[hackmeeting] core wars, toma del perejil y demas

[Antonio Javier G.M.]

	Saludos.

On Wed, Aug 28, 2002 at 01:27:34PM +0200, e wrote:
>Que tal probar de ajuntar este concurso de toma de la bastilla con la 
>charla que se comento sobre analisis forense de sistemas ?

	Aunque interesante no lo veo muy pr�ctico por muchos motivos, c�mo
por ejemplo que herramientas tipo coroner toolkit pueden tardar horas en 
analizar un sistema.... adem�s hay muchos aspectos que requieren tiempo, no 
se trata s�lo de entrar, tambi�n hay que asegurar la posici�n, borrar huellas,
etc. Eso requiere tiempo, luego hay factores muy importantes, como el tiempo
de acceso a un fichero, (la �ltima vez que se accedi�, modific�, borr�, cre�),
en una m�quina real de producci�n, en una DMZ, lo normal es que no haya
compiladores, que haya poco movimiento en el sistema, (aparte del que genere
el apache, el bind, etc.), y gracias a eso, si entra un intruso y se l�a a
compilar exploits, crear directorios ocultos, meter rootkits, etc, gracias
a toda esa perturbaci�n del medio conseguimos detectar cambios en ficheros
que en principio no deber�an haber sido accedidos, (como por ejemplo ficheros
include o el gcc), pero en un sistema en el que estamos trasteando, compilando herramientas, metiendo exploits, etc. nosotros mismos, es muy dificil ver nada.


	Pero bueno si se anima la gente y se proponen ideas ... aunque corremos
el riesgo de estar horas y que salga todo mal :) o que mostremos una modificaci�n en la fecha de acceso de un programa cuando lo m�s f�cil sea hacer un "last"
y ver al intruso.... 

	Saludos.

>
>Por una parte gana el que entra antes, y por la otra se aprende a como 
>analizar un sistema para dar-te cuenta .....
>
>Yo no tengo ni idea de ninguna de las dos cosa, per� quiza al que propuso 
>la charla de analisis forense (Antonio Javier) le apetece (o no :-) hacer 
>un ejemplo pr�ctico con la maquina "atacada"
>
>yo tb. he dicho la mia :-)
>
>* e *
>
>Lo de la charla era :
>"
>From: "Antonio Javier G.M." <legion en tierramedia.org>
>To: hackmeeting en sindominio.net
>Message-ID: <20020826153611.B18563 en orodruin.tierramedia.org>
>Mime-Version: 1.0
>Content-Type: text/plain; charset=iso-8859-1
>Content-Disposition: inline
>Content-Transfer-Encoding: 8bit
>
>         �Hola!
>
>         Algunos ya me conoc�is del hackmeeting de Leioa, (di una charla
>sobre cortafuegos en linux), para este hackmeeting me gustar�a tener la
>oportunidad de charlar sobre 'an�lisis forense', el an�lisis forense
>de sistemas y redes pretende encontrar y preservar evidencias digitales
>de los hechos acontecidos en los sistemas comprometidos por hackers y/o
>crackers, de manera que diferentes equipos "cient�ficos" sean capaces,
>ante un juez o jurado, de llegar a las mismas conclusiones. Explicar
>c�mo debe hacerse un �xamen forense, como preservar las evidencias, los
>l�mites del investigador forense, los nuevos m�todos empleados por
>hackers e investigadores, etc. es el objetivo de esta charla.
>
>         En principio yo estoy disponible para dar la charla,
>(Antonio Javier Garc�a Mart�nez), pero quiz�s un compa�ero m�o, (Fran
>Sukunza) se anime y demos una charla entre los dos reparti�ndonos el
>trabajo.
>"
>
>P.D. Como no s� si Antoni Javier recibes los mails de la lista te he 
>enviado copia del mail....
>
>_______________________________________________
>hackmeeting mailing list
>hackmeeting en sindominio.net
>http://www.sindominio.net/cgi-bin/mailman/listinfo/hackmeeting

-- 
--
----==-- _                     / /  \     Antonio Javier Garc�a Mart�nez
---==---(_)__  __ ____  __    / / /\ \    legion en tierramedia.org
--==---/ / _ \/ // /\ \/ /   / /_/\ \ \   ajgarcia en cortafuegos.org
-=====/_/_//_/\_,_/ /_/\_\  /______\ \ \  Usuario linux registrado n� 38116
  http://www.todolinux.net  \_________\/  
Linux, porque yo lo valgo...