linux user group brescia
immagine del castello

Archivio della mailing list

Curiosita` varie: 01 - log-file di sistema

DisKre Panza demokrito a tin.it
Lun 19 Feb 2001 07:37:17 UTC 
"Takedown", pag. 30:

>    Quando  gli  intrusi  si  infiltrano  nei  computer  tramite
> Internet,  una delle misure standard  che  mettono in  atto per
> eludere  la  sorveglianza consiste nel cancellare le tracce che
> hanno lasciato  nel  computer depredato.  Di solito entrano nei
> file-diario, che vengono aggiornati automaticamente dal sistema
> operativo,  nei quali sono riportati tutti i dati relativi alle
> connessioni  al  sistema dall'esterno,  e  cancellano  le  voci
> relative alla loro attivita` criminosa.
>    Ma  cio'  determina una situazione  che pochi ciberspioni si
> soffermano  a  prendere in considerazione:  cancellando le voci
> relative alla loro attivita`, il file risulta piu` corto.

   Tre pagine prima, diceva:

>    La mia rete e` configurata in modo tale da produrre e tenere
> continuamente aggiornato un file-diario che riporta l'elenco di
> tutti i collegamenti dal mondo esterno:  c'e` scritto chi si e`
> collegato  e  a  che ora.  Quattro volte  al giorno l'elenco di
> queste informazioni viene automaticamente inviato a un computer
> esterno controllato  da  Andrew.  E` ovvio che,  ogni volta che
> viene inviato,  l'elenco deve essere uguale  o piu` lungo della
> volta precedente.  Se  si  era accorciato,  la conclusione piu`
> logica era che qualcuno aveva cercato di cancellarne una parte.

   Scusate, ma faccio fatica a capire il senso di  questi  passi.
L'unica spiegazione logica che mi viene  in  mente  e`  che,  dal
momento che i log vengono spediti quattro volte al  giorno,  c'e`
una "finestra" di 6 ore, e loro hanno  avuto  il  colpo  di  culo
(pardon...)  che  il  tizio  si  collegasse  a  cavallo  tra  una
spedizione  e  l'altra...   ma  allora  sarebbe  stato  possibile
quantomeno rilevare la  connessione  clandestina,  mentre  invece
questo non era possibile...  o semplicemente  spediva  un  report
sulla lunghezza del file di log?  Questo non lo dice, ma mi  pare
una forma di sicurezza un tantino debole, no?  Anche  perche'  il
log delle connessioni, in 6 ore, a meno di non essere un Internet
Provider, dovrebbe essere una cosa piuttosto 'leggera'...

   E allora?  Cosa significa "file piu` corto?" E` solo  un  modo
per  semplificare,  un  artificio  "romanzesco",  tanto  chi   lo
leggera` non ne sa una sega e  allora  chissefrega,  oppure  c'e`
qualche particolarita` che mi sfugge?

   (avevo pensato alla conversione 0d0a -> 0a tra ms-dos e  Unix,
ma qua si sta parlando di Unix e basta... mah...)

-- 
Fakkino DisKre Panza

Maggiori informazioni sulla lista Lug