Frage 102-153

Wie können Sie überprüfen, ob sich wichtige Programme wie /bin/ls oder /usr/bin/passwd noch im Originalzustand befinden oder ob sie vielleicht von Crackern durch »trojanische« Versionen ersetzt wurden?

Sie bestimmen kryptographische Prüfsummen über die Dateien und vergleichen diese mit als korrekt bekannten Werten auf einer CD-ROM
Sie bestimmen kryptographische Prüfsummen über die Dateien und vergleichen diese mit als korrekt bekannten Werten in /var/lib/checksums
Sie vergleichen die Programmdateien mit als korrekt bekannten Versionen auf einer CD-ROM
Sie vergewissern sich, dass die Programme noch die erwarteten Ergebnisse liefern

LPI-Lernziel Administrationsaufgaben für Sicherheit durchführen (110.1)

Bereits ein einzelnes geändertes Bit ändert auch die kryptographische Prüfsumme der Datei. Sie speichern also am besten die Prüfsummen aller Dateien in Verzeichnissen wie /bin, /usr/bin, /sbin und /usr/sbin -- etwa mit md5sum und/oder sha1sum ermittelt -- auf einer CD-ROM oder sonst einem nicht überschreibbaren Medium (Antwort 1), bevor Sie den Rechner ans Internet anschließen. Später können Sie in periodischen Abständen die Prüfsummen der Dateien mit den Normalwerten auf der CD-ROM überprüfen. Ein direkter Vergleich der Dateien (Antwort 3) ist im Vergleich zu aufwendig, und ein Vergleich der Ausgabe (Antwort 4) ignoriert, dass trickreiche Cracker natürlich dafür sorgen, dass die »infizierten« Programme nach wie vor so aussehen, als würden sie funktionieren.

Eine Prüfsummenliste in einer Datei auf dem Rechner (Antwort 2) macht es Crackern natürlich möglich, die Prüfsummen zu manipulieren, die für die Authentizitätsprüfung der Programme herangezogen werden. Auf die Ergebnisse können Sie sich dann nicht mehr verlassen.

Programme wie Tripwire oder AIDE automatisieren den Vorgang der Prüfsummenbildung und des Vergleichs.

Noch kein Kommentar · Kommentar hinzufügen · RSS