Nutzt die Chance und nehmt kostenfrei am Vortrag teil – sichert euch HIER die Zugangsdaten.
Felix wird einige Ergebnisse seiner Forschung über das Linux Audit Framework (auditd) vorstellen, welches ein leistungsfähiges Framework zur Überwachung von System- und Benutzeraktivitäten bietet.
Das Linux Audit System (Auditd) – Fluch und Segen
Kaum ein Logging System unter Linux bietet eine so umfassende Überwachung wie Auditd. Durch die Spezifikation von Regeln können einzelne Systemaufrufe (System Calls / Syscalls) abhängig von deren Argumenten und aufrufenden Programmen/ Nutzern feingranular überwacht werden. Neben einem technischen Grundverständnis beruht diese Art der Überwachung auf der Abdeckung aller relevanten Systemaufrufe. Da im Linux Betriebssystem unter Umständen dieselbe Aktion mit verschiedenen Systemaufrufen erreicht werden kann, kann einem Angreifer schon ein einziger un-überwachter Systemaufruf ausreichen, um unerkannt ein System zu manipulieren und Informationen zu sammeln. Wie schnell so ein „kleiner“ Fehler passieren kann, sieht man an der aktuellen Auditd Schwachstelle mit der CVE XXXX, bei der die Entwickler selbst einen Systemaufruf übersehen haben. Felix zeigt im Vortrag Stärken und Schwächen des Linux Audit Systems auf und geht dabei unter anderem auf den Findungsprozess und die Hintergründe der Auditd Schwachstellen ein.