Moraš načrtovati, da bi ujela nekoga drugega
Upajmo, da boste svoje računalnike popravili in posodobili ter da bo vaše omrežje varno. Vendar je precej neizogibno, da boste v določeni točki napadli zlonamerno dejavnost - virus , črv , trojanskega konja, napadalnega napada ali kako drugače. Ko se to zgodi, če ste naredili prave stvari pred napadom, boste naredili nalogo, da določite, kdaj in kako je napad tako veliko lažje.
Če ste kdaj gledali TV show CSI ali skoraj katero koli drugo policijsko ali pravno televizijsko oddajo, veste, da tudi pri najtanjšem lomu forenzičnih dokazov lahko preiskovalci prepoznajo, sledijo in ulovijo storilca kaznivega dejanja.
Ampak, ali ne bi bilo lepo, če ne bi bilo treba presejati vlaken, da bi našli enega las, ki dejansko pripada storilcu, in da testira DNK, da identificira svojega lastnika? Kaj, če je bil zapisnik o vsaki osebi s kom so prišli v stik in kdaj? Kaj pa, če je bil zapis o tem, kaj je bilo storjeno tej osebi?
Če bi bilo tako, bi raziskovalci, kot so tisti v CSI, morda nehali . Policija najde telo, preveri zapis, da vidi, kdo je nazadnje prišel v stik z umrlim in kaj je bilo storjeno, in da bi že imeli identiteto, ne da bi morali kopati. To je tisto, kar se vpisuje v smislu predložitve forenzičnih dokazov, kadar je na vašem računalniku ali omrežju zlonamerna dejavnost.
Če se skrbnik omrežja ne vključi v dnevnik ali ne prijavi pravilnih dogodkov, je kopanje forenzičnih dokazov za določitev časa in datuma ali metode nepooblaščenega dostopa ali druge zlonamerne dejavnosti lahko enako težavno kot išče pregovorno iglo v seno. Pogosto vzrok napada ni več znan. Hakirani ali okuženi stroji so očiščeni in vsakdo vrne v posel kot običajno, ne da bi resnično vedel, ali so sistemi zaščiteni bolje, kot so bili, ko so jih dobili na prvem mestu.
Nekatere aplikacije privzeto prijavijo stvari. Spletni strežniki, kot sta IIS in Apache, običajno zabeležita vse dohodni promet. To se v glavnem uporablja, da bi videli, koliko ljudi je obiskalo spletno mesto, kakšen naslov IP so uporabljali, in druge podatke o meritvah glede spletne strani. Toda v primeru črvov, kot sta CodeRed ali Nimda, spletni dnevniki lahko tudi pokažejo, kdaj okuženi sistemi poskušajo dostopati do vašega sistema, ker imajo določene ukaze, ki jih poskušajo prikazati v dnevnikih, ali so uspešni ali ne.
Nekateri sistemi imajo vgrajene različne funkcije za nadzor in prijavo. Poleg tega lahko namestite dodatno programsko opremo za spremljanje in prijavo različnih dejanj v računalniku (glejte Orodja v linkbox-ju na desni strani tega članka). Na računalniku z operacijskim sistemom Windows XP Professional obstajajo možnosti za revizijo dogodkov pri prijavi računov, upravljanju računov, dostopu do imenika, dogodkih pri prijavi, dostopu do predmeta, spremembi politike, uporabi privilegijev, sledenju procesom in sistemskim dogodkom.
Za vsako od teh se lahko odločite za prijavo uspeha, napake ali nič. Če uporabljate operacijski sistem Windows XP Pro, če niste omogočili nobenega oddajanja za dostop do predmeta, ne bi bilo nobenega zapisa, kdaj ste nazadnje imeli dostop do datoteke ali mape. Če ste omogočili samo zapisovanje napak, bi imeli zapis o tem, kdaj je nekdo poskušal dostopiti do datoteke ali mape, vendar ni uspel zaradi neobstoja ustreznih dovoljenj ali pooblastil, vendar ne bi imeli zapisa o tem, kdaj je pooblaščeni uporabnik dostopal do datoteke ali mape .
Ker lahko heker zelo dobro uporablja odlomljeno uporabniško ime in geslo, morda lahko uspešno dostopa do datotek. Če si ogledate dnevnike in vidite, da je Bob Smith v nedeljo izbrisal računovodsko izkaznico družbe ob 3 uri, je morda varno domnevati, da je Bob Smith spal in da so morda njegovo uporabniško ime in geslo ogroženi . V vsakem primeru zdaj veste, kaj se je zgodilo z datoteko in kdaj in vam daje izhodiščno točko za preiskavo, kako se je zgodilo.
Zaznavanje uspeha in uspeh lahko zagotovi koristne informacije in namige, vendar morate svoje dejavnosti spremljanja in beleženja uskladiti z delovanjem sistema. Z zgornjega primera s človeške knjige zapisov bi raziskovalcem pomagali, če bi ljudje hranili dnevnik vseh, s katerimi so prišli v stik, in kaj se je zgodilo med interakcijo, vendar bi ljudje zagotovo upočasnili.
Če bi morali zaustaviti in napisati, kdo, kdaj in za vsako srečanje, ki ste ga imeli ves dan, lahko močno vpliva na vašo produktivnost. Isto velja za spremljanje in evidentiranje računalniške dejavnosti. Omogočite lahko vse možne možnosti odpovedi in uspeha ter boste imeli zelo podroben zapis o vsem, kar se dogaja v vašem računalniku. Vendar pa boste močno vplivali na uspešnost, ker bo procesor zasedal snemanje 100 različnih vnosov v dnevnikih vsakič, ko nekdo pritisne gumb ali klikne miško.
Morate pretehtati, katere vrste sečnje bi bile koristne za vpliv na delovanje sistema in pripravili ravnotežje, ki vam najbolj ustreza. Upoštevati morate tudi, da številna orodja za hekerje in programe trojanski konj, kot je Sub7, vključujejo pripomočke, ki jim omogočajo spreminjanje datotek dnevnika, da prikrijejo svoja dejanja in skrivajo vdor, tako da se ne morete zanesati 100% na datoteke dnevnika.
Izogibate se lahko nekaterim težavam glede uspešnosti in morebitnim težavam pri skrivanju orodij za hacker, če upoštevate nekatere stvari pri nastavljanju vašega beleženja. Preveriti morate, kako velike bodo datoteke dnevnika in da boste imeli na prvem mestu dovolj prostora na disku. Prav tako morate nastaviti pravilnik o tem, ali bodo stari dnevniki prepisani ali izbrisani, ali če želite dnevnike, tedenske ali druge občasne arhive arhivirati, tako da imate starejše podatke, da si oglejte tudi nazaj.
Če je mogoče uporabiti namenski krmilnik trdega diska in / ali krmilnika trdega diska, boste imeli manjši učinek na učinkovitost, ker je mogoče datoteke dnevnika zapisati na disk, ne da bi se morali boriti z aplikacijami, ki jih poskušate zagnati za dostop do pogona. Če lahko datoteke dnevnika usmerite v ločen računalnik, ki je morda namenjen shranjevanju dnevnikovih datotek in popolnoma drugačnimi varnostnimi nastavitvami, boste morda lahko preprečili zmožnost vsiljivca, da spremeni ali izbriše datoteke dnevnika.
Končna opomba je, da ne smete počakati, dokler ni prepozno in se vaš sistem že zruši ali ogrozi, preden si ogledate dnevnike. Najbolje je, da redno pregledujete dnevnike, da boste vedeli, kaj je normalno, in določite izhodiščno točko. Na ta način, ko naletite na napačne vnose, jih lahko prepoznate kot take in sprejmete proaktivne ukrepe za utrditev vašega sistema in ne za to, da bi kasneje opravili forenzično preiskavo.