[linux] Toujours a propos du forensic (OT, je sais)
Bonjour, C'est avec une grande attention que j'ai suivi vos reponses sur ma question concernant la retention des logs, les evidences etc etc. Je me demandais si cela a un sens de garder une copie en securite du resulat de hash MD5 sur un systeme tout frais installe? Ces hashes ne riquent pas de changer avec le temps? J'ai un probleme de vocabulaire pour chercher google mais existe t'il en ligne des DB avec ces hashes? par exemple, un moteur de recherche me donnant le hash de l'executable gftp sur un systeme comme redhat ou NetBSD 1.6.xx? Et le make.conf, lui, il ne rend pas ces DB qui existeraient online completement inutile? Par exemple, les binaires compiles sur une Gentoo SPARC, ALPHA ou Intel ne seraient ils pas tous differents entre architectures et en fonction des optimisations? Je dois etre fort en dehors du scope de ce groupe, que me conseillez-vous comme forum ou niouz? Merci, /robert ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] Toujours a propos du forensic (OT, je sais)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 gotfish wrote: | Et le make.conf, lui, il ne rend pas ces DB qui existeraient online | completement inutile? Par exemple, les binaires compiles sur une Gentoo SPARC, | ALPHA ou Intel ne seraient ils pas tous differents entre architectures et en | fonction des optimisations? Bien sur que si! Et également en fonction des options, si l'executable est strippé, si le code est patché, etc. Fabian -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBY+4X3Qzx239StfYRAh4gAJ9kkXsb2xssNBkScxEKMUMRjTpQ6wCfS19f TBm4lnbLkucH/iQbr/YmoZ0= =jLkH -END PGP SIGNATURE- ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] Toujours a propos du forensic (OT, je sais)
Bien sur que si! Et egalement en fonction des options, si l'executable est strippe i le code est patche etc. Fabian Je reviens a la charge... Donc, si ce que vous dites est vrai et en considerant comme ayant du sens mon hypothese de garder une DB contenant les hashes de mon systeme fraichement installe, cela rend le travail de l'administrateur sensiblement plus lourd car tout est unique! En plus, dans le cas ou ces DB en ligne ou une espece d'autorite certifiante des binaires des systemes existent, il est devenu tres difficile de pouvoir avoir une confirmation que le binaire est pourri sauf avec un peu de chance le resultat d'un string sur le fichier ou meme du reverse-engineering. Dites-moi si je me trompe! :) Il doit manquer quelque chose dans cette demonstration ;o) Merci /robert ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] Toujours a propos du forensic (OT, je sais)
Donc, si ce que vous dites est vrai et en considerant comme ayant du sens mon hypothese de garder une DB contenant les hashes de mon systeme fraichement installe, cela rend le travail de l'administrateur sensiblement plus lourd car tout est unique! Sauf qu'il y a des logiciels tout fait (libre en plus) qui font une partie du boulot à la place de l'admin. (Calculer les hash sur tous les fichiers intéressants, garder le tout dans une database, vérifier l'intégrité, recalculer le hash lors d'une mise à jour ...) Par exemple : http://la-samhna.de/samhain/ En plus, dans le cas ou ces DB en ligne ou une espece d'autorite certifiante des binaires des systemes existent, il est devenu tres difficile de pouvoir avoir une confirmation que le binaire est pourri sauf avec un peu de chance le resultat d'un string sur le fichier ou meme du reverse-engineering. Sauf qu'il y a des logiciels tout fait (libre en plus) qui font ce boulot de chercher des strings identifiant du code malicieux. Par exemple : http://www.chkrootkit.org/ pour le plus connu mais le link ci-dessus fait ça aussi. Je vois pas trop l'intérêt d'une autorité certifiante, sauf pour du logiciel propriétaire. Pour le libre, le résultat de chaque compilation d'un logiciel va être différent d'une machine à l'autre. Mais si tu hash tes fichiers juste après une installation clean et que tu garde ces hash sur un support inaltérable, pas besoin d'autorité certifiante. Dites-moi si je me trompe! :) Il doit manquer quelque chose dans cette demonstration ;o) Merci /robert ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech -- Christophe Monniez On a long enough timeline, the survival rate for everything drops to zero. -- Fight Club -- ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] Toujours a propos du forensic (OT, je sais)
On Wed, 06 Oct 2004 17:46:34 +0200 Christophe Monniez [EMAIL PROTECTED] wrote: Donc, si ce que vous dites est vrai et en considerant comme ayant du sens mon hypothese de garder une DB contenant les hashes de mon systeme fraichement installe, cela rend le travail de l'administrateur sensiblement plus lourd car tout est unique! Sauf qu'il y a des logiciels tout fait (libre en plus) qui font une partie du boulot à la place de l'admin.(Calculer les hash sur tous les fichiers intéressants, garder le tout dans une database, vérifier l'intégrité, recalculer le hash lors d'une mise à jour ...) Par exemple : http://la-samhna.de/samhain/ --8-- Je débarque dans l'enfilade sans avoir tout lu... ;) J'ai essayé aide, c'est génial... Facile à comprendre et à configurer;) http://freshmeat.net/projects/aide/ Benoît ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
