第8回セキュリティさくら
8/24に熊本が誇る勉強会「セキュリティさくら」の第8回に行ってきました!
今回は「フォレンジック」がテーマ。
結構いろんな手がかりが残っちゃうんだなあ。油断ならないなあというのが感想。あとフォレンジック母ちゃんが強烈だった。
他にもいろいろあったけどとりあえずメモ貼っとく。
2013/08/24 セキュリティさくら 不正アクセス調査におけるコンピュータフォレンジック 株式会社ラック 初田淳一さん デジタルフォレンジックとは? 電磁的記録の証拠保全及び調査分析、改竄・毀損等についての分析・情報収集等 利用シーン ・法廷証拠など 記録を残す事が大事 HDDのID、データハッシュ値、写真、USBメモリ受け渡し記録 フォレンジック技術 ・データ保全 ディスクイメージの取得 ファイル削除だけではダメ、削除された領域も含めディスク全体をビットコピー ライトブロッカー:ディスクへの書き込みをブロックするハードウェア FTK Imagerで削除されたファイルを復元。Windowsのみ? タイムライン調査 Prefetch情報を見ると過去に実行されたファイルが分かる レジストリにも痕跡が残る Tool:Registry Viewerで見るとレジストリエントリの更新日時が見える 実効履歴に関係するエントリだけ抜き出すツールもある(Regripper) log2timeline:いろいろなログファイルをタイムラインに入れて調査できる(buggy) Autospy スルースキット:タイムラインを作成する メモリフォレンジック:ディスクに痕跡を残さないマルウェアもある マルウェアは通常のコマンドで調べても見えないようになっていたりする! 実メモリのダンプ(dumpitで取る)を解析する(volatilityを使用) 愛甲さん 機械語普及のための努力 かるた 短歌 テトリス 美少女 前田さん(カスペルスキー) ソーシャルエンジニアリング 騙されそうにないことでも結構騙される 竹内さん 生存戦略 SI系インフラエンジニア 健康が大事.運動しましょう fibit one 運動量のログを取れる 中原さん Cagayake_Miracle セキュリティキャンプについて→ ブログ見てくれ 今日は黒歴史について
まあざっと以上のような感じ。
Qemb
さくらの始まる前の午前中には組み込み勉強会の「Qemb」もありました。これもまた楽しかった。
自作したエレキウクレレ持ってったけど組み込みとはまったく関係なし!タダのウケ狙い。ウケなかったけど。
会は座談会形式で徒然なままにみんなが話したいことを適当に話す感じ。
例えば吉村くんのライントレースカーの原理を教えてもらったり。早く走らせるための工夫で、1周目だけセンサーでトレースして走り、あとは1周目で学習して覚えたデータに基づいて走らせるとか。
個人的には福岡から参加された金井さんときくちゃん先生とのサウンドデバイスにOSを使うのは是か非か論争がとても面白かった。
あとAVRマイコンにSIMMメモリをハンダ付けしてLinuxを起動する、という動画をみて、「やべー、遅すぎる」とか言って盛り上がってた。吉村くんはこれを自作するつもりらしい。期待してる。
あと、わさおやみらくるくんとかは何かわちゃわちゃやってて、何をしているのか知らないが楽しそうな姿がとても良かった。
まとめ的な感想
さくらはいつ行っても楽しい。テーマがわかりやすい。勉強になる。運営が本当にしっかりしてるから。勉強会も懇親会も準備がしっかり行き届いているのがよくわかる。
本当にすごい勉強会です。