Has d'avançar per atrapar un intrús
Espero que mantingueu els ordinadors remuntats i actualitzats i que la vostra xarxa està protegida. Tanmateix, és bastant inevitable que, en algun moment, es vegi afectat per una activitat maliciosa: un virus , un cuc , un cavall de Troia , un atac de pirateig o d'una altra manera. Quan això passi, si heu fet les coses correctes abans de l'atac, farà que la feina de determinar quan i com l'èxit va aconseguir molt més fàcil.
Si alguna vegada has vist el programa de televisió CSI , o gairebé qualsevol altre programa de televisió policial o legal, sabeu que, fins i tot amb la menor quantitat de proves forenses, els investigadors poden identificar, fer un seguiment i capturar l'autor d'un delicte.
Però, no seria bo si no hagués de filtrar les fibres per trobar el pèl que realment pertany a l'autor i fer proves d'ADN per identificar el seu propietari? Què passaria si hi hagués un registre de cada persona amb qui contactés i quan? Què passaria si hi hagués un registre de què es feia amb aquesta persona?
Si aquest fos el cas, els investigadors com els de CSI podrien estar fora de negoci. La policia trobaria el cos, verifica el registre per veure qui va entrar en contacte amb el difunt i què va fer i ja tindrien la identitat sense haver de cavar. Això és el que proporciona el registre en termes de subministrar proves forenses quan hi ha activitat maliciosa a l'ordinador o a la xarxa.
Si un administrador de la xarxa no activa el registre o no registra els esdeveniments correctes, excavar proves forenses per identificar la data i el mètode d'un accés no autoritzat o d'altres activitats malicioses pot ser tan difícil com buscar l'agulla proverbial en un paller. Sovint, la causa principal d'un atac mai no es descobreix. Les màquines piratejades o infectades es netegen i tothom torna a fer negocis com de costum sense saber veritablement si els sistemes estan protegits millor que ells quan van aconseguir el primer cop.
Algunes aplicacions registren les coses per defecte. Els servidors web com IIS i Apache generalment registren tot el trànsit entrant. Això s'utilitza principalment per veure quantes persones han visitat el lloc web, quina adreça IP utilitzen i una altra informació de tipus de mètrica respecte al lloc web. Però, en el cas de cucs com CodeRed o Nimda, els registres web també poden mostrar-vos quan els sistemes infectats estan intentant accedir al vostre sistema perquè tenen certes ordres que intenten que es mostrin als registres tant si són reeixits o no.
Alguns sistemes tenen diverses funcions d'auditoria i registre incorporades. També podeu instal·lar programari addicional per supervisar i registrar diverses accions a l'ordinador (consulteu Eines a la caixa d'enllaç a la dreta d'aquest article). En una màquina Windows XP Professional hi ha opcions per auditar esdeveniments d'inici de sessió del compte, gestió de comptes, accés al servei de directori, esdeveniments d'inici de sessió, accés a objectes, canvi de política, ús de privilegis, seguiment de processos i esdeveniments del sistema.
Per a cadascun d'aquests, podeu triar registrar l'èxit, el fracàs o res. Si utilitzeu Windows XP Pro com a exemple, si no habilitava cap registre per a l'accés a l'objecte, no tindria cap registre de quan es va accedir per última vegada a un fitxer o a una carpeta. Si heu activat només el registre d'errors, tindria un registre de quan algú intentava accedir al fitxer o a la carpeta, però no tenia els permisos ni l'autorització adequats, però no tindria cap registre de quan un usuari autoritzat accedís al fitxer o a la carpeta .
Com que un hacker pot estar utilitzant un nom d'usuari i una contrasenya esquerdades, és possible que puguin accedir amb èxit als fitxers. Si veieu els registres i veieu que Bob Smith va suprimir l'extracte financer de l'empresa a les 3 de la matinada de diumenge, podria ser segur assumir que Bob Smith estava dormint i que tal vegada el seu nom d'usuari i contrasenya s'hagin vist compromesos . De totes maneres, ja sabeu què va passar amb el fitxer i quan i us dóna un punt de partida per investigar com va passar.
Tant el registre fallit com l'èxit poden proporcionar informació i pistes útils, però heu d'equilibrar les vostres activitats de seguiment i registre amb el rendiment del sistema. Utilitzant l'exemple del llibre de registre humà des de dalt, ajudaria als investigadors si les persones mantenien un registre de tots els contactats i el que succeïa durant la interacció, però sens dubte disminuiria la velocitat de la gent.
Si heu de parar i escriure qui, què i quan, per cada trobada que tingueu tot el dia, podria afectar greument la vostra productivitat. El mateix passa amb la supervisió i l'explotació de l'activitat informàtica. Podeu habilitar totes les possibles falles i l'opció de registre d'èxit i tindreu un registre molt detallat de tot el que succeeix a l'ordinador. No obstant això, tindrà un impacte sever en el rendiment perquè el processador estarà ocupat enregistrant 100 entrades diferents en els registres cada vegada que algú pressiona un botó o fa clic al ratolí.
Cal superar el tipus de registre que seria beneficiós amb l'impacte en el rendiment del sistema i trobar l'equilibri que funcioni millor per a vostè. També heu de tenir en compte que moltes eines de hackers i programes de cavalls de Troia , com Sub7, inclouen utilitats que els permeten alterar els fitxers de registre per ocultar les seves accions i ocultar la intrusió perquè no pugui confiar el 100% en els fitxers de registre.
Podeu evitar alguns dels problemes de rendiment i possiblement els problemes d'ocultació de l'eina hacker tenint en compte certes coses en configurar el vostre registre. Heu d'avaluar la mida dels fitxers de registre i assegurar-vos que teniu prou espai al disc en primer lloc. També heu d'establir una política sobre si els registres vells se sobreescriuran o esborraran o si voleu arxivar els registres diàriament, setmanalment o d'una altra manera periòdica, de manera que també tingueu dades més antigues.
Si és possible utilitzar un disc dur dedicat o un controlador de disc dur, tindreu menys impacte en el rendiment perquè els fitxers de registre es poden escriure al disc sense haver de lluitar amb les aplicacions que intenteu executar per accedir a la unitat. Si podeu dirigir els fitxers de registre a un ordinador independent, possiblement dedicat a emmagatzemar fitxers de registre i amb configuracions de seguretat completament diferents, podeu bloquejar la capacitat d'un intrús d'alterar o suprimir també els fitxers de registre.
Una nota final és que no haureu d'esperar fins que sigui massa tard i el sistema ja s'hagi bloquejat o compromès abans de veure els registres. El millor és revisar els registres periòdicament perquè pugueu saber què és normal i establir una línia de base. D'aquesta manera, quan trobeu entrades errònies, podeu reconèixer-les com a tals i prendre passos proactius per endurir el vostre sistema en lloc de realitzar la investigació forense després d'arribar massa tard.