yo20063 Posted September 10, 2015 Report Share Posted September 10, 2015 (edited) Zilele astea ma gandeam la fisierele log de pe servere si eligibilitatea lor ca probe intr-un proces de intruziune informatica, mai exact posibilitatea ca acele fisiere sa fie modificate/fabricate in defavoarea acuzatului. Spre uimirea mea am testat si am descoperit ca acest lucru este foarte usor de facut prin alterarea timestamp-ului fisierului.In poza de mai jos afisez un fisier text creat ieri, am modificat "date" in system apoi am modificat fisierul si dupa cum se vede a functionat. Singura problema intalnita este ca dupa vreo 2 secunde system date and time se updata automat la data curenta, sunt sigur ca exista workaround si pentru asta doar ca nu am aprofundat. Credeti ca acuzatul respectiv ar putea respinge acest fel de dovada ca proba intr-un proces?Ca rezolvare ma gandeam daca s-ar putea implementa in OS ca timestamp-ul sa fie implementat din hw clock // nevermind, se pare ca si hw clock poate fi modificat din OS PS: Nu am nici o problema legala, e doar un gand care ma sacaie Edited September 10, 2015 by yo20063 Quote Link to comment Share on other sites More sharing options...
Andrei Posted September 10, 2015 Report Share Posted September 10, 2015 (edited) Se poate altera mai frumos asa (evident, chance-ul nu se va altera pentru ca nu ai schimbat nici un meta):xxx@dctf:# touch -a -m -t 202001181205.09 dctf2015.jpgxxx@dctf:# stat dctf2015.jpg File: ‘dctf2015.jpg’ Size: 24721 Blocks: 56 IO Block: 4096 regular fileDevice: fffe05h/114517d Inode: 58642 Links: 1Access: (0644/-rw-r--r--) Uid: ( 33/www-data) Gid: ( 33/www-data)Access: 2020-01-18 12:05:09.000000000 +0100Modify: 2020-01-18 12:05:09.000000000 +0100Change: 2015-09-10 10:02:26.217685999 +0200 Birth: -Anyway, ideea e ca log-urile ar trebui privite ca o forma de "declaratie a unui martor", sau cel putin eu asa le vad. Tu vii cu log-urile si il dai in judecata pe Y ca a desfasurat activitati ilegale evident, alaturi de orice alte dovezi mai poti aduna in directia asta. Apoi daca esti suficient de credibil ar trebui sa se confirme ipoteza si pe partea cealalta (traficul atacatorului, dispozitive analizate, asigurarea ca invinuitul era cel care folosea calculatorul in momentul faptei etc.). E doar un exemplu, situatiile sunt mult mai subiective si aplicarea lor in viata reala cel mai probabil va bate toate ipotezele ce le vom discuta.In final totul se rezuma la cine stie sa acuze sau sa se apere mai bine (sau interesele), pentru ca e un spatiu mai nou si pentru judecatori & co si e lipsa de experti in zona asta. Edited September 10, 2015 by Andrei Quote Link to comment Share on other sites More sharing options...
