Re: Skript pro kontrolu napadení operací Windigo

[Pavel Kankovsky]

On Thu, 20 Mar 2014, Jaroslav Aster wrote:

> v prvé řadě děkuji za skript, jen mi to připadá nesystémové. Nevím, jak 
> to mají jiné distribuce, ale Debian má program debsums, který 
> zkontroluje zda programy v systému odpovídají souborům v balíčkách, 
> podle hash.

Akorát Vám ten vetřelec nesmí změnit databázi, vůči které se to 
kontroluje. V daném případě se o to přinejmenším na systémech 
používajících RPM pokoušeli, byť asi ne moc sofistikovaně. Eset píše 
(str. 31):

   We have also seen usage of rpm commands to remove signatures from the
   original OpenSSH packages (openssh-server, openssh-clients) and to
   update the file hashes straight in the RPM database. This improved
   stealthiness by preventing system administrators from noticing the file
   modifications when issuing the usual rpm --verify openssh-servers
   command. However, running rpm -qi openssh-servers would clearly
   indicate that the package signatures are missing, which should be
   considered suspicious.

A to nemluvím o možnosti instalace rootkitu, který změny v souborech 
maskuje úplně. Kompromitovaný systém je prostě kompromitovaný systém a 
snaha ho zkontrolovat zevnitř může být stejně produktivní jako snaha 
vytáhnout sám sebe z bažiny za vlastní vlasy a la baron Prášil.

> Přijde mi to systémovější, než se zaměřovat na jeden druh útoku, protože 
> pravidelná kontrola zjistí jakékoliv modifikace programů v systému. 
> Stačí si to dát do cronu a nechat si to posílat emailem.

Z výše uvedených důvodů neplatí to "jakékoliv". Tím samozřejmě 
nezpochybňuji užitečnost takového opatření, jen argumentuji, že ho nelze 
považovat za naprosto dokonalé.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /