Intruder bat harrapatzeko aurre egin behar duzu
Zorionez zure ordenagailuak patched eta eguneratuta mantentzen dituzu eta zure sarea segurua da. Hala eta guztiz ere, nahiko saihestezina izango zara une batzuetan jarduera maltzurren batekin egingo duzula aurre: birusak , zizareak , Troiako zaldiak, hack erasoak edo bestela. Hori gertatzen denean, erasoaren aurretik egin dituzun gauza guztiak egin badituzu, noiz eta nola eraso hori askoz ere errazagoa izan den zehaztuko duzu.
CSI telebistako ikuskizuna ikusi baduzu edo beste edozein polizia edo telebistako ikuskizun bati buruz ere jakin badakizue, auzitegiko ebidentziaren zatirik larriena dela eta, ikertzaileek delitu baten egileak identifikatu, segitu eta harrapatu ditzakete.
Baina, ez al litzaioke gustatuko litzaieke zuntzez zikindu behar ez balute, egileak benetan egilearen ilea aurkitzea eta bere jabea identifikatzea? Zer gertatuko zen kontaktuarekin harremanetan jartzen zitzaigun pertsona bakoitzari buruz? Zer gertatu zen pertsona horri zer gertatu zitzaion?
Hori gertatu bazen ere, CSIkoek bezalako ikertzaileak negoziorik gabe egon litezke. Poliziak gorputza topatuko luke, ikusi hildakoarekin harremanetan jartzeko azken datuak ikusteko eta zer egin zen eta nortasuna jabea izango zatekeen. Hau da zure ustez ordenagailuko edo sarean jarduera maltatarra denean saiakuntza auzitegiak hornitzen dituen erregistroa.
Sare-administratzaileak ez badu saioa hasten edo gertakari zuzenak ez baditu, baimenik gabeko sarbidea edo beste jarduera gaiztorikoren ordua eta data edo metodoa identifikatzeko ebidentzia auzitegiko zulatzea oso zaila izan daiteke proverbial needle in a belar-meta. Sarritan, erasoa ez da inoiz aurkitu. Hacked edo kutsatutako makinak garbitu egiten dira eta denek ohiko moduan itzultzen dute ohitu gabe, sistemak hobeto babesten badira lehenik eta behin lortu zituztenean.
Aplikazio batzuk lehenespenez gauzak erregistratzen dituzte. IIS eta Apache bezalako web zerbitzarien, oro har, sarrerako trafiko guztia erregistratu. Hau da, batez ere, jendeak webgunea bisitatu zuen, zer erabiltzen duen IP helbidea eta beste metrics motako informazioa webgunearen inguruan. Baina, CodeRed edo Nimda bezalako zizareen kasuan, web-erregistroek sisteman sartzen saiatzen direnean ere erakuts dezakete sisteman sartzen saiatzen direnean, logiketan agertuko diren zenbait komando daude, arrakastatsuak izan ala ez.
Sistema batzuek hainbat ikuskaritza eta logging funtzioak dituzte. Softwarea ere instalatu dezakezu monitorizatzeko eta hainbat ekintzetako ordenagailuan (ikus Tresnak , artikulu honen eskuinean dagoen estekan). Windows XP Professional makinan kontu logon gertaerak, kontuen kudeaketa, direktorioa zerbitzuaren sarbidea, saio hasiera ekitaldiak, objektu sarbidea, politika aldaketa, pribilegioaren erabilera, prozesuaren jarraipena eta sistemako gertaerak ikuskatzeko aukerak daude.
Horietako bakoitzean arrakastaren, hutsegitearen edo ezer ez egiteko aukera aukeratu dezakezu. Windows XP Pro adibide gisa erabiltzea, objektua atzitzeko baimenik ez baduzu, ezingo duzu fitxategirik edo karpeta bat ikusi azkenaldian. Akatsen erregistroa gaitzen baduzu, fitxategi bat edo karpeta sartzen saiatu zarenean erregistro bat izango zenuke baina huts egin du baimenik edo baimenik ez izateagatik, baina ez duzu baimenik erabiltzaile batek fitxategia edo karpeta atzitu duenean .
Hacker bat oso ondo piztu erabiltzaile izena eta pasahitza erabiliz, behar bezala izan daiteke fitxategiak arrakastaz sartzeko. Erregistroak ikusi eta Bob Smith-ek enpresaren finantza-adierazpena ezabatu zuen igandean, igandean 3: 00etatik aurrera, seguruenik, Bob Smith-ek lotan zegoela uste izan zitekeen eta baliteke haren erabiltzaile-izena eta pasahitza arriskuan jartzea. Edonola ere, orain badakizue zer gertatu zen fitxategira eta noiz eta nola gertatu den ikertzen hasteko abiapuntua ematen dizu.
Bi hutsegitea eta arrakasta erregistroak informazio baliagarria eta arrastoak eman ditzakete, baina sistemen errendimenduarekin jarraipen eta logatze jarduerak orekatzeko behar duzu. Giza erregistro liburuaren adibidea goitik beherakoan, ikertzaileei lagunduko litzaieke elkarrizketan parte hartu zuten guztiei eta interakzioan zehar gertatutakoa logelak mantentzen zituztela, baina jendea motelduko zen.
Gelditu eta idatzi nor izan behar zenuke, zer eta noiz egunean izan duzun topaketa bakoitzerako zure produktibitatea oso larria izan liteke. Gauza bera gertatzen da ordenagailuaren jarduera monitorizatzeko eta saioa hasteko. Ahalik eta hutsegitearen aukera posible guztiak gaitu ditzakezu eta zure ordenagailuan gertatzen den guztia oso zehatza izango duzu. Hala ere, errendimendu handia izango duzu errendimendua prozesadoreak lanpetuta egongo baitira egun bakoitzeko 100 sarrera desberdinetan grabatzen direnean, norbaitek botoi bat sakatzen edo saguaren klik egiten duenean.
Zein erregistro mota onuragarri izango lirateke sistemaren errendimenduan eragina izan dezazun eta zuretzako onena den oreka lortuko duzu. Kontuan izan behar da hacker tresnak eta Troiako zaldi-programak, besteak beste, Sub7-k hainbat erregistro eskaintzen dituztela, log fitxategiak beren ekintzak ezkutatzeko eta intrusioak ezkutatzeko, log fitxategietan% 100 ezin fidatzeko aukera ematen dutenak.
Eragiketa-arazo batzuk eta, seguru asko, hacker-en tresna-ezkutatze arazo batzuk saihestu ditzakezu zenbait gauza kontuan hartuta zure kontuan saioa hastean. Log fitxategiak nola handituko diren zehaztu behar duzu eta ziurtatu lehenbailehen nahikoa leku duzula. Gainera, egunkari zaharrak gainidatziko edo ezabatuko diren ala ez erabakitzeko politika bat ere ezarri beharko zenuke edo eguneratzeak egunkarietan, astean edo beste aldizka batean gordetzeko erabili nahi baduzu datu zaharrak ere begiratu behar dituzu.
Disko gogorreko eta / edo disko gogorreko kontrolagailu bat erabiltzea posiblea bada, gutxienez inpaktu txikiagoa izango duzu diskoan egunkari fitxategiak diskoan idazteko, unitatean sartzeko exekutatzen ari zaren aplikazioekin borrokatu behar izan gabe. Log fitxategiak beste ordenagailu batera zuzendu ahal badituzu, seguru asko, saio-fitxategiak gordetzeko eta segurtasun-ezarpen oso desberdinak eskaini ahal izateko, agian intruder-en log fitxategiak aldatzeko edo ezabatzeko gaitasuna ere blokeatu ahal izango duzu.
Azken ohar bat ez duzula itxaron behar beranduegi izan arte eta zure sistema dagoeneko kraskatu edo hondatu egin da erregistroak ikusi aurretik. Onena da egunkariak aldian-aldian berrikustea, normala den jakiteko eta oinarri bat ezartzeko. Horrela, sarrerarik okerrenean sartzen zarenean, aitortu ahal izango dituzu horrelakoetan eta urrats proaktiboak zure sistema gogortzeko, baizik eta auzitegiko ikerketa egin baino beranduago.