A Divendres 02 Febrer 2007 14:07, Xavi Drudis Ferran va escriure: > > > > Una vegada vaig llegir que això no és recomanable: l'atacant pot haver > > deixat corrent un programa que si detecta la menor anomalia, esborri > > qualsevol rastre de la seva activitat. > > No t'he entés. Si arrenques des d'una memòria USB que se suposa que està > neta l'atacant no hi pot haver deixat res executant-se, perquè els procesos > executant-se s'aturen al reiniciar el servidor. Si vols pots desendollar la > xarxa abans, per evitar que hi hagi alguna vulnerabilitat al SO de la > memòria USB.
No ens hem entès. Jo em referia, com tu expliques més avall, a estirar el cable del servidor *abans* d'endollar-li la mamòria USB i rearrencar-lo amb el sistema d'aquesta, tal i com tu dius de fer en el pas 2. > > Si no et creus que la memòria USB o l'ordinador on l'has preparada no > estigui neta, llavors ja podem plegar, alguna cosa has d'assumir segura per > poder començar a arreglar o diagnosticar coses, no ? Evident. > > > El millor és una solució molt gràfica: "estirar del cable (es refereix a > > l'alimentació elèctrica)" i fer un anàlisi posterior amb eines > > d'anàlisi "post-mortem". > > Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc > com pots fer anàlisis postmortem de sistemes informàtics sense alimentació > elèctrica. Pots treure el disc dur i posar-lo a una altra màquina, però no > l'hi veig l'augment de seguretat, perquè si és un codi maliciós estarà al > disc dur. L'únic que necessites és no arrencar des de disc dur. Tu m'has vist a mi cara de proposar analitzar res sense alimentació elèctrica? > Jo l'únic que imaginava és: > > 1- Des d'un ordinador net prepares la memòria USB amb una distribució live > i un guió per fer l'anilisi postmortem o les comprovacions de maquinari que > vulguis. Per prepara la memòria USB necessitaries un mínim d'informació del > servidor avariat o compromès (dispositius, particions...) però això ho > podries tenir preparat de quan vas instal·lar el servidor, o agafor-ho > d'una còpia de seguretat del servidor. > > 2- Atures el servidor presumptament compromés o avariat. Pots estirar el > cable si ho vols fer més dramàtic i tens clar que no perdràs dades. > > 3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol > i fa els tests. Deixa els resultats a la pròpia memòria USB. Quan acaba > pita. > > 4- Treus la memòria USB > > 5- El servidor, que encara executa el SO de la memòria USB detecta > l'extracció de la memòria USB i atura o reinicia la màquina (això és el que > menys clar tinc com es faria però deu ser possible). > > 6- (opcional) el servidor avariat o compromès torna a arrencar sense la > memòria USB, des de disc dur i per tant segueix funcionant com abans, amb > l'avaria o l'intrusió. Si no te'n fies doncs no el deixes arrencar (estires > el cable abans de > > 7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a > l'ordinador net i analitzes els resultats dels tests. > Mira, ja ho has documentat. Potser li servirà a algú. Orestes.
