root wrote:
^^^^
Und Du wunderst Dich �ber Einbrecher wenn Du nicht einmal die
wichtigsten Regeln befolgst? ;-)
Ein anderes Thema: Da es offensichtlich NIEmals ein komplett sicheres
System geben wird (au�er ein ausgeschaltetes) ist doch neben
Pr�vention auch ein anderes Thema nicht ganz unwichtig:
Wie kann man einen Einbruch (egal auf welchem Weg) feststellen? Eine
LOG-Datei ist ja schon was feines, wenn der Hacker vergessen hat sie
zu l�schen, in den meisten F�llen werden aber Spuren verwischt und es
ist zu sp�t.
Ein m�gliches Konzept w�re zum Beispiel das sofortige versenden von
LOG-Daten an eine andere (interne) Kiste, auf die der Einbrecher so
schnell keinen Zugriff bekommen kann (zB via serieller Leitung an
einen sonst Netzwerkunabh�ngigen Rechner)
�hnlich wie ein Virenscanner bei heuristischer Suche nach unbekannten
Viren nach bestimmten virentypischen Mustern sucht (unter DOS: zB sind
in dem Programm Direktzugriffe auf den Bootsector oder das CMOS?)
sollte es doch auch eine Art daemon geben, der auf entsprechende
Muster reagiert und bei Bedarf �bers Netz eine LOG-Datei auf einem
entfernten Rechner schreibt.
Ein solcher daemon k�nnte bei Bedarf auch die Netzwerkverbindung nach
aussen hin unterbrechen, um Angreifer rauszuwerfen, und erst nach
einer gewissen Zeit die Netzwerkverbindung wieder zul�sst.
Durch die Definition verschiedener Warn-Signale (zB User hat sich via
Netzwerk eingeloggt bis hin zu "violations" bei netzwerkbasierenden
Diensten im System) k�nnte man durch einfaches drehen an einer
Stellschraube den Warn-Trigger h�her oder niedriger einstellen)
Ein solches System sollte auch automatisch lernf�hig sein um zB bei
sich wiederholenden Angriffsversuchen nach dem selben Schema und von
einem �hnlichen Ursprung die Kiste einfach f�r einen IP-Bereich/Domain
sperrt.
Bei unbeaufsichtigten Servern (etwa in einem Serverraum) w�re eine
netzwerkunabh�ngige Warnung via SMS/Scall/Skyper oder dergleichen
sinnvoll.
Ein solches System k�nnte ohne zu starke Restriktionen f�r legale
Benutzer (sperren von Ports/Diensten) zu einem halbwegs(!!) sicheren
System werden.
Angreifer h�tten dann zwar zun�chst Zugriff auf das System, das System
w�rde (wenn es noch kann) schnellstm�glich durch eine "allergische
Reaktion" darauf reagieren. Angreifer h�tten immer zu bef�rchten, dass
sie in eine Falle laufen und selbst auf Dauer zum Opfer werden.
Wenn man ein globales Netzwerk von solchen Traps einrichtet, die sich
untereinander noch �ber "Erfahrungen austauschen k�nnen" (zB
Angriffsmuster oder IP-Bereiche, von denen sehr h�ufig Attacken
ausgehen), dann w�rde man auch sehr schnell (innerhalb weniger
Sekunden) einen Hacker identifizieren und loggen k�nnen.
Hackern k�nnte es aufgrund eines solchen automatismus sehr schnell
passieren, dass sie praktisch nirgends mehr Zugriff haben. Ein Hacker
m��te sich also nach einem neuen Provider umsehen oder seine Methoden
ver�ndern, sozusagen das T�terprofil grundlegend �ndern.
Einen Haken an der Sache gibt es noch: Wenn eine Domain/ein Provider
durch massive Angriffe aus diesem Netz heraus f�r immer mehr Rechner
einfach gesperrt sind, dann w�ren auch alle anderen Mitglieder dieses
Providers immer weniger in der Lage sich ungeloggt im Internet bewegen
zu k�nnen.
Andersherum w�ren Provider gezwungen sich Ihre Kundschaft mal genauer
anzusehen.
Das alles nur so als Idee und sicherlich noch konzeptionell sehr
ausbauf�hig.
Gru�
Raphael Becker
--
_ _ Powered by SuSE___ ___ _
| | (_)_ _ _ ___ __ |_ ) |_ ) / |
| |__| | ' \ || \ \ / / / _ / / _| |
|____|_|_||_\_,_/_\_\ /___(_)___(_)_|
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
