Curiosita` varie: 01 - log-file di sistema
Maurizio Paolini
paolini a dmf.bs.unicatt.it
Lun 19 Feb 2001 11:33:15 UTC
> "Takedown", pag. 30:
>
> > Quando gli intrusi si infiltrano nei computer tramite
> > Internet, una delle misure standard che mettono in atto per
> > eludere la sorveglianza consiste nel cancellare le tracce che
> > hanno lasciato nel computer depredato. Di solito entrano nei
> > file-diario, che vengono aggiornati automaticamente dal sistema
> > operativo, nei quali sono riportati tutti i dati relativi alle
> > connessioni al sistema dall'esterno, e cancellano le voci
> > relative alla loro attivita` criminosa.
> > Ma cio' determina una situazione che pochi ciberspioni si
> > soffermano a prendere in considerazione: cancellando le voci
> > relative alla loro attivita`, il file risulta piu` corto.
>
> Tre pagine prima, diceva:
>
> > La mia rete e` configurata in modo tale da produrre e tenere
> > continuamente aggiornato un file-diario che riporta l'elenco di
> > tutti i collegamenti dal mondo esterno: c'e` scritto chi si e`
> > collegato e a che ora. Quattro volte al giorno l'elenco di
> > queste informazioni viene automaticamente inviato a un computer
> > esterno controllato da Andrew. E` ovvio che, ogni volta che
> > viene inviato, l'elenco deve essere uguale o piu` lungo della
> > volta precedente. Se si era accorciato, la conclusione piu`
> > logica era che qualcuno aveva cercato di cancellarne una parte.
>
> Scusate, ma faccio fatica a capire il senso di questi passi.
> L'unica spiegazione logica che mi viene in mente e` che, dal
> momento che i log vengono spediti quattro volte al giorno, c'e`
C'e' il solito problema di rendere in poche parole qualcosa che di
per se' non e' cosi' semplice. Intanto quello che dici e' giusto:
se l'intruso modifica solo la parte finale del "log", che ancora
non era stata spedita ad "Andrew", col cavolo che Andrew se ne accorge!
Dopodiche' il senso e' che si vuole sfruttare il fatto che un file
di "log" puo' solo "allungarsi", e questo permette un piccolo controllo
in piu' (che pero' becca l'intruso solo se quest'ultimo e' particolarmente
sfortunato).
La cosa migliore da fare e' invece (come dice Giuzzi) cambiare i
permessi del file di log in modo che sia "append only". Questo puo'
essere fatto in modo tale che non si possa piu' cambiare l'attributo
nemmeno da "root". Ancora meglio: mandare direttamente i log in stampa,
come si faceva una volta (o in alternativa mandarli su un dispositivo
di "sola scrittura").
> (avevo pensato alla conversione 0d0a -> 0a tra ms-dos e Unix,
> ma qua si sta parlando di Unix e basta... mah...)
No, questo non c'entra nulla.
mp
Maggiori informazioni sulla lista
Lug
|