 부팅디스크/CD 필요한 만큼
* 포렌식적으로 검증된 부팅가능한 리눅스 배포판 (Forensically sound bootable Linux distributions)
* 완전삭제와 포맷 (wiped and formatted)된 이미지 저장장치
* Guidance Software의 FastBloc(하드웨어적으로 쓰기방지), 2.5인치 노트북 하드디스크
* 이동식 이미징용 컴퓨터 (노트북, 어댑터, 케이블, 파워, 주변장치, 키보드, 마우스, 디스크, 필요한 소프트웨어 전부).
* 백업장비, EnCase 매뉴얼,
* 어댑터: IDE to SATA, USB to SATA, SCSI 50~68핀, SCSI 68-80핀, Toshiba Protege 1.8 drive, 3.5인치 IDE(애플용)
* 태그, 레이블, 가방, 정전기 방지 가방(antistatic bags), 증거테이프, 번지지 않는 마카(indelible ink markers)
* 현장용 쓸거리 (Field logbook or notebook) 펜, 연필
2. Handling Evidence at the Scene
(1) 현장 보존 (Securing the Scene)
"무엇보다 안전이 최우선이다!"
(2) 현장 기록 및 사진 (Recording and Photographing the Scene)
* 레코더, 사진가, 수색 및 압수 전문가, 디지털 증거 수집 전문가
(3) 디지털 증거 압수
* 물리적 증거 : 지문, 털, 섬유조직(fibers or body tissues) -> 고무장갑을 끼고 오염되지 않도록 조심해야 한다.
* 컴퓨터 부속품들은 비위생적일 수 있으니 마스크를 착용하고 외부접촉이 되지 않도록 주의한다.
* 휘발성 디지털 증거
* 컴퓨터 Shutdown 절차 및 유의점
- 윈도우 운영체제는 서버가 돌고 있으면 (서버 운영체제가 아니라도) 정상종료한다!!
- 유닉스 계통 운영체제도 역시 정상종료한다!!
- 기타 윈도우 운영체제 (Dos, Win3.1, Win95/98/ME/2K/NT Workstation/XP/Vista)는 컴퓨터 뒤 전원을 즉시 분리한다!!
- 그냥 코드를 빼지말라, UPS가 돌고 있어 바로 안 꺼질 수도 있다.
(4) Bagging and Tagging
* 모든 증거품은 태깅을..
* Chain of Custody in Evidence
'EnCase' 카테고리의 다른 글
| [EnCase] Windows Operating System Artifacts (1) (0) | 2009/11/22 |
|---|---|
| [EnCase] Advanced Search Techniques (0) | 2009/10/17 |
| [EnCase] First Response (0) | 2009/07/19 |
| [EnCase] Computer Hardware (3) (0) | 2009/07/13 |
| [EnCase] Computer Hardware (2) (0) | 2009/07/12 |
| [EnCase] Computer Hardware (1) (0) | 2009/07/12 |
댓글을 달아 주세요