สแกนเนอร์รูตคิตที่ใช้ลายมือชื่อ

ขณะนี้มีสแกนเนอร์รูทคิทเดียวที่ฉันรู้ว่าต้องติดตั้งบนเครื่องก่อนรูทคิทเพื่อให้พวกเขาสามารถเปรียบเทียบการเปลี่ยนแปลงไฟล์ ฯลฯ (เช่น: chkrootkitและrkhunter) แต่สิ่งที่ฉันต้องทำจริง ๆ ก็คือสามารถสแกนเครื่องของฉันและเครื่องอื่น ๆ จาก LiveUSB เพราะถ้ารูทคิทดีพอแล้วมันก็จะเข้ายึดโปรแกรมตรวจจับรูทคิทด้วย

ดังนั้นมีสแกนเนอร์รูทคิทที่ใช้ลายเซ็นสำหรับ Ubuntu / Linux ที่ฉันสามารถติดตั้งบน LiveUSB และใช้ในการสแกนเครื่องที่น่าเชื่อถือที่ฉันเสียบเข้าโดยไม่ต้องตรวจสอบพฤติกรรมหรือเปรียบเทียบไฟล์จากวันที่ผ่านมาหรือไม่

AIDE ( dvanced ฉัน ntruder D etection E nvionment) เป็นแทนการกล่าวถึงในคำตอบที่นี่อีก จากวิกิพีเดีย :tripwire

สภาพแวดล้อมการตรวจจับการบุกรุกขั้นสูง (AIDE) ได้รับการพัฒนาในขั้นต้นเพื่อทดแทนใบอนุญาต Tripwire ฟรีภายใต้เงื่อนไขของ GNU General Public License (GPL)

นักพัฒนาหลักได้รับการตั้งชื่อว่า Rami Lehti และ Pablo Virolainen ซึ่งทั้งคู่เกี่ยวข้องกับมหาวิทยาลัยเทคโนโลยี Tampere พร้อมด้วย Richard van den Berg ที่ปรึกษาด้านความปลอดภัยอิสระชาวดัตช์ โปรเจ็กต์นี้ใช้กับระบบ Unix ที่ใช้ระบบควบคุมพื้นฐานและระบบตรวจจับรูทคิทราคาไม่แพง

ฟังก์ชั่น

ผู้ช่วยใช้ "ภาพรวม" ของสถานะของระบบลงทะเบียนแฮชเวลาการแก้ไขและข้อมูลอื่น ๆ ที่เกี่ยวข้องกับไฟล์ที่กำหนดโดยผู้ดูแลระบบ "สแน็ปช็อต" นี้ใช้เพื่อสร้างฐานข้อมูลที่บันทึกและอาจเก็บไว้ในอุปกรณ์ภายนอกเพื่อความปลอดภัย

เมื่อผู้ดูแลระบบต้องการรันการทดสอบความสมบูรณ์ผู้ดูแลระบบจะวางฐานข้อมูลที่สร้างขึ้นก่อนหน้านี้ในที่ที่สามารถเข้าถึงได้และสั่งให้ AIDE เปรียบเทียบฐานข้อมูลกับสถานะที่แท้จริงของระบบ หากมีการเปลี่ยนแปลงเกิดขึ้นกับคอมพิวเตอร์ระหว่างการสร้างสแน็ปช็อตและการทดสอบ AIDE จะตรวจจับและรายงานต่อผู้ดูแลระบบ หรือสามารถกำหนดค่า AIDE ให้ทำงานตามกำหนดเวลาและรายงานการเปลี่ยนแปลงรายวันโดยใช้เทคโนโลยีการตั้งเวลาเช่น cron ซึ่งเป็นพฤติกรรมเริ่มต้นของแพ็คเกจ Debian AIDE 2

สิ่งนี้มีประโยชน์ส่วนใหญ่เพื่อจุดประสงค์ด้านความปลอดภัยเนื่องจาก AIDE จะรายงานการเปลี่ยนแปลงที่เป็นอันตรายซึ่งอาจเกิดขึ้นภายในระบบ

ตั้งแต่บทความวิกิพีเดียเขียนผู้ดูแลปัจจุบันแล้วRichard van den Berg (2003-2010) ถูกแทนที่โดยผู้ดูแลใหม่Hannes von Haugwitzจากปี 2010 ถึงปัจจุบัน

หน้าแรก AIDEระบุ Debian ได้รับการสนับสนุนซึ่งหมายความว่าแอพลิเคชันสามารถติดตั้งในอูบุนตูกับ predicatable:

sudo apt install aide

เท่าที่พกพาและไดรฟ์ปากกา USB สนับสนุนโฮมเพจกล่าวต่อไปว่า:

มันสร้างฐานข้อมูลจากกฎการแสดงออกปกติที่พบจากไฟล์ config เมื่อฐานข้อมูลนี้ถูกเริ่มต้นมันสามารถใช้ในการตรวจสอบความสมบูรณ์ของไฟล์ มันมีอัลกอริธึมสรุปข้อความจำนวนมาก (ดูด้านล่าง) ที่ใช้ตรวจสอบความสมบูรณ์ของไฟล์ แอ็ตทริบิวต์ไฟล์ปกติทั้งหมดสามารถตรวจสอบความไม่สอดคล้องกันได้ มันสามารถอ่านฐานข้อมูลจากรุ่นเก่าหรือใหม่กว่า ดูหน้าคู่มือภายในการกระจายสำหรับข้อมูลเพิ่มเติม

สิ่งนี้บอกเป็นนัยว่าคุณสามารถมีฐานข้อมูลลายเซ็นในไดรฟ์ปากกาของคุณพร้อมกับแอปพลิเคชันบนที่จัดเก็บข้อมูล USB แบบสด ฉันไม่แน่ใจว่า AIDE เหมาะสมกับความต้องการของคุณ แต่เนื่องจากเป็นสิ่งที่tripwireคุณโปรดปรานในปัจจุบัน

เตือนฉันถึง tripwire ซึ่งสร้างการตรวจสอบการเข้ารหัสลับของไฟล์ที่คุณระบุ ติดตั้งสำเนาของระบบที่คุณกำลังตรวจสอบจากแหล่งที่รู้จักที่ดี (เช่นดีวีดี) ติดตั้งการอัปเดตเดียวกันของระบบเป้าหมาย) ให้ tripwire สร้างไฟล์ checksum คัดลอกไฟล์ checksum ของ tripwire ไปยังระบบเป้าหมายมี tripwire เปรียบเทียบไฟล์ checksum กับไฟล์ของระบบเป้าหมาย

แน่นอนว่าไฟล์การตั้งค่าเฉพาะการอัปเดต / อัพเกรด / ติดตั้ง / เฉพาะระบบจะถูกตั้งค่าสถานะ / ทำเครื่องหมายว่ามีการเปลี่ยนแปลง

อัปเดต 2018-05-06:

ฉันควรเพิ่มว่าระบบเป้าหมายต้องถูกตรวจสอบออฟไลน์ หากเป้าหมายถูกโจมตีฮาร์ดแวร์เฟิร์มแวร์สำหรับเริ่มระบบเคอร์เนลระบบปฏิบัติการเคอร์เนลไดรเวอร์ระบบห้องสมุดไบนารีอาจถูกบุกรุกแล้วและแทรกแซงหรือส่งคืนผลบวกปลอม แม้การทำงานข้ามเครือข่ายไปยังระบบเป้าหมายอาจไม่ปลอดภัยเนื่องจากระบบเป้าหมาย (ที่ถูกบุกรุก) จะทำการประมวลผลแพ็กเก็ตเครือข่ายระบบไฟล์อุปกรณ์บล็อก ฯลฯ localy

สถานการณ์ที่เล็กที่สุดที่เทียบเคียงได้คือสมาร์ทการ์ด (EMV ที่ใช้ในบัตรเครดิต, PIV ที่รัฐบาลใช้เป็นต้น) การไม่คำนึงถึงอินเทอร์เฟซแบบไร้สายและการป้องกัน hw / electric / rf ส่วนติดต่อทั้งหมดนั้นเป็นพอร์ตอนุกรมสามสายหรือสองสาย API นั้นได้มาตรฐานและเป็นกล่องสีขาวดังนั้นทุกคนเห็นด้วยว่าไม่อนุญาต พวกเขาปกป้องข้อมูลในการขนส่งในหน่วยความจำรันไทม์ที่เหลือในหน่วยความจำแฟลช?

แต่การใช้งานเป็นแหล่งปิด อาจมีแบ็คดอร์ในฮาร์ดแวร์เพื่อคัดลอกรันไทม์ทั้งหมดและหน่วยความจำแฟลชออก คนอื่น ๆ อาจจัดการข้อมูลในการขนส่งระหว่างฮาร์ดแวร์และหน่วยความจำภายในสมาร์ทการ์ด OS หรือ I / O จาก / ไปยังการ์ด แม้ว่า hw / fw / sw / compilers เป็นโอเพ่นซอร์สคุณจะต้องตรวจสอบทุกอย่างในทุกขั้นตอนและคุณก็ยังพลาดสิ่งที่คุณ / คนอื่นไม่ได้คิด ความหวาดระแวงสามารถส่งคุณเข้าไปในห้องยางสีขาว

ขออภัยที่วิ่งออกไปเป็นโรคจิตแพระโนยะ นำไดร์ฟเป้าหมายออกมาทดสอบอย่างจริงจัง คุณต้องกังวลกับไดรฟ์เป้าหมาย hw / fw เท่านั้น ยังดีกว่าเพียงถอด HDD platters / SSD flash เพื่อทดสอบ (สมมติว่าระบบทดสอบของคุณเป็นสีทอง) ;)