[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00523] 日経 IT Proの記事

To: port139@xxxxxxxxxxxxx
Subject: [port139:00523] 日経 IT Proの記事
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 14 Aug 2001 00:25:48 +0900

Port139 伊原です。

「バックドア」の危険性を認識する 
どう見つけ，どう対処するべきか？ 
今週のSecurity Check [一般編]　（第43回，2001年8月13日） 
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010810/1/

の記事中より引用、

>しかし，これらのツールにも限界がある。Tripwireなどのツールは，ハッシュを
>計算する際にユーザー・モードで実行される。そのため，カーネル・モードで実
>行されるクラッキング・ツールを使われると，検知ツールにチェックされること
>なくバックドアを仕掛けたりすることが可能になってしまう。 

とありますが、これは LKM rootkit のことを指しておられるのだと思いますが、
カーネルモードで rootkit が動作している場合、そもそも Tripwire に限らず
チェック方法として記述された 1 ～ 7 全てが無意味ではないのかと思うのは
私だけなんでしょうか？

Tripwire がオンラインで検知できないのは、

-ファイルの存在がカーネルモードの rootkit により隠蔽されている場合

であると理解しているのですが、この場合あらゆるユーザーモードのツールか
らはファイルの存在が LKM rootkit により隠蔽されてしまいます。
＃なんでハッシュを計算～という下りになるのかよくわかんないんですけど...

また、LKM rootkit の多くは ps や netstat を結果を書き換えることが可能で
すから、LKM rootkit の利用を想定するのであれば、安全なバイナリと確認で
きるものを利用したとしても結果が信用できるとは限らないのではないでしょ
うかね？

っていう内容（もう少しやわらかめ;)のは著者である岩井さん宛に私信でもお
送りしてますけど、気になったのでここにもなげておきます。


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00525] Re: 日経 ITPro の記事
  - From: Sonoda Michio

Prev by Date: [port139:00522] Re: 安全な MUA
Next by Date: [port139:00524] rootkit に関するメモ β1
Previous by thread: [port139:00522] Re: 安全な MUA
Next by thread: [port139:00525] Re: 日経 ITPro の記事
Index(es):
- Date
- Thread