On Mon, 4 Oct 2004, Jean-Francois Dive wrote:

> Bonjours,
>
> Merci bcp pour ces precisions bien utiles. Je trouve qu'il est vraiment
> important de rappeler qu'il faut porter plainte, les gens ne le font
> jamais et c'est bien domage.
>
> Question mainteant: je suppose que le disque physique fait office de preuve ultime.
> Personellement, une procedure comme suit me semble +- correct.
>
> - noter l'heure.
> - prendre un temoin.
> - connecter a la machine.
> - dump memoire (dd | netcat).
> - dump hdd (dd | netcat).
> - eteindre la machine.
> - extraire les disques.
> - les mettre dans un contenant avec scelles.
> - Les mettre a l'abris (coffre fort, que sais je).
> - mettre de nouveaux hdd.
> - remettre l'image de backup.
> - relancer le service.
>
> Le point du contenant etant clairement le moins clair quand aux
> obligations legales: y a il des regles / produits officiellement
> reconnus pour ce genre de choses ?

Oui dans  certains pays. Des logiciels proprietaires  bien connus dans
le domaine mais c'est souvent des usines a gaz.

Concernant   ta  procedure,   je  ne   comprends  trop   l'utilite  du
temoin.  Surtout  que la  machine  est  deja  compromise et  donc  par
essence, on ne peut plus rien croire.... ;-)

http://www.foo.be/gt/forensic/ (une vieille  presentation sur le sujet
mais les bases sont tjs valables).

adulau

PS  : Il existe  plusieurs methodes  cryptographiques pour  signer des
journaux.  p.ex. : http://www.schneier.com/paper-secure-logs.pdf


-- 
** Alexandre Dulaunoy (adulau) **** http://www.foo.be/ **** 0x44E6CBCD
**/ "To  disable the  Internet to  save EMI  and Disney  is  the moral
**/ equivalent of burning down the library of Alexandria to ensure the
**/ livelihood of monastic scribes." Jon Ippolito.
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech

Répondre à