Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Есть. Сервер он снес удаленно, так как имел shell на эту... 15.04.04 09:51 Число просмотров: 1761
Автор: TARASA <Taras L. Stadnik> Статус: Member
|
> эксперт устанавливает путем сопосталения логов провайдера
> пострадавшего и провайдера атакующего, исходя из тезиса,
> что провайдеры в данной ситуации лица не заинтересованные,
> т.е. идут как свидетели.
> Как и что можно доказать в описанном тобой случае - я с
> трудом представляю. Как я понял, товарищ, увольняясь,
> "хлопнул дверью", т.е. просто форматнул комп, имея к нему
> локальный доступ. Если объективных доказательств (показания
> свидетелей, которые это видели, запись системы
> видеонаблюдения и т.п.) нет, то предъявить ему нечего.
Есть. Сервер он снес удаленно, так как имел shell на эту машину. Провайдер "атакующего" и "атакуемого" в данном случае один и тот-же. Провайдер свои логи к делу тоже без проблем приложил.
> > В идеале ситуация видится таким образом: Есть
> > удостоверяющий центр, которому отправляются логи (over
> VPN
> > or crypto), на loghost (назовем его так)
> удостоверяющего
> > центра эти логи подписываются и после этого
> отправляются на
> > твой сервак и там ты с логами делаешь все что
> захочешь.
> > Такие логи будут иметь доказательную базу ... НО ПРИ
> Ха, а кто мне мешает слать на "удостоверяющий сервер"
> поддельную информацию? Или "потерять" часть полученной с
А какой смысл слать в УС или УЦ поддельную информацию. Самого себя за "хакерство" привлекать?
Или пытаться подставить кого-то?
> сервера инфорамции с подписью? Ну, для второго случая,
> сервер может иметь свою копию...
>
> > НАЛИЧИИ .. законов и подзаконных актов. Кои (по
> имеющейся у
> > меня информации) в настоящее время отсутствуют или
> почти
> > отсутствуют как класс.
> Почему? Гражданский кодекс никто не отменял. В нем
> закреплено право использования в гражданском обороте
> "аналогов собственноручной подписи". Пописанные ими
> документы имеют такую же юридическую силу, как и обычные
> бумажки с подписью/печатью...
> Но для логов это и не нужно...
>
> > Есть вопрос как это реализовать , но это уже дело
> техники и
> > востребованности, а также заинтересованности конечного
> > клиента и компетентных органов.
> Я бы сказал, что для регистрации и хранения логов нужно
> некое супер-пупер защищенное и сертифицированное add-only
> устройство. Например, матричный принтер на рулонной бумаге
> с отключенным реверсом барабана ;) Стереть лог путем
> отматывания бумаги обратно и запечатывания строки буквами
> ХХХХХ - проблематично, если реверс заблокирован на уровне
> электропривода. Выдрать кусок - тоже, поскольку нарушение
> целостности рулона будет заметно. С принтером одна беда:
> нетехнологично ;)
Как вариант писать на нестираемый носитель e.g CD-R, фискальный регистратор. Со вторым сложнее много в него не поместится, но и тут можно обойти. Поток лога подписывается и отправляется заказчику, а попутно on-line анализатор этот поток анализирует и пишет в фискалку о наступлении "событий безопасности". Заранее сконфигурено или применена некая самообучаемая система - дело десятое.
|
|
|
подробно о проекте
Анализ криптографических сетевых... 
