[Flug] Rapporto dettagliato

Sergio Ballestrero s.ballestrero@firenze.linux.it
Lun 4 Lug 2005 12:14:54 CEST


Leandro Noferini wrote:

>Al momento del ritiro dell'hardware, avvenuto verso le 11.30, sono
>state riscontrate le seguenti anomalie:
>
>   ll server (di tipo rack 1U) aveva il coperchio del case chiuso con
>le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
>anche graffi sullo stesso coperchio dovuti all'inserimento e
>all'estrazione dall'armadio rack;
>   il cavo ide di collegamento del cdrom era completamente staccato;
>   le viti di fissaggio delle slitte dei dischi fissi erano mancanti.
>
>È stato deciso di riprendere ugualmente il server e di riportarlo a
>Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
>provider.
>  
>
Erano presente qualcuno del personale del provider? gli e' stata fatto 
presente quanto rilevato ?

>Durante il viaggio di ritorno sono stati presi contatti telefonici da
>parte dei due aderenti del Flug con i nostri riferimenti del provider
>Dada: nelle conversazioni telefoniche con questi riferimenti (prima
>commerciale e poi tecnico) Ú stato confermato lo spostamento di
>stanza programmato (vedi down), spostamento peraltro verificato
>direttamente dai due incaricati (i quali erano presenti anche alla
>prima installazione), ma sono state escluse manomissioni
>dell'hardware.
>
>All'arrivo a Firenze il server Ú stato riavviato più volte per  ente
>problemi con il kernel installato; solo in un secondo tempo Ú
>iniziata l'analisi delle tracce di manomissione.
>
>Ad un'analisi più specifica dell'hardware (in particolare il
>controller dei dischi che non permette l'installazione di dispositivi
>di memorizzazione non presenti all'avvio) sono state escluse
>manomissioni "a caldo" cioÚ con il sistema operativo funzionante e
>quindi se queste manomissioni sono avvenute devono essere
>manomissionistate compiute necessariamente dopo un riavvio. I riavvii
>  
>
intrusioni, piu' che manomissioni.

>durante la permanenza ad Inet sono stati tre:
>il giorno dell'installazione, compiuta da tre aderenti al Flug;
>il giorno successivo ad opera di un altro aderente del Flug per
>ovviare a problemi riscontrati con uno degli slot della ram;
>durante lo spostamento degli armadi del provider Dada che ospitavano
>il server, così come annunciato anche nella lista di discussione
>generale del Flug (flug@firenze.linux.it, vedi
>https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).
>  
>
Come possiamo essere sicuri che non ci siano stati altri riavvi, se il 
sistema e' compromesso e i log conseguentemente non credibili ?

>Delle prime due serie di operazioni al server risulta assolutamente
>accettabile l'esclusione di un riassemblamento inaccurato; della terza
>risulta difficilmente accettabile supporre manomissioni involontarie o
>dovute a ragioni contingenti allo spostamento. D'altro canto non ci Ú
>neanche possibile escluderle dato il fatto che nessuno del Flug era
>là presente.
>  
>
manomissioni "involontarie" direi che siano da escludere a priori - 
diciamo "non a fini di intrusione" ?

>Per queste considerazioni risulta evidente che se manomissione c'Ú
>stata questa deve essere necessariamente avvenuta durante quest'ultimo
>riavvio, cosa peraltro assolutamente esclusa dai rappresentanti
>tecnici di Dada, così come scritto in precedenza.
>  
>
La manomissione in senso stretto c'e' stata, le foto lo dimostrano. 
L'integrita' fisica del server e' stata chiaramente violata.
Mi sembra ancora da dimostrare, invece, che debba necessariamente essere 
avvenuta in quel momento - come dicevo a proposito dei log.

>Il gruppo di persone che nel frattempo si era riunito ha però deciso
>lo stesso di considerare il server manomesso data la presenza di dati
>  
>
sostituirei "manomesso" con "non sicuro"

>delicati (in particolare le chiavi del remailer antani) e quindi di
>non reinserire in rete il server e di procedere ad una nuova
>installazione del software e di non rendere subito disponibili i dati
>ospitati ma di attendere un controllo da parte dei vari responsabili.
>Ã stato deciso inoltre di non riavviare il remailer fino a quando
>non sarà possibile revocare le vecchie chiavi (dichiarandole
>compromesse) e di ripartire con chiavi nuove.
>
>L'installazione Ú avvenuta su due nuovi dischi con caratteristiche
>tecniche uguali ai precedenti: questi sono in consegna ad un aderente
>del Flug in attesa di svolgere analisi forense dei dati contenuti.
>  
>
I dischi sono stati "sigillati" prima di essere consegnati 
all'incaricato, se non ho capito male - andrebbe fatto presente.

Ciao,
Sergio

PS - ho dei problemi con il character encoding del rapporto - e' il mio 
Thunderbird che sta dando i numeri ?




Maggiori informazioni sulla lista flug