---

Hej gruppe

Jeg håber ikke at være alt for off-topic.

Jeg faldt over en sætning angående angreb på filer, hvor der står noget om
"Files that have been modified, altered or deleted".

Nu er det så jeg tænker på hvad forskellen på modified og altered mon er,
jeg syntes ikke lige min ordbog var en hjælp.

Mit gæt på hvad forfatteren mener er, at "modified" har noget med
rettighederne til filen at gøre og "altered" med indholdet af filen.

Andre mere kvalificerede gæt søges.

Mvh Leif.

---

Leif Poulsen wrote:
>
> Hej gruppe
>
> Jeg håber ikke at være alt for off-topic.
>
> Jeg faldt over en sætning angående angreb på filer, hvor der står noget om
> "Files that have been modified, altered or deleted".
>
> Nu er det så jeg tænker på hvad forskellen på modified og altered mon er,
> jeg syntes ikke lige min ordbog var en hjælp.
>
> Mit gæt på hvad forfatteren mener er, at "modified" har noget med
> rettighederne til filen at gøre og "altered" med indholdet af filen.

Eller også er det omvendt. I Linux betyder
modification time hvornår der sidst er ændret
på indholdet af filen mens sidste ændringer i
rettigheder hedder change time.

Fra stat dokumentationen:

The field st_mtime is changed by file modifications, e.g. by mknod(2),
truncate(2), utime(2) and write(2) (of more than zero bytes). More-
over, st_mtime of a directory is changed by the creation or deletion of
files in that directory. The st_mtime field is not changed for changes
in owner, group, hard link count, or mode.

The field st_ctime is changed by writing or by setting inode informa-
tion (i.e., owner, group, link count, mode, etc.).

Og der står det er i overensstemmelse med
følgende standarder:
SVr4, SVID, POSIX, X/OPEN, BSD 4.3.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:4001900D.8023558E@daimi.au.dk...
> Leif Poulsen wrote:

<Klip>
> > Jeg faldt over en sætning angående angreb på filer, hvor der står noget
om
> > "Files that have been modified, altered or deleted".
> >
> > Nu er det så jeg tænker på hvad forskellen på modified og altered mon
er,
> > jeg syntes ikke lige min ordbog var en hjælp.
> >
> > Mit gæt på hvad forfatteren mener er, at "modified" har noget med
> > rettighederne til filen at gøre og "altered" med indholdet af filen.
>
> Eller også er det omvendt. I Linux betyder
> modification time hvornår der sidst er ændret
> på indholdet af filen mens sidste ændringer i
> rettigheder hedder change time.
>
> Fra stat dokumentationen:
>
> The field st_mtime is changed by file modifications, e.g. by
mknod(2),
> truncate(2), utime(2) and write(2) (of more than zero bytes).
More-
> over, st_mtime of a directory is changed by the creation or
deletion of
> files in that directory. The st_mtime field is not changed for
changes
> in owner, group, hard link count, or mode.
>
> The field st_ctime is changed by writing or by setting inode
informa-
> tion (i.e., owner, group, link count, mode, etc.).
>
> Og der står det er i overensstemmelse med
> følgende standarder:
> SVr4, SVID, POSIX, X/OPEN, BSD 4.3.
>
> --
> Kasper Dupont -- der bruger for meget tid paa usenet.
> For sending spam use mailto:aaarep@daimi.au.dk
> /* Would you like fries with that? */

Tak for svaret.

Jeg har 2 små tillægs spørgsmål.

1: Kan man sikkerhedsmæssigt gå ud fra at en fil er i sin korrekte tilstand,
hvis rettighedderne og tiden for sidste ændring er den samme som den
oprindelige?

2: Er det sværere for en cracker, orm eller virus at få filens tidsdata
stillet tilbage til hvad de var end at ændre filen?

Når jeg spørger var det i forhold til forfatterens definition af hvornår det
kunne ses at en fil var angrebet.

Mvh Leif

---

Den Sun, 11 Jan 2004 19:52:36 +0100 skrev Leif Poulsen:
>
>Jeg har 2 små tillægs spørgsmål.
>
>1: Kan man sikkerhedsmæssigt gå ud fra at en fil er i sin korrekte tilstand,
>hvis rettighedderne og tiden for sidste ændring er den samme som den
>oprindelige?

Nope. chmod sætter rettighederne, og touch klarer tiden for sidste
ændring.

>2: Er det sværere for en cracker, orm eller virus at få filens tidsdata
>stillet tilbage til hvad de var end at ændre filen?

Måske ti sekunder sværere, hvis det skal gøres manuelt.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:bts6mi$l8r$5@sunsite.dk...
> Den Sun, 11 Jan 2004 19:52:36 +0100 skrev Leif Poulsen:
> >
> >Jeg har 2 små tillægs spørgsmål.
> >
> >1: Kan man sikkerhedsmæssigt gå ud fra at en fil er i sin korrekte
tilstand,
> >hvis rettighedderne og tiden for sidste ændring er den samme som den
> >oprindelige?
>
> Nope. chmod sætter rettighederne, og touch klarer tiden for sidste
> ændring.
>
> >2: Er det sværere for en cracker, orm eller virus at få filens tidsdata
> >stillet tilbage til hvad de var end at ændre filen?
>
> Måske ti sekunder sværere, hvis det skal gøres manuelt.
>
> Mvh
> Kent
> --
> Help test this great MMORPG game - http://www.eternal-lands.com/

Hej igen igen

Nu er jeg ikke videre bevandret i Linux, så her endnu et par spørgsmål.

Det er vel kun root, su eller hvad administratornavn der nu er konfigureret,
der kan køre køre chmod eller touch på en fil man ikke er ejer af, eller
hvad?

Her et spørgsmål til Linux, Windows whatever med et filsystem, hvor der kan
tildeles forskellig adgang til filer. Udover selve filens tidspunkt og andre
metadata er det så standart at logge filændringer, så der evt. kan
sammenlignes skrivninger til en fil, mod selve filens informationer?

Det er muligt mine spørgsmål er noget naive, men jeg håber i bærer over med
mig lidt endnu.

Mvh Leif.

---

Den Sun, 11 Jan 2004 20:20:38 +0100 skrev Leif Poulsen:
>
>Hej igen igen
>
>Nu er jeg ikke videre bevandret i Linux, så her endnu et par spørgsmål.
>
>Det er vel kun root, su eller hvad administratornavn der nu er konfigureret,
>der kan køre køre chmod eller touch på en fil man ikke er ejer af, eller
>hvad?

Ja.

>Her et spørgsmål til Linux, Windows whatever med et filsystem, hvor der kan
>tildeles forskellig adgang til filer. Udover selve filens tidspunkt og andre
>metadata er det så standart at logge filændringer, så der evt. kan
>sammenlignes skrivninger til en fil, mod selve filens informationer?

Ikke standard nej, men muligvis en for for audit trails... Mon ikke
Pentagon bruger noget der kan?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Leif Poulsen skrev:

> Her et spørgsmål til Linux, Windows whatever med et filsystem, hvor
> der kan tildeles forskellig adgang til filer. Udover selve filens
> tidspunkt og andre metadata er det så standart at logge filændringer,
> så der evt. kan sammenlignes skrivninger til en fil, mod selve filens
> informationer?

Det er helt op til den lokale opsætning.

Der hvor jeg arbejder, logger vi ikke filændringer, til gengæld logger
vi alt som sker i regnskabssystemet (og lignende systemer).

---

Leif Poulsen wrote:
>
> Det er vel kun root, su eller hvad administratornavn der nu er konfigureret,
> der kan køre køre chmod eller touch på en fil man ikke er ejer af, eller
> hvad?

Ja noget i den retning. De eksakte regler er ret
komplicerede.

>
> Her et spørgsmål til Linux, Windows whatever med et filsystem, hvor der kan
> tildeles forskellig adgang til filer. Udover selve filens tidspunkt og andre
> metadata er det så standart at logge filændringer, så der evt. kan
> sammenlignes skrivninger til en fil, mod selve filens informationer?

Nej, mig bekendt er der ingen af de nævnte systemer,
der som standard logger ændringer af filer. Det ville
være meget omfattende mængder oplysninger, der skulle
logges.

Der findes vist allerede programmer til at gennemgå
filsystemet for at se hvilke filer, der er ændret.
F.eks. en gang i døgnet. Men det vil jo tage lang tid,
hvis man ikke tør stole på tidsstemplerne.

Logning af alle fil ændringer ville da være muligt
at implementere til Linux. Men jeg kan forestille mig,
at der bliver tale om en ekstremt stor logfil.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Hej alle sammen, tak for de gode svar.

Blot for god ordens skyld viser jeg her definitionen, jeg var i tvivl om med
modify/alter.

data integrity: 1. [The] condition existing when data is unchanged from its
source and has not been accidentally or maliciously modified, altered, or
destroyed. [INFOSEC-99] 2. The condition in which data are identically
maintained during any operation, such as transfer, storage, and retrieval.
3. The preservation of data for their intended use. 4. Relative to specified
operations, the a priori expectation of data quality.



Med venlig hilsen


Leif Poulsen