Il n'y a pas (à ma connaissance) d'obligation en matière de preuve.

Par exemple, en roulage les constatations de l'agent qualifié font foi
jusqu'à preuve du contraire.
Pas encore en matière judiciaire MAIS le bon sens et la logique sont de
rigueur.

Il arrive très régulièrement (et croyant bien faire) que des
gestionnaire systèmes nous "apporte la preuve sur un plateau" dès notre
arrivée sur les lieux. A savoir, des logs déjà filtrés par leurs soins.

A savoir également, les logs ne sont pas tout (ce n'est pas suffisant).
Les HD ne sont pas tout non plus.
Nous rédigeons des procès-verbaux dans lesquels nous indiquons un
maximum de détails de nos constatations, ce qui permet de corroborer les
faits et les preuves que nous découvrons. Nous décrivons aussi le
contexte (y compris la configuration des lieux. Les locaux sont ils
fermés à clefs, qui à les clefs, les badges, qui a badgé ...)
Nous devons également évaluer rapidement la situation, faut il couper
les serveurs, les laisser tourner. Si il faut les couper, faut il
débrancher la machine ou utiliser un "shutdown" normal ...
Chaque situation est différente et doit être évaluée.

Donc, si je peux me permettre de donner quelques conseils :
- essayer de ne pas "tripoter" vous même dans les logs. Je préfère des
logs entiers que déjà filtré (en effet, il se peut que l'auteur ait
utilisé plusieurs machines pour effectuer son méfait, qu'il ait fait des
reconnaissances 5 jours avant (ou plus) qu'il ait commis d'autre fait
annexes que vous n'avez pas vu ...)
- essayer de manipuler au minimum la machine compromise (voire pas du
tout si possible). Dans le cas contraire, noter toute vos actions afin
de que lors de nos constatations on puisse faire la différence entre les
actions de l'auteur et celle du gestionnaire. (ne pas oublier  de noter
la date et l'heure exacte des action effectuées)
- Ne pas effacer les traces laissées par l'auteur.
souvent, les gestionnaire sont pressés par leurs chefs hiérarchiques
pour ré-installer rapidement un serveur opérationnel pour les client. Il
faut savoir ce que l'on veut, on ne peut avoir le beurre et l'argent du
beurre. Essayez dans ce cas de changer le(s) disque(s) dur (même si
c'est du RAID ou du LVM)
- Contacter rapidement un CCU pour déposer plainte (la plainte n'est pas
encore dans les moeurs de toutes les entreprises à cause de l'image de
marque, c'est pas à nous de convaincre les patrons mais personnellement,
en tant que client, j'aurais plus confiance dans une entreprise qui
avoue avoir été "piratée" que dans une entreprise qui me cacherait la
chose. Tôt ou tard, ça se saura de toute façon.)
- Pour finir, je dirais qu'il faut toujours essayer de s'imaginer un
fait concret par analogie pour chercher à rester logique.
Par exemple, s'imaginer un meurtre :
La preuve est elle meilleure si l'arme du crime est apportée par un
témoin (même s'il n'a pas touché l'arme avec les doigts et qu'il l'a
emballée dans un sac plastique ...) que si elle est découverte à
l'endroit du crime par un policier ?
Ne pas oublier que le policier qui constate n'a normalement aucun
intérêt dans l'affaire pour laquelle il fait des constatations. Par
contre, il serait facile de critiquer un gestionnaire système qui ferait
une partie de l'enquête à la place de  la police (filtrer les logs,
faire du forensic ...) puisqu'il est impliqué dans l'affaire, qu'il le
veuille ou non.

Christophe Monniez
Enquêteur au FCCU section Opérations









Le jeu 23/09/2004 à 16:30, Jean-Francois Dive a écrit : 
> la seule peuve qui vaut vraiment kkchose, se sont les HDD de la machine
> hackee. quand on forensic, on essaye d'avoir un dump de la memoire, on
> prends un dump du disque, et on eteint la chose, on prends les HDD, on
> les met dans de beaux sachets scelles et on commence a partir des dump
> (dd /dev/XXX | netcat ...) . 
> Ce se serait pas logique que les logs decentralises soient pris comme preuves
> comme tel.
> 
> Mais bon, un avocat specialise est la seule personne a meme a repondre
> aux questions a mon sens, ou alors un membre de votre CCU locale la plus
> proche (computer crime unit).
> 
> J.
> 
> On Thu, Sep 23, 2004 at 04:12:34PM +0200, gotfish wrote:
> > >> Or, si un jour on se fait haquer, comment certifier nos DB pour que             
> > >>                                                   
> > >> son contenu soit exploitable devant les tribunaux? Y a t'il des                 
> > >>                                                   
> > >> "OSI" quelque chose specifiant ce qui doit etre fait et comment?                
> > >>                                                  
> > > Aucune idee.  Mais est-ce meme seulement necessaire ?  Si tu devais
> > > deoser une plainte un jour, elle serait fondee sur tes logs qui te
> > 
> > Mhhhaaaa nee, je n'y crois pas. Quelle est la difference entre un log
> > reellement cree suite a un evenement et un log bidon? Preuve bidon
> > alors? Quelque chose ne colle pas!
> > 
> > Juste un peu d'imagination... le type qui est appelle devant les
> > tribunaux ne pourrait il pas dire au juge: Mais? Non? Qui vous garantit
> > que le serveur de log est fiable?
> > 
> > Qui (et comment?) peut garantir cela?
> > 
> > Il doit y avoir des certifications (ou alors il faut vite les inventer)
> > decrivant comment faire ce serveur ou qui appeller pour "certifier" la
> > proceudre?
> > 
> > Merci :)
> > 
> > /robert
> > 
> > 
> > 
> > _______________________________________________________
> > Linux Mailing List - http://www.unixtech.be
> > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
> > Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
> > IRC: chat.unixtech.be:6667 - #unixtech

_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech

Répondre à