Sunday, August 17, 2008

Thoughts on OMFW and DFRWS 2008

Last week I was very happy to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 Open Memory Forensics Workshop (OMFW) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Research Workshop. Aaron Walters of Volatile Systems organized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMFW, which consisted of about 40 attendees and a mix of panels and talks in 10 quick afternoon sessions. My first impression of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground could have set digital forensics back 3-5 years if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had attacked our small conference room. Where else do you have Eoghan Casey, Brian Carrier, Harlan Carvey, Michael Cohen, Brendan Dolan-Gavitt, George Garner Jr., Jesse Kornblum, Andreas Schuster, Aaron Walters, et al, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same room? I thought Brian Dykstra framed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation properly when asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: "I know this is an easy question for all you 'beautiful minds,' but..."

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMFW, I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two days of DFRWS. I thought Secret Service Special Agent Ryan Moore started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference well by describing his investigations of point-of-sale compromises (announced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI as a retail hacking ring) (.pdf). This was probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best .gov presentation I've seen in a while. I was impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which SA Moore used open source, because he wanted to show retailers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could vastly improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security using low-cost methods.

The remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS presentations were a mix of academic-style presentations, tool development updates, and reports on practical issues faced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. The academic presentations made an impression on me; I noticed that those sorts of talks are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 closest we have to "computer science." For example, you develop a new algorithm or technique (perhaps to carve memory), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method against a range of samples.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, researchers "simply" seek to understand how a system works. I say "simply," because you might think "Hey, it's a computer. It must be easy to figure out." Instead, researchers find that systems (OS, applications, whatever) don't do what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir developers claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internals are more complicated than at first glance, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r number of permutations make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality diverge sharply from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory.

In terms of technical notes, OMFW and DFRWS contained many little tidbits. For example, I was reminded that one can alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 run-time configuration of any Windows system by writing directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry in memory. Normally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes are synced to disk every 5 seconds, but those can be avoided because direct memory access avoids cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows APIs which would result in changes being saved. It was cool to hear about matching packets in memory with similar packets captured outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system (via network sniffer) in order to improve attribution. (Those packets in memory can be associated with a user logged in at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory was captured.)

Integrating evidence via framework tools is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me. PyFlag looks great for this. I must congratulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility/PyFlag team for winning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 DFRWS Challenge, a sort of CTF for defenders. (Notice this gets zero press. Defense is not glamourous.) Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir team submission is a learning experience. Indeed, I was very impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of expertise applied to each challenge. I'd like to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives to see how previous events have been investigated.

1 comment:

Anonymous said...
This comment has been removed by a blog administrator.