Sinun on suunniteltava eteenpäin kiinni tunkeutumisen
Toivottavasti pitää tietokoneet paikoillaan ja päivittää ja verkko on turvallinen. Kuitenkin on melko väistämätöntä, että jossakin vaiheessa joudutaan kohtaamaan haitallista toimintaa - virusta , matoa , troijalaiselta hevolta, hyökätä hyökkäyksiltä tai muuten. Kun näin tapahtuu, jos olet tehnyt hyviä asioita ennen hyökkäystä, teet tehtävän määrittää, milloin ja miten hyökkäys onnistui paljon helpommaksi.
Jos olet joskus katsellut tv-ohjelmaa CSI : tä tai muutakin poliisin tai laillisen televisiokanavan, tiedät, että jopa pienimmän rikollisen todistusaineiston vuoksi tutkijat voivat tunnistaa, seurata ja tappaa rikoksen tekijän.
Mutta eikö olisi mukavaa, jos heidän ei tarvitsisi kuitujen läpi kuumentaa löytää sellainen hiukset, joka itse asiassa kuuluu tekijälle ja tekee DNA-testausta sen omistajan tunnistamiseksi? Entä jos jokaisella henkilöllä oli tietue, kenen kanssa he joutuivat kosketuksiin ja milloin? Entä jos olisi tallennettu tietue siitä, mitä hänelle tehtiin?
Jos näin olisi, tutkijat, kuten CSI: ssa olevat, saattavat olla poissa liiketoiminnasta. Poliisi löytää ruumiin, tarkistaa tietueen, kuka viimein tuli kosketukseen kuolleen kanssa ja mikä oli tehty, ja heillä olisi jo identiteetti ilman kaivamista. Tämä on mitä kirjaus tarjoaa toimittaakseen rikosteknisiä todisteita, kun tietokoneessa tai verkossa on haitallista toimintaa.
Jos verkon pääkäyttäjä ei käynnistä kirjautumista tai kirjaa oikeita tapahtumia, kaivaa rikosteknisiä todisteita, joiden avulla tunnistetaan ajankohta ja päivämäärä tai menetelmä luvattoman käytön tai muun vahingollisen toiminnan kannalta, voi olla yhtä vaikeaa kuin etsiä sananlaskun neulaa heinäsuovasta. Usein hyökkäyksen perusta ei ole koskaan löydetty. Hakkeroidut tai tartunnan saaneet koneet puhdistetaan ja jokainen palaa tavalliseen tapaan ilman, että hän todella tietää, ovatko järjestelmät suojattu paremmin kuin he olivat, kun heidät osui ensimmäistä kertaa.
Jotkut sovellukset kirjaavat asioita oletuksena. Web-palvelimet, kuten IIS ja Apache yleensä kirjaavat kaikki saapuvan liikenteen. Tätä käytetään pääasiassa nähdäksesi, kuinka monta ihmistä kävi verkkosivustossa, mitä IP-osoitetta he käyttivät ja muita verkkosivustoa koskevia tietoja. Mutta esimerkiksi CodeRed- tai Nimda-matoilla, verkkolokit voivat myös näyttää, milloin tartunnan saaneet järjestelmät yrittävät päästä järjestelmään, koska niillä on tiettyjä komentoja, jotka näkyvät lokissa, ovatko ne onnistuneita vai eivät.
Joissakin järjestelmissä on sisäänrakennettu erilaisia auditointi- ja kirjautumistoimintoja. Voit myös asentaa lisäohjelmia tietokoneen eri toimintojen seuraamiseen ja kirjaamiseen (katso tämän artikkelin oikealla puolella olevasta linkkikuvasta Työkalut ). Windows XP Professional -laitteessa on vaihtoehtoja tilien kirjautumisen tapahtumien, tilien hallinnan, hakemistopalvelun käytön, kirjautumistilanteiden, objektin käyttöoikeuksien, käytäntömuutosten, käyttöoikeuksien käytön, prosessien seurannan ja järjestelmätapahtumien tarkastelemiseen.
Jokaiselle näistä voit valita kirjautumalla menestykseen, epäonnistumiseen tai mitään. Käyttämällä esimerkkinä Windows XP Pro -ohjelmaa, jos et mahdollistanut objektin pääsyä varten kirjautumista, sinulla ei olisi tietoja siitä, milloin tiedosto tai kansio viimeksi käytettiin. Jos otit käyttöön vain vikailmoituksen, sinulla olisi kirjaa siitä, kun joku yritti käyttää tiedostoa tai kansiota, mutta epäonnistui, koska hänellä ei ollut oikeita käyttöoikeuksia tai valtuutusta, mutta sinulla ei olisi tietoja siitä, milloin valtuutettu käyttäjä käyttää tiedostoa tai kansiota .
Koska hakkeri voi hyvinkin käyttää säröttyä käyttäjätunnusta ja salasanaa, he voivat päästä käsiksi tiedostoihin. Jos katsot lokit ja huomaat, että Bob Smith poistui yrityksen tilinpäätöksestä klo 3.00 sunnuntaina, voi olla turvallista olettaa, että Bob Smith nukkui ja että hänen käyttäjätunnuksensa ja salasanansa on ehkä vaarantunut . Joka tapauksessa tiedät nyt, mitä tapahtui tiedostolle ja milloin ja mistä se antaa sinulle lähtökohdan tutkia miten se tapahtui.
Sekä epäonnistuminen että menestyslaskenta voivat tarjota hyödyllistä tietoa ja vihjeitä, mutta sinun on tasapainotettava seuranta- ja kirjautumistoiminnot järjestelmän suorituskyvyn avulla. Käyttämällä ihmisen kirjan kirjan esimerkkiä ylhäältä - se auttaa tutkijoita, jos ihmiset pitivät kirjaa kaikista niistä, joihin he joutuivat kosketuksiin ja mitä tapahtui vuorovaikutuksen aikana, mutta se varmasti hidastaisi ihmisiä.
Jos joudut pysähtymään ja kirjoittamaan kuka, mitä ja milloin jokaisen kohtauksen, jota sinulla oli koko päivän, se voisi vaikuttaa vakavasti tuottavuuteenne. Sama pätee tietokoneen toiminnan seurantaan ja kirjaamiseen. Voit ottaa käyttöön kaikki mahdolliset vianmäärityksen ja onnistumisen kirjautumisvaihtoehdon, ja sinulla on hyvin yksityiskohtainen tietue kaikesta, mitä tapahtuu tietokoneellasi. Sinä kuitenkin vaikuttavat voimakkaasti suorituskykyyn, koska prosessori on kiireinen tallentamaan 100 erilaista merkkiä lokiin joka kerta, kun joku painaa painiketta tai napsauttaa hiirtä.
Sinun on punnittava, mitkä puunkorjuu hyödyttäisivät järjestelmän suorituskyvyn vaikutuksia ja tulisivat tasapainoon, joka toimii parhaiten sinulle. Sinun on myös pidettävä mielessä, että monet hakkerointivälineet ja Troijan hevosohjelmat , kuten Sub7, sisältävät apuohjelmia, joiden avulla he voivat muuttaa lokitiedostoja piilottaakseen toimintansa ja piilottaakseen tunkeutumisen, joten et voi luottaa 100% lokitiedostoihin.
Voit välttää joitakin suorituskykyongelmia ja mahdollisesti hakkerointityökalun kätkemisongelmia ottamalla tiettyjä asioita huomioon kirjautumisen yhteydessä. Sinun on mitattava, kuinka suuret lokitiedostot saavat ja varmista, että sinulla on tarpeeksi levytilaa ensinnäkin. Sinun on myös määritettävä käytäntö, jonka mukaan vanhat lokit korvataan tai poistetaan tai jos haluat arkistoida lokit päivittäin, viikoittain tai muulla säännöllisellä tavalla, jotta vanhempia tietoja voi tarkastella myös takaisin.
Jos on mahdollista käyttää erillistä kiintolevyä ja / tai kiintolevyohjainta, sinulla on vähemmän suorituskykyvaikutuksia, koska lokitiedostot voidaan kirjoittaa levylle ilman, että on taisteltava sovelluksilla, joita yrität käyttää asemaan pääsyä varten. Jos voit ohjata lokitiedostot erilliseen tietokoneeseen - mahdollisesti omistettu lokitiedostojen tallentamiseen ja täysin erilaisten suojausasetusten kanssa - voit estää tunkeilijan kyvyn muokata tai poistaa lokitiedostoja.
Viimeinen huomautus on, että sinun ei pitäisi odottaa, kunnes se on liian myöhäistä ja järjestelmäsi on jo kaatunut tai vaarantunut ennen lokien katselua. On hyvä tarkistaa lokit säännöllisesti, jotta voit tietää, mikä on normaalia ja perustaa perusviiva. Näin kun havaitset virheellisiä merkintöjä, voit tunnistaa ne sellaisenaan ja ryhtyä ennakoiviin toimiin järjestelmän kovettumisen sijaan tekemällä rikostutkinnan tutkinnan sen jälkeen, kun se on liian myöhään.