[stalk:00522] Re: バックドアの隠し場所

[Shikap <shikap@xxxxxxxxxxxx>]

しかＰ＠連発、です。

on 01.6.22 2:42 PM, Hideaki Ihara at hideaki@xxxxxxxxxxxxx wrote:
> えーと、＃ なコメントにあれかもしれませんが...
いえ、あれじゃないです。いけるかどうか自身がなかったので＃にしただけ
ですから。

> Tripwire の監視対象に tripwire、twprint、twadmin、siggen や tw.cfg
> などの関連ファイルを含めるというのはサンプルポリシーでも行われます。
> ただ、tripwire 本体をソースからがりがり変更して任意のファイルは無視
> するようなのを作るのはソース公開されてますから可能ですよね。
ソース公開の最大の弱点はこういった改竄に対する脇の甘さでしょうか。
＃だからといってソース非公開がいいなんて言うつもりは毛頭ございません。

> ぢゃーそいうのはどうするんだっていうのについては、鶏が先か卵が先か
(snip)
> ただ、いずれも運用面での負荷が高まるという課題があるかと思います。
(snip)
結局の所、運用面の負荷を増大させずにどれだけバックドアなどを効率的に
検知するか、というために何をしなければならないか、と言う方向について
考えなくてはならないのでしょうね。
そうすると、/sbin系の最低限のコマンドやTripwireに代表される検知ソフト、
それにカーネルやライブラリはCD-ROMに焼いてそこから起動、と言うことを
しなきゃいけないのかな。
＃運用面倒くさそうだ。

> この方法も、CD-ROM の tripwire ぢゃなくて。/tmp におかれた偽者を使う
> ようにカーネルを書き換えられたらどうするんだ〜っていういたちごっこに
> なりそうな気がしますから、やはり結論は別システムでマウントして〜にな
> るような。
カーネル書き換えられたら単体のシステムではどうしようもないでしょう。
クリーンなシステムで確認するしかないでしょうね。
運用の面倒くささを除けば、やはり最大の防御が別システムチェックでしょうね。
Tripwire for Linuxとか読みながら（発売日当日に買いましたよ^^）、脳味噌で
ファイル改竄がばれない方法と言うのを考えつつ、Tripwireで防御、というのを
想像してみたんですけど、絶対にポリシーの裏をかくことが可能のように見えて
しょうがなかったです。やはり究極は別システムかな、と。
＃「カーネルが自分自身の一貫性を保証する」って仕組みってないのかしら。
＃ないよなぁ、きっと。

＃だからといってTripwireは役立たず、なんて思いは全く持っていません。
＃そろそろ自宅OSをクリーンアップデートするので、その時にTripwireを
＃使うつもりだし、会社に置いているBoxにもしかける予定だし。
＃優れたツールでも裏をかく方法なんて知恵次第でいくらでもある、
＃と言ういい例かと。


-- 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　鹿田　幸治　　　　　　　Koji.Shikata
　　　E-Mail:shikap@xxxxxxxxxxxx
snortパッチ公開中：http://www.yk.rim.or.jp/‾shikap/patch/
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　 インフォシーク株価に新機能登場！！【銘柄条件検索】ってなにもの？？　
  http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122