Der Angreifer hat zwei Möglichkeiten: Logs fälschen oder Logs löschen. Diese Lösung zielt nur auf die Manipulation von Logs. Um mich gegen das Löschen von Logs zu schützen, benötige ich zusätzlich einen separaten Server, der die Logs sammelt. Als Administrator muss ich mich gegen beides wappnen, also brauche ich den zentralen Log-Server sowieso, und wenn ich den habe, schützt er mich auch gleichzeitig gegen die Manipulation der Logs. Also brauche ich keine signierten Logfiles auf dem Host selbst. Für den Unternehmenseinsatz ist das Prinzip also schon mal nichts.
Sind meine Anforderungen nicht hoch genug, um einen zentralen Log-Server einzusetzen, dann hilft mir diese Lösung auch nicht wirklich weiter, denn der Angreifer löscht einfach die Logs. Die Wahrscheinlichkeit, dass ich gerade meine Logs beobachte und den Angriff bemerke, während er noch läuft, ist gleich Null. Am Ende wurde also eingebrochen, und die Beweise sind einfach weg. Diese Lösung ist also auch für einzelne Hosts und Privatanwender wertlos, zumal in diesem Umfeld auch garantiert keiner anfängt, sich um irgendwelche Signatur-Keys zu kümmern.
Entsprechend wundere ich mich, wer diese Lösung in real einsetzen will. Ich persönlich würde allein schon deswegen nicht darauf bauen, weil die von Poetterings Bruder entwickelten Forward Secure Pseudo Random Generators bislang keiner externen Prüfung unterzogen wurden. Wenn Bruce Schneier morgen um die Ecke kommt, und die Qualität dieser Generatoren bescheinigt, dann vielleicht. Vorher nicht.
Wenn die Logs komplett gelöscht werden ist es eher unwahrscheinlich das dies unbemerkt geschieht. Wenn jemand die Logs manipuliert kann es schon sein, dass das mglw. nie auffällt. Sowie jemand merkt, dass du deine Spuen verwischt hast, hast du deine Spuren nicht wirklich verwischt.
Es ist unglaublich wofür heutzutage Logfiles so missbraucht werden. Schau dir z.B. die Unmengen von Bezahlsystemen an, welche auf Basis von Logdateien arbeiten. Da könnte sich ein bischen rummanipulieren schon lohnen.
Nach der Logik kann man beliebige Sicherheitsmechanismen als überflüssig deklarieren. Außerdem: warum sollte der eigentliche Zweck eines Angriffs nicht in der Manipulation von Logs selbst bestehen? Genau in diesem Fall hilft ein solcher Mechanismus.
Nein, der zentrale Log-Server ist sicher und sinnvoll und erschlägt gleich beide (löschen/manipulieren) Probleme. Und was ist eigentlich, wenn der Angreifer einen Weg ins System findet, der nicht geloggt wird, und dann absichtlich falsche Einträge zum Log hinzufügt? Dann werden diese auch noch als legitim betrachtet und signiert.
verspricht er doch alles andere als Sicherheit.
Vergleiche: systemd und système D.
"Système D" beschreibt im Französischen das Umgehen von Problemen auf unkonventionelle Weise. Find ich gut.
Der Angreifer hat zwei Möglichkeiten: Logs fälschen oder Logs löschen. Diese Lösung zielt nur auf die Manipulation von Logs. Um mich gegen das Löschen von Logs zu schützen, benötige ich zusätzlich einen separaten Server, der die Logs sammelt. Als Administrator muss ich mich gegen beides wappnen, also brauche ich den zentralen Log-Server sowieso, und wenn ich den habe, schützt er mich auch gleichzeitig gegen die Manipulation der Logs. Also brauche ich keine signierten Logfiles auf dem Host selbst. Für den Unternehmenseinsatz ist das Prinzip also schon mal nichts.
Sind meine Anforderungen nicht hoch genug, um einen zentralen Log-Server einzusetzen, dann hilft mir diese Lösung auch nicht wirklich weiter, denn der Angreifer löscht einfach die Logs. Die Wahrscheinlichkeit, dass ich gerade meine Logs beobachte und den Angriff bemerke, während er noch läuft, ist gleich Null. Am Ende wurde also eingebrochen, und die Beweise sind einfach weg. Diese Lösung ist also auch für einzelne Hosts und Privatanwender wertlos, zumal in diesem Umfeld auch garantiert keiner anfängt, sich um irgendwelche Signatur-Keys zu kümmern.
Entsprechend wundere ich mich, wer diese Lösung in real einsetzen will. Ich persönlich würde allein schon deswegen nicht darauf bauen, weil die von Poetterings Bruder entwickelten Forward Secure Pseudo Random Generators bislang keiner externen Prüfung unterzogen wurden. Wenn Bruce Schneier morgen um die Ecke kommt, und die Qualität dieser Generatoren bescheinigt, dann vielleicht. Vorher nicht.
Wenn die Logs komplett gelöscht werden ist es eher unwahrscheinlich das dies unbemerkt geschieht. Wenn jemand die Logs manipuliert kann es schon sein, dass das mglw. nie auffällt. Sowie jemand merkt, dass du deine Spuen verwischt hast, hast du deine Spuren nicht wirklich verwischt.
Es ist unglaublich wofür heutzutage Logfiles so missbraucht werden. Schau dir z.B. die Unmengen von Bezahlsystemen an, welche auf Basis von Logdateien arbeiten. Da könnte sich ein bischen rummanipulieren schon lohnen.
Nach der Logik kann man beliebige Sicherheitsmechanismen als überflüssig deklarieren. Außerdem: warum sollte der eigentliche Zweck eines Angriffs nicht in der Manipulation von Logs selbst bestehen? Genau in diesem Fall hilft ein solcher Mechanismus.
Nein, der zentrale Log-Server ist sicher und sinnvoll und erschlägt gleich beide (löschen/manipulieren) Probleme. Und was ist eigentlich, wenn der Angreifer einen Weg ins System findet, der nicht geloggt wird, und dann absichtlich falsche Einträge zum Log hinzufügt? Dann werden diese auch noch als legitim betrachtet und signiert.