Con suerte, mantendrá sus computadoras parcheadas y actualizadas y su red estará segura. Sin embargo, es bastante inevitable que en algún momento sufras una actividad maliciosa: un virus, un gusano, un troyano, un ataque de hackers o cualquier otra cosa. Cuando eso suceda, si has hecho lo correcto antes del ataque, harás el trabajo de determinar cuándo y cómo el ataque fue mucho más fácil.
Si alguna vez ha visto el programa de televisión "CSI" o casi cualquier otro programa de televisión legal o de la policía, sabe que incluso con la más mínima prueba forense, los investigadores pueden identificar, rastrear y atrapar al autor del delito.
Pero, ¿no sería bueno si no tuvieran que tamizar a través de las fibras para encontrar el único cabello que realmente pertenece al perpetrador y hacer pruebas de ADN para identificar a su dueño? ¿Qué pasaría si se mantuviera un registro de cada persona de quiénes entraron en contacto y cuándo? ¿Qué sucede si se mantiene un registro de lo que se hizo a esa persona?
Si ese fuera el caso, los investigadores como los de "CSI" podrían estar fuera del negocio. La policía encontraría el cadáver, revisaría el registro para ver quién entró en contacto por última vez con el difunto y qué se hizo y ya tendrían la identidad sin tener que cavar. Esto es lo que proporciona el registro en términos de proporcionar evidencia forense cuando hay actividad maliciosa en su computadora o red.
Si un administrador de red no activa el registro o no registra los eventos correctos, desenterrar pruebas forenses para identificar la hora y la fecha o el método de un acceso no autorizado u otra actividad maliciosa puede ser tan difícil como buscar la aguja proverbial en un almiar. A menudo, la causa raíz de un ataque nunca se descubre. Las máquinas pirateadas o infectadas se limpian y todos regresan a los negocios como de costumbre sin saber realmente si los sistemas están protegidos mejor de lo que estaban cuando se vieron afectados en primer lugar.
Algunas aplicaciones registran cosas por defecto. Los servidores web como IIS y Apache generalmente registran todo el tráfico entrante. Esto se usa principalmente para ver cuántas personas visitaron el sitio web, qué dirección IP utilizaron y otra información de tipo métrica con respecto al sitio web. Pero, en el caso de los gusanos como CodeRed o Nimda, los weblogs también pueden mostrarle cuándo los sistemas infectados intentan acceder a su sistema porque tienen ciertos comandos que intentan que se mostrarán en los registros, ya sea que tengan éxito o no.
Algunos sistemas tienen varias funciones de auditoría y registro integradas. También puede instalar software adicional para monitorear y registrar varias acciones en la computadora (consulte Herramientas en el cuadro de enlace a la derecha de este artículo). En una máquina con Windows XP Professional, existen opciones para auditar eventos de inicio de sesión de cuentas, administración de cuentas, acceso a servicios de directorio, eventos de inicio de sesión, acceso a objetos, cambio de políticas, uso de privilegios, seguimiento de procesos y eventos del sistema.
Para cada uno de estos, puede optar por registrar el éxito, el fracaso o nada. Usando Windows XP Pro como ejemplo, si no habilitó ningún registro para el acceso a objetos, no tendría registro de cuándo se accedió por última vez a un archivo o carpeta. Si solo habilitó el registro de fallas, tendría un registro de cuándo alguien intentó acceder al archivo o la carpeta pero falló debido a que no tenía los permisos o la autorización adecuados, pero no tendría un registro de cuándo un usuario autorizado accedió al archivo o carpeta. .
Debido a que un hacker puede estar usando un nombre de usuario y una contraseña resquebrajados, es posible que puedan acceder a los archivos con éxito. Si ve los registros y ve que Bob Smith eliminó el informe financiero de la compañía a las 3 a.m. del domingo, podría ser seguro asumir que Bob Smith estaba durmiendo y que quizás su nombre de usuario y contraseña se han comprometido. En cualquier caso, ahora sabe qué pasó con el archivo y cuándo, y le brinda un punto de partida para investigar cómo sucedió.
Tanto el registro de errores como el de éxito pueden proporcionar información y pistas útiles, pero debe equilibrar sus actividades de supervisión y registro con el rendimiento del sistema. Usando el ejemplo del libro de registro humano de arriba, ayudaría a los investigadores si las personas mantuvieran un registro de todas las personas con las que entraron en contacto y lo que sucedió durante la interacción, pero ciertamente ralentizaría a las personas.
Si tuvo que detenerse y escribir quién, qué y cuándo para cada encuentro que tuvo durante todo el día podría impactar gravemente su productividad. Lo mismo ocurre con el monitoreo y el registro de la actividad de la computadora. Puede habilitar cada opción de registro de error y éxito posible y tendrá un registro muy detallado de todo lo que sucede en su computadora. Sin embargo, tendrá un impacto severo en el rendimiento porque el procesador estará ocupado grabando 100 entradas diferentes en los registros cada vez que alguien presione un botón o haga clic con el mouse.
Tiene que evaluar qué tipo de registro sería beneficioso con el impacto en el rendimiento del sistema y encontrar el equilibrio que mejor funcione para usted. También debe tener en cuenta que muchas herramientas de hackers y programas de caballos de Troya, como Sub7, incluyen utilidades que les permiten modificar los archivos de registro para ocultar sus acciones y ocultar la intrusión, por lo que no puede confiar al 100% en los archivos de registro.
Puede evitar algunos de los problemas de rendimiento y, posiblemente, los problemas de ocultación de la herramienta pirata informático teniendo en cuenta ciertos aspectos al configurar su registro. Debe medir el tamaño de los archivos de registro y asegurarse de que tiene suficiente espacio en el disco en primer lugar.También debe configurar una política para determinar si los registros antiguos se sobrescribirán o eliminarán o si desea archivar los registros de forma diaria, semanal u otra periódica, de modo que tenga datos más antiguos para revisar también.
Si es posible usar un disco duro dedicado y / o un controlador de disco duro, tendrá menos impacto en el rendimiento porque los archivos de registro se pueden escribir en el disco sin tener que luchar con las aplicaciones que está intentando ejecutar para acceder a la unidad. Si puede dirigir los archivos de registro a una computadora separada, posiblemente dedicada al almacenamiento de archivos de registro y con configuraciones de seguridad completamente diferentes, es posible que pueda bloquear la capacidad de un intruso para alterar o eliminar los archivos de registro también.
Una nota final es que no debe esperar hasta que sea demasiado tarde y su sistema ya esté bloqueado o comprometido antes de ver los registros. Es mejor revisar los registros periódicamente para que pueda saber qué es normal y establecer una línea de base. De esa manera, cuando se topa con entradas erróneas, puede reconocerlas como tales y tomar medidas proactivas para fortalecer su sistema en lugar de realizar la investigación forense después de que sea demasiado tarde.
