[Hackmeeting] Becca l'intrusione (was (senza oggetto))

Delete this message

Reply to this message
Autore: eflags
Data:  
Oggetto: [Hackmeeting] Becca l'intrusione (was (senza oggetto))
On Tue, Jul 05, 2005 at 10:43:07AM +0000, asbesto wrote:
> Il Mon, Jul 04, 2005 at 07:57:27PM +0200, eflags rigurgitava:
>
> > microswitch... quando apri il case in un modo QUALSIASI, si apre
> > l'interruttore che sega la corrente ad un po' di ram attaccata su
> > una schedina (tipo i2c o simili) e alimentata a batteria. Da remoto
> > noti che, oh!, la ram di sicurezza è vuota, quindi il case è stato
> > aperto/compromesso. Come aggiunta, la ram viene controllata di
> > elettronica, non so pci) con una cpu Z80 che gestisca un qualche
> > genere di autenticazione crittografata prima di farti scrivere in
> > memoria di sicurezza.
>
> ma ... possibile che non si riesca in alcun modo a tenersi
> "semplici" ? :D
>
> basta un contatto su porta parallela ed un minchia di demone in
> C; se contatto aperto -> parte una mail


Ma che stiamo a dire, asbe?
E se ti spengono la macchina, staccano il disco e dumpano tutto,
come facciamo? Il demone gira per magia vudu?
Se hai un disco che deve partire da solo (ovvero senza passphrase
della minchia) dumpi _TUTTO_, chiavi comprese e hai il sistema originale.
Non hai nessun motivo di aprire il computer da ACCESO!

_COMUNQUE_ io rispondevo ad Elettrico, che domandava un modo per
poter beccare le intrusioni DOPO che queste sono avvenute, quindi
ci vuole per forza qualcosa di irreversibile, tipo ram che si
svuota.

E non mi pare una cosa troppo complicata, eh. Microswitch =
contatto che si apre. Io lo monitoro anche a macchina spenta e
rilevo in modo _irreversibile_ le intrusioni.

Se non ricordo male esistono dei processori per roba embedded che
hanno una rom interna che non si può leggere "dall'esterno".
Dicevo Z80 per avere appunto qualcosa di semplice. :)

Ciao ;D

eflags