Este artículo ha sido consultado en 1,318 ocasiones.

- J.J.F. / Hackers Team - Security Documentation.

Conde Vampiro - conde@jjf.org

URL: http://www.jjf.org

Todos los derechos reservados por - J.J.F. / Hackers Team -. © 1998.

Este documento es de libre distribución y esta prohibida su alteración.

1.Introduccion.

2.Pasos a seguir para detectar a un intruso.

3.Diversas utilidades para la tarea.

4.Con quien contactar en caso de denuncia o necesitar soporte tecnico y/o legal.

5.Bibliografia.

1. Introduccion.

Este documento esta dirigido hacia aquellas personas con un cierto conocimiento de la materia o por lo menos conocimiento de administracion bajo Unix. Por eso es de vital interes para los administradores, auditores de seguridad, fuerzas de la autoridad y todo aquel interesado en la materia. No incluyo bocabulario y pueden que ciertas materias (como por ejemplos, comandos y ficheros) no sean explicados, ya que asumo un cierto conocimiento por parte del lector, ademas decir que solo nos enfocaremos al analisis logico, en ningun caso al fisico.

La labor de un administrador o de la persona encargada de la seguridad de un sistema informatico puede ser realmente frustrante. Sobre todo cuando nuestro sistema a sido invadido por un intruso o pirata (logicamente no usaremos la palaba Hacker). En este singular documento intentare explicar los diferentes peligros al cual se expone un administrador y como enfrentarse a los mismos, asi como tambien con quien se debe poner en contacto en caso de necesitar ayuda tecnica o demandar al intruso en cuestion.

En principio, si hemos configurado correctamente nuestro servidor y estamos al dia en materia de seguridad, asi como de fallos (bug) que van surgiendo, no tendremos problemas de que un intruso nos entre en nuestro sistema. Realmente con un poco de esfuerzo podemos tener un servidor altamente seguro que nos evitara alrededor del 85% de los intentos de acceso no autorizados a nuestro sistema, pero en muchas ocasiones el peligro viene de los propios usuarios internos del sistema, los cuales presentan un gran riesgo debido a que ya tiene acceso al sistema, pero como siempre existen metodos de seguridad para controlar a los usuarios legitimos.

Aqui nos enfocaremos a servidores con el sistema Unix, debido a que es uno de los sistemas operativos mas explotados del cyberespacio. Como ya he mencionado aqui solo trataremos el punto de vista de cuando un intruso ya ha invadido nuestro sistema.

2. Pasos a seguir para detectar a un intruso.

Lo primero que debemos hacer, es seguir una serie de pasos los cuales nos ayudaran a descubrir si realmente ha entrado un intruso, ya que en muchas ocasiones pensamos que ha entrado alquien pero no es cierto. Por eso, ante todo CALMA, esto es lo mas importante para un buen administrador.

Realmente en muchas ocaciones es facil detectar a un intruso, ya que suelen seguir un patron detectable, el cual seria el siguiente:

Este esquema es basicamente los pasos de un intruso, primero entra al sistema, si solo tiene acceso como usuario explotara algun fallo del sistema para obtener ID 0 o lo que es lo mismo, privilegios de root, en caso de entrar como root u obtenerlo de alguna otra manera, se dedicara a controlar el sistema, dejando algun mecanismo para volver cuando quiera, seguramente copiara el fichero /etc/passwd y el /etc/shadow, en caso de que el sistema use "Shadow", luego le dara rienda suelta a su imaginacion, como por ejemplo, instalar un sniffer, troyanos, leer mail's ajenos, etc. Y en caso de ser un pirata malicioso puede causar desastres en el sistema, como seria el caso de modificar paginas web, borrar ficheros o mail's, producir un DoS (Denial of Service), cambiar passwords de usuarios legitimos, etc.

A continuacion pongo diferentes pasos a seguir por diferentes colectivos de seguridad como son el CERT, ISS, etc.

Esto son los pasos a seguir del CERT (http://www.cert.org):

Examinar los ficheros log como el 'last' log, contabilidad, syslog, y los C2 log buscando conexiones unusuales o cosas sospechosas en el sistema. Aunque ahi que tener especial cuidado en guiarnos por los log's, ya que muchos intrusos utilizaran diversas herramientas para borrar sus huellas.

Buscar por el sistema ficheros ocultos o unusuales (ficheros que empiezan por un '.' (punto), no salen con un simple 'ls'), ya que pueden ser usado para esconder herramientas para romper la seguridad del sistema, por ejemplo un crackeador o incluso contener el /etc/passwd del sistema o de otros sistemas al cual ha entrado nuestro intruso. Muchos piratas suelen crear directorios ocultos utilizando nombres como '...' (punto-punto-punto), '..' (punto-punto), '..^g' (punto-punto control+G). En algunos casos un pirata ha utilizado nombres como '.x' o '.hacker' o incluso '.mail'.

Buscar ficheros SET-UID por el sistema. Ya que en muchas ocasiones los piratas suelen copiar y dejar escondido copias del /bin/sh para obtener root. Podemos utilizar el comando 'find' para buscar este tipo de ficheros por el sistema (el comando 'find' puede ser sustituido por un troyano para esconder ficheros del pirata, por lo que no es totalmente fiable), para ello ejecutamos la siguiente linea:

# find / -user root -perm -4000 -print

Revisar los ficheros binarios del sistema para comprobar que no han sido sustituidos por un troyano, como por ejemplo los programas 'su', 'login', 'telnet' y otros programas criticos del sistema. (Existen varias herramientas conocidas como 'RootKit' que permite a un pirata cambiar los binarios del sistema por troyanos que son copias exactas de los originales). Lo recomendado es comparar con las copias de seguridad aunque puede que las copias de seguridad tambien hayan sido sustituidas por un troyano.

Examinar todos los ficheros que son ejecutados por 'cron' y 'at'. Ya que algunos piratas depositan puertas traseras que le permiten volver al sistema aunque los hayamos echado del sistema. Asegurarse que todos los ficheros son nuestros y no tienen permiso de escritura.

Examinar el fichero /etc/inetd.conf en busca de cambios, en especial aquellas entradas que ejecuten un shell (por ejemplo: /bin/sh o /bin/csh) y comprobar que todos los programas son legitimos del sistema y no troyanos.

Examinar los ficheros del sistema y configuracion en busca de alteraciones. En particular, buscar entradas con el signo '+' o 'host names' no apropiados en ficheros como /etc/hosts.equiv, /etc/hosts.lpd y en todos los ficheros .rhost del sistema, con especial interes los de 'root', 'uucp', 'ftp' y otras cuentas del sistema. Estos ficheros no deberian tener atributo de escritura.

Examinar cuidadosamente todos los ordenadores de nuestra red local en busca de indicios que nuestra red ha sido comprometida. En particular, aquellos sistemas que compartan NIS+ o NFS, o aquellos sistemas listados en el /etc/hosts.equiv. Logicamente tambien revisar los sistemas informaticos que los usurios comparten mediante el acceso del .rhost.

Examinar el fichero /etc/passwd, en busca de alteraciones en las cuentas de los usuarios o la creacion de cuentas nuevas, especialmente aquellas cuentas con ID 0, las que no tienen password, etc.

Estos nueve puntos, como ya he dicho son los pasos a seguir recomendados por el CERT, los cuales estan muy bien pero se quedan un poco cortos de soluciones practicas para el administrador. Para ello nos vamos a basar en un excelente trabajo de un grupo de Hackers conocidos como Technotronic (http://www.technotronic.com), los cuales se basan en el mismo documemento pero explicando los metodos de los piratas y como combatirlos. Los cuales son los siguientes:

Los ficheros Log:

* messages: Este fichero contiene bastante informacion, por lo que debemos buscar sucesos unusuales.

* xferlog: Si el sistema comprometido tiene servicio FTP, este fichero contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas a subido el pirata y que ficheros ha bajado de nuestro servidor.

* utmp: Este fichero contiene informacion en binario de todos los usuarios conectados al sistema en el momento. Por lo que puede ser muy util para determinar quien esta conectado al sistema en este momento. Para ello ejecutaremos el comando 'who' o 'w'.

* wtmp: Cada vez que un usuario entra al servidor, sale del mismo, la maquina resetea, este fichero es modificado. Este fichero al igual que el anterior esta en binario por lo que tendremos que usar alguna herramienta especial para ver el contenido de este fichero. Este fichero contiene la informacion en formato usuario, hora de conexion, e IP origen del usuario, por lo que podemos averiguar de donde provino el pirata (decir que aunque contemos con esta informacion puede que haya sido falseada por el pirata utilizando alguna tecnica para ocultar su IP original o haya borrado su entrada).

* secure: Algunos sistemas Unix loggean mensajes al fichero secure, ya que utilizan algun software de seguridad para ello, como el TCP Wrapper.

Muchos piratas intentaran borrar sus huellas utilizando unos programas conocidos como 'Zapper's' o 'Zap'. Los mas habituales, debido aque estan ampliamente disponibles por Internet, son los siguientes, aunque existen mas en realidad:

* marry.c

* zap.c

* zap2.c

* remove.c

* cloak.c

Por supuesto contamos con mecanismos para detectar este tipo de programas, esto lo explicare en la seccion de herramientas.

Debemos buscar cuidadosamente ficheros SETUID o SETGID (especialmente aquellos ficheros SETUID de root). Para ello podemos utilizar, otra vez, el comando 'find' y escribimos lo siguiente:

# find / -group kmen -perm -2000 -print

o también:

# find / -user root -perm -4000 -print -xdev

incluso

# ncheck -s /dev/rsd0g

Este ultimo comando 'ncheck' nos permitira buscar ficheros SETUID por las particiones.

Buscar troyanos en nuestros ficheros binarios. Ya que suele ser una de las tareas principales de un pirata cuando a comprometido la seguridad de un servidor. Una lista pero no exhaustiva de posibles binarios que un pirata puede sustituir, es la siguiente:

* login

* su

* telnet

* netstat

* ifconfig

* ls

* find

* du

* df

* libc

* sync

* asi como los binarios listados en /etc/inetd.conf.

Al igual que antes tenemos varias utilidades ampliamente disponibles para detectar estos troyanos, por otro lado, los piratas tambien tienen ampliamente disponible estos paquetes de troyanos, conocidos como 'RootKit', como ya mencione antes.

Otras de las principales tareas de un pirata consiste en la utilizacion de sniffers, para capturar informacion confidencial. Y como siempre los sniffers mas usados por los piratas, son los siguientes:

* linsniff666.c

* esniff.c

* solsniff.c

* sunsniff.c

* sniffit

Ahora nos enfocaremos en la parte de los passwords, no veo necesario explicar el fichero /etc/passwd ademas de donde se haya. Un pirata intentara por todos los medios obtener el fichero de passwords, para usar un programa especial que le permitira averiguar los passwords de los usuarios. Los principales 'crackeadores' son:

* Crack

* John The Ripper 1.5

* Cracker Jack

* Hades

Bueno ya hemos visto diferentes tecnicas que emplearan los piratas contra nuestro sistema, por lo que estamos mejor preparados para enfrentarnos a ellos. Ahora nos enfocaremos de forma mas practica a los diferentes pasos a seguir cuando hemos detectado un pirata.

Si hemos pillado al intruso en el momento, tenemos varias opciones:

* Hablar con el, usando el comando 'talk', aunque debemos tener en cuenta que puede contestar de forma amistosa (ayudandomos con la seguridad del sistema) o agresiva (borrarando el sistema para no dejar rastro).

* Desconectarle del sistema, usando el comando 'kill', pero para evitarnos que vuelva a entrar, antes de usar 'kill', usaremos el comando 'passwd' para cambiar el password de la cuenta por el cual el pirata entro, por ejemplo, podemos ejecutar los siguientes comandos:

# ps -aux

USER PID %CPU %MEN VSIZE RSIZE TT STAT TIME COMMAND

ROOT 1434 20.1 1.4 968K 224K 01 R 0:00 ps aux

intruso 147 1.1 1.9 1.02K 304k p3 S 0:07 ~ (csh)

intruso 321 10.0 8.7 104k 104k P3 S 0:09 cat /etc/passwd

intruso 339 8.0 3.7 2.05K 456k P3 S 0:09 crack

# passwd intruso

Changing password for intruso

New password: noentrasmas

Retype new password: noentrasmas

# kill -9 147 321 339

Utilizar las utilidades del sistema para recopilar informacion del pirata, en caso de denuncia sera necesaria. Por lo que trataremos de 'tracearle', usando los siguientes comandos:

* who

* w

* last

* lastcomm

* netstat

* snmpnetstat

* Obtener informacion del router.

* Examinar el fichero /var/adm/messages.

* Examinar el syslog.

* Examinar los log del wrapper.

* Ejecutar el comando 'finger' en todos los usuarios locales, para comprobar cuando fue la ultima vez que estuvieron en el sistema.

* Examinar los ficheros history del shell, como el .history, .rchist y ficheros similares.

Ejecutando el comando 'finger', intentaremos sacar informacion del host de donde provino el ataque, como por ejemplo:

# finger @intruso.es

o también:

# finger intruso@intruso.es

Si tenemos suerte podremos sacar informacion del host del cual provino el ataque.

Tambien podemos dirigirnos a Internic (http://www.internic.net) donde podemos pedir informacion de cualquier servidor del mundo, siempre y cuando no sea militar. Alli ponemos el dominio del servidor donde provino el ataque, y podremos ver con quien debemos ponernos en contacto con el servidor atacante. Si existe un telefono de contacto, lo mejor seria llamar a la persona encargada, ya que si enviamos un mail informandole que tiene un pirata puede que el pirata intercepte el mensaje y se haga pasar por el administrador. En caso de vernos forzados a escribir un mail, poner cualquier pretexto para tener que hablar por telefono con el administrador del servidor atacante, si es necesario ofrecenos a pagar la llamada nosotros mismos, en calidad de buenas intenciones. A parte del website de Internic tambien podemos conectar via Telnet para solicitar informacion de un servidor.

Ahora que tenemos bastante informacion del atacante, lo mejor seria desconectar nuestro servidor de Internet y dedicarnos unos dias a repasar cuidadosamente lo sucedido. Ademas si nadie accede al servidor durante unos dias podremos trabajar mejor y mas rapido.

Tendremos que hacer una copia de seguridad, por lo que ejecutaremos la siguiente sentencia:

# dd if=/dev/sda of=/dev/sdb

En caso de duda de como usar el comando 'dd', lo mejor seria recurrir al comando 'man'.

Tener a mano un block de notas y un lapiz, para escribir todo lo que nos parezca importante, asi como todos los pasos que estamos realizando por el sistema comprometido.

Ahora solo nos queda realizar un exhaustivo analisis mediante los pasos anteriormente descritos.

Ya a estas alturas conocemos los peligros y pasos a seguir para recuperar el control en nuestro sistema, asi de como echar al pirata. Por lo que ahora listare un lista mas generalizada de los puntos que ahi que mirar con detalle, ademas nos sera util para poder consultar rapidamente.

* Creacion de cuentas nuevas o alteracion de algunasexistentes.

* Excesivo comsumo de memoria o disco duro.

* Directorios o ficheros sospechosos.

* Alteracion en la configuracion del sistema.

* Procesos sospechosos.

* Conexiones de servidores unusuales.

* Reconfiguracion de los modems.

* Serie de repeticiones de conexion al mismo puerto.

* Conexion de usuarios en horas o dias unusuales.

3. Diversas utilidades para la tarea.

Pues ahora nos dedicaremos a explicar las diferentes herramientas que estan disponibles a lo largo del cyberespacio, y lo mejor es que casi todas son 'freeware' (gratis), por lo que no existe excusa alguna para no usarlas. Ademas usando habitualmente estas herramientas mantendremos nuestro sistema seguro demostrando a nuestros jefes lo bueno que somos administrando el servidor.

Las herramientas que describire a lo largo de este apartado, van desde anti-zapper's, detectores de sniffers, detectores de troyanos, asi como diversas herramientas de analisis, e incluso algunas herramientas que tambien utilizan los piratas, para nuestro propio beneficio. Debido a la gran cantidad de herramientas disponibles (no he puesto todas las que existen, debido a que es imposible), no he incluido la utilizacion de las mismas, ya que entonces este documento ocuparia demasiado, por lo que dejo el lector la direccion en Internet donde encontrarlas y asi poder familirizarse con estas herramientas.

Detectores de Sniffers.

* Podemos usar el comando 'netstat', pero no es 100% fiable.

* promisc.c: Es un programa escrito en lenguaje C, el cual nos ayuda a detectar un sniffer en nuestra red. (promisc.c).

* cpm (ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/cpm.1.2.tar.gz).

* ifstatus (ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ifstatus.tar.Z).

* NePED: Es un detector de sniffers. (ftp://apostols.org/AposTools/snapshots/neped/).

Debido a que muchos sniffers logean las conexiones de la misma forma, la cual es la siguiente:

   -- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --


  PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)

por lo que facilmente podemos escribir un pequeño shell script que busque ficheros de sniffers:

% grep PATH: $sniffer_log_file | awk '{print $4}' | \ awk -F\( '{print $1}'| sort -u

logicamente debemos ajustar este script a nuestras necesidades.

Detectores de troyanos.

* Podemos usar el comando 'sum' pero tampoco es 100% fiable.

* Tambien podemos usar el comando 'cmp', pero lo mismo que el comando anterior.

* El popular, y mas aconsejable de usar, es el programa de verificacion MD5. (MD5).

* Otro, tambien bastante utilizado es Tripwire. (Tripwire).

Detectores de zapper's.

* Antizap.c

* Antizap2.c

Herramientas de Analisis.

* Satan111: Posiblemente la herramienta mas conocida. (SATAN). Extensiones.(SATAN Extensions).

* TCP_Wrapper: Es un recomendado conjunto de utilidades para controlar nuestro servidor. (tcp_wrappers_7.6.tar.gz).

* Netcat 1.10: Para saber por donde nos puede entrar un pirata, ya que este programa es capaz de crear cualquier tipo de conexion. (netcat 1.10 for Unix).

* COPS: Otro conjunto de herramientas de muy buena calidad. (ftp://info.cert.org/pub/tools/cops).

* Roses Software Check Tool V.1.2.2: Interesante herramienta de analisis para servidores Linux. (http://web.jet.es/~simon_roses/).

* Rhino9 Security Check Tool: Interesante programa. (http://rhino9.technotronic.com).

* Stalker Audit-Trail Tool: Interesante herramienta para auditar los log's. (http://www.haystack.com).

* IDES/NIDES (Intrusion-Detection Expert System/Next-Generation IDES): Una herramienta de deteccion de piratas en tiempo real. (http://www.sri.com).

* WatchDog: Herramienta para auditar los log's para SunOS. (http://www.infstream.com).

* Saint (Security Analisys INtegration Tool): Herramienta en español para auditar. (http://www.super.unam.mx).

* Asax (Advanced Security Audit Trail Analysis on Unix): Programa en Frances. (http://www.info.fundp.ac.be/~cri/DOCS/asax.html).

* Aid (Adaptive Intrusion Detection System): Herramienta en Aleman. (http://www-rnks.informatik.tu-cottbus.de/~sobirey/aid.e.html).

* NetSuite Professional Audit: Herramienta profesional para auditar. (http://www.netsuite.com/Pi/audit.htm).

* Audit Trails: Lo mismo que el anterior. (http://promatrix.com/audit.htm).

* ISS SafeSuite: Potente herramienta de analisis. (http://www.iss.net).

* Proyecto Nessus: Una recomendable herramienta de auditoria. (The Nessus Project).

* Firewalk: Interesante tecnica para analizar una red. (Enterprise Security Services, Inc.).

* Lsof (List Open Files): Programa que lista todos los ficheros abiertos, incluidos los sockets abiertos. (ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/).

* tcplist: Lista todos los puertos abiertos que tenemos, ademas de diversa informacion mas. (ftp://ftp.cdf.toronto.edu/pub/tcplist).

Crakeadores de passwords.

* Crack V5: Posiblemente el crakeador mas conocido. (Crack v5 (Source)).

* John The Ripper: Un excelente crakeador. (John the Ripper 1.5 linux).

4. Con quien contactar en caso de denuncia o necesitar soporte tecnico y/o legal.

En España, existen varios colectivos de seguridad a los cuales podemos acudir si necesitamos ayuda tecnica para analizar el servidor comprometido. Que yo sepa contamos con el esCERT-UPC (http://escert.upc.es) y con IRIS-CERT (Iris-CERT), el primero cubre todo el estado Español, mientras que el segundo es de ambito academico. Los cuales nos pueden proporcionar ayuda tecnica y legal sobre el tema, pero en caso de realizar una denuncia contra el pirata, podemos comunicarselo a estos organismos o directamente a la Guardia Civil (http://www.guardiacivil.org), los cuales tiene un grupo de guardias civiles para estos casos, GDI (Grupo Delincuencia Informatica).

El esCERT-UPC ofrece un interesante abanico de posibilidades, que van desde el analisis, recomendaciones, formacion y asistencia a emergencias informaticas, ademas de seminarios sobre el tema a los encargados de seguridad. Para cualquier duda estan disponibles las 24 horas del dia, siempre y cuando nos hayamos regristrado (solo para los responsables de seguridad de las empresas), que por cierto es gratis. Ademas todo queda bajo secreto profesional por los expertos del esCERT-UPC.

En caso de necesitar ayuda tecnica debido a que hemos sido atacados por un pirata, deberemos rellenar un formulario, el cual es opcional, pero es recomandable para una mejor actuacion del esCERT-UPC. Este formulario esta disponible en su website, y contempla los siguientes puntos:

• Nombre/s de la maquina/s comprometida/s.
• Arquitectura, sistema operativo indicando versiones y revisiones de las maquinas comprometidas.
• Donde se han aplicado parches de seguridad. Si se han aplicado antes o despues de la intrusion.
• Usuarios comprometidos.
• Otras maquinas afectadas por la intrusion, si tienen o no tienen constancia de los hechos.
• Si se ha contactado con otras partes, la informacion de contacto.
• Si se autoriza o no a esCERT-UPC a suministrar parte de la informacion a terceras partes que colaboren en la resolucion del incidente (por ejemplo, direccion electronica, telefono, etc...).
• Los estractos apropiados de logs (incluyendo fechas).
• Indicar que tipo de ayuda se desea de esCERT-UPC.

Para ponernos en contacto con el esCERT-UPC, podemos dirigirnos a su website o bien a la siguiente direccion:

Direccion:
esCERT-UPC
c/ Gran Capita
Modul D6
08071 Barcelona
Cataluña. SPAIN.
Telefono:
+34-3-4015795
+34-3-4016984
Fax: +34-3-4017055
E-Mail: cert@escert.upc.es

Los CERT's se pueden encontrar en muchos paises, ademas de ofrecer estos servicios tambien disponen de listas de correo donde avisan sobre nuevos peligros que van surgiendo, por lo que es recomendable regristrarse. Por otro lado en su website mantienen una gran cantidad de programas y documentos de seguridad que nos pueden ser muy utiles.

En caso de tener que ponernos en contacto con el GDI (Grupo Delincuencia Informatica), necesitaran nuestros log's y deberan analizar la maquina, que puede ser confiscada como prueba. Ademas en caso de tener que monotorizar al pirata, instalaran un programa en nuestro servidor el cual les permitira monotorizar al pirata (sniffer). Decir que ultimamente el GDI esta dando fuerte y para nada ahi que despreciar el uso del GDI en caso de apuros. EL GDI se reune con otras fuerzas policiales de otros paises como son Francia, Inglaterra, Alemania y los EE.UU. para comentar nuevas tecnicas para pillar a los piratas, por lo que no ahi que cometer el error de subestimarlos. Para ponermos en contacto, podemos hacerlo de diversas formas:

Guardia Civil: http://www.guardiacivil.org

Direccion General: consulta@guardiacivil.org

Grupos de Delincuencia Informatica:

gc.uco@mad.servicom.es

gc.uco@recol.es

Servicio de Policia Judicial: gc03@recol.es

Pues estos son los "profesionales" que debemos recurrir en ultimo caso y que aconsejo no despreciarlos. Ya que aunque ellos mismos admiten que no son expertos, tienen sus nociones basicas e incluso elevadas sobre el tema, ademas de contar con la ayuda de profesionales del sector.

5. Bibliografia.

* Escamilla, Terry. Intrusion Detection, Network Security Beyond the Firewall. John Wiley & Sons, Inc. 1998.

* Klander, Lars. Hacker Proof, The Ultimate Guide to Network Security. Jamsa Press. 1997.

* Spafford, Gene; Garfinkel, Simson. Practical Unix & Internet Security, 2nd Edition. 0'Reilly & Associates, Inc. 1996.

* Sys Admin. Unix Security, Essential Reference Series. R&D Books. 1997.

* esCERT-UPC FAQ. (http://escert.upc.es).

* Technotronic. (http://www.technotronic.com).

* Computer-security/compromise FAQ 2.0. (http://www.iss.net).

* Sniffer FAQ 3.0. (http://www.iss.net).

* Rhino9. (http://rhino9.technotronic.com).

* Simon Roses. (http://web.jet.es/~simon_roses/).

*A. Mounji. PhD Thesis. Computer Science Institute, University of Namur, Belgium, Sept 1997. (Languages and Tools for Rule-Based Distributed Intrusion Detection).

* A. Mounji, B. Le Charlier. In Proceedings of the ISOC' 97 Symposium on Network and Distributed System Security. San Diego, California, 1997. (Continuous Assessment of a Unix Configuration: Integrating Intrusion Detection and Configuration Analysis).

* A. Mounji, B. Le Charlier. In Proceedings of the Eight Benelux Workshop on Logic Programming. September, 1996. Louvain-La-Neuve, Belgium. (Detecting Breachesin Computer Security: A Pragmatic System with a Logic Programming Flavor).

* B. Le Charlier, A. Mounji, M. Swimmer. In Proceedings of Fifth International Virus Bulletin Conference. Boston, Septembre 20-22, 1995. (Dynamic Detection and Classification of Computer Viruses Using General Behaviour Patterns).

* A. Mounji, B. Le Charlier, D. Zampuniéris, N. Habra. In Proceedings of the ISOC '95 Symposium on Network and Distributed Systems Security. San Diego, California, February 1995. (Distributed Audit Trail Analysis).

* A. Mounji, B. Le Charlier, D. Zampuniéris, N. Habra. Research Report, May 1994, 36 pages. (Preliminary Report on Distributed ASAX).

* N. Habra, B. Le Charlier, A. Mounji. Research Report, March 1993, 62 pages. (Advanced Security Audit Trail Analysis on uniX. Implementation Design of the NADF Evaluator).

* N. Habra, B. Le Charlier, A. Mounji, I. Mathieu. In Proceedings of the Second European Symposium on Research in Computer Security (ESORICS). Toulouse, France, November 1992. (ASAX: Software Architecture and Rule-base Language for Universal Audit Trail Analysis).

* N. Habra, B. Le Charlier, A. Mounji. Research Report, December 1991, 34 pages. (Preliminary Report on Advanced Security Audit Trail Analysis on uniX).

* Steps for Recovering from a UNIX Root Compromise. (http://www.cert.org).

Última actualización: 2007-04-29 10:56:59-05

chilicuil está:
Leyendo sobre servidores gnu/linux
42 minutes ago

asarch está:
Comprendiendo el proceso de instalacion del ArchLinux con QEMU en NetBSD...
5 hours, 44 minutes ago

luzbel está:
Reviviendo mi primer compu (Celeron 400 Mhz)con NetBSD 4.0
7 hours, 36 minutes ago

chilicuil está:
bambi, bambi, te espero
11 hours, 9 minutes ago

starkad está:
ayer lo baje y estuve jugando el wesnoth, deja le agarro la onda y vemos
13 hours, 30 minutes ago

chilicuil está:
entonces que pedo, quien se rifa la reta de wesnoth conmigo?
1 day, 1 hour ago

Que estuvimos haciendo >>

Consultoría y Soporte