informazioni sui rootkit

salve gente! ho appena sentito parlare dei rootkit, siccome non so molto su di loro volevo aver informazioni su

- cosa sono (anche dei link italiani vanno bene, io ho cercato ma nada)
- come ci si puo' difendere
- sono una seria minaccia per il nostro pinguino?
- varie ed eventuali opinioni personali

[Johnny5]

Puoi buttare un occhio qui:
http://www.tech-faq.com/unix/rootkit.shtml

Direi che se hai il pc con cui navighi da proteggere puoi stare abbastanza tranquillo, se invece sei admin per qualche rete un pò grossa e un pò da proteggere allora è meglio sapere cosa siano.

Fondamentalmente sono le utility standard unix rimpiazzate da una versione modificata che lasci aperte backdoor per un attaccante. Di fatto però
1) per installarle l'attaccante deve riuscire ad entare nel sistema come root
2) basta uno script piuttosto semplice da far girare p.e. tutte le notti che controlli le dimensioni dei file e guardi che non cambino e l'attacco non potrà andare molto lontano...

grazie ora mi documento

mmmmh ma il link è in inglese....

[HexDEF6]

Quote:

Originariamente inviato da Johnny5
Puoi buttare un occhio qui:
http://www.tech-faq.com/unix/rootkit.shtml

Direi che se hai il pc con cui navighi da proteggere puoi stare abbastanza tranquillo, se invece sei admin per qualche rete un pò grossa e un pò da proteggere allora è meglio sapere cosa siano.

Comunque meglio sapere qualcosa in piu' che qualcosa in meno!

Quote:

Originariamente inviato da Johnny5
Fondamentalmente sono le utility standard unix rimpiazzate da una versione modificata che lasci aperte backdoor per un attaccante. Di fatto però
1) per installarle l'attaccante deve riuscire ad entare nel sistema come root

non sempre e' necessario, a volte ci sono servizi che vengono compromessi che viaggiano con permessi bassi (anche nobody), ma che al loro avvio partono come root e poi abbassano i loro permessii, in via teorica e' possibile sfruttare questo, in modo che al riavvio successivo del servizio puoi avere una shell da root avendo compromesso un servizio che girava come nobody (con questo non voglio dire che sia facile, ma possibile)

Quote:

Originariamente inviato da Johnny5
2) basta uno script piuttosto semplice da far girare p.e. tutte le notti che controlli le dimensioni dei file e guardi che non cambino e l'attacco non potrà andare molto lontano...

e se ti modificano pure lo script?? o se ti modificano ls in modo da far vedere le dimensioni che vuole l'attaccante o.... ci sono altre mille maniere per "fregare" uno script del genere (ovviamente diventa piu' difficile per l'attaccante)

la cosa da fare e' quello di mettere in piedi la macchina, fare l'md5 di tutti i comandi, compilarsi i comandi in maniera statica e metterseli su un cd, e controllare il tutto (md5 e grandezza dei file) con i comandi che hai compilato staticamente e eseguiti da un supporto in sola lettura (appunto come il cd).... questa e' una maniera abbastanza paranoica... ma ti assicuro che nemmeno questa e' sicura...

Ciao

Quote:

Originariamente inviato da HexDEF6
Comunque meglio sapere qualcosa in piu' che qualcosa in meno!



non sempre e' necessario, a volte ci sono servizi che vengono compromessi che viaggiano con permessi bassi (anche nobody), ma che al loro avvio partono come root e poi abbassano i loro permessii, in via teorica e' possibile sfruttare questo, in modo che al riavvio successivo del servizio puoi avere una shell da root avendo compromesso un servizio che girava come nobody (con questo non voglio dire che sia facile, ma possibile)



e se ti modificano pure lo script?? o se ti modificano ls in modo da far vedere le dimensioni che vuole l'attaccante o.... ci sono altre mille maniere per "fregare" uno script del genere (ovviamente diventa piu' difficile per l'attaccante)

la cosa da fare e' quello di mettere in piedi la macchina, fare l'md5 di tutti i comandi, compilarsi i comandi in maniera statica e metterseli su un cd, e controllare il tutto (md5 e grandezza dei file) con i comandi che hai compilato staticamente e eseguiti da un supporto in sola lettura (appunto come il cd).... questa e' una maniera abbastanza paranoica... ma ti assicuro che nemmeno questa e' sicura...

Ciao

grazie tante.......+ studio linux e + mi accorgo ke per diventare un sistemista linux di basso livello ci vorrebbero degli hard disk incorporati nel cervello umano....ma sono solo io che la penso in questo modo o è veramente COMPLESSO gestire con sufficiente completezza un sistema linux standard ?

[HexDEF6]

Quote:

Originariamente inviato da Stl
grazie tante.......+ studio linux e + mi accorgo ke per diventare un sistemista linux di basso livello ci vorrebbero degli hard disk incorporati nel cervello umano....ma sono solo io che la penso in questo modo o è veramente COMPLESSO gestire con sufficiente completezza un sistema linux standard ?

sapere tutto e' impossibile, ma averne la consapevolezza e' gia un buon punto di partenza!

Ciao!i

[Ikitt_Claw]

Quote:

Originariamente inviato da Stl
ma sono solo io che la penso in questo modo o è veramente COMPLESSO gestire con sufficiente completezza un sistema linux standard ?

Sicuramente e` complesso, ma per quella che e` la mia esperienza, non piu` di windows, anzi. (enfasi sul "con sufficiente completezza")

[HexDEF6]

Quote:

Originariamente inviato da Ikitt_Claw
Sicuramente e` complesso, ma per quella che e` la mia esperienza, non piu` di windows, anzi. (enfasi sul "con sufficiente completezza")

Windows e' molto bravo nel dare l'illusione di semplicita' (e questo puo andar bene nel lato desktop... anche se non condivido) ma lato server non si puo' andar avanti a click su bottoni vari e sperare di avere un sistema efficente e sicuro.... (tutto questo IMHO!)

Ciao!