/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Checksum
Fra : Michael Korsgaard


Dato : 27-03-04 13:11

Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg
har lavet politikker vedr. adgang osv. altså lukket unødvendige services ned
samt pillet ved indstillingerne i IE.

Jeg ved godt at det har været oppe i gruppen før, men jeg kan ikke huske
hvor det var jeg læste om det... Noget med md5 og hash-værdi, eller roder
jeg begreberne sammen??

/ Michael...



 
 
Christian E. Lysel (27-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 27-03-04 13:33

In article <40656f72$0$238$edfadb0f@dread16.news.tele.dk>, Michael Korsgaard wrote:
> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
> overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg

Hvis du har en angriber der kan ændre disse, er det trivielt
at ændre dit system så du ikke kan se det er ændret så længe du spørger
systemet om det er ændret.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Kasper Dupont (27-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 27-03-04 15:10

Michael Korsgaard wrote:
>
> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
> overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg
> har lavet politikker vedr. adgang osv. altså lukket unødvendige services ned
> samt pillet ved indstillingerne i IE.

Som det allerede er blevet forklaret. Så kan
ændringerne skjules, hvis man virkelig ønsker det.

>
> Jeg ved godt at det har været oppe i gruppen før, men jeg kan ikke huske
> hvor det var jeg læste om det... Noget med md5 og hash-værdi, eller roder
> jeg begreberne sammen??

MD5 er en hash-funktion. Det er ikke den eneste.
En anden mulighed er SHA1.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Michael Korsgaard (27-03-2004)
Kommentar
Fra : Michael Korsgaard


Dato : 27-03-04 20:22


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:40658B39.93F690ED@daimi.au.dk...
> Som det allerede er blevet forklaret. Så kan
> ændringerne skjules, hvis man virkelig ønsker det.

Jeg mente ellers at det var sådan at man på en måde kunne detecte ændringer
i systemet og derved tage de skridt som skal til for at standse et evt,
angreb.. Her tænker jeg kun på mit eget lille netværk, og ikke større såsom
virksomheder og lign.. Altså: Er det muligt at inst. en form for software
som advarer mig i tilfælde af at der er ved at ske ændringer som ikke er
autoiseret??

> MD5 er en hash-funktion. Det er ikke den eneste.
> En anden mulighed er SHA1.

Ja..Jeg fandt lige noget på http://sikkerhed-faq.dk/ordforklaring#ir

/ Michael..



Thomas Damgaard Niel~ (27-03-2004)
Kommentar
Fra : Thomas Damgaard Niel~


Dato : 27-03-04 22:45

Michael Korsgaard wrote:
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:40658B39.93F690ED@daimi.au.dk...
>
>>Som det allerede er blevet forklaret. Så kan
>>ændringerne skjules, hvis man virkelig ønsker det.
>
>
> Jeg mente ellers at det var sådan at man på en måde kunne detecte ændringer
> i systemet og derved tage de skridt som skal til for at standse et evt,
> angreb..

Hvis en cracker har adgang til at ændre dine systemfiler, så kan du ikke
stole på at noget software på det kompromiterede system virker som det skal.

Mvh
Thomas Damgaard

Michael Korsgaard (28-03-2004)
Kommentar
Fra : Michael Korsgaard


Dato : 28-03-04 01:39


"Thomas Damgaard Nielsen" <me@peps.dk> skrev i en meddelelse
news:4065f5b7$0$290$edfadb0f@dread11.news.tele.dk...
> Hvis en cracker har adgang til at ændre dine systemfiler, så kan du ikke
> stole på at noget software på det kompromiterede system virker som det
skal.

Det har han ikke.....

/ Michael...



Kristian Thy (28-03-2004)
Kommentar
Fra : Kristian Thy


Dato : 28-03-04 07:59

Michael Korsgaard uttered:
>> Hvis en cracker har adgang til at ændre dine systemfiler, så kan du ikke
>> stole på at noget software på det kompromiterede system virker som det
>> skal.
>
> Det har han ikke.....

Hvad er så problemet? Hvorfor vil du så tjekke overhovedet?

\\kristian
--
MS is to security what McDonald's is to gourmet cooking.

Michael Korsgaard (28-03-2004)
Kommentar
Fra : Michael Korsgaard


Dato : 28-03-04 11:29


"Kristian Thy" <thy@it.edu> skrev i en meddelelse
news:c45t3s$2f9fn4$1@ID-157676.news.uni-berlin.de...
> Hvad er så problemet? Hvorfor vil du så tjekke overhovedet?

Undgå at det opstår... Hvis f.eks man skulle være så uheldig at få en TROJ
ind et eller andet sted må der vel ske visse ændringer i nogle filer. Det
vil jeg gerne at jeg kunne se med det samme, så jeg kan tage skridt til at
få det ud igen..

/ Michael....



Christian E. Lysel (28-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 28-03-04 12:00

In article <4066a9ed$0$274$edfadb0f@dread16.news.tele.dk>, Michael Korsgaard wrote:
> Undgå at det opstår... Hvis f.eks man skulle være så uheldig at få en TROJ
> ind et eller andet sted må der vel ske visse ændringer i nogle filer. Det
> vil jeg gerne at jeg kunne se med det samme, så jeg kan tage skridt til at
> få det ud igen..

Er du ligeglad med en troj der benytter et root-kit, eller
indgår det blot ikke i din risiko vurdering?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Peder Vendelbo Mikke~ (27-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-03-04 21:54

Michael Korsgaard skrev:

> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden
> form for overvågning af disse, så at jeg får en meddelelse om ændringer i
> disse??

Måske kan du bruge http://www.drivesnapshot.de/en/index.htm?

"Generate checksums for all files on a drive (useful when verifying)

C:\> SNAPSHOT -!Z C:\*.*
will create checksums for all files C:\*.* incl. subdirectories similar to
Checksum of c: and subdirectories

44959739 \BOOTLOG.TXT,14047
C73BFBF2 \BOOT.INI,813
E83C01A9 \NTDETECT.COM,34724"


Kasper Dupont (28-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 28-03-04 08:17

Peder Vendelbo Mikkelsen wrote:
>
> Michael Korsgaard skrev:
>
> > Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden
> > form for overvågning af disse, så at jeg får en meddelelse om ændringer i
> > disse??
>
> Måske kan du bruge http://www.drivesnapshot.de/en/index.htm?
>
> "Generate checksums for all files on a drive (useful when verifying)
>
> C:\> SNAPSHOT -!Z C:\*.*
> will create checksums for all files C:\*.* incl. subdirectories similar to
> Checksum of c: and subdirectories
>
> 44959739 \BOOTLOG.TXT,14047
> C73BFBF2 \BOOT.INI,813
> E83C01A9 \NTDETECT.COM,34724"

Hvad kun 32 bits checksum? det må da være en joke.
Du kan i hvert fald kun regne med at finde ændringer,
der er sket ved et uheld. Det vil kræve en forholdsvis
begrænset mængde CPU tid at finde et andet indhold med
samme checksum. Et par dages beregninger burde kunne
gøre det (mindre hvis man har mange computere). Hvis
man bare vil finde en kollision, så kan det gøres på
få sekunder.

Jeg vil helt klart foretrække MD5 fremfor nogen hash
funktion med så få bits. De problemer, som er blevet
beskrevet i denne tråd har intet med hash funktionen
at gøre. Du vil have disse problemer uanset valget af
hash funktion, men der er ingen grund til at vælge en
dårlig hash funktion, som blot medfører endnu flere
problemer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Alex Holst (28-03-2004)
Kommentar
Fra : Alex Holst


Dato : 28-03-04 01:16

Michael Korsgaard wrote:

> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
> overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg
> har lavet politikker vedr. adgang osv. altså lukket unødvendige services ned
> samt pillet ved indstillingerne i IE.

   http://md5deep.sourceforge.net/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste