Ricardo<jfs> me gustaría que mi línea DSL fuera más rápida ...
Ricardo:o
Ricardo<sarnold> (nunca hay suficiente ancho de banda)
Ricardo<jfs> Ok.
Ricardo<jfs> Empecemos
RicardoAntes de nada, bienvenido todo el mundo
RicardoEstoy poniendo unas transparencias en http://www.dat.etsit.upm.es/~jfs/debian/doc/tiger-hids/
Ricardo(no intenten descargarlas aún, o dará un 404)
RicardoVoy a dar ahora una presentación sobre Tiger
HeimyPor desgracia, es una herramienta antigua.
Heimy:)
HeimyLa presentación está disponible en http://www.dat.etsit.upm.es/~jfs/debian/doc/tiger-hids/html/
Heimycubre mucho más de lo que probablemente tendré tiempo de hablar
HeimyIntentaré usarlo como guía pero no estrictamente.
HeimyPor cierto, la versión PDF es _mucho_ mejor. De manera que vayan y descárguenla de http://www.dat.etsit.upm.es/~jfs/debian/doc/tiger-hids/tiger-hids.pdf
HeimyAntes que nada. ¿Por qué quiero hablar de Tiger?
HeimyAlgunos podrían decir que Tiger es una herramienta vieja, que es obsoleta y no sirve para mucho más.
Heimy(yo mismo lo he dicho a veces)
HeimyEl interés por hablar sobre Tiger es presentar la nueva versión de la herramienta a una audiencia más amplia
Heimy¿Por qué? Porque es una de las pocas herramientas de auditoría de seguridad multiplataforma, modular y _libre_
HeimyY porque es una de las pocas herramientas de detección de intrusiones multiplataforma, modular y _libre_
HeimyHablemos primero sobre Detección de Intrusiones, que abreviaré llamando ID (Intrusion Detection)
Heimy(Por cierto, pasé la presentación en español, ya obsoleta, a html-es y las transparencias en inglés están ahora en http://www.dat.etsit.upm.es/~jfs/debian/doc/tiger-hids/html/)
Heimy(lo siento)
HeimyLa detección de intrusiones se puede describir como el arte de detectar actividades inapropiadas, incorrectas o anómalas (de la FAQ de SANS).
HeimyHay muchos problemas al respecto de la detección de intrusiones. Principalmente, que realmente no es fácil determinar con precisión qué es «actividad inapropiada, incorrecta o anómala»
Heimy¿Por qué?
HeimyPorque lo que es inapropiado para una organización dada, podría no serlo en una diferente.
HeimyPor tanto, no tiene sentido tener un sistema de detección de intrusiones (sea esto lo sque sea)
HeimySi no tenemos una normativa de seguridad (security policy)
HeimyNo voy a hablar sobre normativa de seguridad, ya que es un tema bastante extenso y no es el de esta presentación
HeimyPero todos deben entender que sin una normativa de seguridad, incluso teniendo la mejor herramienta de seguridad de la tierra, no haremos nada útil.
Heimy_Sin embargo_
HeimyAlgunas personas podrían decir: «hey, yo no tengo una normativa de seguridad, pero tengo una herramienta de ID, ¡y funciona!»
HeimySí, esto es cierto. Pero sólo porque hay algunas cosas comunes que la mayoría interpretaría como una violación de la normativa de seguridad.
HeimyPor ejemplo, un ataque DoS (de negación de servicio) contra un servidor, un intento de obtener claves por fuerza bruta en un servidor, lo que sea...
HeimyAhora, la detección ID se puede hacer de varias maneras, dependiendo de _dónde_ se haga
HeimySupongo que muchas personas están al tanto de que se puede hacer ID analizando los paquetes que se intercambian en una red.
HeimySi "vemos" un paquete sospechoso, podríamos pensar que es un ataque e informar de ello
HeimyEsto es una intrusión basada en redes, y es lo que detecta Snort (para citar la herramienta libre más conocida en este campo)
HeimySin embargo, los sistemas de detección intrusiones mediante red presentan varios problemas: no son capaces de analizar paquetes cifrados (IPsec, SSL, o similares), básicamente están pensados en buscar patrones o "huellas" (hay algunos intentos de desarrollar nuevos tipos), y los sensores de ID en red pueden verse simplemente sobrecargados en redes de alta velocidad.
HeimyAdemás, sólo pueden detectar actividades sospechosas que impliquen comunicación en redes. No pueden atacar intentos de un operador en una consola.
HeimyY ahí es donde entra la detección de intrusiones en máquinas: intrusiones hechas _en_ la máquina
HeimyPor cierto, todos aquellos que quieran preguntar algo, hagan todas las preguntas que quieran durante la presentación usando el canal #qc
Heimy(Por favor, empiecen las preguntas con 'jfs:' para que pueda verlas fácilmente)
HeimyDe manera que tiger intenta ayudar a evitar las HID (Host ID), intentando analizar la máquina y determinar qué hay en ella de sospechoso
HeimyPero eso no es para lo que fue desarrollado Tiger en realidad.
HeimyTiger se desarrolló como un conjunto de scripts de seguridad que comprobasen el sistema para determinar problemas de seguridad.
HeimyY ésa es la tarea principal que realiza Tiger: una auditoría de seguridad de cualquier máquina dada
Heimy(no tiene que ser necesariamente aquella en la que se esté ejecutando)
HeimyPor lo tanto, ¿qué es realmente una auditoría de seguridad?
HeimySacado del RFC2828
Heimy:
Heimy(I) Una revisión y examen independiente de los registros y actividades de un sistema para determinar la idoneidad de los controles del sistema, asegurar la adecuación a la normativa de seguridad y procedimientos establecidos, detectar brechas en los servicios de seguridad, y recomendar cualquier cambio que esté indicado como contramedida
HeimySi ejecuta Tiger, intentará analizar el sistema y determinar desviaciones de la normativa de seguridad.
HeimyPor supuesto, todos tenemos una normativa de seguridad a estas alturas, ¿verdad? :-)
HeimySi no es el caso, Tiger aún será útil
HeimyPara eso, como cualquier otro ID, intentará detectar problemas que indiquen un problema de seguridad, sin importar nuestra normativa
Heimy¿Alguna pregunta hasta ahora?
Heimy<tarzeau> jfs: ¿podrías dar ejemplos?
Heimy¡Por supuesto que puedo!
HeimyUn ejemplo del mundo real:
HeimyNorma de seguridad: «no se permite a los usuarios ejecutar demonios que proporcionen servicios en las máquinas del departamento»
Heimy(osea, nada de servidores de juegos, ningún servidor apache oculto, etc...)
HeimyPor supuesto, podríamos eliminar las herramientas que los usuarios pueden usar para hacer esto
HeimyIncluso implementar controles de acceso o capacidad (capabilities) que podrían evitar que esto se hiciera posible
Heimypero si no se puede (por cualquier razón) entonces deberemos _confiar_ en que nuestros usuarios harán lo que les hemos dicho
Heimyy no tenemos ninguna razón para desconfiar de nuestros usuarios, ¿verdad? ;)
HeimyBien, un usuario X podría estar ejecutando el programa Y y proporcionar un servidor de juegos para que lo use toda la Internet
HeimyUna auditoría de seguridad debería detectarlo como una desviación de la normativa de seguridad
Heimy(esto, en ralidad, no es nada infrecuente, especialmente en algunos entornos universitarios)
Heimy¿Alguna otra pregunta?
jfsHeimy: s/normativa/política/ :)
Heimybueeeeno
Heimytraduciré normativa como política
jfs:-)
Heimyya sabes lo que pienso al respecto :P
Heimys/normativa de seguridad/política de seguridad/ <- en todo lo que llevamos de charla
HeimyOk... (Espero que la audiencia no esté dormida :)
Heimyvolvamos a tiger
Heimy<MJesus> hummm no  !!
Heimy<jfs> El enfoque escogido para Tiger es útil para proporcionar tanto una herramienta para auditorías de seguridad _como_ una herramienta para detección de intrusiones
Heimyotra pregunta: <amd> ¿qué pasa si un usuario ejecuta un programa malicioso con la ayuda de cron?
Heimyque también podríamos detectarlo de dos maneras:
Heimy1.- el usuario necesita meter una entrada en cron y eso se puede buscar
Heimy2.- el usuario neccesita tener permisos para ejecutar 'cronjobs' (lo cual puede no ser lo que dice la política)
HeimyEl problema de seguridad no está en que se ejecute o no el programa, sino en si el sistema ha sido modificado o no para poderlo ejecutar
Heimyde manera que podamos detectarlo cuando va a ser ejecutado o antes/después de haberlo ejecutado porque el sistema ha sido configurado para hacerlo
HeimyVolvamos a la presentación
HeimyEl asunto es que las detecciones de intrusiones y las auditorías de seguridad no se diferencian demasiado. Se puede hacer ID simplemente monitorizando de forma constante lo que sucede en el sistema y comparándolo con nuestra política; y hacemos una auditoría cuando sólo lo hacemos una vez
HeimyAhora tenemos que decidir hacia donde queremos que se dirija la presentación
Heimy(Ya avisé que no tenía una guía estricta)
HeimyPuedo hablar sobre la historia de Tiger, y cómo me convertí en su desarrollador principal y sobre cómo debería evolucionar (en general) el proyecto
HeimyO puedo hablar sobre el diseño (actual) de Tiger y su arquitectura, cómo escribir módulos, desventajas, etc..
HeimyPor favor, (aquellos que no se hayan dormido): hagamos una votación rápida en #qc (las respuestas pueden ser 'evolution' o 'design') - evolución o diseño
Heimy(por ahora van empatados)
Heimyok
Heimyacabó la votación
Heimydéjenme contar los votos :-)
Heimy<jfs> evolution 7: baikonur, tarzeau, MJesus, Ratta_, melvyn, lopopora
Heimyok, evolución 7, diseño 9 (si he contado correctamente). Lo que significa que unas 120 personas están durmiendo :)
HeimyVoy a hablar primero sobre el tema del diseño, y luego hablaré sobre la evolución de Tiger
Heimy(así todo el mundo estará contento)
HeimyBien. Dije que Tiger es multi-plataforma, modular y _libre_
HeimyPor supuesto, lo de libre se debe a que se proporciona bajo la licencia GPL
HeimyDe manera que cualquiera puede usarlo (para cualquier propósito) siempre que se proporcione el fuente, se contribuya con parches, etc. Ya conocen de qué va.
HeimyEs multiplataforma porque Tiger no depende de ninguna herramienta especial.
HeimyEstá programado en shell normal y corriente (¡sorpresa!) ysando otras herramientas POSIX
Heimyde manera que podría ejecutarse en casi cualquier tipo de UNIX disponible.
Heimy(e incluso en Windows, si instalamos las utilidades POSIX, aunque no lo he probado)
HeimyDe manera que está hecho con SH + AWK + SED + otras herramientas de UNIX
HeimyPueden revisar las fuentes en el CVS para confirmarlo: http://savannah.nongnu.org/cgi-bin/viewcvs/tiger/tiger/
HeimyHay unas pocas herramientas que se necesita compilar en el sistema para poder ejecutarlas
Heimy(aquellas escritas en C)
Heimyhttp://savannah.nongnu.org/cgi-bin/viewcvs/tiger/tiger/c/
HeimyEsto es lo que lo hace multiplataforma
HeimyCréanme, incluso instalar perl en algunas plataformas puede llegar a ser un dolor
Heimyy es modular porque cada prueba de seguridad está escrita en su propio módulo
HeimyHay dos maneras de ejecutar cualquier módulo dado: bien mediante 'tiger' (que ejecutará todos los módulos configurados), o de forma independiente
HeimyLa función del sistema de detección de intrusiones se obtiene, de hecho, ejecutando algunos de los módulos a intervalos de tiempo especificados y comparando los resultados entre ejecuciones
HeimyLo bueno de esta modularidad es que es realmente sencillo tomar un módulo cualquiera y ejecutarlo sin necesidad del resto de material de Tiger
HeimySólo se necesita que los ficheros de configuración que hacen que Tiger sepa qué herramientas (o ficheros de configuración) están disponibles en el sistema y cómo debe llamarlos
HeimyPor eso es por lo que verán en las fuentes de Tiger la siguiente estructura:
Heimysystems/
Heimy|-- AIX
Heimy|   |-- 3
Heimy|   |-- 4
Heimy|-- HPUX
Heimy|-- IRIX
Heimy|   |-- 4
Heimy|   |-- 5
Heimy|   |-- 6
Heimy|-- Linux
Heimy|   |-- 0
Heimy|   |-- 1
Heimy|   |-- 2
Heimy|-- SunOS
Heimy|   |-- 4
Heimy|   |-- 5
Heimy...
Heimyestos son ficheros de configuración específicos para cada sistema que conoce Tiger
Heimybien, están en esos directorios. De manera que los ficheros para Solaris 8 (SunOS 5.8) están en systems/SunOS/5/
HeimyTiger está diseñado de tal manera que determinará qué SO estamos ejecutando (sistema operativo, revisión y arquitectura)
Heimyy usará los ficheros de configuración disponibles en $OS/$REV/$ARCH, $OS/$REV/, $OS, o los generales (si no dispone de ninguno)
HeimyEstos ficheros de configuración son los que le dicen a Tiger dónde están situados SED, AWK, LS, HEAD, CAT ...
Heimy(ya que la localización de estas herramientas varía entre diferentes sistemas UNIX, así como las opciones de línea de órdenes, el sitio donde encontrar los ficheros de configuración, etc...)
Heimypor tanto, cada módulo se configura a sí mismo lo primero (. $basedir/config y $BASEDIR/initdefs) y entonces determina si tiene todas las herramientas que necesita
HeimyEjemplo (check_rhosts): haveallcmds AWK CAT EXPR GEN_PASSWD_SETS JOIN LS RM SED || exit 1
Heimy¿Cómo se ejecutan los módulos?
HeimyComo dije anteriormente:
Heimy- mediante una tarea de cron
Heimy(tigercron, que intenta hacer detección de intrusiones)
Heimy- o mediante la herramienta principal: 'tiger'
Heimyque ejecutará todos los módulos definidos en el fichero de configuración 'tigerrc'
Heimy(este fichero de configuración también contiene algunos datos que se pueden usar para configurar el comportamiento de algunos módulos)
Heimy¿Cómo implemento mi política de seguridad en Tiger?
Heimy- determino qué módulos son apropiados y los activo
Heimy- configuro los módulos adecuadamente (podrían tener algunas variables que cambien su comportamiento, por ejemplo: usuarios a los que no se comprobará porque se les considera usuarios 'administrativos')
Heimy- creando mis propios módulos (para cosas que Tiger no haga)
HeimyAlgunos módulos no pueden modificar para que no informen de cosas que consideran un problema de seguridad. Y aquí es donde entran los informes de base.
HeimyPodemos ejecutar tiger y leer el informe. Podría decir que tenemos algunos problemas de seguridad que no nos importan demasiado.
HeimyNota de traducción: donde dije "informes de base", lean "baseline"
HeimyPodríamos tomar estos avisos de seguridad y añadirlos a un 'baseline' (un fichero por cada módulo)
HeimyLa siguiente vez que se ejecute la comprobación de seguridad (mediante el módulo), _no_ aparecerán estos avisos.
Heimy(Nota de traducción: baseline == plantilla)
Heimy¿alguna pregunta hasta ahora?
Heimy¿alguien?
Heimy<sarnold> jfs: ¿qué evita que un intruso modifique alguno de esos ficheros 'baseline' para evitar que se ejecuten algunas comprobaciones?
Heimyprimero, cambiar un baseline no evitará que se ejecute la comprobación
Heimycambiar el servidor cron sí
Heimycambiar el baseline podría evitar que tiger informase de algunos problemas de seguridad cuando se ejecuta
HeimyIndicaré (al final de la presentación) algunos de los pros y contras de Tiger y quizá lo comprendas con más profundidad.
HeimyEl problema principal es: se puede engañar a la ID en espacio de usuario (no en espacio de núcleo). La única protección es la que ofrezca el sistema (permisos, MAC, etc..)
HeimyOtra pregunta: <amd> ¿qué aspecto tienen los informes de tiger?
HeimyRespuesta: hay dos tipos: informes de texto sencillos e informes en HTML
Heimylos ficheros de texto plano no son muy bonitos:
Heimy(ejemplo)
HeimySecurity scripts *** 2.2.4-20, 2002.0903.1138 ***
Heimysáb abr 20 11:21:53 CEST 2002
Heimy11:21> Beginning security report for jfernandezp.germinus.com (i686
HeimyLinux 2.4.17-686).
Heimy# Performing check of passwd files...
Heimy--WARN-- [pass006w] Integrity of password files questionable (pwck
Heimy-r).
Heimy--WARN-- [pass007w] Password control PASS_MIN_LEN missing from
Heimy         /etc/login.defs.
Heimy# Performing check of group files...
Heimy(...)
HeimyHay notificaciones de errores (ERR), avisos (WARN) e información (INFO)
Heimy(Por cierto, tarzeau indicó antes otro ejemplo en www.linuks.mine.nu/people/amd/tiger.txt)
Heimy(Es un ejemplo de un informe diferencial, que es parte de los mensajes que se envían al root para ID)
Heimy¿alguna pregunta sobre el diseño?
HeimyIncluso si no han comprendido completamente el diseño, recomiendo que se bajen el fuente del CVS o naveguen por él
Heimy<tarzeau> jfs: has probado tiger en el Hurd también? o en algunos BSD?
Heimy<tarzeau> lo he probado en solaris y funciona bastante bien
HeimyPregunta sencilla: no lo he probado ni en el Hurd ni en algunos BSD.
HeimyEstá en mi lista de cosas PORHACER
HeimyComo veremos más adelante me gustaría que Tiger se usase más tanto en las distribuciones de Linux como en las de BSD
HeimyEn cualquier caso, probar en otras plataformas (aparte de Linux) ha ayudado a depurar algunos errores de programación que estaban ocultos en el código
HeimyY aprecio que la gente pruebe la herramienta en cualquier sistema Unix en que quieran hacerlo.
Heimy(sólo asegúrense de que están usando la última versión, ya que algunas personas han probado 2.2.4, que no estaba realmente del todo bien)
HeimySeguiré hablando sobre la evolución de Tiger
Heimy(si a la gente no le importan que hable tanto)
Heimy:)
HeimyOk. Empecemos con un poco de historia
HeimyTiger comenzó siendo un conjunto de scripts de seguridad para analizar un sistema buscando problemas de seguridad
Heimynació en 1993 de la mano de Douglas Lee Schales, David K. Hess y David R. Safford
Heimyen el grupo de redes CIS de la universidad Texas A&M
Heimy(es por eso que es parte de las herramientas de seguridad TAMU: TAMU = Texas A&M University)
Heimyhttp://www.net.tamu.edu/network/tools/tiger.html
HeimySe escribió más o menos al mismo tiempo que Cops, SATAN e ISS
Heimy(si recuerdo bien)
Heimylo mantuvo la gente de la TAMU bastante tiempo
Heimypero, con el tiempo, y tras sacar la versión 2.2.4 (alrededor de 1994)
Heimyel trabajo de Tiger se redujo a actualizar el conjunto de "signatures" (huellas)
Heimyla gente de Advanced Research Corporation (arc)
Heimyhizo un fork de Tiger que llamaron TARA (http://www-arc.com/tara/)
HeimyQue aún siguen actualizando (miré el otro día y han sacado la versión 3.0.4, basada, creo, en la versión 3.0 de Tiger)
HeimyEmpecé a trabajar en Tiger hace poco más de un año
HeimyEstaba buscando una herramienta IDS basada en la máquina para Debian, pero no encuentre mucho (aparte de revisores de integridad de ficheros y de registros -logs- que ya estaban disponibles)
Heimyde manera que empaqueté tiger-2.2.4 en agosto de 2001 y lo envié a la cola de entrada de Debian
HeimyAparte de arreglar fallos, añadí algunas comprobaciones (específicas a Debian)
HeimyDesde entonces se está volviendo popular (en Debian). Me ha llegado una serie de informes de fallos, y he sacado más de 17 versiones parcheadas hasta diciembre
HeimyEntonces pensé que quizá fuera bueno integrar el trabajo de Tara en el tiger de Debian
Heimyy lo hice
HeimyY entonces, Bryan Gartner (de HP) envió un mensaje al equipo de TAMU, a ARSC y a mí preguntando si podríamos fusionarlo todo (él mismo había trabajado algo sobre Tiger)
HeimyDe manera que tras algo de integración y pruebas, publiqué 2.2.4p2-1 que era el paquete de Debian que proporcionaba (la mayoría de) los cambios de TARA así como los de Bryan
HeimyEso fue en abril de este año
HeimyComo era obvio que había varias personas interesadas y que podríamos trabajar en una base de código común, intenté crear un sitio donde Tiger pudiera evolucionar
HeimyEscogí savannah: http://savannah.nongnu.org/projects/tiger/
HeimyY, tras un poco de integración, publiqué (en junio) la versión 3.0
Heimyque integraba todos los fork y proporcionaba una base común de código fuente con la que empezar a trabajar
Aradorasique, la slistas de correo (las de desarrollo y iusuario) no estan muy activas pero algunos usuarios han reportados intentos de usar Toger en HP-UX, Solaris y Compaq Tru64
Aradory practicamente solo he hecho arreglos de bugs para 3.2 (sacada el dia eantes de mi cumpleaños)
Aradors/3.2/3.1
Aradordonde queremos que llegue tiger?
AradorQuiero que tiger sea capaz de comprobar todas las cosas que Bastille intenta rreglar (desde que Bastille no puede auditar el sitema local)
AradorY quiero actulizar todas las firmas (y sistemas) que estan desactualizaros (recientemente actualize (HP-UX y todavia no he heco Solaris)
Aradorno he comentado sobre las firmas de todas maneras
AradorLas firmas son Hashes MD5 almacenados en Tiger que se toman fuera-de-la-caja del sistema oeprayivo (instalado o parcheado)
AradorTiger intentara comprobar si hay un troyano en el sistemma basado en esta firma. Esto noes exactamente comprobacion de integridad de archivo (lo que tripwire, aide, integrit, y al hacen) pero similar
jfss/y al/y otros parecidos/
jfs:)
AradorUna vez que esto este hecho quiero arreglar algunos fallos de diseño de Tiger (la dependencia de cron/mail)q uqe se pueden explotar para atacar cuando se ejecuta en modo host-IDS
Arador(proveyendo un demonio y una manera modular de enviar alertas IDS, que deberia poder usar mail/snmp/syslog...)
AradorPodeis ver algunas de las tareas pendientes en http://savannah.nongnu.org/pm/?group=tiger
AradorAsique si teneis ganas de ayudar animaros!
AradorPor supuesto, hay una lista de usuarios tiger-users y una lista de desarrollo tiger-developers
Aradorhttp://savannah.nongnu.org/mail/?group=tiger
AradorSi estas usando Tiger, o crees que puedes ayudar a mejorarlo, por favos subscribete a ellas. Hay muy poco trafico (por el momento) y son la mejor manera de preguntar cosas de Tiger )desde que ambos equipos RSC, HP y yo estamos subscritos)
AradorPermitidme hacer algunas aclaraciones entonces
AradorLo podria titular Pros y contras de usar Tiger
AradorPros:
AradorEl diseño modular permite a cualquiera añadir sus modulos (es fbastante facil) y modificar Tiger a sus necesidades
AradorEl diseño multiplataforma permite a Tiger ser usado como una sola herramienta para HID en un abiente heterogeneo
AradorEsto no significa que es a prueba de balas de plata, y querreis añadir pas cosas a tu slucion HID) (mas de esto mas tarde)
AradorEl echo de que sea GPL (y por lo tanto libre) permite mirar al codigo y aprender como se pueden implementar comprobaciones de seguridad
AradorPuedes vender un servicio IT basado en Tiger (eso es lo que hace ARSC)
AradorY eso esta bien!
Arador(mientras contribuyas con tus parches al la base de codigo comun)
AradorAhora, contras:
Arador- El hecho de que se ejecuta en espacio de usuario lo hace supsceptible a ataques
Arador(Depende de cron para ejecutarse como HID, depende de mail para reportar, los archivos que son usados para determinar la linebase, etc...)
Arador- Tiger todavia no ofrece una solucion completa HID, no ha sido mantenido por un tiempo y hay muchas cosas enn el area de HID que todavia no hace (chequeos de integridad, analisis de logs...)
Arador- Tambien, porqe es una herramienta en espacio de usuario se la puede "mentir" si el servidor eta comprometido (pensad en los rootkits)
AradorSin emabrgo, olvide un Pro:
AradorComo no es dependiente del sistema, hay algunas comprobaciones de seguridad que pueden hacerse desconectaod (a traves de un sistema de archivos a traves de la red) en un host que no es el que esta siendo auditado
AradorTiger podria mejorarse en muchas areas (y y la gente necesita ayudar en eso)
AradorPor ejemplo, buena integracion con otros HIDs open source (como tripwire, integrit, aide y samhain) estaria bien
AradorAsi como estaria bien la integracion con sistemas de analisis de logs (logcheck, log-analuss y snorter)
AradorEn cualquier caso, ñsi esers muy paranoico, podrias estar interesado en soluciones HID basadas en el kernel (y que por lo tanto no son multi plataforma)
AradorComo LIDS o Snare (para linux)
jfsor systrace (for BSD and now linux also)
Aradoro systrace (para BSD y ahora tambien para linux)
AradorAhora, con esto termina de lo que queria hablar en esta presentacion
Aradorlas preguntas se pueden hacer ahora :)
BaSSnas heimy :)
MJesuspara los traductores
BaSSHeimy tu traduces?
MJesusclap clap clap clap clap clap clap clap clap clap
MJesusclap clap clap clap clap clap clap clap clap clap
MJesusclap clap clap clap clap clap clap clap clap clap
MJesusclap clap clap clap clap clap clap clap clap clap
MJesusclap clap clap clap clap clap clap clap clap clap
raulclap clap clap clap clap clap clap clap clap clap clap clap clap clap clap clap
raulclap clap clap clap clap clap clap clap clap clap clap clap clap clap clap clap
raulclap clap clap clap clap clap clap clap clap clap clap clap clap clap clap clap
raulclap clap clap clap clap clap clap clap clap clap clap clap clap clap clap clap
raulclap clap clap clap clap clap clap clap clap clap clap clap clap clap clap clap

Generated by irclog2html.pl 2.1 by Jeff Waugh - find it at freshmeat.net!