| AnteriorJornais de atividades (logs) | Controlo da integridade dos servidores |
Quando um servidor foi comprometido, o pirata esconde geralmente a sua passagem suprimindo os vestígios nos registos de actividades. Além disso, instala diversos instrumentos que lhe permitem criar uma porta secreta, para poder voltar ulteriormente.
Nec plus ultra, o pirata pensa geralmente em corrigir a vulnerabilidade que lhe permitiu introduzir-se, para evitar que outros piratas se infiltrem.
A sua presença num servidor pode, no entanto, ser traída por um certo número de comandos de administração que permitem afixar a lista dos processos correntes ou muito simplesmente os utilizadores conectados à máquina. Existem assim softwares, chamados rootkits, encarregados de esmagar a maior parte dos instrumentos do sistema e substituí-los por comandos equivalentes que mascaram a presença do pirata.
É por conseguinte fácil compreender que, em ausência de deterioração, pode ser muito difícil para um administrador aperceber-se de que uma máquina foi comprometida. Uma das primeiras acções aquando da descoberta de um comprometimento consiste em datar o comprometimento para avaliar a extensão potencial sobre os outros servidores.
Com efeito, geralmente os servidores armazenam nos ficheiros um vestígio da sua actividade e em especial dos erros encontrados.
Ora, aquando de um ataque informático é raro que o pirata consiga comprometer um sistema à primeira. Age às cegas na maior parte do tempo, tentando diferentes pedidos.
Assim, a vigilância dos registos permite detectar uma actividade suspeita. É particularmente importante supervisionar os registos de actividade dos dispositivos de protecção, porque por muito bem configurados que estejam, podem um dia ser alvo de um ataque.
Existem certos softwares (o chkrootkit, por exemplo) que permitem verificar a presença de rootkirs no sistema. No entanto, para poder utilizar este tipo de instrumento, é essencial estar seguro da integridade do instrumento e a afixação que emite. Ora, um sistema comprometido não pode ser considerado como fiável.
Para se assegurar da integridade de um sistema, é então necessário detectar os comprometimentos ascendentes. É este o objectivo dos controladores de integridade como Tripwire.
O software Tripwire, desenvolvido inicialmente por Eugène Spafford e Gene Kim em 1992, permite assegurar a integridade dos sistemas supervisionando de maneira permanente as modificações feitas em certos ficheiros ou directórios. O Tripwire efectua, com efeito, um controlo de integridade e mantém actualizada uma base de assinatura. A intervalos regulares, inspecciona nomeadamente as características seguintes dos ficheiros para identificar as modificações e os eventuais comprometimentos:
Os alertas são enviados por correio electrónico, preferivelmente num servidor distante, par evitar qualquer apagamento por parte do pirata.
Para se poder basear nos resultados de um controlador de integridade, é essencial estar seguro da integridade da máquina aquando da instalação. É igualmente muito difícil configurar este tipo de software se o número potencial de ficheiros a supervisionar for importante. Além disso, aquando da instalação de novas aplicações, é indispensável pôr os seus ficheiros de configuração sob controlo.
Além disso, este tipo de solução é susceptível de enviar um grande número de falsos alertas, nomeadamente quando o sistema altera sozinho ficheiros de configuração ou aquando de das actualizações do sistema.
Por último, se a máquina for efectivamente comprometida, é possível que o pirata tente comprometer o controlador de integridade antes da próxima actualização, daí a importância de armazenar os alertas numa máquina distante ou num apoio externo.
Artigo redigido a 22 de Maio de 2006 por Jean-François PILLOU.
Última modificação do dia Quinta 23 de Julho de 2009 às 19:15:08.
Advanced programmable interrupt controller semp toshiba Cd problema leitor nao ler controladores Cd windows xp com controlador sata Como saber se tem controlador de conexão na rede Configurar painel de controlo linux Controlador de audio ac 97 codec realtek Controle de pais palavras-chave Download free drive controlador ethernet Driver de instalacao de controlador de som download Eu estou tentando gravar o windows xp mais o controle de usuario não permite o que eu faço Gta iv controller configuration Passo a passo painel de controle windows xp Planilha de controle de emissao de co2 Planilha de controle de ponto Quero desestala meu msn mais nao aparece no painel de controle Reparar os meus drivers e controladores grátis Retirar virus msn bloqueia painel de controle programa Validar windows pede controle activex