Curiosita` varie: 02 - Congelare il computer?
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Lun 19 Feb 2001 15:15:05 UTC
> Congelare il computer?
Mah... l'espressione E' romanzesca e poco accurata. In ogni caso,
l'idea e' che durante lo shutdown alcuni files vengono modificati e
e' possibile che alcune informazioni utili ad identificare l'intruso
vengano distrutte.
Un sistema per congelare completamente un computer non esiste, in
realta': il semplice fatto che si debba modificarne lo stato in
qualche modo comporta automaticamente che alcune informazioni
vengano modificate e un intruso abbastanza astuto puo' fare in
modo che il semplice cambio di stato distrugga le sue traccie.
Essenzialmente si vogliono due cose, pero':
1. una immagine il piu' esatta possibile dei dischi
2. (possibilmente) una immagine della memoria della macchina
Il punto 1. e' semplice: si spegne il calcolatore e si inseriscono
i dischi in un nuovo computer... in questo modo e' possibile
analizzare che cosa c'e' (o cosa NON c'e') con relativa
tranquillita'... ancora meglio se si fanno delle copie su mezzi
scrivibili una sola volta, tipo un CD.
Il punto 2. e' un po' meno semplice... l'immagine della memoria non
puo' essere salvata in locale (in quanto potrebbe sovrascrivere
delle informazioni utili) e, d'altro canto, non resiste allo
spegnimento del calcolatore [tirare fuori la RAM non funziona ;) ]
Una soluzione `brutale' puo' essere quella di trasferire questa
immagine su di un computer remoto e la' registrarla in un file
(ad es. tramite un programmino tipo netcat). L'unico problema e'
che se un intruso ha controllo totale della macchina, allora puo'
anche inserire delle `trappole' (traps) che vengono eseguite quando
un determinato indirizzo viene LETTO... non bene...
[In realta' per un buon margine di sicurezza e' necessario che ruoli
diversi vengano svolti da macchine diverse nella LAN, per cui -ad es.-
un firewall traccia le connessioni dall'esterno e una terza macchina
confronta i log del firewall con quelli degli host all'interno
della rete locale]
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|