맨땅에 헤딩하기

CFE(Certified Fraud Examiner) 는 각종 fraud와 화이트칼라 관련 범죄를 예방, 적발, 조사하는 공인된 전문가로서, 현재 전세계적으로 70여개 국에서 약 25,000명이 활동하고 있다.  CFE는 주로 회계사, 감사인, 법조인, 공무원, 교수, 범죄관련 전문기관 전문가들로서, 정부기관, 대기업, 법률기관, 범죄관련 전문기관 (미국의 경우 SEC, CIA, FBI, INS, IRS, FinCEN…) 회계법인 등에서 활동하고 있다.  

CFE의 50% 이상이 CPA 자격증 소지하고 있으며, CFE 자격 취득에 상당히 까다로운 각종 조건이 요구되며, 자격 유지를 위하여 매년 일정 교육을 이수함은 물론 엄격한 윤리강령을 준수하여야 한다. CFE는 fraud 관련 범죄수사 분야에 있어 최고의 전문가로 인식되고 있으며, 미국의 경우 fraud 및 화이트칼라 범죄 수사관의 경우 CFE 자격 취득을 당연시하고 있다.  미국 ABC 방송을 비롯한 주요 언론기관들이 ACFE를 fraud 예방 및 적발 분야 최고의 기관으로 인정한 바 있다.  

CFE는 회계, 금융, 법률, 정보기술의 각종 지식을 총망라한 21세기에 적합한 전문 자격증이라고 할 수 있다.

  CFE 도입의 기대효과

국제적으로 최고의 fraud 관련 전문기관으로부터의 전문가 자격 인정
해당 분야 전문가로서의 직업에 대한 자부심 고취
전문가간의 네트워크 구축
외국기관의 업무협조에 용이
분산된 전문지식의 교류 및 공유를 통하여 체계화된 fraud 관련 지식의 획득 및 자기개발
전세계 fraud 관련 전문기관, 소프트웨어, 솔류션, 컨설팅 업체 소개
조사결과의 대외 신뢰성 제고
지속적인 직무연수를 통한 자기발전
자격증 제도를 통하여 일반 국민의 fraud에 대한 인식 제고  

현재 CFE 자격은  

일정 요건 (점수제에 의하여 50점) 이상을 갖춘 전문가가 CFE 자격시험을 합격할 경우 인증합니다.  

CFE 협회와 협의한 결과 한국에서 CFE 자격시험 응시자가 많고 정부 등 각종 기관의 협조요청이 있을 경우, 한국형 CFE 자격시험제도 실시의 가능성에 대해 긍정적 반응을 얻었습니다.  

CFE 자격 조건

도덕성을 갖춘 사람   
일정한 수준 이상의 교육과 경험을 갖춘 사람 (특정학위는 필요하지 않음)
최소한 2년 이상의 직접, 간접적인 Fraud의 적발과 방지에 관련된 경력
준회원에 가입한 자
CFE 자격시험을 통과한 자 혹은 자격시험면제를 인정받은 자
매년 직무연수를 수료 (CPE)
연회비를 납부
CFE협회의 내규와 직업윤리규정을 준수  

  경력 해당 분야

회계 및 감사: 공인회계사, 공인정보시스템감사사, 공인내부감사사 등
범죄학 및 사회학: 사기와 화이트칼라 범죄/사회학에 관한 연구자나 교육 전문가
Fraud 조사: 경찰, 형사, 변호사 등 사기범죄 사건 조사 경험자 등
손실 방지: 보안 전문가, 보안 컨설턴트 등
법: 검찰, 변호사 등

만약 위의 어느 곳에도 해당되지 않으나, 하시는 일이 Fraud의 조사, 적발, 방지에 관련 된 것이라면, 해당 경력을 상세하게 기술한 내용을 함께 보내주시기 바랍니다.  

  CFE 자격시험 (Uniform Examination)

CFE 자격시험 신청비는 미화 250달러입니다.  신청자는 CD-ROM으로 된 CFE 매뉴얼 제3판과 시험준비자료목록을 받게되면, 자동적으로 1년간 자격증서을 받게됩니다. CFE자격시험를 신청하기 위해서는 점수제에 의한 평가점수 최소 50점이 요구됩니다  시험준비가 끝나서 시험신청을 하면 협회는 시험문제를 CD-ROM을 보내드립니다.

CFE 자격시험신청서

CFE 자격시험은 4가지 분야인데 (Fraudulent Financial Transactions, Legal Elements of Fraud, Fraud Investigation, Criminology and Ethics), 각 분야별로 125문제, 총 500문제가 출제되며, 각 분야별로 75점 이상을 획득하여야 시험을 합격합니다. 시험은 2년 내에 3번의 기회가 주어지며, 실패한 분야만 재시험을 치르면 됩니다.

시험시간을 각 분야별 2.5시간, 총 10시간이며, CD-ROM을 최초로 읽은 날로부터 30일 내에 시험을 완료하여야 합니다.  미국 전문가를 기준으로 최소한 100시간의 시험준비 기간이 필요하다는 것이 협회의 견해입니다.

직무연수 (CPE 학점)

모든 CFE는 협회나 Korea Chapter의 각종 교육 프로그램을 통하여 매년CPE 20학점을 얻어야 자격이 유지됩니다.

 Korea Chapter에서 주관하는 프로그램으로 매년 20 CPE 학점을 취득할 수 있습니다

본인의 CFE 자격점수

10점은 다음에게 주어집니다.  

1년간의 공식적인 대학교육 (예를 들어, 학사학위는 40점, 최대 40점)
공인된 자격 (CPA, CIA, CPP)*
박사학위 혹은 동등한 학력 (Ph.D, JD) 

5점은 다음에게 주어집니다.  

1년간의 Fraud에 관련된 분야에서 일한 경력 혹은 동등한 경력
석사학위 혹은 동등학력  

* 자격은 공인회계사, 변호사, 공인세무사,변리사 등 사회에서 일반적으로 전문성이 인정되어야 함**  경력은 회계, 감사, 범죄-수사관련업무, 부정-사기 관련업무, 부정-사기 관련법 업무만 해당

     석사학위소지자, 회계파트3년, 감사실 3년근무한 감사실장의 경우, 40점+5점+5*6년=75점

출처 : http://www.kcfe.or.kr   

boanin 카페를 둘러보다가 공감가는 글내용이 있어서..


* 변화하려고 노력하며, 자기계발을 소홀히 하지 마라
-> 준비된자만이 기회가 왔을때 잡을수 있다.
많이 듣는말이고 다 아는 사실이죠..그렇지만 쉽지만 않다는거...

* 인간관계를 중요시하고 인맥관리 잘 해라.
-> 얼마전 나우링크 누군가는 인맥관리를 나우링크통해서 한다는걸 봣는데..
제가 제일 약한 부분인듯..인맥관리...

* 목표를 정하고 이룰수 있도록 치밀한 계획과 전략이 필요하다.

위3가지 누구나 다 아는사항이죠..
다만 다들 실천을 못한다는거...
^^

교육중 실습이 시간이 아주 충분하진 않았다고 생각됩니다.간략하게 활용정도..^^
아시다시피 encase는 동글키(USB 보안장치)가 있어야 하지만 교육사정은 그렇지 못합니다.
동글키가 없다면, 증거이미지만 생성할 수 있고, 실제로 수사를 할 수는 없다.
그렇지만 교육은 어떻게 받았습니다..^^;

명심하라!!!!!!!!!
불법소프트웨어로 추출한 증거자료는 법적에서 증거자료로 인정 받지 못한다.

Encase 란..

1998년 Guidance Software Inc. 가 사법기관 요구사항에 바탕을 두고 개발한 컴퓨터 증거 분석용 소프트웨어이다.컴퓨터 관련 수사에서 디지털 증거의 획득과 분석 기능을 제공하며

미국에서 90년대 후반부터 600여개 사법기관에서 컴퓨터 관련 범죄 수사에서 encase가 활용되고 있으며 미국 법원이 증거 능력을 인정하는 독립적인 솔루션이다 (2001년 Enron사 회계부정 사건) Windows 환경에서도 증거원본 미디어에 어떠한 영향도 미치지 않으면서 “미리보기”, “증거사본작성”, “분석”, “결과보고”에 이르는 전자증거 조사의 모든 과정을 수행 할 수 있다.

Encase 제품군은 다음과 같다.

- Encase Forensic : 로컬 컴퓨터 하드디스크의 기본 분석 도구

- Field Intelliegence Model(FIM)

: 네트워크 컴퓨터 및 서버의 휘발성 자료를 포함한 증거 파일 획득 및 조사가 가능,

..수사 기관용으로 Enterprise 축소판

- Encase Enterprise

: 기업의 Live 시스템 및 파일에의 접근과 분석이 가능하여 사고대응 시간을 줄일 수

있음, 관제로 활용

Encase 지원 파일 시스템은 다음과 같다.

- FAT12, FAT16, FAT32

- NTFS

- EXT2,EXT3

- CDFS

- HFS, HFS+(MAC파일시스템)

- PALM(Palm-PAD파일시스템)

-UFS(unix 파일시스템)

cf> XFS파일시스템은 지원하지 않음, 임베디드 리눅스일부에서 사용하는 파일시스템

이제 encase를 실행시켜보자..(교육중 받은 demo 위주로 화면 캡쳐합니다.)

 

 

Run EnCASE DEMO 를 클릭 하면 다음과 같다.

Tool -> Options

Data : yy/MM/dd

Time : 24:00:00

Show True : Yes 로 변경

Encase 기본 메뉴화면은 다음과 같다.

데모라 New 클릭이 안됨..ㅋㅋ

New :  새로운 분석창을 띄우는 메뉴

Open : 기존에 저장한 분석 파일을 여는 메뉴 확장자는 .cas .case로 됨

Save all  : 지금까지의 작업 상태를 보존하며 cas, case로 저장됨

File -> New 클릭하면 다음 메뉴가 나온다.

보다시피 메뉴가 변경있다..(이미지 내용은 데모에서 제공된 이미지 파일 내용임)

Table Pane의 기본 메뉴에 대해서 알아본다.

Table 메뉴

- 파일에 대한 속성등 파일에 대한 전반적인 사항이 나열됨(총 38개?)

Description : 파일의 속성, 파일인지 폴더인지 삭제 여부와 Overwrite 여부등을 나타냄

-         Deleted File(folder) : 파일이 삭제되었고 겹쳐쓰기 되지 않음 ,완전 복구 가능

-         Deleted, Overwritten file : 삭제되고 다른 파일에 의해 덮어써짐, 완전복구 불가능

-         Deleted, Overwritten folder : 삭제되고 다른 파일에 의해 덮어써진 폴더

IS Deleted : 삭제 파일에 체크되는 부분

Last Access : 마지막 파일 접근시간

File Created : 파일 생성 시간

Last Written : 파일 수정 시간

파일과 폴더의 Type

-         invalid Cluster : Directory entry가 파일명을 가지고 있지만 시작 클러스터 값을 가지고있지 않은 경우로 보통 시작 클러스터가 0으로 변경됨, 파일 내용이 어디에 있는지 알지 못함

-         Folder, Invalid Cluster : File Type bit Folder로 지정되고 시작 클러스터가 0으로 지정된 Directory Entry

-         Moved File/Folder : 파일 이동시 directory Entry 삭제되고 새위치에 만들어짐

-         Unallocated Space, MBR, Unused Disk Area, FAT Tables, Volume Slack : 시스템이 관리하는 디스크의 특정영역으로 어떤 파일도 이 영역을 할당받아  사용하고 있지 않음을 뜻함

-         Internal File : NTFS, HFS, EXT2와 가은 OS에 의해 생성되는 파일

-         Recycled Bin : 대상 컴퓨터의 휴지통

-         Lost File : NTFS 파일 시스템에만 나타남, Parent 가 삭죄되어서 자신의 위치를 찾을수 없는 파일

Gallery 메뉴

그림 파일을 한눈에 알아 볼수 있도록 구성

성인 컨텐츠에 대한 증거 수집시 편하게 수사하기 위한 기능

Time Line 메뉴

파일을 시간대별로 확인

생성/수정/접근/삭제시간 별로 표시가 가능

용의자 알리바이, 사건 정황등을 파악하는데 목적이 있음

View pane의 매뉴를 살펴 본다.

Text : 해당 파일의 내용을 text 형식으로 보여줌

Hex : 해당 파일의 내용을 16진수 형식으로 보여줌

Picutre : 이미지인 경우만 보여줌

Doc  : 외부 프로그램과 연결된 경우 바로 파일의 내용을 보여줌

Transctript : 일부 깨지는 내용은 호환되는 부분만 변경해서 보여줌

Report :해당 파일에 대한 보고서, 파일의 속성, 권한등을 보여줌

이것으로 encase 관련 간략한 소개 및 화면 구성에 대해 마무리 합니다.

다음 포스팅에서는 증거 이미지 생성해서 분석하는 방법에 대해서 포스팅 해봅니다.

주제 : CISSP의 가치와 Vision
주최 : 한국CISSP협회
후원 : 동명대학교 정보보호학과, 한국CISSP협회 영남지부

- 일시 : 5월23일(토)  오전 10시 ~ 12시
- 장소 : 동명대학교 동명관 105호 약도
           부산광역시 남구 신선로 179번지
- 혜택 : 4 CPE 부여
- 비용 : 무료
- 사전등록 : general@cisspkorea.or.kr

* 특별한 양식없이 상기의 계정으로 신청해주시기 바랍니다.
* CISSP 및 시험합격자는 소속/CISSP NO/영문 풀네임/성명(한글)/연락처를 기재하여 보내주세요.
* 일반참석희망자는 소속/이름 을 기재하여 보내주세요.



AGENDA

작성자 : 투라 (extraman@boanin.com )

편집자 : 엔시스

오늘은 네트웍 포렌식입니다..

타이틀은 네트웍이지만, 실질적으로 네트웍&시스템 포렌식 수업을 해서..

중복 내용이 많습니다.

리뷰하는 마음으로 주욱 써 내려갑니다.

일단 증거수집과정의 운영 지침으로..

-         가능한 모든 자료를 수집하라,

-         날짜나 시간도 포함하여 자세히 기록 한다.( 시간차 기록)

-         언제 증명(법정 출두) 해야 할 지 모르므로, 자세한 기록이 중요하다.

-         수집과정에서의 데이터 변형을 최소화

-         수집(collection) 할 것인가 분석(analysis) 할 것인가를 선택해야 한다면

수집을 먼저하라

-         휘발성이 있는 것을 먼저 진행하고 그렇지 않은 것을 나중에 진행한다.

-         프라이버시관련 법률이나 회사의 지침에 위배되지 않도록 유의한다.

이렇게 수집한 증거물들은 chain of custody 가 명확하게 문서화 되어야 한다.

-         언제, 어디서, 누가 증거물을 발견하였고, 수집 하였은가?

-         언제, 어디서 누가 증거물을 다루었고 검사 하였는가?

-         누가 어느 기간에 증거물을 관리했고, 저장되었는가?

-         언제 관리에 대한 변경이 일어 났고, 언제, 어떻게 이송이 되었는가?

증거수집을 위한 Tool 들..

-         프로세스를 검사하기 위한 프로그램 (ex> ps..)

-         시스템상태를 검사하기 위한 프로그램(ex> ifconfig. Netstat, arp..)

-         bit to bit 복사 가능한 프로그램 ( ex> dd, safeBack..)

-         체크섬이나 서명(signature)를 생성할수 있는 프로그램 ( ex> md5sum, sha1sum ..)

-         core image를 생성할수 있는 프로그램 ( ex > gcore, gdb)

-         증거 수집을 자동화 할수 있는 스크립트( ex> Ther Coroner’s tool Kit, fire…)

네트웍 포렌식에서 중요한 TCP/UDP Network 연결을 통해 데이터를 쓰고 읽을 수 있는

유틸리티인 Netcat에 대해 알아 본다.

http://netcat.sourceforge.net/

http://joncraton.org/files/nc111nt.zip

에서 리눅스와 윈도우 버전 down 가능하다.

조사 대상 시스템에서 dd 명령을 이용해서 파티션을 복사하고 이를 nc를 이용해서 분석할 시스템으로 전송하려면..

# nc –l –p 10000 > target.hdd2.dd (원격지 xxx.xxx.xxx.xxx 서버 )

# dd if=/dev/hda2 bs=1024 | nc xxx.xxx.xxx.xxx 10000 –w 3

-ㅣ ( Listen mode )

- p 10000 ( 10000 port use )

- w ( time out,  마지막 읽고 난뒤 종료할 시간 설정 )

Netcat 사용법은 중요하니 숙지 하시기 바랍니다.

슈퍼유저서버팀에서 작성한 netcat 사용가이드 참고 바랍니다.

Network 증거수집에서 다음과 같은 사항들을 고려하여 수집한다.

l       하드웨어와 운영체제 선택

-         OS는 리눅스계열로 불필요한 네트워크 서비스 중지하고 ,하드디스크는 증거 저장용 디스크와 os 디스크 물리적 분리, cable의 tx 부분을 자른다(제거)..

l       스텔스 모드(Stealth mode) 설정

-         antisniff 프로그램등의 추척 회피

l       네트워크 모니터링 소프트웨어 선택

-         Libpcap 기반의 프로그로토콜, snoop, iptrace등..

l       이벤트 모니터링

-         이벤트에 대한 룰 or 임계치 설정후 이벤트 발생시 경고 메시지 생성

l       네트워크 연결상태

l       동작중 프로세스 상태

l       로긴중 사용자정보

l       오픈된 파일 정보

l       스왑된 파티션 정보

l       로그파일

l       각종 운영체제 배포 CD

l       운영체제의 시스템 파일에 대한 MD5 해쉬값 및 바이너리 정보

l       백업에 필요한 충분한 디스크

마지막으로 말씀 드리는데요...Netcat 사용법에 대해서는 꼭 숙지 하시는게 좋습니다.

음.이것으로 네트웍 포렌식도 마칩니다..

너무 대충인가여..^^;

다음에는 encase에 대해서 포스팅 해야하는데..

음..이거 어떻게 포스팅해야할지..데모버전으로 최대한 해보도록 하죠..

지난 8일 MBC 희망특강 파랑새라는 프로그램을 봤습니다..
강의 버라이어티라는 프로그램형식을 빌어
동시대의 성공한 사람들 선정해서 3명의 강사들이 나와서
그사람의 성공 전략(?)비법등을 강연하는 프로인데요
마침 그날은 반기문총장에 대해서 강의를 하더라구요..

그중 마지막 강연하신분의 강의 내용 요약(?)입니다..
보면서 많은 반성(?)을 했네요..

키워드라도 보시면서 참고하세요~~


성실과 유능의 균형이 잡혀야 성공할수 있다

성실 : 성공을 위한 텃밭

1. 부지런히 살아야한다.

2. 약속을 잘 지켜야한다.(시간..말...)

3. 자기관리 철저히..
3-1 건강관리를 철저하게 해야한다.
3-2 인상이 좋아야한다..(관리를 잘 해야한다..)
3-3 심(心)상이 고아야한다..(나쁨맘 먹고는 성공 못한다..)
3-4 커뮤니케이션 관리

유능 : 성공을 위한 씨앗

1. 최고의 전문가가 되어라..

2. 세계언어를 익혀라..

3. 다독하라..(책 많이 읽어라..)