Monthly Archives: July 2013

You are browsing the site archives by month.

키워드 정의를 통한 포렌식 대상자 문서파일 모니터링

장기간에 걸쳐 수많은 하드디스크 이미징을 통해 문서파일(xls,doc,ppt,pdf,hwp,txt 등)을 획득하였다. 동일한 목적으로 하드디스크를 수집하는경우도 있지만, 다양한 사건들을 통해서 많은 디스크 이미징 파일을 일정기간 보관해야된다.

솔직히 분석이 완료되었다 하더라도 어딘지 모르게 찜찜하다. 왜냐하면 분석시간이 무한정 주어지지 않기 때문에 일정시간이 흐르면 분석리포트를 해야한다. 즉, 시간이 제한적이기 때문에 빠른시간내에 정해진 범위만을 정밀 분석해야한다.

최근에, 분석종료된건들의 문서파일이 보관된 디스크를 매일매일 키워드를 정의, 추가하여 모니터링을 수행한다. 지난 분석건들중에 놓친부분이 혹시 있는지, 아니면 새로운 사실은 없는지 등등을 리뷰하고 있다. 많은 시간을 할애하지 않고 기대하지 않았던 중요한것들을 찾아내고 있다.

위에 발견된건들은 사안의 중요성에 따라 재조사 또는 차후 유사건 조사시 활용 중이다.

이미 종료된 포렌식 분석건이라 할지라도 기업에서는 모니터링이 필요하다. 물론 적법한절차와 규정 등에 일관되게 수행하는것이 중요하다.

* 키워드 정의를 잘해야 모니터링에 검색되는 자료를 최소화 할 수 있다.
– 공통 키워드 정의
– 부정 키워드 정의 등

ISO27001, ISMS 인증 뿐만아니라 Depth 있는 포렌식 점검 필수

아침신문에 OO중공업이 ISO27001 인증 받았다는 기사를 읽었다.

인증받기 위해 직원들 참 많은 고생을 했을것이고 앞으로 계속 인증 심사를 위한 많은 노력을 해야할 것이다.

최근에 ISO27001, ISMS 인증 심사를 받은 기업을 대상으로 보안감사?를 다녀 왔다.
인터뷰상에서는 모든 것이 잘되어 있었다. 뭐가 질문을 하면 예상했던 질문이라는듯 대답을 시원시원하게 잘하는 것이다. (증빙 문서를 보여주면서 말이다)

간단한 질문을 했다 “퇴사자 PC는 어디에 보관하십니까?”
대답 “퇴사자가 없어서 별도 보관하고 있는 PC 없습니다.”
질문 “그러면, 신규 입사자가 발생하면 어떻게 합니까”
대답 “입사전에 구매완료해서 지급합니다”

뭔가 이상하다는것을 느꼈고, 점심시간에 회사 다른 사람에게 지나가는 말로.. 이직율을 물어보면서 보관하고 있는 컴퓨터가 있는지물어보았는데.. 역시나.. 한쪽구석 케비냇에 보관하고 있습니다. 라고 말을했다.

인터뷰에서 거짓말하는거 찾아내야한다. 찾아내는 방법은 여러가지가 있겠지만 그중에 하나가 다른 사람에게 동일한 질문을 해보는 것이다.

회사 이곳 저곳 구석을 돌아다니면서 컴퓨터 관리실태가 엉망이것도 확인했다. 구석에 방치된 컴퓨터 본체가 열려있는체로 사용하는 컴퓨터, 하드디스크 방치 등 많은 문제점을 눈을 통해 확인하였다.

또한, 정보보안 시스템 관리도 인터뷰상에서는 잘하고 있다고 했으나, 실제 확인 결과, 이동식 저장장치 로그가 남지 않았고, 이메일 외부 전송은 통제는 되어 있었으나, 사용자가 유선으로 요청할경우 해제해주고 있었다. 즉, 근거가 없었다.

문서상으로는 잘 기록되었다고 했으나, 문서상에 기록된 로그와, 실제 보안시스템에 남아 있는 로그 확인결과 불일치 했던것이다.

문서는 문서대로.. 로그는 로그대로..
따로따로 노는 이런 결과가 초래했다.

[해킹기법] 구글링을 통한 웹해킹

출처 : rus1031.blog.me/80191155152

ㅇ 서버 에러 메세지
ㅇ 국가 기밀 문서
ㅇ 패스워드 및 사용자 정보 파일
ㅇ 숨겨진 관리자 로그인 페이지
ㅇ 백업 파일 및 임시 파일
ㅇ 해킹 당한 서버 및 위약한 서버
ㅇ 사회공학적으로 이용될 수 있는정보

Inurl:

Intitle:<제목에 문자가="문자가" 포함된="포함된" 페이지="페이지">

Site:<특정 사이트에="사이트에" 대한="대한" 검색="검색">

Filetyep:<특정 확장자에="확장자에" 대한="대한" 검색="검색">

Intext:<찾으려는 문자열="문자열">

“문자열”
위 문자열을 완전히 포함하는 글만 검색

<검색어>–<제외할검색어>


검색얼을 포함하면서 제외할 검색어가 포함되지 않은 글만 검색

<기억나는 문자열="문자열">*


기억나는 문자열에서 이어지는 단어들이 포함된 글을 검색

[포렌식]유출관점의 협력업체 개인정보 관리실태 진단

이제는 바야흐로 적발, 아니 정보 유출관점에서 협력업체 개인정보 관리실태를 점검하는것이 필요하다.

계약 해지업체 직접가서 완전삭제 했는지 확인해야한다. 얼마전에 해지 업체 점검결과, 이녀석들 파기 안한체로 잘보관하고 있었다. 점검하라고 알려준 피씨에서는 아무것도 없었고, 네트워크에 공유되느폴더속에서 위탁사의 고객정보를 찾아낼수 있었다.

또한 개발 데이터베이스에서 수만건이 삭제되지 않고 보관되고 있음을 확인하였다.

개발데이터베이스는 수십개의 테이블로 구성되어 있었고 여러 테이블들이 관계를 맺고 있어서, 이들 데이터를 삭제하는데 시간이 걸렸다. 단순하게 메인 테이블만 삭제하면 안된다. 메인테이블 삭제전 다른 테이블ㅇ의 데이터를 꼭 확인해야한다. 그래야 완전히 삭제 할수 있다.

그리고, 백업받아논 파일까지 확인이 필요하다

마지막으로 정보유출 방지솔루션 로그 정밀 분석해서 외부 유출 확인이 필요하다