Los sistemas de detección de intrusos de tipo Tripwire supuestamente protegen su sistema de los rootkits, al monitorear las sumas de verificación de los binarios importantes para detectar cambios.
Digamos que he configurado Tripwire para ejecutarse cada noche y lo instalé en un nuevo sistema no rootkited.
Luego, al mediodía de hoy, un intruso experto instala un rootkit en mi sistema.
¿Cómo puedo saber que su rootkit no ha reemplazado mi tripwire con un imitador de tripwire? usando un conjunto diferente de claves públicas / privadas (y binarios de autenticación falsos) que más o menos reproducen los últimos archivos (legibles con una clave pública) para asegurarme de que no haya cambios en las sumas de comprobación (esencialmente solo la reproducción de archivos de registro conocidos). Supongo que podría notar que mi contraseña privada ya no funciona para abrir la clave privada; pero no creo que sea tan difícil dejar que funcione una contraseña (o solo la primera que se teclea). Supongo que debería verificar los tamaños de archivo / shasum / md5sum de tripwire con valores conocidos, pero en mi sistema rootkitted todas esas utilidades podrían verse comprometidas.
Estoy viendo la documentación de enlace y no veo cómo tripwire proporciona seguridad adicional, además de hacer que los desarrolladores de rootkit tengan que trabajar un poco más (para imitar una utilidad adicional configurada por el usuario).
En la práctica, dudo que alguna vez arranque un CD en vivo para verificar los hashes de forma segura; así que me pregunto si proporciona alguna seguridad o si solo es un teatro de seguridad.