Gruppe: Internet und Recht

Ein ungenannt bleiben wollender Mitdiskutant schrieb:

Wer klug genug ist rein zu kommen, der manipuliert auch die Logs. (Soweit noch kleines 1x1)
Das ist meiner Erfahrung nach nicht richtig. Die überwiegende Mehrzahl derer, die "reinkommen", schaffen es nicht, die Logs zu manipulieren. Viele machen sich nicht einmal die Mühe, es zu versuchen.

Tilman Schmidt schrieb:
Wer klug genug ist rein zu kommen, der manipuliert auch die Logs. (Soweit noch kleines 1x1)
 
Das ist meiner Erfahrung nach nicht richtig. Die überwiegende Mehrzahl derer, die "reinkommen", schaffen es nicht, die Logs zu manipulieren. Viele machen sich nicht einmal die Mühe, es zu versuchen.
Dem kann ich mich nur anschliessen. Viele versuchen es erst gar nicht.
Wobei das häufig ja auch nicht notwendig ist, wenn ein Angreifer über eine VPN/Proxy/Shell Connection kommt.
Von daher ... schönes WE :)

Ein ungenannt bleiben wollender Mitdiskutant schrieb:

Sich auf die Integrität der Log-Files zu verlassen und daraus den Schluss ziehen, dass das System ebenfalls integer ist, ist aber zumindest gewagt.
Ich glaube nicht, dass irgendeiner der Anwesenden das tun würde.

Ich bleib dabei, dass zumindest eine elementare Verschleierung Kleines 1x1 ist.
Voraussetzung selbst für elementare Verschleierung sind (zumindest auf vernünftig administrierten Systemen) root-Rechte. Der Standardweg fast aller Eindringlinge geht aber über einen nichtprivilegierten Account mit anschließender privilege escalation. Letztere scheitert (zumindest auf vernünftig administrierten Systemen) in der Mehrzahl der Fälle, weil die Sicherheitslücke, die sie ausnutzen wollte, schon gepatcht ist. Ergebnis: Der Angreifer war "klug genug rein zu kommen" (insoweit dazu Klugheit erforderlich ist), nicht aber "manipuliert er auch die Logs" (weil er es nicht schafft). q.e.d. - 1x1=0 :-)