Il giorno 02/nov/2009, alle ore 17.36, nicola mondinelli ha scritto:
ma l'hash generato è firmato??
generare un hash dopotutto non è cosi' complicato: modifico o
cancello le righe del log e poi rigenero l'hash e il gioco è fatto.
se non è firmato a mio avviso non soddisfa affatto il requisito, a
mio avviso ovvio.
NM
Provo a rispondere brevemente, cosi' confronto la mia esperienza con
chi sicuramente conosce meglio di me tutte le sfumature di questo dps.
Sia chiaro che il mio obiettivo e' quello di chiarire questi aspetti,
e se possibile aver suggerito un prodotto che soddisfa la richiesta
iniziale, e non fare pubblicita' al prodotto stesso.
Splunk di fatto lavora come un generico server di logging
centralizzato, indicizza i dati in base a regole opportunamente
configurate, archivia i dati su filesystem, e fornisce strumenti user-
friendly per effettuare ricerche e creare reportistiche/alert in base
a quello che ha nel suo db.
Questi database (su file) sono crittografati e ogni record marcato con
un hash, e dall'interfaccia utente/amministratore, io non ho la
possibilita' di andarli a modificare, ma posso solo eseguire ricerche
(query).
Ovviamente se ho accesso a quella porzione di filesystem io sono in
grado di modificarli e cancellarli, ma a parte il fatto che un db
crittografato non e' cosi' semplice da aprire, correrei il rischio di
rendere questi dati illeggibili.
Se il mio obiettivo e' quello di compromettere i dati indicizzati ho
ottenuto il mio scopo, ma qui la questione si sposta sulla sicurezza
del mio storage piuttosto che alla compliance del prodotto con il
famoso dps.
Cosa ne pensate?
ciao
bizza________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
