Mensajes

Hay un documento muy instructivo sobre ese tipo de PIC en www.7a69ezine.org en uno de los números de sus ezines, no se en cual.
Es muy básico, no usa interrupciones ni nada, pero es bueno para empezar.

Esa técnica ya no funciona, es detectada (por lo menos con el Snort), ese texto como se puede ver es de hacer 2 años, y  los IDS han evolucionado muchísimo desde entonces.

Decir también que el tripwire es una *****, que pasa si troyanizamos el binario del tripwire en sí para que no chequee cierto archivo que hemos modificado para nuestro uso y disfrute? La solución sería tener el binario en un disket o algo así que no se pueda acceder a él.

Y por último los rootkits a nivel de kernel que existen hoy en día se detectan muy fácilmente porque las técnicas que usan son ampliamente conocidas, vease como ejemplo el detector Prosum (http://prosum.sf.net), el proyecto parece abandonado pero detecta cualuiqera de las técnicas actuales.

Aún con todo ésto anterior es muy posible que si el intruso tiene los conocimientos necesarios como para modificar las cosas adecuadas en el sistema no sea detectado después de la intrusión, otra cosa son los logs que dejas en la intrusión que esos si son dificiles de borrar ya que como dice Rojodos pueden ir a un host remoto o incluso sacarlos directamente por una impresora (parece increible pero yo lo he visto hacer y no era una red pequeña), con lo cual eso sería imposible de borrar y tendrán una evidencia de que el sistema ha sido comprometido, si la empresa es seria tendrán un backup del sistema de hace no demasiado tiempo (quizás horas) y si la política de la empresa es correcta reinstalarían el sistema completo con el backup de antes de estar comprometido el sistema, con lo cual te comerías una *****.

Como veis garantizar el acceso futuro a un sistema comprometido si las políticas de seguridad son las correctas es imposible.