Il n'y a pas (à ma connaissance) d'obligation en matière de preuve. Par exemple, en roulage les constatations de l'agent qualifié font foi jusqu'à preuve du contraire. Pas encore en matière judiciaire MAIS le bon sens et la logique sont de rigueur.
Il arrive très régulièrement (et croyant bien faire) que des gestionnaire systèmes nous "apporte la preuve sur un plateau" dès notre arrivée sur les lieux. A savoir, des logs déjà filtrés par leurs soins. A savoir également, les logs ne sont pas tout (ce n'est pas suffisant). Les HD ne sont pas tout non plus. Nous rédigeons des procès-verbaux dans lesquels nous indiquons un maximum de détails de nos constatations, ce qui permet de corroborer les faits et les preuves que nous découvrons. Nous décrivons aussi le contexte (y compris la configuration des lieux. Les locaux sont ils fermés à clefs, qui à les clefs, les badges, qui a badgé ...) Nous devons également évaluer rapidement la situation, faut il couper les serveurs, les laisser tourner. Si il faut les couper, faut il débrancher la machine ou utiliser un "shutdown" normal ... Chaque situation est différente et doit être évaluée. Donc, si je peux me permettre de donner quelques conseils : - essayer de ne pas "tripoter" vous même dans les logs. Je préfère des logs entiers que déjà filtré (en effet, il se peut que l'auteur ait utilisé plusieurs machines pour effectuer son méfait, qu'il ait fait des reconnaissances 5 jours avant (ou plus) qu'il ait commis d'autre fait annexes que vous n'avez pas vu ...) - essayer de manipuler au minimum la machine compromise (voire pas du tout si possible). Dans le cas contraire, noter toute vos actions afin de que lors de nos constatations on puisse faire la différence entre les actions de l'auteur et celle du gestionnaire. (ne pas oublier de noter la date et l'heure exacte des action effectuées) - Ne pas effacer les traces laissées par l'auteur. souvent, les gestionnaire sont pressés par leurs chefs hiérarchiques pour ré-installer rapidement un serveur opérationnel pour les client. Il faut savoir ce que l'on veut, on ne peut avoir le beurre et l'argent du beurre. Essayez dans ce cas de changer le(s) disque(s) dur (même si c'est du RAID ou du LVM) - Contacter rapidement un CCU pour déposer plainte (la plainte n'est pas encore dans les moeurs de toutes les entreprises à cause de l'image de marque, c'est pas à nous de convaincre les patrons mais personnellement, en tant que client, j'aurais plus confiance dans une entreprise qui avoue avoir été "piratée" que dans une entreprise qui me cacherait la chose. Tôt ou tard, ça se saura de toute façon.) - Pour finir, je dirais qu'il faut toujours essayer de s'imaginer un fait concret par analogie pour chercher à rester logique. Par exemple, s'imaginer un meurtre : La preuve est elle meilleure si l'arme du crime est apportée par un témoin (même s'il n'a pas touché l'arme avec les doigts et qu'il l'a emballée dans un sac plastique ...) que si elle est découverte à l'endroit du crime par un policier ? Ne pas oublier que le policier qui constate n'a normalement aucun intérêt dans l'affaire pour laquelle il fait des constatations. Par contre, il serait facile de critiquer un gestionnaire système qui ferait une partie de l'enquête à la place de la police (filtrer les logs, faire du forensic ...) puisqu'il est impliqué dans l'affaire, qu'il le veuille ou non. Christophe Monniez Enquêteur au FCCU section Opérations Le jeu 23/09/2004 à 16:30, Jean-Francois Dive a écrit : > la seule peuve qui vaut vraiment kkchose, se sont les HDD de la machine > hackee. quand on forensic, on essaye d'avoir un dump de la memoire, on > prends un dump du disque, et on eteint la chose, on prends les HDD, on > les met dans de beaux sachets scelles et on commence a partir des dump > (dd /dev/XXX | netcat ...) . > Ce se serait pas logique que les logs decentralises soient pris comme preuves > comme tel. > > Mais bon, un avocat specialise est la seule personne a meme a repondre > aux questions a mon sens, ou alors un membre de votre CCU locale la plus > proche (computer crime unit). > > J. > > On Thu, Sep 23, 2004 at 04:12:34PM +0200, gotfish wrote: > > >> Or, si un jour on se fait haquer, comment certifier nos DB pour que > > >> > > >> son contenu soit exploitable devant les tribunaux? Y a t'il des > > >> > > >> "OSI" quelque chose specifiant ce qui doit etre fait et comment? > > >> > > > Aucune idee. Mais est-ce meme seulement necessaire ? Si tu devais > > > deoser une plainte un jour, elle serait fondee sur tes logs qui te > > > > Mhhhaaaa nee, je n'y crois pas. Quelle est la difference entre un log > > reellement cree suite a un evenement et un log bidon? Preuve bidon > > alors? Quelque chose ne colle pas! > > > > Juste un peu d'imagination... le type qui est appelle devant les > > tribunaux ne pourrait il pas dire au juge: Mais? Non? Qui vous garantit > > que le serveur de log est fiable? > > > > Qui (et comment?) peut garantir cela? > > > > Il doit y avoir des certifications (ou alors il faut vite les inventer) > > decrivant comment faire ce serveur ou qui appeller pour "certifier" la > > proceudre? > > > > Merci :) > > > > /robert > > > > > > > > _______________________________________________________ > > Linux Mailing List - http://www.unixtech.be > > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > > IRC: chat.unixtech.be:6667 - #unixtech _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
