[Hackmeeting] Re: crackdown autistici/inventati

Delete this message

Reply to this message
Autore: lesion
Data:  
Oggetto: [Hackmeeting] Re: crackdown autistici/inventati
NeCoSi wrote:

> michelinux ha scritto:
>>>No, sull'hard disk avrai in chiaro la chiave privata di ssh che,
>>>una volta letta, permettera' agli spioni di intercettare la tua
>>>sessione ssh nella quale vai ad inserire la password.
>>>Questo senza considerare la possibilita' dell'inserimento di
>>>rootkit e porcate varie...


> quando arriva la postale fa backup dei dischi e se ne va a casa. è
> questa la prassi no?


pensare all'esistenza di una prassi e' un errore. se tu nella vita vuoi
securizzare una macchina non puoi basarti su come loro "dovrebbero"
comportarsi, ma su come loro "potrebbero" comportarsi.
ci sono vari casi di cui parleremo piu' in la', dove gli attacchi
che sono stati fatti dalle forze dell'ordine non sono stati semplicemente
di copiarsi i dischi o parte di questi, ma anche di mettere macchine
in mezzo a fare da bridge, o ad esempio questa ultima cosa di autistici.

> bene, una volta finito il backup, noteranno a casa loro (con una cpu
> diversa dalla nostra) che non riescono a vedere niente di niente... :)


non puoi sottovalutare le loro competenze tecniche.
gia' il fatto che hai scritto questa cosa in una lista pubblica e'
un problema, perche' questo metodo si basa sul fatto che loro non
dovrebbero sapere che cifri le robe col cpuid ad esempio, che e' un'
informazione che puo' trovare chiunque insomma, come qualsiasi
caratteristica fisica legata alla macchina.

> allora torneranno sul pc incriminato, e prenderanno la chiave ssh.
> quando pero' noi con ssh accediamo per tirare su gli hd facciamo
> lanciamo prima un tool che ci dica se il sistema è stato compromesso o
> meno, se non risultano rootkit e altre diavolerie, se le chiavi di ssh
> non sono state toccate (date e ore dell'ultimo accesso invariate)
> allora si fa un giro fisicamente dalle parti del server e si controlla
> che il case non sia stato compromesso.
> in caso in cui tutto sia normale allora si rimontano a mano i dischi e
> bona li :)


eh, sarebbe troppo facile.
se hai accesso alla macchina, tu devi pensare che loro potrebbero mettere in piedi una
macchina uguale alla tua con hardware identico e con una copia del disco tuo.
dopodiche', ci puoi mettere tutti i chkrootkit di questo mondo, pero' se la macchina e'
in mano loro, e md5sum ti restituisce quello che dicono loro, e chkrootkit pure,
e le chiavi e i certificati rimangono quelli, loro hanno accesso a tutto il traffico
in chiaro senza nemmeno troppi sbattimenti.
in sostanza, se la macchina e' stata compromessa fisicamente, tu da remoto non puoi saperlo
con certezza, perche' anche nel momento in cui fai ssh, gli stai regalando le password.

bbaci