Tripwire y demas programas que hacen BD con los checksum de los archivos no es la panacea. Se puede troyanizar el tripwire (tanto en Win como en Unix) y corromper sus BD.
La unica forma es tener la BD de los checksum en soporte no modificable (USB, CDROM, impreso). Obviamente esto añade mucha mas seguridad "preventiva" y forense, pero no es total.
Lo mismo que firewalls, IDS, y demas, hay tecnicas para saltarselos o evadirlos (por ejemplo, aunque ya no funciona demasiado, fragmentar paquetes, escaneos desde host de confianza, etc..) por no hablar de inyeccion de codigo DLL en programitas como Explorer o SVCHOST, que el Zone Alarm, Sygate, Tiny y demas se comen con patatas, permitiendo entrada y salida de conexiones camufladas.
Y el StackGuard y demas, pues tampoco son "indestructibles", pues hay bastantes tecnicas para saltarselo, desde ofuscacion de payloads y shellcodes, ret "legales", modificacion de DLLs, heap overflows, que dejan al Stack Guard y demas (el stack shield era el vulnerable a ret-into-libc?) con los pantalones bajados.
Igual que una DMZ, tambien podria montar una Honeynet, servicios falsos, alterar la firma TCP y la ventana para evitar detecciones de SO, meter un SELinux, Lids, Bastion, un router de por medio con mas filtros que una depuradora, guardias armados en la entrada de su casa.... etc... y volver gilipollas al hacker que le intente entrar. Claro.
Pero eso tiene un coste de implementacion (y de pasta, por ejemplo, en el caso de Stackguard, creo que el Stack Shield no esta para Windows), para "proteger" que?
Si eres un usuario domestico que lo mas importante que tienes en tu PC son las fotos de tu familia o documentos del trabajo, veo "excesivo" una implementacion de seguridad digna del CNI. Otra cosa es que sea un sistema que necesariamente debe ser muy seguro o que quieras trastear con programas e implementaciones de seguridad por placer, como hacemos nosotros
De todas formas, resumiendo, en Windows, con tener un buen IDS-Firewall (Zone, Tiny, Snort), un sniffer (Snort, etc... busca sniffers), un AV (Kaspersky?) y si acaso, el Stack Guard, estas protegido contra casi casi todo (que obviamente, sera el 99% worms y autorooters de script kiddies).
Salu2
Autor
En línea
