linux user group brescia

>
> From: Mav <mcbain a tiscalinet.it>
> > Luca Coianiz wrote:
> >>  Ovviamente parli di intrusi che hanno aperto un account nel sistema,
> >> altrimenti come li riconosco ? dal fatto che c'è attività quando io non
> sono
> >> loggato ?
> > li conosci dal fatto che magari inizi a trovarti binari modificati,
> > shell laggata causa flood uscenti (o entranti, dato che come diceva
> > giuzzi spesso l'intruso installa un bnc per fare il fighetto su irc con
> > un host diverso...)
>
>  Ma davvero un intruso riesce a fare tutti quei danni nei pochi momenti in
> cui sono connesso alla rete ?
>  O stai parlando di sistemi connessi in modo permanente (servers, ecc.).
>
I problemi di cui si parla sono relativi essenzialmente sistemi permanentemente
 connessi in rete. E' difficile (ma non impossibile) realizzare una
 intrusione del genere su di una macchina che e' in linea per 10 minuti
 al giorno e ogni volta con un IP diverso.
[...]
>
>  Già, ma se l'intruso è esperto (come dicevano anche gli altri) e riesce a
> nascondere le proprie tracce... non credo che l'history della Bash mi possa
> aiutare.
>
Tu parti dal presupposto (ragionevole) che un intruso che sfrutta
 vulnerabilita' riposte del sistema sia un esperto. Purtroppo ti sbagli:
 il 90% degli attacchi vienne fatto dalla categoria dei cosiddetti
 `script kiddies', gente che manco sa come si lancia un compilatore:
 scaricano da qualche sito un `rootkit', tentano di collegarsi alla tua
 macchina,aprofittano (senza sapere bene cosa stia succedendo) di un
 buffer overflow in wu-ftpd e guadagnano i privilegi di root, installano
 il kit e nascondono le proprie traccie e ... si mettono a digitare i
 comandi di MS-DOS come pazzi in quanto non sanno come fare a ottenere una
 lista dei files!! E' vero... il problema e' che questa gente puo'
 creare danni gravissimi senza manco rendersi conto di cosa sta facendo...
 non bene, veramente non bene!

Ciao,
 lg