Tetap aman
Memindai kerentanan mesin Anda adalah garis pertahanan yang baik, namun aspek lain dari tindakan pencegahan keamanan Anda harus mengetahui kapan salah satu mesin Anda telah diretas. Terkadang, tentu saja, mudah untuk mengatakannya; misalnya, jika semua data Anda telah hilang dan situs web Anda digantikan oleh layar hitam besar dengan tulisan “Anda telah Haxx0r3d”, itu adalah petunjuk kuat. Namun, saat ini banyak – mungkin sebagian besar – penyerang yang lebih berhati-hati karena niat mereka adalah untuk meniru informasi secara diam-diam atau menggunakan mesin Anda sebagai titik awal untuk meretas orang lain, sehingga mereka tidak ingin Anda tahu bahwa mereka telah pernah ke sana.
Beberapa teknik dasar yang dapat Anda gunakan termasuk menjalankan perintah seperti ls -alrt /bin atau ls -alrt /etc, yang memindai direktori /bin dan /etc Anda masing-masing, dan memberi Anda daftar semua file dalam urutan terbalik dari saat file tersebut dibuat atau diubah, dengan file terbaru di bagian bawah Daftar. Jika Anda melakukannya dan menemukan, misalnya, file /etc/passwd Anda terakhir diubah kemarin, namun Anda tahu bahwa Anda belum menambahkan pengguna baru ke sistem selama berminggu-minggu, Anda harus mulai khawatir. Namun peretas semakin canggih dan banyak rootkit kini menyertakan perangkat lunak yang menjamin file tersebut tanggal tidak berubah, dan untuk mengatasinya Anda perlu menggunakan sistem deteksi intrusi seperti Tripwire atau Osiris.
Tripwire telah ada selama bertahun-tahun, dan kembali hadir dalam versi sumber terbuka dan komersial. Saat Anda pertama kali menjalankan program ini, program ini akan membuat satu set "sidik jari" untuk semua file utama Anda (seperti yang Anda definisikan saat Anda mengonfigurasinya), yang dihasilkan dengan memeriksa file dan menghitung nilai checksum unik berdasarkan ukuran file, tanggal modifikasi, dan file isi. Anda menyimpan sidik jari ini ke media read-only seperti floppy disk atau CD-ROM yang dilindungi, dan pada setiap proses berikutnya dari Tripwire ia akan membandingkan sidik jari saat ini untuk setiap file dengan sidik jari "yang diketahui bagus" dan melaporkannya perbedaan. Algoritme yang digunakan untuk menghasilkan sidik jari ini memastikan bahwa perubahan satu byte pun dalam file akan menghasilkan sidik jari yang berbeda, jadi Anda harus menanggapi setiap perubahan yang dilaporkan dengan serius.
Satu-satunya masalah yang kami alami dengan Tripwire – dan ini berlaku untuk program serupa – tentu saja, otomatis pembaruan sistem selalu mengakibatkan file diubah, sehingga Tripwire akan terus-menerus mengomel bahwa file tersebut telah diubah diubah. Oleh karena itu, sangat penting bagi Anda untuk selalu memperbarui sidik jari “yang dikenal baik”. Jika tidak, Anda akan dihadapkan pada daftar positif palsu yang terus bertambah, Anda tidak akan ingat lagi mana yang telah positif palsu. diubah oleh pembaruan yang sah dan, oleh karena itu, Anda tidak akan melihat pembaruan tersebut disebabkan oleh pembaruan jahat perilaku. Demikian pula, Anda harus cukup pemilih dalam memberi tahu Tripwire file mana yang harus dipantau Misalnya, file log tidak boleh disertakan, karena menurut definisi, file tersebut berubah dari menit ke menit menit.
Osiris melakukan fungsi yang mirip dengan Tripwire, tetapi dapat dengan mudah diatur untuk memantau beberapa mesin dari satu server. Konsol Manajemen di server berkomunikasi dengan Agen Pemindaian di setiap mesin yang ingin Anda pantau cara yang mirip dengan Tripwire, menyimpan informasi tentang sistem file berdasarkan file yang Anda inginkan dipantau. Jika terjadi perubahan, Osiris dapat mengirim email kepada Anda berisi informasi tentang perubahan apa dan kapan. Osiris bekerja pada Windows dan Linux/Unix, dan sumber tersedia, bersama dengan biner Windows.
