Forensicist

RegRipper and Volatility Prototype
http://moyix.blogspot.com/2009/03/regripper-and-volatility-prototype.html

いくつかのサイトで取り上げられていますが、メモリ上のレジストリ(ハイブ)ファイルを解析するVolatility Frameworkのプラグイン(volreg)とRegRipperのラッパ(volrip)が公開されています。

手順として以下のように紹介されています。

1. プラグインとラッパをVolatilityのディレクトリ上に展開
2. Volatilityのhivescanコマンド(プラグイン)を実行してハイブの物理アドレスを取得
3. Volatilityのhivelistコマンド(プラグイン)を実行してハイブの仮想アドレスを取得
4. 修正版rip.plを以下の形式で実行
   # perl rip.pl -r メモリイメージファイル@仮想アドレス -f system

この手順により、RegRipperをハイブファイルに対して実行した結果のように、メモリイメージから各種レジストリ情報が得られるようです。よくわかっていないのですが、レジストリ情報(ハイブファイル)は全てメモリ上に展開されているということなのでしょうか。もう少し細かな検証は時間があるときに。

日本企業の45％は、セキュリティトラブルの原因を調べない
http://www.nikkeibp.co.jp/article/column/20090223/133999/

"「いかなる理由でも追跡調査をする」企業が多かった国は、1位が英国で66％、2位が米国で61％、3位がブラジルで59％、4位が日本で55％だった。...(略)...調査しない理由を尋ねたところ、中国企業の28％、ドイツと日本の企業の23％、インド企業の19％が、「コストがかかる」からと回答した。"

"担当者はウェブサービスにログインして、遭遇したインシデントをメニューから選択すると、調査すべき項目とチェックの手順などが画面に現れる。担当者が調査結果を入力すると、ウェブサービスが判断を示し、最終的には原因にたどり着くことができる。ウェブサーバーのログやメールのヘッダ情報などの該当部分をコピー＆ペーストすると、自動的に分析してくれる。インシデント対処の記録も同時にできあがるので、セキュリティ関連の認証や認定にも対応しやすくなる。こういうウェブサービスを、どなたか作ってみてはもらえないだろうか？"

このようなシステム/サービスがあれば確かに初動対応としての切り分けに使えるかもしれません。どれだけ分類/パターン化できるかが鍵になるといった感じでしょうか。

TSK, Autopsyともにマイナーバージョンアップしています。

http://www.sleuthkit.org/sleuthkit/history.php
http://www.sleuthkit.org/autopsy/history.php

どちらもバグフィックスのみです。Changelogにflsのmanページも更新されていると書かれていたので確認したところ、-lオプション時の表示フォーマットが変更(誤記だった?)されていました。

# diff 3.0.0/fls.1 3.0.1/fls.1
47c47
< file_type inode file_name mod_time acc_time cre_time size uid gid
---
> file_type inode file_name mod_time acc_time chg_time cre_time size uid gid

ということでこちらで翻訳しているflsのページも反映しました。

PTK 1.0.5 was released
http://ptk.dflabs.com/news.html

PTKのバージョン1.0.5がリリースされていました。検索機能、分割イメージのサポート、フィルター関連で拡張されているとのことです。今後新機能が随時追加されていく予定となっており、改良、高速化なども期待されます。

SANS ForensicのブログにもPTKの機能についてアナウンスされる予定です。

靖国神社：ＨＰが書き換えられる　不正アクセスか
http://mainichi.jp/life/electronics/news/20081225dde041040064000c.html?i...

"靖国神社（東京都千代田区）の公式ホームページ（ＨＰ）に２４日夜、何者かが不正にアクセスしてトップページの内容が書き換えられた。一時は中国国旗も表示されていたという。靖国神社は国外からの不正アクセスの可能性もあるとみて、専門のプログラマーを呼んで経緯を調べるとともに、復旧作業をしている。"

記事の表現が何だか釈然としません。明らかに改ざんされていると思われますが...2008/12/26 00:30頃時点で確認した限りではサイトには接続できず、Googleキャッシュには改ざんされたページが残っていました。

Netcraftによるとサーバ情報は以下の通りです。
- Linux Apache/1.3.29 Sun Cobalt Unix mod_jk mod_ssl/2.8.16 OpenSSL/0.9.6m PHP/4.0.6 FrontPage/5.0.2.2510 mod_perl/1.26 6-Oct-2008

かなり古いオールインワン系のサーバで運用していたようです。サイトの用途からして狙われやすいのは明らかなのにこの有様は杜撰すぎるという印象です。

裁判の証拠データを保存したDVDが破損、Seagateのデータ復旧サービスにより救われる
http://slashdot.jp/hardware/article.pl?sid=08/12/16/047244

デジタルデータの証拠性に関する興味深いニュースです。

”米カリフォルニア州で連続婦女暴行事件の証拠を記録したDVDが再生不能になり、そのために危うく容疑者が罪を逃れる寸前だったところを、Seagateのデータ復旧サービスが救うという事件が発生した（本家/.より）。
...
問題のDVDのデータ復旧が急遽最重要課題となった検察は、地元のデータ復旧業者２社にリカバリを依頼したが、残念ながらどちらも失敗に終わってしまった。そこでSeagate i365のSeagate Recovery Service（SRS）に復旧を依頼したところデータは無事復旧され、法廷にて証拠として提示でき、最終的に容疑者には3件の婦女暴行の罪で24年の禁固刑が言い渡された。"

いくつか参考になるコメントもついていました。
データ復旧系サービスは基本的に成功報酬モデルらしいです。知りませんでした。
デジタルデータの信頼性についても言及があり、以下のURLが引用されていました。

偽造を見破るデジタル画像鑑定
http://www.nikkei-science.com/page/magazine/0809/200809_080.html

画像の改ざん検知に関しては技術的に確立されているようです。インシデント対応系の調査の観点だとログやタイムスタンプの改ざんに焦点が集まりそうですが、こういった改ざん検知技術は進んでいるのでしょうか。

シマンテックとJi2、企業向け法的証拠の電子情報開示ソリューションの提供で協業
http://www.ji2.co.jp/news/pdf/20081208PressRelease.pdf

"e-Discoveryコンサルティング：1,000万円より
コンピューターフォレンジックコンサルティング：100万円より"

今後の展開に注目です。

アンチフォレンジック機能を持つボットの出現
http://www.lac.co.jp/info/rrics_report/pdf/20081127_cslreport.pdf

ラック コンピュータセキュリティ研究所からのレポートです。あるボットでシステム時刻を意図的に変更する挙動が観測されたとのことです。確かに調査ではログ内の時間やファイルのMACtimeをはじめ時間は非常に重要な情報となるため、変更されるとかなり辛くなります。

今回観測されたボットでは時間を1980年1月１日に変更するようです。

対策としてメモリダンプを挙げている点も目新しいです。国内にもメモリフォレンジックの必要性が少しは浸透するかもしれません。

Memoryze
http://www.mandiant.com/software/memoryze.htm

MANDIANT社からフリーのメモリフォレンジック用ツールが公開されました。対象プラットフォームはWindowsのみですが、記述を見る限りでは保全、解析の両機能を備えているようです。

MANDIANTは他にもWebブラウザ用調査ツールのWEB HISTORIANやマルウェア判定をするRED CURTAINなど独特なツールをフリーで公開している点がすばらしいと思います。

さしあたりMemoryzeは使ってみて、ここで取り上げたいと思います。

Speed Up Linux Hard Drives by Disabling Atime
http://lifehacker.com/5074959/speed-up-linux-hard-drives-by-disabling-atime

Lifehackerの記事にLinux上でatime書き込みを無効にする方法が紹介されています。記事では/etc/fstabのマウントオプションにnoatime,nodiratimeを加えるという内容になっていて、知っている人は知っているように思います。

パフォーマンス向上につながるということで、最近はVistaでもデフォルトでatimeは無効になっているなど、調査の観点からは困る方向に動いているように感じます。

ACCESSDATA OFFERS TO ACQUIRE GUIDANCE SOFTWARE AT $4.50 A SHARE
http://accessdata.com/downloads/media/Acquisition_Press_Release.pdf

AccessData Have Made An Offer For Guidance
http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&p=6524...

デジタルフォレンジック業界では有名な2社に関する動きが取り上げられています。FTKの開発元であるAccessData社が、EnCaseの開発元であるGuidance Software社に対して株売買の交渉を持ちかけ、拒否されたとのことです。個人的には市場のシェア等を考慮すると立場は逆のように思っていたので意外でした。