Salve,
mi sono appena iscritto alla mailing list anche se mi interesso
all'argomento sicurezza da qualche anno, ma più passa il tempo più le
cose diventano complicate... ad ogni modo passo subito a formulare la
domanda per cui mi sono iscritto.
Notoriamente quando un cracker penetrata un sistema la prima cosa che fa
è tentare di cancellare le tracce e rendersi invisibile. Quindi è
plausibile pensare che ci siano una serie non calcolabile di sistemi che
siano stati violati senza che nessuno sappia nulla. D'altro canto
l'analisi forense si occupa di analizzare sistemi che sono già stati
compromessi per ricostruire come si sia verificata l'intrusione. Quello
che mi chiedo è: nel caso in cui uno voglia verificare che una tal
macchina sia stata o meno violata come deve fare ?
Ok ci sono tool come ckrootkit etc che fanno test di questo genere ma
presumo che uno prima di scrivere un rootkit come minimo si pongo
l'obiettivo che esso non sia facilmente rilevabile.
Quindi escluderei questo tipo di strumenti.
A voi la parola.
grazie.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
