PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Tripwire mit USB-Stick vor Veränderung schützen



scaramanga
12.12.04, 19:06
Um Hackerangriffe zu erkennen, möchte ich Tripwire auf einem USB-Stick installieren. Dieser sollte schreibgeschützt sein, wird also nur read-only gemounted und auch am USB-Stick selbst auf read-only gestellt, damit die Tripwire binaries nicht verändert werden können. Ein Hacker könnte nun jedoch den Stick neu mounten und zwar read-write, damit kann er trotzdem temporär auf dem Stick Daten manipulieren, weil das Betriebsystem die Schreibvorgänge puffert. Wenn der Puffer beim mounten auf 0 gesetzt würde, bzw. beim mounten -o sync angegeben wird, sollte ein Hacker auch nicht mehr temporär auf den Stick schreiben können. Dennoch könnte er den Stick ja wieder so remounten, dass er den Puffer ausnutzt um die Daten auf dem USB Stick zu verändern.

Wie oft wird dann der Puffer des USB-Sticks aktualisiert werden? Regelmäßige Zeitabstände? Zufällig? Kann man das abstellen? Ich will auf jedenfall verhindern, dass ein Hacker auf den Stick schreiben kann, bzw. sich die Möglichkeit verschafft dies zu tun.

Hat dazu jemand eine Idee oder generell einen besseren Vorschlag um Tripwire sicher zu machen und vor Veränderungen zu schützen?

cane
12.12.04, 19:13
Kauf Dir einen USB-Stick mit mechanischem Schreibschutz.

mfg
cane

scaramanga
12.12.04, 19:39
Habe ich ja, der Stick ist auch nicht beschreibbar, aber das Betriebssystem puffert Lese und Schreibzugriffe. Das Problem ist ja nur, das man in den Puffer eines Storage-Devices schreiben kann, auch wenn letztendlich auf dem Medium kein Schreibzugriff möglich ist. Die Änderungen sind nur temporär, bis der Puffer vom Betriebssystem aktualisiert wird. Genau darin liegt ja das Problem. Wenn vor dem Start von Tripwire die Binaries immer Puffer gepatch werden, nützt auch kein physikalisch schreibgeschützter USB-Stick.

emba
13.12.04, 11:26
wenn der hacker das device mounten darf, dann hat er entweder schon root-rechte oder du hast das device nicht geschützt (parameter user in fstab) - und wenn er root ist, dann brauch er das binary schon nicht mehr patchen

greez