[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Slab corruption ?



A Divendres 02 Febrer 2007 14:07, Xavi Drudis Ferran va escriure:
> >
> > Una vegada vaig llegir que això no és recomanable: l'atacant pot haver
> > deixat corrent un programa que si detecta la menor anomalia, esborri
> > qualsevol rastre de la seva activitat.
>
> No t'he entés. Si arrenques des d'una memòria USB que se suposa que està
> neta l'atacant no hi pot haver deixat res executant-se, perquè els procesos
> executant-se s'aturen al reiniciar el servidor. Si vols pots desendollar la
> xarxa abans, per evitar que hi hagi alguna vulnerabilitat al SO de la
> memòria USB.

No ens hem entès. Jo em referia, com tu expliques més avall, a estirar el 
cable del servidor *abans* d'endollar-li la mamòria USB i rearrencar-lo amb 
el sistema d'aquesta, tal i com tu dius de fer en el pas 2.
>
> Si no et creus que la memòria USB o l'ordinador on l'has preparada no
> estigui neta, llavors ja podem plegar, alguna cosa has d'assumir segura per
> poder començar a arreglar o diagnosticar coses, no ?

Evident.

>
> > El millor és una solució molt gràfica: "estirar del cable (es refereix a
> > l'alimentació elèctrica)" i fer un anàlisi posterior amb eines
> > d'anàlisi "post-mortem".
>
> Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc
> com pots fer anàlisis postmortem de sistemes informàtics sense alimentació
> elèctrica. Pots treure el disc dur i posar-lo a una altra màquina, però no
> l'hi veig l'augment de seguretat, perquè si és un codi maliciós estarà al
> disc dur. L'únic que necessites és no arrencar des de disc dur.

Tu m'has vist a mi cara de proposar analitzar res sense alimentació elèctrica?

> Jo l'únic que imaginava és:
>
> 1- Des d'un ordinador net prepares la memòria USB amb una distribució live
> i un guió per fer l'anilisi postmortem o les comprovacions de maquinari que
> vulguis. Per prepara la memòria USB necessitaries un mínim d'informació del
> servidor avariat o compromès (dispositius, particions...) però això ho
> podries tenir preparat de quan vas instal·lar el servidor, o agafor-ho
> d'una còpia de seguretat del servidor.
>
> 2- Atures el servidor presumptament compromés o avariat. Pots estirar el
> cable si ho vols fer més dramàtic i tens clar que no perdràs dades.
>
> 3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol
> i fa els tests. Deixa els resultats a la pròpia memòria USB. Quan acaba
> pita.
>
> 4- Treus la memòria USB
>
> 5- El servidor, que encara executa el SO de la memòria USB detecta
> l'extracció de la memòria USB i atura o reinicia la màquina (això és el que
> menys clar tinc com es faria però deu ser possible).
>
> 6- (opcional) el servidor avariat o compromès torna a arrencar sense la
> memòria USB, des de disc dur i per tant segueix funcionant com abans, amb
> l'avaria o l'intrusió. Si no te'n fies doncs no el deixes arrencar (estires
> el cable abans de
>
> 7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a
> l'ordinador net i analitzes els resultats dels tests.
>

Mira, ja ho has documentat. Potser li servirà a algú.

Orestes.



Reply to: