On Fri, 19 Feb 1999, Raphael Becker wrote:
> root wrote:
> ^^^^
> Und Du wunderst Dich �ber Einbrecher wenn Du nicht einmal die
> wichtigsten Regeln befolgst? ;-)
Whups! Ist mir garnicht aufgefallen. Warscheinlich geh�rt das auf dem
betroffenen System zu den geringeren Problemen...
> Ein anderes Thema: Da es offensichtlich NIEmals ein komplett sicheres
> System geben wird (au�er ein ausgeschaltetes) [...]
Selbst dann kannst Du es immernoch stehlen.
> Ein m�gliches Konzept w�re zum Beispiel das sofortige versenden von
> LOG-Daten an eine andere (interne) Kiste, auf die der Einbrecher so
> schnell keinen Zugriff bekommen kann (zB via serieller Leitung an
> einen sonst Netzwerkunabh�ngigen Rechner)
Humbug! Wenn er gut ist, kappt er zuerst solche M�glichkeiten. Das einzig
reelle ist ein Loghost mit gekappter TX-Leitung. Alle anderen Host
schicken ihre Syslog-Meldungen an diesen Host. Und da er nie antworten
kann, ist es sehr schwer, ihn zu beeinflussen. Und wenn dann noch - warum
sollte �berhaupt etwas anderes laufen - ausschlie�lich der syslogd von
au�en ansprechbar ist...
> �hnlich wie ein Virenscanner bei heuristischer Suche nach unbekannten
> Viren nach bestimmten virentypischen Mustern sucht (unter DOS: zB sind
> in dem Programm Direktzugriffe auf den Bootsector oder das CMOS?)
> sollte es doch auch eine Art daemon geben, der auf entsprechende
> Muster reagiert und bei Bedarf �bers Netz eine LOG-Datei auf einem
> entfernten Rechner schreibt.
Wie geschrieben: Humbug. Wenn man bei etwas, was auch nur ansatzweise als
Angriff gewertet werden kann, _sofort_ eine Mail verschickt, hat man ganz
sch�n etwas zu tun. Im Grunde genommen, kann _jedes_ Ansprechen eines
Rechners der Beginn einer Attacke sein. Und wenn man eine Verz�gerung
einbaut, um eindeutige Handlungen mitzubekommen, kann es schon zu sp�t
sein, um eine Nachricht absetzen zu k�nnen.
Als *Erg�nzung* zu anderen Ma�nahmen kann man aber auch soetwas
installieren. Das, was Du beschreibst, erledigt "logsurfer" (hint:
"http://www.freshmeat.net") ganz gut.
[...]
> Wenn man ein globales Netzwerk von solchen Traps einrichtet, die sich
> untereinander noch �ber "Erfahrungen austauschen k�nnen" (zB
> Angriffsmuster oder IP-Bereiche, von denen sehr h�ufig Attacken
> ausgehen), dann w�rde man auch sehr schnell (innerhalb weniger
> Sekunden) einen Hacker identifizieren und loggen k�nnen.
�hmmm... La� es mich mal so sagen: Du tr�umst in Bezug auf viele Punkte.
Zum Beispiel werden ernst zu nehmende cracker niemals von ihrem eigenen
System aus Angriffe fahren.
BTW: "Hacker" sind was anderes!
Henning 'the alien' Hucke
--
The light at the end of the tunnel may be an oncoming dragon.
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
