[port139ml:03305] Re: 被害判定システム

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

こんばんは、Port139 伊原です。

On 21 May 2003 19:18:16 +0900
chinablue_lion@xxxxxxxxxxxxxx wrote:

>> センサが異常を検出したときに、判定エージェントが監視対象のスナップ
>> ショットを確保してくれるとかなり優秀ですね。
>
>もし本当にやられたら、異常を判定したりスナップショットをとるコマンド
>が汚染されてたりして。:-P

まさにそこが問題ですよね。

たぶん、センサと監視エージェント間は暗号化通信なりで相手の認証を
行っているでしょうから、通信の遮断や認証に失敗すれば確実に異常だ
と認識する仕組みなのではないかと推測しています。

で、エージェントがスナップショットを取る機能を独自に持っていれば
その部分の改ざんは難しいでしょうね。（取得したデータをどこに保存
するのかという問題は残りますが、判定エージェントへ転送かな？）

あとは、取得されたスナップショットの信頼性ですが、誤った状態を取
得したとしても、それはその時点で改ざんされた（正常に見えてない）
状態にあったという確認にもなるのでそれはそれでおけ〜ですよね。

いずれにせよ、異常を検出したら人間が証拠保全して調査（解析）しな
いことにはあかんでしょうね。

# LKM rootkit の検出機能とかも実装されてるのかなぁ・・・

-- 

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/