[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02299] Re: 第2回 ログファイルの改ざん
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02299] Re: 第2回 ログファイルの改ざん
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sat, 15 Feb 2003 11:01:19 +0900
Port139 伊原です。
On Fri, 14 Feb 2003 17:12:22 +0900
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> wrote:
> これって実は「機能の不足」の言い訳のような気がするんです。本来は、
> schg なファイルを操作しようとした時点で alert が上がるべきなので
> は。それこそが「検出」だと思うのですが。
おっしゃる通りだと思います。
とはいえ、逆にその機能があればよいか?というと、あった
としても個人的には微妙です(^^;; 無いのは論外ですが...
例えば、Windows NT/2000/XP は 監査(Audit) を利用すれば、
書き込みを検出可能です。
#Linux なら snare を使ってという感じでしょうか。
そこまでは OK なんですが、監査 は“無効”にすることが
可能ですから、そればかりに頼る(信頼しきる)わけにもいき
ません。(最近はワームでもそれくらいの機能は持ってますし)
#“無効にされたログが残るだろう”というのは、残る根拠が
#乏しいので個人的にはあてにできないのです。
結果、複数の対策を取ることにはなるわけですが、コスト的な
問題も発生しますので、あまりコストをかけず、マレなケース
まで考えたチェックを時々はしようぜ〜というのが最近の布教
活動だったりします。
#ゆえに今年はフォレンジックなんですが...
--
Port139 セミナー 大阪会場(3月14日)参加者募集中!
http://www.port139.co.jp/seminar/seminar_030314.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/