[port139ml:03877] Re: Syunlog Forensic version

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

おはようございます、Port139 伊原です。

ネタばれですけどいいっか...

On Thu, 07 Aug 2003 01:16:09 +0900
baba shunsuke <syun@xxxxxxx> wrote:

>全体の高速化のための具体的な実装のイメージもあるのです。
>おそらく、ローテーション時の隙間は問題にならないように
>出来ると思っています。

あ、書き方が悪かったですねすいません。
syunlog がログをローテーションしたタイミングで、.BAT など
を AT で動かして署名なりハッシュ値の計算をさせることは可能
だと思うのですが、ローテーションから.BAT 実行までは運用上は
少し余裕を見る必要があると思われます。

そこで、syunlog 自体がそれを実行してくれると嬉しいなぁと...

具体的には

 1.日付でローテーションしている場合に実行
 2.ログローテーションの段階でログのハッシュ値を計算
   *複数のハッシュ値を利用して計算すると一方に脆弱性が
    発見されても片方が補助になる（例:MD5 & SHA-1)
 3.ハッシュ値をイベントログへ出力 or メール送信
   *ハッシュ値記録用のファイルが生成されるとよりベスト？

こんな感じでしょうか。
# ハッシュ値を署名してから出力すると完璧？

イベントログの内容を Mail 送信するツールは多数存在しますので、
イベントログまで出力できれば十分かもしれません。

あとは、ログを CD-R などに保存し、ハッシュ値にデジタルタイム
スタンプを付与する形を取ればログ全体にスタンプせずすみます。
# ログの同一性はハッシュ値を利用することで確認できる

ログがローテーションされるまでの間、ログの内容が改ざんされる
可能性が存在しますが、2台の PC で syunlog を実行し付き合わせ
を行うことで“ログの改ざん”行為が検出可能だと考えています。

本当はシャットダウン時にも同等の処理が入る方が法的にはいいん
ぢゃないかとは思いますが...

>そして今は、まだ開発をやっていて、毎日あまり寝られない
>日々になっています。今月で落ち着くとは思うのですが。

お忙しい時期に変なこと言い出しまして申し訳ありませんm(_ _)m

>最近、毎日のダウンロード数が多くなり、励ましや動作報告の
>メールもいただくようになりました。使ってくださる方がいる
>限り、より良いものにしたいです。

9/10 を過ぎると syunlog,monyolog は必須ツールになるんぢゃな
いかなぁと ;)

-- 
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/