일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- 2022시작
- vinetto
- 윈도우 프로세스 종류
- 실기
- ftz
- 슬퍼유
- CTF-D
- ZIP 파일구조
- 생활코딩
- Window process
- slack space
- memory
- 24시간의 전사
- disk
- Multimeida
- N0Named
- blkls
- 는 하지마...
- 디지털포렌식 with CTF
- 포렌식
- 정보처리기사 필기 합격
- 윈도우 프로세스
- 네트워크관리사2급
- 생활코딩 html
- html
- 디지털포렌식
- 네트워크 보안
- network
- Multimedia
- pythonchallenge
Archives
- Today
- Total
ssoL2 TISTORY
[이제 시작이야! 디지털 포렌식] Chapter 3 랩과 툴 본문
랩과 툴에 대한 품질보증이 중요하며,
유효하고 안정적인 결과만이 생산될 수 있도록 보장되도록 해야 한다.
1. 포렌식 랩
- 미국 FBI의 RCFL(Regional Computer Forensic Laboratory, 지역 컴퓨터 포렌식 연구소) 포렌식 긍정적 영향
- 가상 랩
- 디지털 랩으로, 다른 위치에 있어도 되는 '가상' 랩
- 비용절감, 많은 자원에 접근 가능 (ex 툴과 저장장치), 불필요성 감소
- 역할 기반의 접근제어를 가능하게 함 (ex 조사관,랩 관리자 : 완전 접근 / 변호사,검사 : 제한 접근)
- 가상 랩을 운영하기 위해서는 1. 보안 2. 성능 3. 비용 이 고려되어야 함
- 랩 보안
- 증거와 시설에 대한 접근은 엄격하게 관리해야 함
- 출입 카드와 접근 코드같은 디지털 솔루션은 열쇠보다 더 많은 이점 존재
- 전자적 수단은 연계보관성에 사용될 수도 있는 감사 기록을 바로 제공
- 연계보관성은 랩 전반에 걸쳐 적용되어야 함
- 증거를 증거실이나 저장소에서 반출입 할 때마다 로그 기록
- 네트워크 접근 고려까지 하여 전반적으로 가상 랩을 어떻게 증거의 무결성을 유지할 수 있는지 고심
- 증거 저장
- 증거는 반드시 접근이 제한적이고 보안적으로 안전한 장소에 저장
- 데이터 세이프(data safe)는 크기도 다양하고, 증거 보호를 위해 특별 설계됨
- 화재까지 고려하여 설계됨
- 항상 잠금 장치 유지해야 하며, 반출입 현황도 유지해야 함
- 전자적 방법으로의 출입 제한은 로그를 기록할 수 있어 이점
2. 정책과 절차
- 정책과 표준작업 절차서로 랩에서의 일련 상황을 통제
- 너무 광범위해서도 안되며, 너무 세부적이면 특이 사항에 대처 부족
- 조직의 정책과 표준작업 절차서를 준수하자
3. 품질보증
- 품질보증은 문서화된 프로토콜 시스템으로 분석 결과의 정확성과 신뢰성을 유지하기 위해 사용
- 품질 보증은 모든 법과학의 근본 원칙
- 좋은 품질보증 프로그램은 보고서의 2중 검토, 증거 처리, 사건 문서화, 랩 인력 교육 등 다양한 부분을 다룬다.
- 2중 검토는 기술검토(증거가 충분한 증명인가?)와 행정적 검토(서류작업 정확 보장)
- 조사관은 1. 공개 테스트 2. 블라인드 테스트 3. 내부 테스트 4. 외부 테스트 로 정지적으로 능력 검토
- 툴 검증
- 모든 툴은 실제 사건에서 사용되기 전에 검증해야 함
- 검증 과정 또한 문서화 필수, 안하면 법정 불리
- 문서화
격언 : "문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다"
- 위 격언처럼 랩이나 기관의 표준작업 절차서와 메뉴얼에 맞게 보고서 작성
- 제출문서, 연계보관성 기록, 조사관의 노트, 조사관의 최종 보고서
- 서식
- 모든 필요한 정보가 동일한 형식으로 기록될 수 있도록 도움
- 증거 설명(제조자, 모델, 시리얼 번호 등), 연계보관성, 조사 요청 등
- 조사관의 노트
- 모든 조사관의 행동과 관찰사항이 날짜와 함께 기록
- 주로 핵심 인물과의 토의, 특이 사항, 운영체제 버전 및 패치 상태, 비밀번호, 변경 사항 등
- 조사관의 최종 보고서
- 기술적 배경지식이 없는 사람들도 읽고 이해할 수 있어야 함
- 전문 용어와 약어는 최대한 사용 자제
- 보고 기관, 사건 번호, 수사관 정보, 받은 날짜, 증거 세부 정보, 조사 방법, 결과와 결론 등
- 보고서의 중요 부분은 요약과 결과에 대한 세부설명이다.
- 세부내용에는 요청 과련 파일, 결과 지원 파일, 로그, 검색 등
- 보고서에 전문용어사전을 추가하면 도움이 된다.
4. 디지털 포렌식 툴
- 툴의 형태는 하드웨어나 소프트웨어
- 상업용 툴과 무료 오픈소스 툴 존재
- 여러 개의 툴을 구비하여 두고 있는 것이 좋은 방법
- 툴 선택
- 미국 국립표준기술연구소(The National Institute of Standards and Technology, NIST)
- 미국 법무 연구소(National Institute of Justice, NIJ)
- NIST와 NIJ는 포렌식 툴 테스트에 기여
- 모든 툴은 실제 사건 업무 사용전에 반드시 검증
- 툴이 수정되었거나 업데이트되었을 때도 다시 검증해야 함
- 하드웨어
- 디지털 포렌식을 위해 설계 및 제작된 하드웨어 툴
- 클로닝 장비, 휴대폰 수집 장비, 쓰기 차단 기기, 휴대용 저장 장치, 어댑터, 케이블 등
- 디지털 포렌식은 이미 PC, 서버, 휴대폰 키트, 케이블 등 하드웨어에 의존
- 조서관으로서 구매할 수 있는 최고 사양의 컴퓨터 준비 요망
- 디지털 포렌식은 "PC 중심"이 아닌 휴대폰이나 네비게이션 같은 작은 기기 UP
- 작은 기기에 맞는 하드웨어가 필요함
- 다른 장비
- 하드웨어 소프트웨어 이외에도 필요한 장비
- 펜, 디지털 카메라, 포렌식적으로 초기화된 매체, 증거 봉투, 증거 테이프 등
- 조서관이 현장에서 디지털 증거를 수집하는 데 필요한 모든 장비를 갖춘 키트
- 소프트웨어
- 가장 유명한 오픈소스 툴 SIFT(the SANS Investigative Forensic Toolkit)
- 파일 카빙, 파일 시스템, 기록, 휴지통, 네트워크 트래픽 및 휘발성 메모리 분석
- Forensic Toolkit(FTK)와 EnCase
- 검색, 이메일 분석, 분류, 보고서 작성, 패스워드 크래킹
- 너무 툴에 대한 의존하지 말고 툴의 내부 작동 원리를 알고 있어야 한다.
5. 인가
- 인가는 범죄 랩의 정책과 절차, 즉 랩의 업무방식을 보증하는 것
- 미국범죄감정과학연구소 소장협회의 연구소인증보드(ASCLD/LAB)은 포렌식 랩 인가 선두 기관
- ASCLD/LAB은 한마디로 법과학계의 품질인증 기관
- 매뉴얼에 있는 모든 표준과 요구사항을 충족시켰을 때에는 인가를 받을 수 있다.
- 인가를 받는 것이 매우 탐나는 것이기는 하지만 필수사항은 아니다.
- 미국재료시험협회
- ASCLD/LAB 이외의 디지털 포렌식을 포함한 다양한 법과학 분야의 표준 제공
- 인가 vs 자격증
- 인가는 랩이 받는 것이고, 자격증은 각각의 조사관이 받는 것
- SWGDE는 디지털 포렌식 자격증은 최소한의 핵심 능력을 테스트해야 한다고 주장
요약
- 포렌식 랩은 법체계에서 핵심적인 역할
- 모든 포렌식과 전문가들에게 있어 품질은 반드시 최우선시 되어야 함
- 표준의 준수를 보장하는 방법은 디지털 포렌식 랩 인가를 받는 방법 존재
- 인가는 실제 랩에 관련된 것이고 자격증은 조사를 실시하는 특정 인력과 관련된 것
- 디지털 포렌식 조사관들은 소프트웨어와 하드웨어 툴 모두 사용
< 출처 >
이제 시작이야! 디지털 포렌식 - 존 새몬스 지음
'read > 이제 시작이야! 디지털 포렌식' 카테고리의 다른 글
[이제 시작이야! 디지털 포렌식] Chapter 6 안티포렌식 (0) | 2021.01.27 |
---|---|
[이제 시작이야! 디지털 포렌식] Chapter 8 인터넷과 이메일 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 5 윈도우 시스템에서의 증거 수집 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 4 증거 수집 (0) | 2021.01.18 |
[이제 시작이야! 디지털 포렌식] Chapter 2 핵심적인 기술 개념 (2) | 2021.01.18 |
Comments