miércoles, 21 de enero de 2009

Buscando al intruso…Las pistas están en los Logs..(CAPITULO I)

Este artículo formará parte de tres entregas, en donde analizaremos los logs de seguridad de Ms Windows 2003/2008. Se tratarán los códigos que generan los eventos más frecuentes de la plataforma. Espero que los disfruten.

Introducción
En los servidores, se generan registros de las actividades de los servicios que están en modo de ejecución, accesos al servidor , ejecución de aplicaciones, y operaciones de seguridad en archivos con formato de texto, que a partir de ahora denominaremos LOGS. Los mismos son una fuente de información más que interesante cuando hay que buscar antecedentes sobre lo que está sucediendo en un servidor. La técnica más usual de los intrusos que invaden un sistema o intenta hacerlo, es de hacer limpieza de logs para borrar las huellas de un ataque o intento del mismo, tratando así que no sean detectados.
Muchas veces los intrusos piensan que borrando estos registros desde el visor de eventos de los sistemas operativos Ms Windows la evidencia digital ha sido eliminada. Pero no debemos olvidarnos, que si tenemos aplicaciones corriendo sobre el mismo, podremos encontrar los logs de la aplicación, que a su vez tendrá información sobre las actividades en el servidor, como por ejemplo los logs del Internet Information Services, cuando posee habilitado el log del W3SVC.El formato del archivo es W3C Extended Log File Format (W3SVC1).

En donde están las pistas?… ¿existen?
Evidencia, ¿Dónde está la evidencia?!!!, la palabra más usada y buscada cuando hay un incidente de seguridad. Se desea saber el ¿Cuándo? , ¿Cómo?, ¿Por dónde? ¿Quién?. Los registros que sirvan para dejar constancia de un incidente, lo denominaremos EVIDENCIA. Se recuerda que se deben seguir los procesos legales recomendados de cada país, si quieren usarse como prueba legal de un delito informático.
La evidencia existe si se ha configurado adecuadamente la plataforma para que dejen registros sobre las actividades. Por ejemplo, una carpeta compartida en la red, sobre el sistema de archivo NTFS, no genera auditoria a menos que se las habilite. Allí se podrá obtener información de accesos e incluso de usuarios que borran deliberadamente un archivo de esta carpeta si poseen los permisos.
En cuanto a los accesos, los sistemas operativos Microsoft, poseen información de acceso, tipo de actividad, e incluso desde donde se accede, pero muchas de esas cualidades deben ser habilitadas.



Volatibilidad
Uno de los graves problemas que presenta la evidencia digital, es que es volátil. Por ejemplo, los logs de MS Windows 2003, los registros de seguridad en el visor de eventos posee un tamaño de 16 Mb de manera predeterminada. En el caso de existir un nivel alto de auditoría, los mismos se sobrescriben y la evidencia se pierde. Adios a la prueba digital.
Obviamente, podemos tomar medidas para proteger los registros, como:
_____1)Configurar un tamaño acorde a la cantidad de registros que entran diariamente, con el fin de contar al menos con 4 días completos de registros.
_____2)Instalar una herramienta que recoja todos los registros y los guarde en un servidor. Por ejemplo el MOM 2005 o el System Center Operations Manager 2007, poseen esta cualidad, en donde podremos centralizar todos los logs de los servidores en una base de datos y realizar consultas de los registros en cualquier momento.

En la próxima entrega analizaremos los números mas frecuentes, que identifica cada código y que pasos seguir.
Hasta la próxima.

Quique

1 comentario:

Anónimo dijo...

muy buen aporte. Saludos