On Mon, 4 Oct 2004, Jean-Francois Dive wrote: > Bonjours, > > Merci bcp pour ces precisions bien utiles. Je trouve qu'il est vraiment > important de rappeler qu'il faut porter plainte, les gens ne le font > jamais et c'est bien domage. > > Question mainteant: je suppose que le disque physique fait office de preuve ultime. > Personellement, une procedure comme suit me semble +- correct. > > - noter l'heure. > - prendre un temoin. > - connecter a la machine. > - dump memoire (dd | netcat). > - dump hdd (dd | netcat). > - eteindre la machine. > - extraire les disques. > - les mettre dans un contenant avec scelles. > - Les mettre a l'abris (coffre fort, que sais je). > - mettre de nouveaux hdd. > - remettre l'image de backup. > - relancer le service. > > Le point du contenant etant clairement le moins clair quand aux > obligations legales: y a il des regles / produits officiellement > reconnus pour ce genre de choses ?
Oui dans certains pays. Des logiciels proprietaires bien connus dans le domaine mais c'est souvent des usines a gaz. Concernant ta procedure, je ne comprends trop l'utilite du temoin. Surtout que la machine est deja compromise et donc par essence, on ne peut plus rien croire.... ;-) http://www.foo.be/gt/forensic/ (une vieille presentation sur le sujet mais les bases sont tjs valables). adulau PS : Il existe plusieurs methodes cryptographiques pour signer des journaux. p.ex. : http://www.schneier.com/paper-secure-logs.pdf -- ** Alexandre Dulaunoy (adulau) **** http://www.foo.be/ **** 0x44E6CBCD **/ "To disable the Internet to save EMI and Disney is the moral **/ equivalent of burning down the library of Alexandria to ensure the **/ livelihood of monastic scribes." Jon Ippolito. _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech