Com sorte, você mantém seus computadores atualizados e atualizados e sua rede é segura. No entanto, é bastante inevitável que em algum momento você seja atingido por atividades maliciosas - vírus, worms, cavalos de Tróia, ataques de hackers ou outros. Quando isso acontece, se você tiver feito as coisas certas antes do ataque, você fará o trabalho de determinar quando e como o ataque foi bem mais fácil.
Se você já assistiu ao programa de TV "CSI" ou a qualquer outro programa de TV legal ou policial, sabe que, mesmo com o mais fino fragmento de provas forenses, os investigadores podem identificar, rastrear e capturar o autor de um crime.
Mas, não seria bom se eles não tivessem que vasculhar fibras para encontrar o único fio que realmente pertence ao agressor e fazer o teste de DNA para identificar seu dono? E se houvesse um registro de cada pessoa sobre quem eles entraram em contato e quando? E se houvesse um registro do que foi feito para aquela pessoa?
Se fosse esse o caso, investigadores como aqueles em "CSI" poderiam estar fora do negócio. A polícia encontraria o corpo, verificaria o registro para ver quem tinha entrado em contato com o falecido e o que foi feito, e eles já teriam a identidade sem ter que cavar. Isso é o que o registro fornece em termos de fornecimento de evidências forenses quando há atividade maliciosa em seu computador ou rede.
Se um administrador de rede não ativar o registro ou não registrar os eventos corretos, a detecção de provas forenses para identificar a hora e a data ou o método de acesso não autorizado ou outra atividade maliciosa pode ser tão difícil quanto procurar a agulha proverbial em um palheiro. Geralmente, a causa raiz de um ataque nunca é descoberta. As máquinas invadidas ou infectadas são limpas e todos retornam aos negócios como de costume sem realmente saber se os sistemas estão protegidos melhor do que quando foram atingidos em primeiro lugar.
Alguns aplicativos registram as coisas por padrão. Servidores da Web como o IIS e o Apache geralmente registram todo o tráfego de entrada. Isso é usado principalmente para ver quantas pessoas visitaram o site, o endereço IP usado e outras informações do tipo de métricas relacionadas ao site. Mas, no caso de worms como CodeRed ou Nimda, os weblogs também podem mostrar quando os sistemas infectados estão tentando acessar seu sistema, porque eles têm certos comandos que eles tentam que aparecerão nos logs, sejam eles bem-sucedidos ou não.
Alguns sistemas possuem várias funções de auditoria e registro. Você também pode instalar software adicional para monitorar e registrar várias ações no computador Ferramentas na caixa de link à direita deste artigo). Em uma máquina Windows XP Professional, há opções para auditar eventos de logon da conta, gerenciamento de contas, acesso ao serviço de diretório, eventos de login, acesso a objetos, mudança de política, uso de privilégios, rastreamento de processos e eventos do sistema.
Para cada um desses, você pode optar por registrar sucesso, falha ou nada. Usando o Windows XP Pro como exemplo, se você não ativou nenhum log para acesso a objeto, não teria registro de quando um arquivo ou pasta foi acessado pela última vez. Se você ativou apenas o registro de falhas, você teria um registro de quando alguém tentou acessar o arquivo ou pasta, mas falhou devido a não ter as permissões ou autorizações adequadas, mas não teria um registro de quando um usuário autorizado acessou o arquivo ou pasta .
Como um hacker pode muito bem estar usando um nome de usuário e uma senha quebrados, eles podem acessar arquivos com sucesso. Se você visualizar os registros e ver que Bob Smith apagou a declaração financeira da empresa às 3 horas da manhã de domingo, pode ser seguro assumir que Bob Smith estava dormindo e que talvez seu nome de usuário e senha tenham sido comprometidos. De qualquer forma, agora você sabe o que aconteceu com o arquivo e quando e isso lhe dá um ponto de partida para investigar como isso aconteceu.
O registro de falha e sucesso pode fornecer informações e dicas úteis, mas você precisa equilibrar suas atividades de monitoramento e registro com o desempenho do sistema. Usando o exemplo de livro de registros humanos de cima, ajudaria os investigadores se as pessoas mantivessem um registro de todos com quem entraram em contato e o que aconteceu durante a interação, mas isso certamente retardaria as pessoas.
Se você tivesse que parar e anotar quem, o que e quando para cada encontro que você teve o dia todo, isso pode afetar seriamente sua produtividade. O mesmo acontece com o monitoramento e o registro da atividade do computador. Você pode habilitar todas as possíveis falhas e opções de log de sucesso e você terá um registro muito detalhado de tudo o que acontece em seu computador. No entanto, você afetará gravemente o desempenho porque o processador estará ocupado registrando 100 entradas diferentes nos registros sempre que alguém pressionar um botão ou clicar no mouse.
Você tem que avaliar quais tipos de registro seriam benéficos com o impacto no desempenho do sistema e chegar ao equilíbrio que funciona melhor para você. Você também deve ter em mente que muitas ferramentas de hackers e programas de cavalos de Tróia, como o Sub7, incluem utilitários que permitem alterar arquivos de log para ocultar suas ações e ocultar a intrusão para que você não possa confiar 100% nos arquivos de log.
Você pode evitar alguns dos problemas de desempenho e, possivelmente, os problemas de ocultação da ferramenta hacker, levando em consideração algumas coisas ao configurar seu registro. Você precisa medir o tamanho dos arquivos de log e verificar se há espaço suficiente em disco.Você também precisa configurar uma política para saber se os registros antigos serão sobrescritos ou excluídos ou se você deseja arquivar os logs em uma base diária, semanal ou outra periodicamente, para que os dados mais antigos também sejam revistos.
Se for possível usar um disco rígido dedicado e / ou um controlador de disco rígido, você terá menos impacto no desempenho, porque os arquivos de log podem ser gravados no disco sem ter que lutar com os aplicativos que você está tentando executar para acessar a unidade. Se você puder direcionar os arquivos de log para um computador separado, possivelmente dedicado a armazenar arquivos de log e com configurações de segurança completamente diferentes, poderá bloquear a capacidade de um intruso de alterar ou excluir também os arquivos de log.
Uma nota final é que você não deve esperar até que seja tarde demais e seu sistema já tenha falhado ou comprometido antes de visualizar os registros. É melhor revisar os logs periodicamente para que você possa saber o que é normal e estabelecer uma linha de base. Dessa forma, quando você se deparar com entradas erradas, você poderá reconhecê-las e tomar medidas proativas para endurecer seu sistema, em vez de realizar a investigação forense depois que for tarde demais.
