「第5回tktkセキュリティ勉強会〜フォレンジックの巻〜」に参加しました
カンファレンスや勉強会づくしの一週間の締め、「第5回tktkセキュリティ勉強会」に参加してきました。
今回のお題はHDD内のデータ。完全なデータの消去が不可能ってどういう事なんだろう?と興味深い内容でした。
PBAとLBA
Phisical Block Addressing と Logical Block Addressing。要するに物理的な位置と、PC側から見える位置とはイコールではなく、不良セクタを動的に排除できるようにfirmwareによってマッピングされている。で、PC側がデータを操作できる領域は、LBAに割り当てられた領域のみである。
そしてアクセスできない領域のデータは消せないということです。
確かにこれは盲点。基本的な構造は知っていましたが、 こういった問題はこうやって聞くまで認識できていませんでした。
要するに「部外者立入禁止」な領域には、外部の人間は何があるかわからないと。
仕事柄お客さんのマシンの廃棄依頼がよくあることなのですが、隣の席の方も同様の依頼を受けることがあるそうで、これからお客さんに対して胸をはって「完全消去しました!」とは言えなくなるなぁ・・・とお互いに愚痴っぽい雑談をしちゃったり。
「物理破壊でもデータの断片は残るし、完全に消去したければ電磁パルスで全部吹き飛ばすとかしかないんでしょうかねぇ?」とか。電子レンジ程度の出力で消えてくれるのなら、プラッタをチンで済むのですが・・・といった話にもなりました。
講師をされた方のpdfを見つけたので貼っときます。
https://digitalforensic.jp/wp-content/uploads/2016/04/3-categories-of-hdd-data.pdf
データの復旧
後半はWindowsの基本的なフォーマットである NTFSの構造と、実際のファイルがどのように格納されているか。 HDDから読み出せないといっても原因によって対処方法が異なるというセッション。 結局仕様に沿って書き込まれているのですから、仕組みを知っていれば 頭から馬鹿丁寧に解析しなくてもなんとかなることもある。
ということでした。
今日のおやつ
一瞬ケーキっぽいですが、ハロウィンなかぼちゃプリンでした。
次回は1/20
次回は1/20、キーワードはセキュリティ対応組織(SOC,CSIRT)。 ISOG-Jとかそういった方面だそうです。
普段やっていることとは違う分野で、毎回非常に勉強になります。
前回の記事はこちら