Ten que planificar antes de atrapar a un Intruder
Espero que manteñas os teus ordenadores parcheados e actualizados e que a túa rede estea segura. Non obstante, é bastante inevitable que poida atacar con actividade maliciosa algún virus , worm , cabalo de Troia , piratear ou non. Cando isto ocorre, se fixo as cousas certas antes do ataque, fará o traballo de determinar cando e como o ataque conseguiu moito máis fácil.
Se xa asistiu ao programa de TV CSI ou a calquera outro programa de televisión legal ou policial, vostede sabe que mesmo coa menor farsa de probas forenses os investigadores poden identificar, seguir e atrapar ao autor dun delito.
Pero non sería bo que non tivesen que filtrar as fibras para atopar o cabelo que realmente pertence ao autor e facer probas de ADN para identificar o seu propietario? E se houbese un rexistro en cada persoa con quen entraron en contacto e cando? E se houbese un rexistro do que se fixo para esa persoa?
Se fose así, os investigadores como os de CSI poderían estar fóra do negocio. A policía atoparía o corpo, verificará o rexistro para ver quen último entrou en contacto co falecido eo que fixera e xa terían a identidade sen ter que cavar. Isto é o que o rexistro ofrece en termos de subministración de probas forenses cando hai actividade maliciosa no seu computador ou rede.
Se un administrador de rede non activa o rexistro ou non rexistra os eventos correctos, escavar probas forenses para identificar a hora e a data ou o método dun acceso non autorizado ou outra actividade maliciosa pode ser tan difícil como buscar a proverbial agulla nun pajar. Moitas veces a causa raíz dun ataque nunca se atopa. As máquinas pirateadas ou infectadas son limpas e todo o mundo volve ao negocio como de costume sen saber verdadeiramente se os sistemas están protexidos mellor do que eran cando chegaron en primeiro lugar.
Algunhas aplicacións rexistran as cousas por defecto. Os servidores web como IIS e Apache xeralmente rexistran todo o tráfico entrante. Isto úsase principalmente para ver cantas persoas visitaban o sitio web, o enderezo IP que utilizaban e outras informacións de tipo de métricas relacionadas co sitio web. Pero, no caso de gusanos como CodeRed ou Nimda, os rexistros web tamén poden amosarche cando os sistemas infectados están tentando acceder ao seu sistema porque teñen certos comandos que intentan que aparezan nos rexistros se son exitosos ou non.
Algúns sistemas teñen varias funcións de auditoría e rexistro incorporadas. Tamén pode instalar software adicional para supervisar e rexistrar varias accións no computador (consulte Ferramentas na caixa de ligazón á dereita deste artigo). Nunha máquina Windows XP Professional hai opcións para auditurar eventos de inicio de sesión de contas, xestión de contas, acceso ao servizo de directorio, eventos de inicio de sesión, acceso a obxectos, cambio de política, uso de privilexio, seguimento de procesos e eventos do sistema.
Para cada un destes, pode optar por rexistrar logro, falla ou nada. Usando Windows XP Pro como exemplo, se non activou ningún rexistro para o acceso a obxectos, non tería ningún rexistro de cando un arquivo ou cartafol accedeu por última vez. Se activou só o rexistro de erros tería un rexistro de cando alguén intentou acceder ao ficheiro ou cartafol pero fallou debido a non ter os permisos ou autorización adecuados, pero non tería un rexistro de cando un usuario autorizado accedeu ao ficheiro ou cartafol .
Debido a que un hacker pode moi ben estar usando un nome de usuario e contrasinal craqueados, é posible que poidan acceder correctamente a ficheiros. Se ves os rexistros e ves que Bob Smith eliminou o estado financeiro da empresa ás 3 da madrugada, podería ser seguro asumir que Bob Smith estaba durmindo e que talvez o seu nome de usuario e contrasinal estivesen comprometidos . En calquera caso, xa sabes o que pasou co ficheiro e cando e dáche un punto de partida para investigar como pasou.
Tanto o rexistro de falla como o éxito poden proporcionar información e pistas útiles, pero debes equilibrar as actividades de seguimento e rexistro co rendemento do sistema. Usando o exemplo do libro de rexistro humano de arriba, axudaría aos investigadores se a xente gardaba un rexistro de todos os que entraron en contacto e que pasaron durante a interacción, pero sen dúbida desaceleraría a xente.
Se tivese que deter e escribir quen, que e cando para cada encontro que tiña todo o día pode afectar severamente a súa produtividade. O mesmo ocorre coa monitorización e rexistro da actividade informática. Pode habilitar todas as posibles faltas e a opción de rexistro de éxito e terá un rexistro moi detallado de todo o que suceda no seu computador. Non obstante, terá un impacto severo no rendemento porque o procesador estará ocupado gravando 100 entradas diferentes nos rexistros cada vez que alguén preme un botón ou faga clic co rato.
Ten que valorar que tipo de rexistro sería beneficioso co impacto no rendemento do sistema e atopar o equilibrio que funcione mellor para vostede. Tamén debe ter en conta que moitas ferramentas de hackers e programas de cabalos de Troia como Sub7 inclúen utilidades que lles permiten alterar os ficheiros de rexistro para ocultar as súas accións e ocultar a intrusión para que non poida confiar nun 100% nos ficheiros de rexistro.
Pode evitar algúns dos problemas de rendemento e posiblemente os problemas de ocultación da ferramenta de hacker tendo en conta algunhas cousas ao configurar o rexistro. Debe medir o tamaño dos ficheiros de rexistro e asegurarse de ter o suficiente espazo de disco en primeiro lugar. Tamén cómpre configurar unha política sobre se os rexistros antigos se sobrescribirán ou borrarán ou se desexa arxivar os rexistros diariamente, semanalmente ou de forma periódica, de xeito que tamén teña máis datos para mirar cara atrás.
Se é posible usar un disco duro dedicado e / ou un controlador de disco ríxido, terá menos impacto no rendemento porque os ficheiros de rexistro poden escribirse no disco sen ter que loitar coas aplicacións que está intentando executar para acceder á unidade. Se pode dirixir os ficheiros de rexistro a unha computadora separada, posiblemente dedicada a almacenar ficheiros de rexistro e con opcións de seguridade completamente diferentes, pode que poida bloquear a capacidade dun intruso para alterar ou borrar tamén os ficheiros de rexistro.
A nota final é que non debes esperar ata que sexa demasiado tarde e o teu sistema xa estea bloqueado ou comprometido antes de ver os rexistros. É mellor revisar periodicamente os rexistros para que poida saber o que é normal e establecer unha liña de base. Deste xeito, cando atopas entradas erróneas, podes recoñecelos como tales e tomar medidas proactivas para endurecer o teu sistema e non facer a investigación forense despois de que sexa demasiado tarde.