Re: Slab corruption ?

To: Orestes Mas <orestes@tsc.upc.edu>
Cc: debian-user-catalan@lists.debian.org
Subject: Re: Slab corruption ?
From: Xavi Drudis Ferran <xdrudis@tinet.cat>
Date: Fri, 2 Feb 2007 14:07:51 +0100
Message-id: <[🔎] 20070202130751.GA5500@ideafix.casa.ct>
In-reply-to: <[🔎] 200702021149.38929.orestes@tsc.upc.edu>
References: <[🔎] 20070202090254.GA5253@ideafix.casa.ct> <[🔎] 200702021038.39670.lepalom@wol.es> <[🔎] 20070202095943.GA11032@ideafix.casa.ct> <[🔎] 200702021149.38929.orestes@tsc.upc.edu>

On Fri, Feb 02, 2007 at 11:49:38AM +0100, Orestes Mas wrote:
> A Divendres 02 Febrer 2007 10:59, Xavi Drudis Ferran va escriure:
> > El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic,
> > que la posis en una memòria USB, li configuris una sèrie de tests en un
> > fitxer, posis la memòria USB al servidor, arranqui, faci els tests, deixi
> > els resultats en fitxers a la mateixa memòria USB, piti (perquè sàpigues
> > quan treure la memòria), i quan hagis tret la memòria USB reinici el
> > servidor solet perquè torni a estar en línia com estava mentre tú estudies
> > els resultats en una altra màquina. També podria deixar-se usar per xarxa,
> > però en cas que sospitis d'un atac, potser el primer que faràs serà
> > desendollar la xarxa, si t'ho pots permetre.
> 
> Una vegada vaig llegir que això no és recomanable: l'atacant pot haver deixat 
> corrent un programa que si detecta la menor anomalia, esborri qualsevol 
> rastre de la seva activitat.
> 

No t'he entés. Si arrenques des d'una memòria USB que se suposa que està neta
l'atacant no hi pot haver deixat res executant-se, perquè els procesos executant-se
s'aturen al reiniciar el servidor. Si vols pots desendollar la xarxa abans,
per evitar que hi hagi alguna vulnerabilitat al SO de la memòria USB. 

Si no et creus que la memòria USB o l'ordinador on l'has preparada no estigui 
neta, llavors ja podem plegar, alguna cosa has d'assumir segura per poder 
començar a arreglar o diagnosticar coses, no ? 

> El millor és una solució molt gràfica: "estirar del cable (es refereix a 
> l'alimentació elèctrica)" i fer un anàlisi posterior amb eines 
> d'anàlisi "post-mortem".
> 

Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc com pots
fer anàlisis postmortem de sistemes informàtics sense alimentació elèctrica. Pots 
treure el disc dur i posar-lo a una altra màquina, però no l'hi veig l'augment de 
seguretat, perquè si és un codi maliciós estarà al disc dur. L'únic que necessites 
és no arrencar des de disc dur. 

Jo l'únic que imaginava és: 

1- Des d'un ordinador net prepares la memòria USB amb una distribució live i 
un guió per fer l'anilisi postmortem o les comprovacions de maquinari que vulguis.
Per prepara la memòria USB necessitaries un mínim d'informació del servidor 
avariat o compromès (dispositius, particions...) però això ho podries tenir
preparat de quan vas instal·lar el servidor, o agafor-ho d'una còpia de seguretat 
del servidor.

2- Atures el servidor presumptament compromés o avariat. Pots estirar el cable si 
ho vols fer més dramàtic i tens clar que no perdràs dades. 

3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol i fa els tests.
Deixa els resultats a la pròpia memòria USB. Quan acaba pita. 

4- Treus la memòria USB

5- El servidor, que encara executa el SO de la memòria USB detecta l'extracció de la 
memòria USB i atura o reinicia la màquina (això és el que menys clar tinc com es faria 
però deu ser possible).

6- (opcional) el servidor avariat o compromès torna a arrencar sense la memòria USB, 
des de disc dur i per tant segueix funcionant com abans, amb l'avaria o l'intrusió. Si no te'n 
fies doncs no el deixes arrencar (estires el cable abans de 

7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a l'ordinador net i analitzes 
els resultats dels tests. 

De fet ho pensava més per a una cosa que sospitis que és una avaria que per alguna cosa 
que sospitis que és una intrussió. Si fos una intrussió t'aniria bé tenir tot el disc dur
compromés a més dels resultats del test. Potser podries incloure un pas al guió de test 
que fos obrir un sshd i esperar, i a partir d'aquí et connectes amb un cable creuat des de
l'ordinador net i et mires el que calgui. 

La idea era que així t'estalvies connectar monitor i teclat i CD i tens el servidor apagat 
no gaire temps (si l'has d'obrir i tot plegat s'allarga una mica més). Però clar això 
només ho voldràs fer si sospites que la intrusió o l'avaria són improbables o no crítiques, 
o sia que et pots permetre el luxe de mantenir la màquina funcionant fins que ho arreglis. 
Si per exemple et fa por que l'avaria et faci perdre dades que no tens enlloc més o que 
la intrusió s'agreugi (per exemple capturi contrassenyes d'altres màquines, o comprometi 
la LAN, o etc.) segurament preferiràs tenir el servidor apagat. Però si és un simple 
servidor web, que no té cap LAN darrera, i els continguts els puges des d'una altra màquina, 
de manera que si es perden no passa res, no hi ha usuaris que hi entrin i els puguin 
capturar les contrassenyes... Bé, començoa veure perquè no ho deu haver fet mai ningú encara, 
perquè serveix per un cas simplot que no deu ser típic.

Reply to:

Follow-Ups:
- Re: Slab corruption ?
  - From: Orestes Mas <orestes@tsc.upc.edu>

References:
- Slab corruption ?
  - From: Xavi Drudis Ferran <xdrudis@tinet.cat>
- Re: Slab corruption ?
  - From: Leopold Palomo-Avellaneda <lepalom@wol.es>
- Re: Slab corruption ?
  - From: Xavi Drudis Ferran <xdrudis@tinet.cat>
- Re: Slab corruption ?
  - From: Orestes Mas <orestes@tsc.upc.edu>

Prev by Date: Re: Linux en disc SATA
Next by Date: RE: Revisió del manual
Previous by thread: Re: Slab corruption ?
Next by thread: Re: Slab corruption ?
Index(es):
- Date
- Thread