Päätin tehdä läksyistä kohdan A (valintana oli joko A tai B) koska olin cincan työpajassa paikalla myös osana erästä toista kurssia, joten vaikutti hyvältä mahdollisuudelta. Eli siis vaihtoehto A oli kirjoittaa raportti tästä työpajasta, eli mitä siellä tehtiin. On tärkeä huomata että tämä raportti on kirjoitettu täysin muistista, en ottanut esimerkiksi komentoja ylös.
Esityksen flow oli aika simppeli: eka hieman teoriaa diaesityksen avulla missä puhuttiin cincanista ja siitä minkälaisia tapauksia workshopissa on. Sen jälkeen varmistimme että kaikilla toimii cincan oikein cincan run cincan/volatility komennon avulla. Itselläni dockerilla ei ollut oikeita käyttöoikeuksia, mutta ratkaisin sen. Tämän jälkeen pääsimme tekemään hieman workshoppia, josta itse ehdin tehdä osan yhdestä tehtävästä ja sitten lopuksi esittäjä näytti meille miten muut tehtävät tehtäisiin.
Cincan on siis työkalu jolla voidaan analysoida esimerkiksi haittaohjelmia, mutta se menee sitäkin pidemmälle, sillä sen avulla pystyy analysoimaan hyökkäyksiä ylipäätään kuten vaikka phishing sähköposteja. Muistan että cincanissa oli työkalu millä pystyimme ensinnäkin tiedustelemaan turvallisesti phishing siteä ottamalla esimerkiksi sen lähdekoodi ja parit screenshotit siitä, miltä sivusto näyttää. Tämä vaikutti erittäin hyödylliseltä työkalulta epäilyttävien sivustojen tarkistamista varten. Cincan on kuitenkin kohtuullisen haastava pelkästään asentaa, eikä se toimi tässä kohtaa ihan niin hyvin, vaan bugeja on paljon. Esityksessä jäi hieman harmittamaan se, että esittäjä ei vaikuttanut itsekkään aina tietoiselta siitä, että miten asiat toimivat tai miten teemme jonkun asian X, ja osa esitetyistä asioista meni kokonaan ohi, ainakin itseltäni. Työpajassa oli kolme esimerkki tapausta mitä pystyimme yrittämään ratkoa: android APK haittaohjelma, phishing email tapaus ja hieman vaikeampi memory dump ongelma (tai jotain memoryyn liittyvää, unohdin hieman sillä sitä ei käsitelty niin paljoa).
Työpajassa esiteltiin myös muita työkaluja joilla pystyttiin esim lukemaan haittaohjelmien lähdekoodia ja päättelemään siitä erilaisia asioita. Mielestäni yksi esimerkki oli ransomware tyyppinen ohjelma joka käytti AES-enkryptausta, mutta koodista löytyi esimerkiksi decryptaus avain jolla olisimme pystyneet decryptaamaan tiedostot vaikka tämä ransomware olisi niihin päässyt käsiksi. Sillä tavalla uskon, että ohjelmasta olisi kyllä huomattavaa apua. Myös työkaluja on hyvin monenlaisia, ja itse pääsin kokeilemaan vain pientä murto-osaa niistä työpajan aikana (teimme työpajassa lähinnä vain yhtä esimerkkiä, loput näytettiin). Taas pieni valitus esittämisestä: kun olin itse yrittänyt ratkaista tiettyä kohtaa ja mielestäni ymmärsin mitä siinä tehtiin ja pääsinkin aika pitkälle, seuraavaksi kun esittelijä näytti miten se tehdään hän käytti monimutkaisia komentoja joita ei oikeastaan selitetty laisinkaan. Esitys ja työpaja oli muuten oikein passeli ja tykkäsin tutustua cincaniin, mutta esitys itsessään ei ollut kauhean hyvä.
Esityksestä jäi kuitenkin semmoinen mielikuva ainakin itselleni että uskon että cincanista voisi olla tulevaisuudessa itselleni hyötyä. Sitä pitää vain hieman parantaa, sillä tällä hetkellä se on hieman turhan hankala niin sanotusti, mutta käsittääkseni se olikin vielä hieman beta versiossa.
Caiuksen blogi 