Si spera che i computer vengano aggiornati e aggiornati e che la rete sia protetta. Tuttavia, è abbastanza inevitabile che a un certo punto si venga colpiti da attività malevole: virus, worm, cavallo di Troia, attacco di hacker o altro. Quando ciò accade, se hai fatto le cose giuste prima dell'attacco, farai il compito di determinare quando e come l'attacco ha avuto successo molto più facilmente.
Se hai mai visto il programma televisivo "CSI" o quasi qualsiasi altro show televisivo di polizia o legale, sai che anche con il più sottile brandello di prove forensi gli investigatori possono identificare, rintracciare e catturare l'autore di un crimine.
Ma non sarebbe bello se non dovessero setacciare le fibre per trovare l'unico capello che effettivamente appartiene al perpetratore e fare test del DNA per identificare il suo proprietario? Cosa accadrebbe se ci fosse un record su ciascuna persona con cui sono venuti in contatto e quando? E se ci fosse stato un record di ciò che è stato fatto a quella persona?
Se così fosse, investigatori come quelli di "CSI" potrebbero essere fuori mercato. La polizia avrebbe trovato il corpo, controllato il record per vedere chi era entrato per ultimo in contatto con il defunto e cosa era stato fatto e avrebbero già avuto l'identità senza dover scavare. Questo è ciò che la registrazione fornisce in termini di fornitura di prove forensi quando si verificano attività dannose sul computer o sulla rete.
Se un amministratore di rete non attiva la registrazione o non registra gli eventi corretti, scavare prove forensi per identificare l'ora e la data o il metodo di un accesso non autorizzato o altre attività dannose può essere altrettanto difficile come cercare l'ago proverbiale in un pagliaio. Spesso la causa principale di un attacco non viene mai scoperta. Le macchine hackerate o infette vengono pulite e tutti tornano al business come al solito senza sapere veramente se i sistemi sono protetti meglio di quando sono stati colpiti in primo luogo.
Alcune applicazioni registrano le cose per impostazione predefinita. I server Web come IIS e Apache generalmente registrano tutto il traffico in entrata. Questo è principalmente usato per vedere quante persone hanno visitato il sito web, quale indirizzo IP hanno usato e altre informazioni sul tipo di metriche riguardanti il sito web. Ma, nel caso di worm come CodeRed o Nimda, i weblog possono anche mostrarti quando i sistemi infetti stanno tentando di accedere al tuo sistema perché hanno determinati comandi che tentano di mostrare nei log se hanno successo o meno.
Alcuni sistemi dispongono di varie funzioni di controllo e registrazione integrate. È anche possibile installare software aggiuntivo per monitorare e registrare varie azioni sul computer (vedere Utensili nella casella di collegamento a destra di questo articolo). Su un computer Windows XP Professional, sono disponibili opzioni per controllare gli eventi di accesso all'account, la gestione dell'account, l'accesso al servizio di directory, gli eventi di accesso, l'accesso agli oggetti, la modifica delle politiche, l'utilizzo dei privilegi, il tracciamento dei processi e gli eventi di sistema.
Per ognuno di questi, è possibile scegliere di registrare il successo, il fallimento o nulla. Usando Windows XP Pro come esempio, se non hai abilitato alcuna registrazione per l'accesso agli oggetti non avresti alcuna registrazione di quando un file o una cartella è stato accesso per ultimo. Se hai abilitato solo la registrazione degli errori, avresti una registrazione di quando qualcuno ha tentato di accedere al file o alla cartella ma non è riuscito a causa di non avere le autorizzazioni o l'autorizzazione appropriate, ma non avresti un record di quando un utente autorizzato ha effettuato l'accesso al file o alla cartella .
Poiché un hacker potrebbe utilizzare un nome utente e una password screpolati, potrebbe essere in grado di accedere correttamente ai file. Se si visualizzano i log e si vede che Bob Smith ha cancellato il rendiconto finanziario della società alle 3 del mattino di domenica, si potrebbe tranquillamente presumere che Bob Smith stesse dormendo e che forse il suo nome utente e la password siano stati compromessi. In ogni caso, ora sai cosa è successo al file e quando e ti dà un punto di partenza per indagare su come è successo.
Sia la registrazione di errori che quella di successo possono fornire informazioni e indizi utili, ma è necessario bilanciare le attività di monitoraggio e registrazione con le prestazioni del sistema. Usando l'esempio del libro dei record umano dall'alto, sarebbe di aiuto agli investigatori se le persone tenessero un registro di tutti quelli con cui erano venuti in contatto e che cosa accadesse durante l'interazione, ma certamente rallenterebbe le persone.
Se dovessi fermarti a scrivere chi, cosa e quando per ogni incontro che hai avuto tutto il giorno, potrebbe avere un forte impatto sulla tua produttività. La stessa cosa vale per il monitoraggio e la registrazione dell'attività del computer. È possibile abilitare tutte le opzioni di registrazione di errori e successi possibili e si avrà una registrazione molto dettagliata di tutto ciò che accade nel tuo computer. Tuttavia, si avrà un impatto negativo sulle prestazioni poiché il processore sarà impegnato a registrare 100 voci diverse nei log ogni volta che qualcuno preme un pulsante o fa clic con il mouse.
Devi valutare quale tipo di registrazione sarebbe vantaggioso con l'impatto sulle prestazioni del sistema e trovare l'equilibrio che funziona meglio per te. Si dovrebbe anche tenere presente che molti strumenti di hacker e programmi di Trojan Horse come Sub7 includono utility che consentono loro di alterare i file di log per nascondere le loro azioni e nascondere l'intrusione in modo che non si possa contare al 100% sui file di log.
È possibile evitare alcuni dei problemi di prestazioni e, possibilmente, i problemi di occultamento degli strumenti degli hacker prendendo in considerazione determinate cose durante l'impostazione della registrazione. È necessario valutare quanto saranno grandi i file di registro e assicurarsi di avere abbastanza spazio sul disco in primo luogo.È inoltre necessario impostare un criterio per verificare se i registri precedenti verranno sovrascritti o eliminati o se si desidera archiviare i registri su base giornaliera, settimanale o su base periodica, in modo che anche i dati più vecchi possano essere consultati.
Se è possibile utilizzare un disco rigido dedicato e / o un controller del disco rigido, si avrà un impatto minore sulle prestazioni poiché i file di registro possono essere scritti sul disco senza dover combattere con le applicazioni che si sta tentando di eseguire per l'accesso all'unità. Se è possibile indirizzare i file di registro su un computer separato - eventualmente dedicato alla memorizzazione dei file di registro e con impostazioni di sicurezza completamente diverse - si potrebbe essere in grado di bloccare la capacità di un intruso di modificare o eliminare anche i file di registro.
Un'ultima nota è che non devi aspettare fino a quando non è troppo tardi e il tuo sistema è già andato in crash o compromesso prima di visualizzare i log. È consigliabile rivedere periodicamente i log in modo da poter sapere cosa è normale e stabilire una base di riferimento. In questo modo, quando si incontrano voci errate, è possibile riconoscerle come tali e adottare misure proattive per rafforzare il sistema piuttosto che eseguire l'indagine forense dopo che è troppo tardi.
