Control de la integridad
Cuando un servidor a sido “pirateado” el atacante suele enmascarar su paso borrando las huellas en los diarios de actividad, los ficheros log. Además puede instalar un serie de herramientas que le permiten crear una puerta trasera para poder volver a entrar sin dejar ningún tipo de huellas. Algunos, rizando el rizo, piensan en corregir la vulnerabilidad que les ha permitido entrar para evitar que cualquier otro pirata informático pueda entrar.
Su presencia en un servidor se puede detectar con algunos comandos de administración que permiten presentar la lista de procesos en ejecución o más sencillamente la lista de usuarios conectados. Desgraciadamente existen unos programas, llamados rootkit, que se encargan de sobrescribir la mayoría de las herramientas del sistema y remplazarla por comandos equivalentes que enmascaren la presencia del pirata informático.
Está claro que, en ausencia de signos de deterioro, puede ser muy difícil para un administrador de sistemas de darse cuenta que una máquina a sido atacada. Cuando aun así nos encontramos con la prueba de una intrusión es necesario intentar darle una fecha probable al ataque para así poder determinar su posible extensión a otros servidores.
Análisis de la presencia de rootkits
Algunas herramientas, como por ejemplo chkrootkit, ver la web
http://www.chkrootkit.org/, permiten identificar la presencia de rootkits en un sistema. Esto estaría muy bien si no fuese que para utilizar este tipo de herramientas es necesario estar seguro de la herramienta y de la información que nos devuelve pero un sistema que ha sido atacado no puede estar considerado como confiable.
Análisis de integridad
Para poder estar seguro de la integridad de un sistema informático es necesario detectar las vulnerabilidades cuanto antes. Este es el objetivo que persiguen programas controladores de integridad como puede ser Tripwire (
http://sourceforge.net/projects/tripwire/).
El programa Tripwire, desarrollado en 1992 por Gene Kim y Eugène Spafford, permite asegurar la integridad de los sistemas vigilando de manera permanente las modificaciones efectuadas a ficheros o directorios concretos. Tripwire efectúa un control de integridad y mantiene al día una base de datos de las firmas de dichos ficheros o directorios. A intervalos regulares inspecciona las siguiente características de los ficheros para identificar cualquier modificación y en consecuencia un posible ataque:
- Permisos
- Fecha de última modificación
- Tamaño del archivo
- Fecha del último uso
- Firma del archivo.
Las alertas, si las hay , son enviadas por correo electrónico, de manera preferente a un servidor remoto para así evitar cualquier borrado por parte del pirata informático.
Uno de los creadores de este programa, Gene Kim, fundó la empresa Tripwire Incorporated,
http://www.tripwire.com/, en 1997 para dar servicio al mercado comercial pero sus dos productos Tripwire Enterprise y Tripwire for Servers son muy similares a la versión Open Source.
Límites al control de integridad.
Para poder utilizar los resultados que nos devuelva un controlador de integridad es necesario estar seguro de la integridad de la máquina en el momento de su instalación. Es bastante complicado configurar este tipo de programas ya que el número de ficheros a vigilar es potencialmente muy elevado, además es necesario, en cada instalación de un nuevo software, volver a configurar estos controladores de seguridad par añadir los ficheros de configuración y los directorios de trabajo de estos nuevos programas bajo control.
Tenemos que tener en cuenta que este tipo de solución puede emitir un número muy elevado de falso positivos, sobre todo cuando el servidor modifica de manera automática ficheros de configuración o ficheros del sistema en el momento de una actualización de este. Mi recomendación es:
- Desactivar las actualizaciones automáticas de cualquier equipo y en particular de cualquier servidor. Es preferible que una de las tareas diarias del administrador del sistema sea la de decidir si instalar o no una actualización del sistema operativo, de los programas instalados o de un controlador de dispositivo. Esta recomendación no solo es para que tengamos controladas las alertas de los controladores de integridad sino también para que podemos decidir con criterio si tal o tal actualización es necesaria para nuestro equipo. Mi visión particular es que fuera de las actualizaciones de seguridad prefiero tener un servidor un poco menos a la última pero seguro. Si podemos disponer de un servidor de pre-producción entonces recomiendo instalar las actualizaciones no urgentes en ese servidor para probarlas, si no dan problemas las pasaremos a producción.
- Limitar el número de ficheros y directorios que queramos tener controlados y nos limitemos a los que realmente son importantes.
Programas controladores de actividad:Tripwire:
http://sourceforge.net/projects/tripwire/Afick:
http://afick.sourceforge.net/index.htmlFuente:
Blaunia
