[OT] Impedire formattazione disco / cancellazione file

[Premoli, Roberto]

Salve,

Esiste un modo - reversibile - per impedire le modifiche sui dischi
fissi?
Mi spiego meglio: avrei la necessita' di rendere impossibile - o
quantomeno estremamente difficoltosa - la possibilita' di rimozione file
e/o formattazione hard disk (dopo averlo ovviamnete formattato e
popolato con i dati che voglio).

Lo scopo e' quello di impedire la distruzione dei dati qualora un utente
non autorizzato si collegasse da remoto arrivando fino ad ottenere i
provilegi di root.

A parte le attivita' "software" comunque aggirabili (impostare il flag
di cancellazione, rimuovere i vari software dd, mv, rm, mkfs, etc etc)
esiste qualche modo "hardware" per far diventare il disco il piu' simile
possibile ad un cdrom di sola lettura?

Un po' come le schedine flash delle macchine fotografiche digitali che
hanno l'interruttorino "read only" che permette la sola lettura dei dati
senza permetterne la scrittura/cancellazione.

- Qualche configurazione "esoterica" dei jumper dell'hardddisk?
- I piedini X e Y da cortocircuitare/isolare sul chip dell'elettronica
di controllo dell'hardddisk?
- Un "hack" sul cavo sata?

--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-ital...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listm...@lists.debian.org

To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

[Piergiuseppe Tundo]

Il giorno 02 febbraio 2010 12.38, Premoli, Roberto <roberto...@pfizer.com> ha scritto:

Salve,

Esiste un modo - reversibile - per impedire le modifiche sui dischi
fissi?
Mi spiego meglio: avrei la necessita' di rendere impossibile  - o
quantomeno estremamente difficoltosa - la possibilita' di rimozione file
e/o formattazione hard disk (dopo averlo ovviamnete formattato e
popolato con i dati che voglio).

Lo scopo e' quello di impedire la distruzione dei dati qualora un utente
non autorizzato si collegasse da remoto arrivando fino ad ottenere i
provilegi di root.

A parte le attivita' "software" comunque aggirabili (impostare il flag
di cancellazione, rimuovere i vari software dd, mv, rm, mkfs, etc etc)
esiste qualche modo "hardware" per far diventare il disco il piu' simile
possibile ad un cdrom di sola lettura?

Un po' come le schedine flash delle macchine fotografiche digitali che
hanno l'interruttorino "read only" che permette la sola lettura dei dati
senza permetterne la scrittura/cancellazione.

- Qualche configurazione "esoterica" dei jumper dell'hardddisk?
- I piedini X e Y da cortocircuitare/isolare sul chip dell'elettronica
di controllo dell'hardddisk?
- Un "hack" sul cavo sata?

I dispositivi che cerchi si chiamano write blocker, una botta di Google e ne trovi a bizzeffe, sono molto usati in ambito forensic.

Eliminare alcuni comandi (dd, rm...) non vedo a cosa possa servire, se rimane possibile redirezionare in un file l'output di un qualsiasi comando.

Ciao.

--

Peppe

[Piergiuseppe Tundo]

Ho dimenticato di aggiungere che, restando in ambito software, la cosa migliore da fare sarebbe montare la partizione in oggetto in modalità read-only e impedire che venga rimontata in modalità read-write.

Ciao.

--

Peppe 

[dea]

CIAO !

Conosco ed ho visto utilizzare un giocattolo USB-in/USB-out per rendere write
protect a livello fisico e certificato qualsiasi device di storage collegabile
ad USB compatibile con diversi protocolli (poi da USB a SATA/PATA di
convertitori ne trovi).

Un mio collega ha poi cambiato lavoro entrando come consulente alla Polizia
Postale. Era loro richiesto fare un dump di supporti generici, con la
certificazione che i dati ivi presenti in origine non potessero essere
toccati, cancellati o alterati durante l'operazione di dump, in alcun caso e
modo, evitando il più possibile l'errore umano. Usando questo scatolotto
veniva interdetto il flusso (eventuale) in write sul supporto a livello fisico.

Si poteva così certificare che il supporto rimaneva coerente ed inalterato
rispetto a quello che veniva loro consegnato.

Quindi, fare si può fare.

------- End of Original Message -------

[Premoli, Roberto]

>Ho dimenticato di aggiungere che, restando in ambito software, la cosa migliore da fare sarebbe montare la
>partizione in oggetto in modalità read-only e impedire che venga rimontata in modalità read-write.
>
>Ciao.

Se uno scala da remoto i provilegi fino a diventare root puo' fare quello che vuole:
smonta read-only e rimonta in read/write.
A me non interessa evirare la COPIA/LETTURA dei file, interessa impedirne la CANCELLAZIONE

[dea]

Mumble.. esistono sistemi alternativi... (almeno per il LOG)

per esempio, una macchina che faccia SOLO LOG, un muletto senza rete ...

Pensa a questa situazione:

- Un server che esce in seriale su un'altro PC.
- Il server invia i LOG testuali sulla seriale
- Il PC LOG ascolta in polling sulla seriale e tutto quello che ascolta lo
accoda ad un file di LOG che gestisce come preferisci.

Se non con accesso fisico alla macchina di LOG non è raggiungibile in alcun
modo, non ha rete, lei scrive (append) solo quello che ascolta... se il server
viene bucato, alpiù scrive stupidaggini (dopo essere stato bucato) ma ogni
traccia non è cancellabile...

---------- Original Message -----------
From: "Premoli, Roberto" <roberto...@pfizer.com>

------- End of Original Message -------

[Christian Surchi]

Il giorno mar, 02/02/2010 alle 14.46 +0100, Premoli, Roberto ha scritto:
> >Ho dimenticato di aggiungere che, restando in ambito software, la cosa migliore da fare sarebbe montare la
> >partizione in oggetto in modalità read-only e impedire che venga rimontata in modalità read-write.
> >
> >Ciao.
>
> Se uno scala da remoto i provilegi fino a diventare root puo' fare quello che vuole:
> smonta read-only e rimonta in read/write.
> A me non interessa evirare la COPIA/LETTURA dei file, interessa impedirne la CANCELLAZIONE

anche senza bisogno di smontare e rimontare, per essere distruttivi
basta anche soltanto scrivere direttamente sul device...

[Davide Prina]

Premoli, Roberto wrote:

> Esiste un modo - reversibile - per impedire le modifiche sui dischi
> fissi?
> Mi spiego meglio: avrei la necessita' di rendere impossibile - o
> quantomeno estremamente difficoltosa - la possibilita' di rimozione file
> e/o formattazione hard disk (dopo averlo ovviamnete formattato e
> popolato con i dati che voglio).

semplice:

1) installi sul disco quello che ti serve
2) ti crei una live dell'installazione e la masterizzi su CD/DVD
3) stacchi il disco ed esegui solo dalla live (volendo puoi usare 2 PC:
uno con il disco, non accessibile dalla rete e l'altro che esegue solo
la live)

se devi apportare modifiche rimetti il disco, fai le modifiche richieste
e riparti dal punto 2

per il punto 2 ci sono alcuni tools che fanno questo, come ad esempio
bootcd che è presente in Debian

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione per liberare i PC:
http://www.petitiononline.com/liberasw/
Non autorizzo la memorizzazione del mio indirizzo su outlook

[Ezio Da Rin]

Davide Prina ha scritto:

> Premoli, Roberto wrote:
>
>> Esiste un modo - reversibile - per impedire le modifiche sui dischi
>> fissi?

>> [...]

>
> semplice:
>
> 1) installi sul disco quello che ti serve
> 2) ti crei una live dell'installazione e la masterizzi su CD/DVD
> 3) stacchi il disco ed esegui solo dalla live (volendo puoi usare 2
> PC: uno con il disco, non accessibile dalla rete e l'altro che esegue
> solo la live)
>
> se devi apportare modifiche rimetti il disco, fai le modifiche
> richieste e riparti dal punto 2
>
> per il punto 2 ci sono alcuni tools che fanno questo, come ad esempio

> bootcd che � presente in Debian
>

quoto in pieno Davide, se poi utilizzi squashfs-tools con:

mksquashfs /[tuo_filesystem] filesystem.squashfs

che con la sola sostituzione del filesystem.squashfs alla tua iso come
facciamo qui:

http://www.linuxnetlive.org/index.php?option=com_content&view=article&id=50&Itemid=43

ti trovi con la tua distro modificata su un dvd che vorrei proprio
vedere come fanno a cancellartelo o modificartelo. Qualcuno potr� anche
corromperti il filesystem in ram ma basta un riavvio e sei di nuovo a posto.

Con un quad-core xeon 3.200, dato che mksquashfs utilizza tutti i 4
processori in parallelo, un filesystem ad esempio di SoDiLinux, che
installato su hd occupa circa 6,7GB, riesce a compattarlo in circa
mezz'ora in uno squashfs di 2,67GB. Una Debian-Live in 20 minuti in 1,4GB.
Ciao, Ezio.

[Pol Hallen]

correggetemi se sbaglio, avevo letto anni fa oramai una modalita' selinux che
permetteva di avviare il sistema senza possibilita' di accesso root.

L'unico modo era riavviare il sistema con un disco rescue e modificare un
parametro.. ma la mia memoria non e' granche' affidabile.

Pol

[Davide Prina]

Premoli, Roberto wrote:

top quoting! ahi, ahi, ahi ... questo è male! ;-)

> Bello, peccato che i dati che-non-devono-poter-essere-cancellati sono qualche tera....

fai quanto riportato nell'altra mail e monti un file system remoto di
sola lettura (non in sola lettura) contenente i dati indicati. In questo
modo l'accesso al file system è più veloce, il file system remoto non
potrà in ogni caso essere scritto e anche impossessandosi dei permessi
di root un attaccante non potrà far nulla sul sistema locale (è un CD
ROM) e per poter modificare il file system remoto dovrà riuscire ad
impadronirsi anche di un'altra macchina

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione contro il formato ms-ooxml:
http://www.noooxml.org/petition

[dea]

.. perdonatemi, mi inserisco una volta ancora in questa discussione, poi non
rompo più, davvero.

Penso che tutto si riassuma in una frase:

Quanto vuoi, puoi spendere ?

Riassumendo:

- Si tratta di Tbyte
- Si tratta di sicurezza di alto livello

Conclusione: HARDWARE DEDICATO da inserire in serie al/ai dischi rigidi,
commuti la modalità RO/RW con uno switch (hardware).
Ho visto un link postato qui che vende anche questi giocattoli....

------- End of Original Message -------