[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Frage zu AIDE



On Wed, 20 Aug 2008 11:04:00 +0200, Peter Funk <pf@artcom-gmbh.de>
wrote:
>Marc Haber schrieb am Dienstag, den 19.08.2008 um 19:28:
>> AIDE schützt nur gegen ahnungslose skriptkids und
>> abhängig von deren Werkzeugen nichtmal vor diesen.
>...
>> AIDE kann seine Referenzdatenbank IIRC auch per HTTP von irgendwo
>> anders ziehen, das schützt Dich aber nicht gegen ein lügendes
>> AIDE-Binary.
>> 
>> Einzige Abhilfe: Kiste regelmäßig von einem bekannt sauberen
>> read-only-Medium booten und gegen eine bekannt saubere
>> Referenzdatenbank checken.
>...
>
>Die hier von Marc vorgeschlagene Taktik, ein System mit einem nicht
>kompromitierten Medium neu zu starten und dann forensisch auf 
>Manipulationen zu untersuchen, ist nicht geeignet, um Manipulationen
>nachzuweisen, die ein Eindringling nur im Speicher vorgenommen hat.
>Es ist denkbar, dass ein Eindringling ein kompromitiertes System
>nur durch Installation eines ladbares Kernel-Modules verfälscht,
>dessen Spuren durch einen Neustart automatisch verwischt werden.

Das ist richtig, aber für AIDE als filesystemorientierten
Integritätschecker out of scope.

Grüße
Marc

-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834


Reply to: