LINUX.ORG.RU

Задача по безопасности Linux


0

0
Здравствуйте. Есть задача. У вас возникли подозрения, что в ваше отсутствие злоумышленник загружался со своего носителя. На единственном жестком диске компьютера установлена операционная система Linux с офисными приложениями и конфиденциальной информацией. В составе компьютера имеются устройства чтения и записи на ГМД и CD-R(W), а также интерфейсы USB. Системный блок компьютера был опечатан, и печати остались не поврежденными. Каким образом можно установить факт несанкционированного доступа в операционной среде компьютера?
anonymous
Например по счетчику mount'ов FS. А для полагающихся на "авось" давным давно придуманы crypto-loops.

Gharik
()
Ответ на: комментарий от Gharik
/var/log/messages хранит все логи работы ядра -в том числе подключение и отключение устройств
anonymous
()
Счётчик монтирований - подделывается (а при монтировании r/o вообще не меняется), любые логи - тем более. Достоверных способов что-то установить - нет.
Teak ★★★★★
()
Если существуют подобного рода опасения, то стоило бы начать использовать шифрование файловых систем..
MiracleMan ★★★★★
()
1. Отключить загрузку отовсюду, кроме винта, поставить пароль на биос и загрузчик и честно сказать, что злоумышленник не загрузился.
2. Число монтирований у файловой системы, atime на конфиденциальном файле (всё подделывается как два пальца об асфальт).
3. Отпечатки пальцев на мыше и клавиатуре, анализ на ДНК всего мусора, который из клавиатуры вытряхнули.
dn2010 ★★★★★
()
Ответ на: комментарий от Gharik
crypto-loops это хорошо, но задача – установить, что вообще была попытка скопировать конф. инфу
anonymous
()
Ответ на: комментарий от Teak
>Счётчик монтирований - подделывается (а при монтировании r/o вообще не >меняется), любые логи - тем более.

а что человек вошел локально под рутом или с набором эксплоитов?

Даже если так -просто пишите логи на удаленный сервер (штатный syslogd это умеет)

anonymous
()
Ответ на: комментарий от anonymous
Если у злоумышленника есть физический доступ к компьютеру (он может загрузиться со своего носителя), то любые побочные результаты деятельности можно подменить.
dn2010 ★★★★★
()
Ответ на: комментарий от dn2010
>Если у злоумышленника есть физический доступ к компьютеру (он может >загрузиться со своего носителя), то любые побочные результаты >деятельности можно подменить.

Если имело место подобное -тогда да -пиздец достигнут тк против лома нет приема

anonymous
()
Ответ на: комментарий от anonymous
>а что человек вошел локально под рутом или с набором эксплоитов?

чел загрузился со своей осью. если не ошибаюсь если не ошибаюсь, наше ядро не запустится, логи вестись не будут

anonymous
()
Ответ на: комментарий от anonymous
Вы бы заригистрировались, или подписывались как-нибудь, а то разобраться между по крайней мере двумя анонимусами крайне тяжело.
dn2010 ★★★★★
()
Ответ на: комментарий от Teak
> Счётчик монтирований - подделывается (а при монтировании r/o вообще не меняется), любые логи - тем более. Достоверных способов что-то установить - нет.

Собственно это было единственное предположение, с неявным допущением о невнимательности "хаккера". Все остальное либо подделывается, либо не затрагивается (ro и все *time'ы неизменны).

Gharik
()
Ответ на: комментарий от anonymous
> crypto-loops это хорошо, но задача – установить, что вообще была попытка скопировать конф. инфу

Газетки почитывать... если конкуренты оживились или налоговая приехала - значит "слив засчитан".

Gharik
()
Ответ на: комментарий от dn2010
>Вы бы заригистрировались Прошу прощения, буду Dpon. задачу задал препод. существует ли вообще программный способ узнать о НСД в linux?
Dpon
()
Ответ на: комментарий от Dpon
>существует ли вообще программный способ узнать о НСД в linux?

вообще говоря для подобных целей делают своеобразный черный ящик -машину находящуюся в одной сети с защищаемой машиной но обязательно через хаб (не свич) и получающей все фреймы с сети и логирующей их. При этом сетевой кабель идущий к "черному ящику" специально переделывают -убирают пару проводков отвечающих за отсылку ответов с компьютера-черного ящика -этим достигается абсолютная скрытность такого логирования тк такую машину в сети засечь никак нельзя.

anonymous
()
Ответ на: комментарий от anonymous
Предположим я видел как злоумышленник загрузился и скопировал инфу, могу я это доказать программным способом?
Dpon
()
Ответ на: комментарий от Dpon
>Предположим я видел как злоумышленник загрузился и скопировал инфу, >могу я это доказать программным способом?

Ты киборг и имеешь встроенную видеокамеру? Если нет -то нет

anonymous
()
Ответ на: комментарий от Dpon
>задачу задал препод.

А ты, вместо того, чтобы почитать спецлитературу полез спрашивать на ЛОРе. :)

>существует ли вообще программный способ узнать о НСД в linux?

Если об безопасности позаботились заранее, то да. Отключение физического доступа, переброс логов на другую машину, контроль и запись всех нештатных ситуаций в работе ОС, активное использование имеющихся средств защиты --- в общем дофига всего есть для всесторонней борьбы с вредителями.

dn2010 ★★★★★
()
Ответ на: комментарий от Dpon
Заводишь злоумышленника в комнату с надписью "Служба безопасности", сажаешь в кресло, берешь в правую руку томик руководства к какой-нибудь проге (лучше всего от IBM --- они самые толстые, почти легендарные "жёлтые страницы"), разъясняешь злоумышленнику, что он глубоко не прав и лучше пусть пишет явку с повинной.
dn2010 ★★★★★
()
Ответ на: комментарий от dn2010
>что он глубоко не прав и лучше пусть пишет явку с повинной

:)))

возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

Dpon
()
Ответ на: комментарий от dn2010
>Заводишь злоумышленника в комнату ... лучше использовать мокрые полотенца (не оставляют синяков) или для особо упорных - т.н. сыворотку правды

anonymous
()
Ответ на: комментарий от Dpon
>возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

да - можешь попробовать проанализировать swap-раздел (если он не зашел из под своей системы с флешки|сидюка|флопа) но это тоже можно исказить

anonymous
()
Ответ на: комментарий от anonymous
Если он зашел не из своей системы, а из основной, то следов дофига остаётся и без свопа.
dn2010 ★★★★★
()
Ответ на: комментарий от Dpon
>возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

Если загружался со своего, специально сделанного носителя, то никакого мусора в основной системе он оставить не должен --- исключения уже выше написали. knoppix и многие другие неспециальные livecd монтируют своп для своей работы и это можно отследить.

dn2010 ★★★★★
()
Ответ на: комментарий от dn2010
>knoppix и многие другие неспециальные livecd монтируют своп для своей >работы и это можно отследить

хорошо. попробую дать такой ответ преподу. может сканает... спасибо)

Dpon
()
Ответ на: комментарий от anonymous
>вообще говоря для подобных целей делают своеобразный черный ящик

поделись опытом, как сетевая этой машины будет линк держать?
anonymous
()
Ответ на: комментарий от anonymous
>поделись опытом, как сетевая этой машины будет линк держать?

в ядре отключается проверка на наличие соединения. Поищи здесь где-то недавно выкладывали про это

anonymous
()
Ответ на: комментарий от anonymous
Можно, допустим логи на старенький матричный принтер печатать =)
anonymous
()
Ответ на: комментарий от anonymous
>>вообще говоря для подобных целей делают своеобразный черный ящик

>поделись опытом, как сетевая этой машины будет линк держать?

Где-то в документации или на сайте snort есть.

ansky ★★★★★
()
Ответ на: комментарий от Dpon
> возможен "остаточный мусор" на жестком? что-нибудь вроде swap-файла?

если бы я был злоумышленником, я бы не монтировал бы жесткий диск вообще, а скопировал бы его по сети (или на локальный usb-диск) поблочно.

при правильном выполнении этой процедуры, на ваш жесткий диск ничего не будет записано. ну, точнее, на стандартные области диска ничего не будет записано. что появится на инженерных цилиндрах - зависит от типа диска, контроллера и прочего.

если стоит задача подтвердить доступ к диску, не считаясь со средствами, я бы задумался о дампе памяти - оперативной, и контроллеров. заодно бы сделал полную копию диска - есть некоторое количество продуктов, которые могут это сделать. потом бы искал в этих данных.

разумеется, если атакующий не задумывался о сокрытии своих следов, то все куда проще - MAC-время файлов, время монтирования fs и тому подобное

ivlad ★★★★★
()
Ответ на: комментарий от ivlad
конечно, я бы оперативную память за собой переписал образом, который бы я прочитал при загрузке с livecd/liveusb =)
ivlad ★★★★★
()
Ответ на: комментарий от MiracleMan
Идея хорошая, если "физический доступ однократный - например при краже машины", в случае если злоумышленник имеет физический доступ регулярно - ничто не мешает ему "подправить" чуть-чуть сценарии, ядро и т.д. - следовательно может помочь что-то типа загрузки (всегда) с CD/DVD/Flash с которого будет грузиться ядро, сценарии загрузки,... + проветрятся контрольная сумма/sig каждого запускаемого файла и т.п., но вначале стоит пройти обследование у дохтура на предмет возможной паранои.

P.S. - пароль на биос - это уже даже не смешно, счетчики монтирования и т.п. "его ядро" и записывать не будет.

gdn
()
Ответ на: комментарий от gdn
выше в посте речь о шифровании разделов....
gdn
()
Можно регулярно мониторить параметр SMART-а, отвечающий за кол-во включений-разгонов диска. Но начинать надо _до_ вторжения.
anonymous
()
Ответ на: комментарий от ansky
Вообще вроде как в Ethеrnet идет своеобразый пинг между свичом и сетевой картой, и если так не отвечает - то порт отключается, но пинг продолжается. Если вдруг пришел ответ -то порт включается. Скажу честно, это недавно говорил преподователь по Сетям, причин не верить ему у меня нету. Замечу, что это "фича" не декларирована стандартом.
roy ★★★★★
()
Ответ на: комментарий от roy
> Замечу, что это "фича" не декларирована стандартом.

посмею не согласится, в стандарте "декларируются" все фичи - на то он и стандарт. Насколько я знаю, физический линк на сетевой плате, либо на порту коммутатора появляется в результате "обнаружения" устройством нагрузки определенного свойства (из электроники), и как только данная нагрузка обнаружена, устройство "включает" порт (загорается лампочка), и далее уже вступает в работу следующий низший сетевой уровень.

anonymous
()
Я конечно сорри, но блин в Линуксе - не имея учётной записи имея сто мильёнофф куч носителей как ты блин залогинисся то???? объяснитя чо там искать то, умнеги?
novitchok ★★★★★
()
Ответ на: комментарий от novitchok
вопрос с лайф-сиди и бутом с екзотицких носителей сбрасываем, ибо, у "злоумышленника" был "физицкий" доступ до компа - и чо тама искать опосля етага?
novitchok ★★★★★
()
Если грузились со своего носителя, то наверняка только с помощью видео-камеры, которая снимала процесс работы с компом. Изнутри достоверно никак. Система видео-наблюдения обойдется вероятно дешевле такого рода экспертизы.
mutronix ★★★★
()
Ответ на: комментарий от mutronix
Ещё такой ньюанс: если комп находится в неохраняемом помещении, то его могут прос то выкрасть вместе с пломбами :) Или если в одно утро обнаружится, что системный блок на месте, а монитора, клавиатуры и мышки нет, вы будете вызывать криминалистов, снимать отпечатки пальцев и обуви, а эксперты по безопасности проводить дорогостоющую экспертизу компа? :)
mutronix ★★★★
()
Ответ на: комментарий от novitchok
>Я конечно сорри, но блин в Линуксе - не имея учётной записи имея сто мильёнофф куч носителей как ты блин залогинисся то???? объяснитя чо там искать то, умнеги?

Тебе сюда: http://www.ipmce.su/~lib/osn_prav.html

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.