Oparty na sygnaturach skaner rootkitów?

Obecnie jedyne znane mi skanery rootkitów muszą być zainstalowane na komputerze przed rootkitem, aby mogły porównywać zmiany plików itp. (Np .: chkrootkiti rkhunter), ale tak naprawdę muszę zrobić, aby móc skanować moją maszynę i inne maszyny z LiveUSB, ponieważ jeśli rootkit jest wystarczająco dobry, przejmie również programy wykrywające rootkity.

Czy jest więc oparty na sygnaturach skaner rootkitów dla Ubuntu / Linux, który mógłbym po prostu zainstalować na LiveUSB i używać do niezawodnego skanowania komputerów, do których go podłączam, bez konieczności monitorowania zachowania lub porównywania plików z poprzednich dat?

AIDE ( dvanced I ntruder D Detekcja E nvionment) jest zamiennikiem do wymienionych tu w innej odpowiedzi. Z wikipedii :tripwire

Zaawansowane środowisko wykrywania włamań (AIDE) zostało pierwotnie opracowane jako darmowy zamiennik Tripwire na licencji GNU General Public License (GPL).

Głównymi programistami są Rami Lehti i Pablo Virolainen, którzy są związani z Politechniką Tampere, wraz z Richardem van den Bergiem, niezależnym holenderskim konsultantem ds. Bezpieczeństwa. Projekt jest wykorzystywany w wielu systemach uniksowych jako tani system kontroli linii bazowych i system wykrywania rootkitów.

Funkcjonalność

AIDE wykonuje „migawkę” stanu systemu, rejestruje skróty, czasy modyfikacji i inne dane dotyczące plików zdefiniowanych przez administratora. Ta „migawka” służy do budowy bazy danych, która jest zapisywana i może być przechowywana na urządzeniu zewnętrznym w celu przechowywania.

Gdy administrator chce uruchomić test integralności, umieszcza wcześniej zbudowaną bazę danych w dostępnym miejscu i wydaje polecenie AIDE, aby porównać bazę danych z rzeczywistym stanem systemu. Jeśli na komputerze nastąpiła zmiana między utworzeniem migawki a testem, AIDE wykryje ją i zgłosi administratorowi. Alternatywnie AIDE można skonfigurować tak, aby działał zgodnie z harmonogramem i codziennie raportował zmiany za pomocą technologii planowania, takich jak cron, co jest domyślnym zachowaniem pakietu AIDE Debiana. 2)

Jest to przydatne głównie ze względów bezpieczeństwa, biorąc pod uwagę, że wszelkie złośliwe zmiany, które mogły mieć miejsce w systemie, były zgłaszane przez AIDE.

Od czasu napisania artykułu z Wikipedii obecny opiekun Richard van den Berg (2003-2010) został zastąpiony przez nowego opiekuna Hannesa von Haugwitz od 2010 roku do chwili obecnej.

Strona główna AIDE stwierdza, że ​​Debian jest obsługiwany, co oznacza, że ​​aplikację można zainstalować w ubuntu z przewidywalnym:

sudo apt install aide

Jeśli chodzi o przenośność i obsługę pendrive'a, strona główna mówi dalej:

Tworzy bazę danych na podstawie reguł wyrażeń regularnych, które znajduje w plikach konfiguracyjnych. Po zainicjowaniu tej bazy danych można jej użyć do weryfikacji integralności plików. Ma kilka algorytmów podsumowania wiadomości (patrz poniżej), które są używane do sprawdzania integralności pliku. Wszystkie typowe atrybuty plików można również sprawdzić pod kątem niespójności. Może czytać bazy danych ze starszych lub nowszych wersji. Więcej informacji można znaleźć na stronach podręcznika dystrybucji.

Oznacza to dla mnie, że możesz mieć bazę sygnatur na swoim pendrivie wraz z aplikacją na trwałym nośniku USB na żywo. Nie jestem pewien, czy AIDE pasuje do twoich potrzeb, ale ponieważ jest to zamiennik tripwiretwojego obecnego ulubionego, na co powinien patrzeć.

Przypomina mi tripwire, który tworzy kryptograficzne sumy kontrolne określonych plików. Zainstaluj kopię sprawdzanego systemu ze znanego dobrego źródła (na przykład DVD), zainstaluj te same aktualizacje systemu docelowego), niech tripwire utworzy plik sumy kontrolnej. Skopiuj plik sumy kontrolnej tripwire do systemu docelowego, poproś tripwire o porównanie pliku sumy kontrolnej z plikami systemu docelowego.

Bez synchronizacji aktualizacje / aktualizacje / instalacje / specyficzne dla systemu pliki konfiguracyjne zostaną oczywiście oznaczone / oznaczone jako zmienione.

Aktualizacja 2018-05-06:

Powinienem również dodać, że system docelowy musi być sprawdzony offline. Jeśli cel został przejęty, sprzęt, oprogramowanie rozruchowe, jądro systemu operacyjnego, sterowniki jądra, biblioteki systemowe, pliki binarne mogły już zostać naruszone i zakłócać lub zwracać fałszywe alarmy. Nawet uruchomienie przez sieć do systemu docelowego może nie być bezpieczne, ponieważ (zaatakowany) system docelowy przetwarzałby pakiety sieciowe, system plików, urządzenie blokujące itp. Lokalnie.

Najmniejszym porównywalnym scenariuszem, jaki przychodzi na myśl, są karty inteligentne (EMV stosowany w kartach kredytowych, PIV stosowany przez rząd federalny itp.). Niezależnie od interfejsów bezprzewodowych i wszystkich zabezpieczeń HW / Electrical / RF, interfejs styku jest zasadniczo portem szeregowym, trzyżyłowym lub dwuprzewodowym. Interfejs API jest znormalizowany i ma białe pudełko, więc wszyscy zgadzają się, że jest nieprzepuszczalny. Czy chronili przesyłane dane, w pamięci wykonawczej, w spoczynku w pamięci flash?

Ale implementacja jest zamkniętym źródłem. W sprzęcie może istnieć backdoor do kopiowania całego środowiska wykonawczego i pamięci flash. Inni mogą manipulować danymi przesyłanymi między sprzętem a pamięcią wewnętrzną, systemem operacyjnym Smart Card OS lub we / wy z / na kartę. Nawet jeśli hw / fw / sw / kompilatory są oprogramowaniem typu open source, będziesz musiał wszystko kontrolować na każdym kroku, a mimo to możesz przeoczyć coś, o czym my / inni nie pomyśleliście. Paranoja może wysłać cię do białego pokoju z gumy.

Przepraszam za ucieczkę na styczną paranoi. Poważnie, zabierz dyski docelowe na test. Wtedy musisz się tylko martwić o docelowy napęd hw / fw. Jeszcze lepiej, po prostu wyjmij dyski HDD / układy pamięci flash SSD do przetestowania (zakładając, że twój system testowy jest złoty). ;)