Henning Hucke wrote:
>
> On Fri, 19 Feb 1999, Raphael Becker wrote:
>
> > root wrote:
> > ^^^^
> > Und Du wunderst Dich �ber Einbrecher wenn Du nicht einmal die
> > wichtigsten Regeln befolgst? ;-)
>
> Whups! Ist mir garnicht aufgefallen. Warscheinlich geh�rt das auf dem
> betroffenen System zu den geringeren Problemen...
Naja, aber da f�ngt es idR an!
> > Ein anderes Thema: Da es offensichtlich NIEmals ein komplett sicheres
> > System geben wird (au�er ein ausgeschaltetes) [...]
>
> Selbst dann kannst Du es immernoch stehlen.
Aber einen Rechner, der in einem Tresor steht, kann man immernoch via
Netzwerk �berfallen. Wenn die Kiste ab St�ck weg ist, dann hat man
meist andere M�glichkeiten als zB eine Log-File auszzuwerten ... zB
"Wer hatte den Schl�ssel zum Tresor?"
:-))
> > Ein m�gliches Konzept w�re zum Beispiel das sofortige versenden von
> > LOG-Daten an eine andere (interne) Kiste, auf die der Einbrecher so
> > schnell keinen Zugriff bekommen kann (zB via serieller Leitung an
> > einen sonst Netzwerkunabh�ngigen Rechner)
>
> Humbug! Wenn er gut ist, kappt er zuerst solche M�glichkeiten. Das einzig
> reelle ist ein Loghost mit gekappter TX-Leitung. Alle anderen Host
> schicken ihre Syslog-Meldungen an diesen Host. Und da er nie antworten
> kann, ist es sehr schwer, ihn zu beeinflussen. Und wenn dann noch - warum
> sollte �berhaupt etwas anderes laufen - ausschlie�lich der syslogd von
> au�en ansprechbar ist...
Naja, dazu m��te der Einbrecher *vorher* wissen, dass alles geloggt
und getrennt aufbewahrt wird (ein alter 9-Nadeldrucker und ein Stapel
Endlospapier sind hier sicherlich auch nicht ganz verkehrt). In dem
Moment, wenn der Einbrecher im System ist wird zeitgleich der Einbruch
per *irgeneinem sicheren Verfahren* auf einen anderen Rechner
abgelegt. Um nun die Spuren zu verwischen (zB wenn der Eindringling
nicht zerst�ren oder l�schen sondern heimlich spionieren wollte,
vielleicht �ber l�ngere Zeit hinweg um zB Forschungsergebnisse zu
bekommen) m��te der Eindringling auf die andere Maschinen einen
Angriff starten. Wenn man diese andere Maschine nun im Intranet und
von au�en her nicht erreichbar macht, dann m��te der Eindringling von
der bereits "besuchten" Maschine aus einen Angriff starten, wobei er
nicht allzulange Zeit f�r etwaige Analysen hat oder ihm ganz einfach
die "Werkzeuge" fehlen.
Mal davon abgesehen, da� der Einbrecher schon "beim Betreten des
Raumes" enttarnt oder zu mindest geloggt wird mu� dieser auch wissen,
das sowas passiert. Es gibt 1001 M�glichkeiten auf einem nicht sofort
zu erkennenden Wege (oder auch mehrer parallel) ein LOG zu sichern.
Auch wenn es hier niemals eine 100%ige Sicherheit gibt ist die Chance
so einen Einbrecher zu entdecken sehr gro�.
> > �hnlich wie ein Virenscanner bei heuristischer Suche nach unbekannten
> > Viren nach bestimmten virentypischen Mustern sucht (unter DOS: zB sind
> > in dem Programm Direktzugriffe auf den Bootsector oder das CMOS?)
> > sollte es doch auch eine Art daemon geben, der auf entsprechende
> > Muster reagiert und bei Bedarf �bers Netz eine LOG-Datei auf einem
> > entfernten Rechner schreibt.
>
> Wie geschrieben: Humbug. Wenn man bei etwas, was auch nur ansatzweise als
> Angriff gewertet werden kann, _sofort_ eine Mail verschickt, hat man ganz
> sch�n etwas zu tun. Im Grunde genommen, kann _jedes_ Ansprechen eines
> Rechners der Beginn einer Attacke sein. Und wenn man eine Verz�gerung
> einbaut, um eindeutige Handlungen mitzubekommen, kann es schon zu sp�t
> sein, um eine Nachricht absetzen zu k�nnen.
Wie schon gesagt, man kann den Einbrecher ja gew�hrenlassen (wenn er
schon drin ist, dann sollte er nicht durch ein fdisk mal eben die
Platte l�schen m�ssen, wenn er merkt, da� er enttarnt ist. Die Wirkung
einer solchen Sicherung (kann durchaus auf parallelen Verfahren
beruhen) ist nicht der technische Schutz sondern das
�berraschungsmoment ("Durch diese hohle Gasse muss er kommen"), wenn
er drin ist, ist es meist eh zu sp�t, warum dann noch eine
Panikreaktion verursachen, die m�glicherweise schlimmere Folgen f�r
das System hat als der Einbruch selbst.
> Als *Erg�nzung* zu anderen Ma�nahmen kann man aber auch soetwas
> installieren. Das, was Du beschreibst, erledigt "logsurfer" (hint:
> "http://www.freshmeat.net") ganz gut.
Na denn ...
> [...]
> > Wenn man ein globales Netzwerk von solchen Traps einrichtet, die sich
> > untereinander noch �ber "Erfahrungen austauschen k�nnen" (zB
> > Angriffsmuster oder IP-Bereiche, von denen sehr h�ufig Attacken
> > ausgehen), dann w�rde man auch sehr schnell (innerhalb weniger
> > Sekunden) einen Hacker identifizieren und loggen k�nnen.
>
> �hmmm... La� es mich mal so sagen: Du tr�umst in Bezug auf viele Punkte.
>
> Zum Beispiel werden ernst zu nehmende cracker niemals von ihrem eigenen
> System aus Angriffe fahren.
Ich rede ja auch nicht ausschlie�lich davon, da� der Hacker
lokalisiert werden *mu�*, es geht mir vor allem darum, da� ein solches
System durch "Erfahrungsaustausch" mit anderen Systemen im Vorfeld
bekannt Sicherheitsl�cher schlie�en kann. Auch wenn es meist nur
Stunden dauert, bis eine ganz neue Art von Angriffen in den Newsgroups
verbreitet werden kann, das von mir gedachte Sicherheitsnetzwerk
erledigt Vorsichtsma�nahmen innerhalb der Antwortzeit eines
Security-Masters (wenn man �berhaupt einen solchen "MAster" verwenden
sollte).
Es geht mir darum dem System die Aufagaben der Selbsterhaltung ein
wenig beizubringen. NAt�rlich bedarf es immer einer Instanz (der
Admin) die sagt, ob eine Ma�nahme nun sinnvoll oder eben nicht
sinnvoll ist. Der Server entscheidet je nach Befugnissen/Vorgaben
erstmal sebst, was gef�hrlich ist und was nicht und bildet
"Antik�rper" gegen diese Art von Attacken, indem erstmal Dienste die
unsicher sein k�nnten beendet oder verst�rkt �beracht werden, im
Bedarfsfall ein "firewall stop" ausf�hren und den Admin via Pager
informieren.
> BTW: "Hacker" sind was anderes!
Nun, ich habe weniger an den Hacker (Ehrenkodex!) gedacht sondern an
den gemeinen Spion in einer Firma/Universit�t, der echten
wirtschaftlichen Schaden anrichtet und dabei m�glichst unentdeckt
bleiben will (weil sonst sind die Ergebnisse das n�chste mal woanders
und die monatelange Vorberietung w�re sinnlos gewesen).
> Henning 'the alien' Hucke
Raphael "the optimist" Becker
--
_ _ Powered by SuSE___ ___ _
| | (_)_ _ _ ___ __ |_ ) |_ ) / |
| |__| | ' \ || \ \ / / / _ / / _| |
|____|_|_||_\_,_/_\_\ /___(_)___(_)_|
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
