On 30.10.2009, Erik P. Roderwald wrote:
Nein, das Zitat passt nicht. Zum einen sprechen wir hier _nicht_ über den Hardwarezugriff (physical access), sondern über einen Zugriff via Netz.
Ja, deswegen hatte ich auch geschrieben, dass es nicht ganz passt. Vergiss das olle Zitat einfach :-) Der Sachverhalt bleibt dennoch der gleiche.
Wenn die Maschine "gehackt" wurde, und der Eindringling Zugriff hat/hatte, dann soltest du dir im Klaren sein, dass er alles manipulieren kann. Du wirst keine Chance haben, das zu entdecken.
Cracker kochen auch nur mit Wasser und müssen sich auch an die Vorgaben des Systems und die Netzwerkspezifikationen halten. [....]
Im Übrigen sind die meisten Cracks relativ leicht mit den genannten Maßnahmen zu entdecken. Sie wollen ja was mit dem Server anstellen. [....]
Wenn der Eindringling root-Rechte erlangt hat, dann ist deine Maschine kompromittiert, und alle Detektivarbeit auf dem Rechner selbst ist vergeblich, da du vom schlimmsten Fall ausgehen musst, dass der Eindringling ueber die besten Faehigkeiten ueberhaupt verfuegt. Wenn die Maschine also erstmal kompromittiert ist, dann gibt es keine Sicherheit mehr, da jeglicher Hinweis auf eine Kompromittierung vom Eindringling manipulierbar ist. Deswegen der Tip mit aide, und deswegen das (entfremdete) Zitat: "There is no way....". Es gibt keinen Weg, dir Sicherheit zu verschaffen mit Mitteln, die gleichzeitig dem Zugriff des Eindringlings ausgesetzt sind, und keine Sicherheit der Daten, die vom Eindringling manipuliert sein koennen. Du rechnest hier damit, dass 99.9% der Eindringlinge mehr oder weniger unsauber vorgehen, und denkst an einen evtl. Zweck, den der Eindringling evtl. damit vorhaben koennte. Jetzt denke umgekehrt: was, wenn jemand in dein System eindringt und es so veraendert, dass alle Spuren beseitigt sind? Genau: there is no way... Nebenbei: ich persoenlich meine es ist unheimlich schwierig, Checksummen-Datenbanken wie die von aide (oder find/sha512 oder was auch immer) nach bereits wenigen Tagen korrekt zu interpretieren, wenn man nicht ueber sehr tiefgreifendes Verstaendnis aller Prozesse und Datenstrukturen auf einem modernen Linux-System verfuegt. Zu vieles wird im Hintergrund geoeffnet und dynamisch manipuliert... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org