Controle da integridade dos servidores

Maio 2015

Controle de integridade


Quando um servidor foi comprometido, o hacker esconde geralmente a sua passagem suprimindo os vestígios nos registos de atividades. Além disso, instala diversos instrumentos que lhe permitem criar uma porta secreta, para poder voltar ulteriormente.


Para completar, o hacker pensa em corrigir a vulnerabilidade que lhe permitiu introduzir, para evitar que outros hackers se infiltrem.


A sua presença num servidor pode, no entanto, ser traída por um certo número de comandos de administração que permitem exibir a lista dos processos correntes ou simplesmente os utilizadores conectados à máquina. Existem assim softwares, chamados rootkits, encarregados de esmagar a maior parte dos instrumentos do sistema e substituí-los por comandos equivalentes que mascaram a presença do hacker.


É por conseguinte fácil compreender que, em ausência de deterioração, pode ser muito difícil para um administrador aperceber-se de que uma máquina foi comprometida. Uma das primeiras ações, durante a descoberta de um comprometimento, consiste em datar o comprometimento, para avaliar a extensão potencial sobre os outros servidores.


Na verdade, de um modo geral, os servidores armazenam nos arquivos, um vestígio da sua atividade e, em particular, dos erros encontrados.


Ora, durante um ataque informático é raro que o hacker consiga comprometer um sistema, de primeira. Age às cegas na maior parte do tempo, tentando diferentes pedidos.


Assim, a vigilância dos registos permite detectar uma atividade suspeita. É particularmente importante supervisionar os registos de atividade dos dispositivos de protecção, porque, por mais bem configurados que estejam, podem um dia ser alvo de um ataque.

Análise da presença de rootkits


Existem certos softwares (o chkrootkit, por exemplo) que verificam a presença de rootkirs no sistema. No entanto, para poder utilizar este tipo de instrumento, é essencial estar seguro da integridade do instrumento e a exibição que ele emite. Ora, um sistema comprometido não pode ser considerado como fiável.

Análise de integridade


Para se assegurar da integridade de um sistema, é então necessário detectar os comprometimentos ascendentes. É este o objetivo dos controladores de integridade como Tripwire.


O software Tripwire, desenvolvido inicialmente por Eugène Spafford e Gene Kim em 1992, permite assegurar a integridade dos sistemas supervisionando, de maneira permanente, as modificações feitas em certos arquivos ou diretórios. O Tripwire efetua, na verdade, um controle de integridade e mantém atualizada uma base de assinatura. A intervalos regulares, inspeciona , principalmente, as seguintes características dos arquivos, para identificar as modificações e os eventuais comprometimentos:

  • permissões;
  • data da última modificação;
  • data de acesso;
  • dimensão do arquivo;
  • assinatura do arquivo.



Os alertas são enviados por e-mail, principalmente em um servidor remoto, par evitar qualquer apagamento por parte do hacker.

Limites do controle de integridade


Para se poder basear nos resultados de um controlador de integridade, é essencial estar seguro da integridade da máquina aquando da instalação. É igualmente muito difícil configurar este tipo de software se o número potencial de arquivos a serem supervisionados for importante. Além disso, durante a instalação de novas aplicações, é indispensável pôr os seus arquivos de configuração sob controle.


Além disso, este tipo de solução épode enviar um grande número de falsos alertas, principalmente, quando o sistema altera sozinho arquivos de configuração ou durante as atualizações do sistema.


Por último, se a máquina for efetivamente comprometida, é possível que o hacker tente comprometer o controlador de integridade antes da próxima atualização, daí a importância de armazenar os alertas numa máquina remota ou em um suporte externo.

Recursos





Artigo redigido a 22 de Maio de 2006 por Jean-François PILLOU.

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Controle-da-integridade-dos-servidores .pdf

A ver igualmente


Server integrity check
Server integrity check
Verificación de la integridad de los servidores
Verificación de la integridad de los servidores
Kontrolle der Integrität von Servern
Kontrolle der Integrität von Servern
Contrôle de l'intégrité des serveurs
Contrôle de l'intégrité des serveurs
Controllo di integrita dei server
Controllo di integrita dei server
Este documento, intitulado « Controle da integridade dos servidores »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.