Twilog

 

@yumano

yumano@yumano

Stats Twitter歴
3,360日(2008/01/11より)
ツイート数
20,593(6.1件/日)

ツイートの並び順 :

表示するツイート :

2017年03月08日(水)4 tweetssource

3月8日

@yumano

yumano@yumano

Androidの初期対応
1.ロック解除
2.飛行機モード、wifi、BTをオフ
3.開発者モード、USBデバッグ、スリープオフ

posted at 14:42:11

2017年03月07日(火)17 tweetssource

3月7日

@yumano

yumano@yumano

Spotlightのインデックスデータなど、元データがなくてもキャッシュが存在するケースもある。

posted at 17:05:55

3月7日

@yumano

yumano@yumano

リカバリについて。基本的には困難。SQLiteのデータなどはSQLiteParserなどで復元可能。

posted at 17:02:47

3月7日

@yumano

yumano@yumano

最新版iPhoneの解析。
バックアップ解析ならびにiCloudの解析が基本。(NotJB
jbありの場合はAFC2利用。

posted at 16:59:48

3月7日

@yumano

yumano@yumano

iPhone4以降は物理イメージとれないし、jbして物理イメージ取っても暗号化されているので涙目。バックアップ解析が一番楽チン。でも、iOS10以降は商用ツールででないと解析できない(涙目

posted at 15:48:07

3月7日

@yumano

yumano@yumano

@yumano 2010年だからiOS4とか5だ。そして、パスコード変更でもescrow が変更されないのであかんやん!!って検証したやつだ。

posted at 13:55:47

3月7日

@yumano

yumano@yumano

端末を抑えたら、まず、コントロールセンターからのフライトモード!フライトモードでもWifiやBluetooth使えるので注意。

posted at 13:39:03

3月7日

@yumano

yumano@yumano

7.0以前でのescrowファイルのリセット方法を検証したなんだけど思い出せない。パスコード変更だったような・・・

posted at 13:32:34

3月7日

@yumano

yumano@yumano

escrowファイルによるロック解除。7.0以前はロック解除可能。8.0以降だと、48hr以内+再起動していない。9.3以降だと更に条件が厳しくなった。(指紋認証失敗、遠隔ロック、過去に一定期間ロック解除が行われていない)

posted at 13:27:03

3月7日

@yumano

yumano@yumano

SQLiteはWALファイルというロギングがある。WALの内容を反映して確認する必要がある。(新しいバージョン、古いのにはジャーナルがある)

posted at 10:56:43

3月7日

@yumano

yumano@yumano

モバイルフォレンジックには、端末の設定変更が必須。なので、設定変更の作業記録を残す必要がある。

posted at 10:45:04

3月7日

@yumano

yumano@yumano

L1 手動取得:簡単。ツールで対応していない情報を保全できる。削除されたものは見えない。
L2論理取得:専用ソフト、iTunesなどで取得。暗号化の影響を受けない。取得できるデータ領域に制限がある。

posted at 10:27:35

2017年03月04日(土)1 tweetsource

2017年02月16日(木)10 tweetssource

2月16日

@yumano

nobuhiro tsuji@ntsuji

なかなか帰れない休み取れないブラック環境で働くホワイトハッカーと平日9時5時週休二日のホワイト環境で働くブラックハッカーだったら後者の方が勝ちそうっていうか有利だと思いません?なんとなく。

Retweeted by yumano

retweeted at 16:53:53

2月16日

@yumano

yumano@yumano

プロハッカーが仕事がなくなったので他の悪い事、情報を狙ってるのではないか

posted at 16:00:51

2月16日

@yumano

yumano@yumano

11月に大統領が変わったので、それをテーマにした攻撃が発生。対象は防衛、官公、メディア。menupass 結構雑で拡張子偽装。1月からパワーシェル+パス付zip

posted at 15:53:47

2月16日

@yumano

yumano@yumano

最近のこうげきグループ、Menupass、tick、emdivi、winnti、eirks、darkhotel、darkseoul、DragonOK

posted at 15:49:14

2月16日

@yumano

yumano@yumano

千葉は自動車盗難が多い!大阪、愛知の次。車はプリウス、ハイエース、ランドクルーザー。
対象は装備品。自宅の屋内が4割。鍵はしてる。
鍵がかかってて、敷地内にあっても安全とは言わない。朝3時くらいに来るのがやばい。

posted at 15:46:58

2月16日

@yumano

yumano@yumano

JC3メモ、海外事情から見た今後の国内犯罪予想

内通者による内部不正
国家によるオンライン金融犯罪
金融テロ

posted at 15:34:14

2017年01月12日(木)1 tweetsource

2016年11月22日(火)2 tweetssource

11月22日

@yumano

yumano@yumano

ウイルスよりフィッシングが増加したようにみえるな、不明な手口が多いので本当はよくわからない。

posted at 13:46:59

11月22日

@yumano

yumano@yumano

今年は7と1。去年は5と9。個人が増えている。個人の最大金額などがわかれば保険がかけやすい。

posted at 13:43:50

2016年11月02日(水)13 tweetssource

11月2日

@yumano

yumano@yumano

本当にセキュリティの攻撃に耐えられるチームは何なんだ?socで攻撃を検知できるのはあくまで仮説。 #h100wl

posted at 15:39:26

11月2日

@yumano

yumano@yumano

記者会見はipaの資料を参考に。まずは頭を下げましょう。原因は特定できるわけがないので、対応だけをポイントとしてみた。窓口設定もしていない。jpcertから連絡来たらまず漏れてる。 #h100wl

posted at 11:21:26

11月2日

@yumano

yumano@yumano

なんか、winsrvの障害(ウィルスの被害)が初期に起きるか、途中で起きるか違いがでるのがしんどい… #h100wl

posted at 11:12:22

2016年11月01日(火)1 tweetsource

2016年10月28日(金)55 tweetssource

10月28日

@yumano

yumano@yumano

oledump.py office documentをダンプできる。-s [数値] セクション指定、 -v マクロをテキストで出力

posted at 16:24:35

10月28日

@yumano

yumano@yumano

相関があっても因果関係があるとは限らない。マルウェアが見つかっても、障害の原因がマルウェアのせいとは限らない。

posted at 15:45:15

10月28日

@yumano

yumano@yumano

侵入に対してアラートが鳴るようにする。鳴ったアラートに対応する。アラートがなって気がつくようにノイズを減らす。

posted at 15:40:57

10月28日

@yumano

yumano@yumano

サウジアラビアはDCから出るときに蛇に噛まれないように気をつけなければならないw

posted at 15:31:35

10月28日

@yumano

yumano@yumano

GAUSSは特定のマシンでしか動かない。マシンの情報でMD5を生成し、それが複合キーとなる。感染とC2C通信はわかるが、メインのペイロードコードは未だに誰もわからない。

posted at 15:01:26

10月28日

@yumano

yumano@yumano

Intl Loss/Gainについては攻撃者に取っても同じ。サーバーを壊すとGainを失う。情報を盗むと違う。

posted at 11:47:03

10月28日

@yumano

yumano@yumano

ImpactとIntentは別。例として、サーバから情報を盗もうとしたら、サーバーが落ちた。

posted at 11:44:07

10月28日

@yumano

yumano@yumano

外部の証拠を使え、結論を使うのは避けるべし。結論を使った場合、そのことを明記せよ。

posted at 11:39:55

10月28日

@yumano

yumano@yumano

Attributionをサポートするデータ。
マルウェアの中のStrings、
PDBパス、Callsign、Password 探すべき。同じだと同じ人の可能性を見出すことができる。
OSINTと相互参照しよう

posted at 11:17:57

10月28日

@yumano

yumano@yumano

Stuxnet はじめは様々な人が異なる仮説をあげていた。技術的な証拠としては4ZD、ICS、標的型攻撃、19790509(エジプト大戦の日)、MYRTUS(RemoteTerminalUnit、MyRTUs、旧聖書という人もいた・・・)

posted at 11:09:35

10月28日

@yumano

yumano@yumano

6.証拠の依存を分析し、7.レポートを作成する。
レポートは事実ではない。結論は状況で変わるもの。不十分な情報に基づいた場合、その旨も可能性として書いた方が良い。例えば、バックアップが「見つからない」場合、見つかったら、そこに何があり得るのか、それで結論がどう変わるか?

posted at 10:38:39

10月28日

@yumano

yumano@yumano

全ての仮説を補助する証拠はマトリックスから消す(判断に影響しないので横に置いておく)例えば、攻撃ツールの利用などの事実は判断に影響を与えない

posted at 10:34:28

10月28日

@yumano

yumano@yumano

+,0,-で評価。++,--を作っても良い。ただ、評価が人によって証拠がぶれることはある。

posted at 10:30:51

10月28日

@yumano

yumano@yumano

反証を集めて、仮説を潰していく方が良い。支持する証拠ばかり集めてしまうとバイアスがかかる。

posted at 10:27:01

10月28日

@yumano

yumano@yumano

議論する時、チームの中であえて反対の意見を取ると仮説が良くなる。
証拠がない仮説を立てることで後の証拠集めに利用もできる

posted at 10:25:46

10月28日

@yumano

yumano@yumano

ACH、仮説分析:1. 仮説を立てる.
まずはできるだけ多くの仮説を立てる。実現性は置いておく。
みんなが同じことを考えるのを避ける。

posted at 10:22:46

10月28日

@yumano

yumano@yumano

他の仮定を同時に検討していない。ICSの攻撃を検証するためにICSを作ったら攻撃が来た。ICSは狙われている>何と比較して??

posted at 10:13:55

10月28日

@yumano

yumano@yumano

私がやったと主張したからといってそうであるとは限らない。過激派が主張しても関係ないことがある。

posted at 09:53:32

10月28日

@yumano

yumano@yumano

例えば2015/7/8にあった事故。NYSE、AUA、WSJで同時に障害。関係があると予測した。しかし、サイバー攻撃でなく某社のパッチを当てた障害が2件、一つは関係なかった。

posted at 09:47:22

10月28日

@yumano

yumano@yumano

被害者を責める。なんでこんな設定をした?
APTは防げないと諦める。
二つの事故を結び付けようとする

posted at 09:44:27

10月28日

@yumano

yumano@yumano

burden of proof, 無実の証明。A:やった、B:やってない<Bに対してやってない証明を求める

posted at 09:38:11

10月28日

@yumano

yumano@yumano

days 5 Biasの話。攻撃されたのはドメインサービスだ、攻撃元はCNだ。これはバイアス。避けたほうが良い。論理的なバイアス。沈黙しているから疑う。みんなが言うからというバイアス。

posted at 09:36:27

このページの先頭へ