[hackmeeting] Sobre la charla de Fernandez-Sanguino

[alfonso_acosta_mail en yahoo.es]

hola:

Ultima cosa antes de mandarle la conestatacion definitiva. Por lo que 
veo lo mejor sera una charla sobre seguridad en debian, pero se me ha 
ocurrido una cosa. Las charlas sobre seguridad, normalmente van 
enfocadas en cuanto a la prevencion de ataques y evitar los agujeros de 
seguridad. Sin embargo enfocarse que hacer despues de un ataque.

Por ejemplo. Pepito Gimenez es administrador (novato) de un máquina 
Debian GNU/Linux en la empresa Aceros Gimenez (es de su padre como 
podeis de deducir :) ). El se ha leido el manual de seguridad de debian 
y otros muchos.

Un buen dia descubre al hacer ssh a su servidor que....

2 failures since last login. Last was 17:47 (..)

Y resulta que Pepito a esa hora no estaba conectado y ni siquiera se 
conecto por ultima vez a esa hora.

El hizo muy bien en no dejar que root hiciera login remotamente, como 
indicaban los manuales, tenia tripwire instalado y miro los logs del 
sistema sin ver nada raro. Ejecuto un buscador de rootkits y tampoco 
encontro nada.

Cambio su clave y ya no sabia que hacer.

¿Que debaría hacer Pepito ahora?

(No contesteis es solo un ejemplo)


Cambiad el ejemplo de Pepito por cualquier ataque a cualquier máquina 
cuya función sea más o menos crítica.

¿A donde quiero llegar? A que pienso que estaria bien que la charla 
estuviera enfocada a como responder en caso de un ataque (aparte de la 
seguridad en debian propiamente dicha).


¿Que os parece?


Alfonso Acosta

_______________________________________________________________
Copa del Mundo de la FIFA 2002
El único lugar de Internet con vídeos de los 64 partidos.
¡Apúntante ya! en http://fifaworldcup.yahoo.com/fc/es/