[port139:00525] Re: 日経 ITPro の記事

[Sonoda Michio <sonoda_michio@xxxxxxxxxxxxxxxx>]

園田です。

>「バックドア」の危険性を認識する
>どう見つけ，どう対処するべきか？
>今週のSecurity Check [一般編]　（第43回，2001年8月13日）
>http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010810/1/
>
>の記事中より引用、
>
>>しかし，これらのツールにも限界がある。Tripwireなどのツールは，ハッシュを
>>計算する際にユーザー・モードで実行される。そのため，カーネル・モードで実
>>行されるクラッキング・ツールを使われると，検知ツールにチェックされること
>>なくバックドアを仕掛けたりすることが可能になってしまう。
>
>とありますが、これは LKM rootkit のことを指しておられるのだと思いますが、
>カーネルモードで rootkit が動作している場合、そもそも Tripwire に限らず
>チェック方法として記述された 1 〜 7 全てが無意味ではないのかと思うのは
>私だけなんでしょうか？

わたしもそう読めます。もしかして原稿に量的制限があって、舌足らずになってしま 
ったような気もすますが、それにしてもその点ははっきり書いておかないとヤバいよ 
うな気がしますね。

>また、LKM rootkit の多くは ps や netstat を結果を書き換えることが可能で
>すから、LKM rootkit の利用を想定するのであれば、安全なバイナリと確認で
>きるものを利用したとしても結果が信用できるとは限らないのではないでしょ
>うかね？

カーネルモジュールとしてロードされてしまっているrootkitの場合、最悪の場合 
OSの機能すべてに偽りの情報を流すことができると思いますけどね。記事中に書かれ 
ているコマンドからの情報などは、中でも真っ先に狙われるような気が・・・。
ファイルのチェックを行うのであれば、やはりオフラインで別のファイルシステムに 
てマウントし、そこからチェックすることが最善ではないでしょうか。
-- 
園田道夫
株式会社アイ・ティ・フロンティア（旧三菱事務機械株式会社）
TEL:03-5611-5878  FAX:03-5611-5893
http://www.mom.co.jp/sec/