[hackmeeting] core wars, toma del perejil y demas

[Antonio Javier G.M.]

	Saludos.

On Wed, Aug 28, 2002 at 01:27:34PM +0200, e wrote:
>Que tal probar de ajuntar este concurso de toma de la bastilla con la 
>charla que se comento sobre analisis forense de sistemas ?

	Aunque interesante no lo veo muy práctico por muchos motivos, cómo
por ejemplo que herramientas tipo coroner toolkit pueden tardar horas en 
analizar un sistema.... además hay muchos aspectos que requieren tiempo, no 
se trata sólo de entrar, también hay que asegurar la posición, borrar huellas,
etc. Eso requiere tiempo, luego hay factores muy importantes, como el tiempo
de acceso a un fichero, (la última vez que se accedió, modificó, borró, creó),
en una máquina real de producción, en una DMZ, lo normal es que no haya
compiladores, que haya poco movimiento en el sistema, (aparte del que genere
el apache, el bind, etc.), y gracias a eso, si entra un intruso y se lía a
compilar exploits, crear directorios ocultos, meter rootkits, etc, gracias
a toda esa perturbación del medio conseguimos detectar cambios en ficheros
que en principio no deberían haber sido accedidos, (como por ejemplo ficheros
include o el gcc), pero en un sistema en el que estamos trasteando, compilando herramientas, metiendo exploits, etc. nosotros mismos, es muy dificil ver nada.


	Pero bueno si se anima la gente y se proponen ideas ... aunque corremos
el riesgo de estar horas y que salga todo mal :) o que mostremos una modificación en la fecha de acceso de un programa cuando lo más fácil sea hacer un "last"
y ver al intruso.... 

	Saludos.

>
>Por una parte gana el que entra antes, y por la otra se aprende a como 
>analizar un sistema para dar-te cuenta .....
>
>Yo no tengo ni idea de ninguna de las dos cosa, però quiza al que propuso 
>la charla de analisis forense (Antonio Javier) le apetece (o no :-) hacer 
>un ejemplo pràctico con la maquina "atacada"
>
>yo tb. he dicho la mia :-)
>
>* e *
>
>Lo de la charla era :
>"
>From: "Antonio Javier G.M." <legion en tierramedia.org>
>To: hackmeeting en sindominio.net
>Message-ID: <20020826153611.B18563 en orodruin.tierramedia.org>
>Mime-Version: 1.0
>Content-Type: text/plain; charset=iso-8859-1
>Content-Disposition: inline
>Content-Transfer-Encoding: 8bit
>
>         ¡Hola!
>
>         Algunos ya me conocéis del hackmeeting de Leioa, (di una charla
>sobre cortafuegos en linux), para este hackmeeting me gustaría tener la
>oportunidad de charlar sobre 'análisis forense', el análisis forense
>de sistemas y redes pretende encontrar y preservar evidencias digitales
>de los hechos acontecidos en los sistemas comprometidos por hackers y/o
>crackers, de manera que diferentes equipos "científicos" sean capaces,
>ante un juez o jurado, de llegar a las mismas conclusiones. Explicar
>cómo debe hacerse un éxamen forense, como preservar las evidencias, los
>límites del investigador forense, los nuevos métodos empleados por
>hackers e investigadores, etc. es el objetivo de esta charla.
>
>         En principio yo estoy disponible para dar la charla,
>(Antonio Javier García Martínez), pero quizás un compañero mío, (Fran
>Sukunza) se anime y demos una charla entre los dos repartiéndonos el
>trabajo.
>"
>
>P.D. Como no sé si Antoni Javier recibes los mails de la lista te he 
>enviado copia del mail....
>
>_______________________________________________
>hackmeeting mailing list
>hackmeeting en sindominio.net
>http://www.sindominio.net/cgi-bin/mailman/listinfo/hackmeeting

-- 
--
----==-- _                     / /  \     Antonio Javier García Martínez
---==---(_)__  __ ____  __    / / /\ \    legion en tierramedia.org
--==---/ / _ \/ // /\ \/ /   / /_/\ \ \   ajgarcia en cortafuegos.org
-=====/_/_//_/\_,_/ /_/\_\  /______\ \ \  Usuario linux registrado nº 38116
  http://www.todolinux.net  \_________\/  
Linux, porque yo lo valgo...