Mantenere la sicurezza
Scansionare le tue macchine alla ricerca di vulnerabilità è una buona linea di difesa, ma un altro aspetto delle tue precauzioni di sicurezza deve essere sapere quando una delle tue macchine è stata violata. A volte, ovviamente, è facile dirlo; ad esempio, se tutti i tuoi dati sono scomparsi e il tuo sito web viene sostituito da un grande schermo nero con la scritta "Sei stato Haxx0r3d", questo è un indizio forte. Tuttavia, molti – forse la maggior parte – degli aggressori oggigiorno sono molto più discreti, perché la loro intenzione è quella di copiare informazioni segretamente o per utilizzare la tua macchina come punto di sosta per hackerare altri, in modo che non vogliano che tu sappia che hanno stato lì.
Alcune tecniche di base che puoi utilizzare includono l'esecuzione di comandi come ls -alrt /bin o ls -alrt /etc, che scansionano le tue directory /bin e /etc rispettivamente e fornisce un elenco di tutti i file in ordine inverso rispetto a quando sono stati creati o modificati, con i file più recenti in fondo a la lista. Se lo fai e scopri, ad esempio, che il tuo file /etc/passwd è stato modificato l'ultima volta ieri, ma sai che non hai aggiunto un nuovo utente al sistema da settimane, dovresti iniziare a preoccuparti. Ma gli hacker stanno diventando sempre più sofisticati e molti rootkit ora includono software che proteggono il file le date non vengono modificate e per contrastare ciò è necessario utilizzare un sistema di rilevamento delle intrusioni come Tripwire o Osiride.
Tripwire esiste da anni ed esiste ancora sia in versione open source che commerciale. Quando esegui il programma per la prima volta, crea una serie di "impronte digitali" per tutti i tuoi file chiave (come definiti da te quando lo hai configurato), che vengono generati controllando i file e calcolando un valore di checksum univoco basato sulla dimensione del file, sulla data di modifica e sul file Contenuti. Memorizzi queste impronte digitali su un supporto di sola lettura come un floppy disk protetto o un CD-ROM e ad ogni esecuzione successiva di Tripwire confronterà l'impronta digitale corrente di ciascun file con l'impronta digitale "nota come valida" e ne segnalerà eventuali discrepanze. L'algoritmo con cui vengono generate queste impronte digitali garantisce che anche una singola modifica di byte in un file si tradurrà in un'impronta digitale diversa, quindi dovresti prendere sul serio qualsiasi modifica segnalata.
L’unico problema che abbiamo avuto con Tripwire – e questo vale per qualsiasi programma simile – è che, ovviamente, è automatico gli aggiornamenti di sistema comportano sempre la modifica dei file, quindi Tripwire continuerà a lamentarsi del fatto che tali file siano stati modificati modificata. Per questo motivo, è fondamentale mantenere aggiornate le impronte digitali “conosciute come buone”. Altrimenti ti troverai di fronte ad una lista sempre crescente di falsi positivi, non ricorderai più quali sono stati modificati da aggiornamenti legittimi e, pertanto, non noterai quelli che sono cambiati a causa di aggiornamenti dannosi comportamento. Allo stesso modo, devi essere piuttosto esigente quando si tratta di dire a Tripwire quali file monitorare: per Ad esempio, i file di registro non dovrebbero mai essere inclusi, poiché per definizione cambiano da un minuto all'altro minuto.
Osiris svolge una funzione simile a Tripwire, ma può essere facilmente configurato per monitorare più macchine da un singolo server. Una console di gestione sul server comunica con gli agenti di scansione su ciascuna delle macchine che si desidera monitorare e, in in modo simile a Tripwire, memorizza le informazioni sul file system in base ai file che hai indicato di desiderare monitorato. Se si verifica una modifica, Osiris può inviarti un'e-mail con informazioni su cosa è cambiato e quando. Osiris funziona sia su Windows che su Linux/Unix e i sorgenti sono disponibili insieme ai binari di Windows.
