[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Violazione computer : Come fare ?

Il giorno 08 Luglio 2009 21.47, Pietro Giorgianni<giorgian@gmail.com>
ha scritto:
> Il giorno 08 Luglio 2009 21.21, Davide Prina<davide.prina@gmail.com> ha scritto:
>> il problema, secondo me, è che se sono entrati nella tua macchina e hanno
>> avuto l'accesso di root, allora, da quel che so io, non esiste un metodo
>> sicuro per riprendersi il possesso totale della macchina.
>> Possono aver cambiato ogni singolo eseguibile, possono aver creato processi
>> che si mettono in ascolto su una porta una volta all'anno, ... possono aver
>> modificato il tool per ricercare i rootkit o semplicemente possono aver
>> installato qualcosa fatto da loro che non è ancora identificato come tale.
>
> Concordo pienamente: il server va azzerato totalmente e rifatto ex
> novo; tutto ciò che c'era è da corsiderarsi compromesso (non
> necessariamente i dati, dipende da che cosa sono e quanto il cracker
> avesse motivo di alterarli).
>
> Non consentire mai più l'accesso via ssh a root.
>
> Se davvero l'intruso ha prima compromesso una macchina client, devi
> chiederti se le macchine client possono essere considerate affidabili
> (se chiunque può metterci le mani la risposta è no, non sono
> affidabili: se io ho il controllo di un client, oltre a modificare i
> vari comandi ssh, posso intercettare quando scarichi una versione
> pulita di ssh e la installi, e taroccarla; posso modificare le
> funzioni di accesso ai file per fare in modo che a guardarlo
> l'eseguibile sembri pulito, ma ad eseguirlo no; posso non modificare
> l'eseguibile, ma intercettarne l'esecuzione, in modo che quando uno
> lancia ssh non viene lanciato il vero ssh ma un altro processo...)
>
> Se i client non sono affidabili, gli account che questi utilizzano via
> ssh non devono avere sudo abilitato (se non eventualmente per singoli
> comandi innocui - e sono molto pochi i comandi innocui); sarebbe anzi
> il caso di farli girare sempre in un ambiente fakeroot.
>
> Se qualche utente ha bisogno di collegarsi via ssh e acquisire
> privilegi, deve necessariamente poter rispondere del computer che usa.
>
> ah, se scopri come hanno fatto faccelo sapere.
>
>
> pietro
>
Ok ma per ora può andar bene il togliere l'accesso dall'esterno al
router giusto ?
Non vedo come potrebbero entrare per ora. O sbaglio ?
>
> --
> Per REVOCARE l'iscrizione alla lista, inviare un email a
> debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
> problemi inviare un email in INGLESE a listmaster@lists.debian.org
>
> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: