I sistemi di rilevamento delle intrusioni di tipo Tripwire presumibilmente proteggono il sistema dai rootkit, monitorando i checksum dei file binari importanti per le modifiche.
Diciamo che ho tripwire configurato per l'esecuzione notturna e l'ho installato su un nuovo sistema non rootkit.
Quindi a mezzogiorno oggi un intruso esperto installa un rootkit sul mio sistema.
Come faccio a sapere che il loro rootkit non ha sostituito il mio tripwire con un imitatore di tripwire; utilizzando un diverso insieme di chiavi pubbliche / private (e binari di autenticazione falsi) che riproduce più o meno gli ultimi file (leggibili con la chiave pubblica) per assicurarmi che non vengano modificati i checksum (essenzialmente solo la riproduzione di file di registro noti). Immagino di poter notare che la mia passphrase privata non funziona più per aprire la chiave privata; ma non penso che sarebbe così difficile lasciare che una password funzioni (o solo la prima digitata). Credo che dovrei controllare le dimensioni dei file / shasum / md5sum di tripwire con valori noti, ma sul mio sistema rootkitted tutte quelle utility potrebbero essere compromesse.
Sto osservando la documentazione dal link e non vedo come tripwire offra sicurezza extra, oltre a rendere gli sviluppatori di rootkit un po 'più difficili da eseguire (per simulare un'utilità extra configurata dall'utente).
In pratica, dubito che farei regolarmente un cd live per controllare gli hash in modo sicuro; quindi mi chiedo se fornisce sicurezza o se è solo un teatro di sicurezza.