Curiosita` varie: 01 - log-file di sistema
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Lun 19 Feb 2001 15:04:22 UTC
Mah... tutto il caso Mitnik e' abbastanza singolare: non che io
giustifichi quello che e' stato fatto, ma sicuramente le richieste
di danni esorbitanti e il modo in cui i processi si sono svolti
sembrano quantomeno sospetti... chiamatemi paranoico...
Venendo al fatto in oggetto: si' i files di log tendono solamente
ad ingrandirsi, sino a quando non occupano tutta una partizione e
il sistemista accidentalmente li cancella tutti. In realta' esistono
dei programmi -parte dei vari rootkit- che consentono di `editare'
delle entries al fine di cancellare le traccie dell'intrusione --
l'effetto immediato e' che un file che dovrebbe solamente
`crescere' si trova ad essere tagliato: situazione sospetta.
In realta' la soluzione migliore (come suggerito da mp) e'
avere i files in modalita' `append only' (questo si applica pure per root):
la cosa e' fattibile localmente e toglie buona parte dei problemi...
se poi il file in oggetto e' scritto direttamente su CD-Rom, cancellare
una entry puo' essere ancora piu' difficile
[nota bene: scrivere in modo incrementale su di un CD richiede una
qualche modalita' di tipo `packet writing' e non e' cosi' semplice come
potrebbe sembrare a prima vista]
Una nota, pero': il sistema perfetto non esiste... un modo per cancellare
le traccie puo' essere quello di mettere completamente fuori uso un
calcolatore: non troppo `elegante', ma sicuramente possibile;
similmente avere i files su di una macchina FISICAMENTE diversa da
quella visibile dall'esterno (con in piu'
1. un costante controllo dell'attivita'
2. una `blindatura' consistente essenzialmente nel ridurre al minimo
i servizi visibili)
aiuta, ma non offre nessuna garanzia assoluta.
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|