[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2001 ml@sikurezza.org Soggetto: Re: "Tracing Kevin" e forensic analisys Mittente: vecna Data: 15 Jun 2001 16:16:00 -0000
~ Salve all, ~ rileggendo il libro di Shimomura ripensavo al punto in cui ~ parla a proposito di "bloccare" le macchine compromesse, anzichč ~ spegnerle, in modo da conservare eventuali "prove" presenti ~ nella sola memoria della macchina. a parte possibili features che consentono il dump della memoria (senza contare che normalmente anche dopo un reboot nello swap possono essete trovate informazioni molto sensibili, come intere password un tempo contenute in una zona di memoria allocata, poi liberate ma NON pulita) finche` si tratta di intrusioni tipo scripters che bucano e mettono 3 bot e un demone per flood distribuiti allora ok, si stacca la macchina si rinstalla e bon. se si tratta di intrusioni serie la cosa + intelligente che penso ci sia e` quella di lasciar tutto come se non ci si fosse accorti di nulla, lasciar uno sniffer e vedere veramente cosa fa l'intruso, a quel punto prendere i dovuti provvedimenti. staccar la macchina significa si buttarlo fuori *da quella macchina* ma non si potra` mai sapere cos'e` successo veramente. tra l'altro non penso che mitnik attaccasse solo sun e non conosco sun ma so che anche sun ha una features che consente di fare il dump di ram e di registri su disco e di spegnere la macchina (alla riattivazione si puo` riavere il sistema com'era prima, un sistema simile e` anche presente in alcuni portatili intel). Brigante: ~ Devi semplicemente staccare il cavo della corrente :-))) ~ Questa č la prima regola della forensics per tutti i computer compromessi. ~ Le prove, infatti, non risiedono nella memoria (sarą un errore di ~ traduzione), ma nei diversi log che possono essere manomessi da eventuali ~ rootkit o altri espedienti nel caso tu non isoli completamente la macchina. scusa ma se i log sono stati compromessi non so se potrai trovare molto :) secondo me non ti serve staccare la macchina, quanto parare i primi danni che vedi ma almeno non levare il servizio (ed e` questo l'importante x una societa`, non tanto aver la testa del tizio di turno...). se usi un sistema di logging remoto a maggior ragione. Kalos: ~ se capita a me (e' capitato purtroppo) la lascio accesa ma con il cavo rete ~ disconnesso... ~ non dovrebbe potere comunicare credo, no? beh e` come una persona che cerca di respirare ma gli han staccato il cuore :) (p.s. il cuore wireless non esiste ancora :) ciao :) ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005