On Mon, Oct 04, 2004 at 01:43:42PM +0200, Alexandre Dulaunoy wrote: > On Mon, 4 Oct 2004, Jean-Francois Dive wrote: > > > Bonjours, > > > > Merci bcp pour ces precisions bien utiles. Je trouve qu'il est vraiment > > important de rappeler qu'il faut porter plainte, les gens ne le font > > jamais et c'est bien domage. > > > > Question mainteant: je suppose que le disque physique fait office de preuve ultime. > > Personellement, une procedure comme suit me semble +- correct. > > > > - noter l'heure. > > - prendre un temoin. > > - connecter a la machine. > > - dump memoire (dd | netcat). > > - dump hdd (dd | netcat). > > - eteindre la machine. > > - extraire les disques. > > - les mettre dans un contenant avec scelles. > > - Les mettre a l'abris (coffre fort, que sais je). > > - mettre de nouveaux hdd. > > - remettre l'image de backup. > > - relancer le service. > > > > Le point du contenant etant clairement le moins clair quand aux > > obligations legales: y a il des regles / produits officiellement > > reconnus pour ce genre de choses ? > > Oui dans certains pays. Des logiciels proprietaires bien connus dans > le domaine mais c'est souvent des usines a gaz.
oui j'ai deja joue avec des brols dans ce genre, pas vraiment terrible. > > Concernant ta procedure, je ne comprends trop l'utilite du > temoin. Surtout que la machine est deja compromise et donc par > essence, on ne peut plus rien croire.... ;-) pas tellement se qui a sur la boite mais que l'action que tu fais ne 'void' pas kkchose que l'on pourrait trouver. > > http://www.foo.be/gt/forensic/ (une vieille presentation sur le sujet > mais les bases sont tjs valables). > > adulau > > PS : Il existe plusieurs methodes cryptographiques pour signer des > journaux. p.ex. : http://www.schneier.com/paper-secure-logs.pdf > > > -- > ** Alexandre Dulaunoy (adulau) **** http://www.foo.be/ **** 0x44E6CBCD > **/ "To disable the Internet to save EMI and Disney is the moral > **/ equivalent of burning down the library of Alexandria to ensure the > **/ livelihood of monastic scribes." Jon Ippolito. > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech -- -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
