[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:04543] Re: インシデントレスポンスはじめの一歩 第6回

Port139 伊原です。

On Mon, 24 Nov 2003 14:02:17 +0900
Toyoki Yokouchi <yokochan@xxxxxxxxxxxxx> wrote:

> 横内です。

どもごぶさたしております〜

> > > それはそれとして、ex3fs って電源をいきなり抜いてもファイルシステム
> > > としての整合性が取れる(取れる可能性が高い?)という話は聞きますが、
> > > 証拠保全としてのデータの保証まで取れるものなんでしょうか?
> > 
> > ファイルシステムとして読めればいいんです、読めれば(ぉぃ
> 
> いきなり電源を切って、そのHDDからOSを起動させない状態で
> 証拠探しをするのであれば、「整合性が取れれば」問題はないと思います。

例えば、それぞれのシステムは秒単位で標準時に時刻同期されている
前提としてですが...

 1.Snort が攻撃を検出する
 2.Tripwire も改ざんを検出しており、Snort の完全性も保証している
 3.xlogによる通信ログも取れている(となにげに念を押す;)

状態であれば、わざわざ危険な『ログオン』を行い“揮発性情報”を
取得する意味ってたぶんないと思うんですけどどなんでそ?

> しかし、OSを起動してしまえば、fsckとかその他整合性を取る
> プログラムが稼働してしまって、FINALDATA等によるファイル復活
> ができそうなファイルができなくなってしまうと思います。

私は dd のイメージが読める R-Studio 派です(笑)
 
> 読めないディスクを証拠保全したって意味がないですから、
> 「電源をいきなり抜く」っていうのは、リスクが高いかな?
> と思う今日この頃です。

私も最終兵器だと思いますし、かなり リスク 高いですが安全な停止
ってのはそれはそれで難しい面がありますよね...

-- 

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/