linux user group brescia

> Congelare il computer?
Mah... l'espressione E' romanzesca e poco accurata. In ogni caso,
 l'idea e' che durante lo shutdown alcuni files vengono modificati e
  e' possibile che alcune informazioni utili ad identificare l'intruso
 vengano distrutte.
Un sistema per congelare completamente un computer non esiste, in
 realta': il semplice fatto che si debba modificarne lo stato in
 qualche modo comporta automaticamente che alcune informazioni
 vengano modificate e un intruso abbastanza astuto puo' fare in
 modo che il semplice cambio di stato distrugga le sue traccie.

Essenzialmente si vogliono due cose, pero':
 1. una immagine il piu' esatta possibile dei dischi
 2. (possibilmente) una immagine della memoria della macchina

Il punto 1. e' semplice: si spegne il calcolatore e si inseriscono
 i dischi in un nuovo computer... in questo modo e' possibile
 analizzare che cosa c'e' (o cosa NON c'e') con relativa 
 tranquillita'... ancora meglio se si fanno delle copie su mezzi 
 scrivibili una sola volta, tipo un CD.

Il punto 2. e' un po' meno semplice... l'immagine della memoria non
 puo' essere salvata in locale (in quanto potrebbe sovrascrivere
 delle informazioni utili) e, d'altro canto, non resiste allo 
 spegnimento del calcolatore [tirare fuori la RAM non funziona ;) ]
 Una soluzione `brutale' puo' essere quella di trasferire questa
 immagine su di un computer remoto e la' registrarla in un file
 (ad es. tramite un programmino tipo netcat). L'unico problema e' 
 che se un intruso ha controllo totale della macchina, allora puo'
 anche inserire delle `trappole' (traps) che vengono eseguite quando
 un determinato indirizzo viene LETTO... non bene...

[In realta' per un buon margine di sicurezza e' necessario che ruoli
 diversi vengano svolti da macchine diverse nella LAN, per cui -ad es.-
 un firewall traccia le connessioni dall'esterno e una terza macchina
 confronta i log del firewall con quelli degli host all'interno
 della rete locale]

Ciao,
 lg