Ας ελπίσουμε ότι διατηρείτε τους υπολογιστές σας ενημερωμένους και ενημερωμένους και ότι το δίκτυό σας είναι ασφαλές. Ωστόσο, είναι κάπως αναπόφευκτο να βρεθείτε σε κάποιο σημείο με κακόβουλη δραστηριότητα - έναν ιό, σκουλήκι, δούρειο ίππο, επίθεση με hack ή με άλλο τρόπο. Όταν συμβεί αυτό, αν έχετε κάνει τα σωστά πράγματα πριν από την επίθεση, θα κάνετε τη δουλειά του να καθορίσετε πότε και πώς η επίθεση πέτυχε πολύ πιο εύκολη.
Αν έχετε παρακολουθήσει ποτέ την τηλεοπτική εκπομπή "CSI" ή σχεδόν οποιαδήποτε άλλη αστυνομική ή νομική τηλεοπτική εκπομπή, γνωρίζετε ότι ακόμα και με το πιο λεπτό κομμάτι εγκληματολογικών στοιχείων οι ερευνητές μπορούν να εντοπίσουν, να εντοπίσουν και να πιάσουν τον δράστη ενός εγκλήματος.
Αλλά, δεν θα ήταν ωραίο αν δεν έπρεπε να κοσκινίσουν τις ίνες για να βρουν το ένα τρίχωμα που πράγματι ανήκει στον δράστη και να κάνει έλεγχο DNA για να εντοπίσει τον ιδιοκτήτη του; Τι θα συνέβαινε εάν υπήρχε μια καταγραφή για κάθε άτομο με το οποίο ήρθε σε επαφή και πότε; Τι θα συμβεί αν υπήρχε μια καταγραφή του τι έγινε με αυτό το άτομο;
Αν συνέβαινε κάτι τέτοιο, οι ερευνητές όπως και οι "CSI" ενδέχεται να είναι εκτός επιχείρησης. Η αστυνομία θα βρει το σώμα, θα ελέγξει το αρχείο για να δει ποιος τελευταία ήρθε σε επαφή με τον αποθανόντα και τι έγινε και ότι θα είχε ήδη την ταυτότητα χωρίς να χρειαστεί να σκάψει. Αυτό είναι που παρέχει η καταγραφή όσον αφορά την παροχή ιατροδικαστικών στοιχείων όταν υπάρχει κακόβουλη δραστηριότητα στον υπολογιστή ή το δίκτυό σας.
Εάν ένας διαχειριστής δικτύου δεν ενεργοποιήσει την καταγραφή ή δεν καταγράψει τα σωστά συμβάντα, η εξόρυξη ιατροδικαστικών στοιχείων για τον προσδιορισμό της ώρας και της ημερομηνίας ή της μεθόδου μιας μη εξουσιοδοτημένης πρόσβασης ή άλλης κακόβουλης δραστηριότητας μπορεί να είναι εξίσου δύσκολη όσο η αναζήτηση της παροιμιώδους βελόνας άχυρα. Συχνά η κύρια αιτία μιας επίθεσης δεν ανακαλύπτεται ποτέ. Hacked ή μολυσμένα μηχανήματα καθαρίζονται και όλοι επιστρέφουν στην επιχείρηση ως συνήθως χωρίς να γνωρίζουν πραγματικά αν τα συστήματα προστατεύονται καλύτερα από ό, τι ήταν όταν τους χτυπήσει στην πρώτη θέση.
Ορισμένες εφαρμογές καταγράφουν τα πράγματα από προεπιλογή. Οι διακομιστές ιστού, όπως το IIS και το Apache, καταγράφουν γενικά όλη την εισερχόμενη κίνηση. Αυτό χρησιμοποιείται κυρίως για να δείτε πόσα άτομα επισκέφτηκαν τον ιστότοπο, τη διεύθυνση IP που χρησιμοποίησαν και άλλες πληροφορίες τύπου μετρήσεων σχετικά με τον ιστότοπο. Αλλά, στην περίπτωση των σκουληκιών όπως το CodeRed ή το Nimda, τα ιστολόγια μπορούν επίσης να σας δείξουν πότε τα μολυσμένα συστήματα προσπαθούν να έχουν πρόσβαση στο σύστημά σας επειδή έχουν συγκεκριμένες εντολές που προσπαθούν να εμφανιστούν στα αρχεία καταγραφής αν είναι επιτυχημένα ή όχι.
Ορισμένα συστήματα έχουν ενσωματωμένες διάφορες λειτουργίες ελέγχου και καταγραφής. Μπορείτε επίσης να εγκαταστήσετε πρόσθετο λογισμικό για την παρακολούθηση και καταγραφή διαφόρων ενεργειών στον υπολογιστή (βλ. Εργαλεία στο πλαίσιο συνδέσμου στα δεξιά αυτού του άρθρου). Σε ένα μηχάνημα των Windows XP Professional, υπάρχουν επιλογές για συμβάντα σύνδεσης λογαριασμού ελέγχου, διαχείριση λογαριασμού, πρόσβαση σε υπηρεσίες καταλόγου, συμβάντα σύνδεσης, πρόσβαση σε αντικείμενο, αλλαγή πολιτικής, χρήση προνομίων, παρακολούθηση διεργασιών και συμβάντα συστήματος.
Για καθένα από αυτά, μπορείτε να επιλέξετε να καταγράψετε επιτυχία, αποτυχία ή τίποτα. Χρησιμοποιώντας το Windows XP Pro ως παράδειγμα, αν δεν ενεργοποιήσατε οποιαδήποτε καταγραφή για πρόσβαση στο αντικείμενο, δεν θα έχετε κανένα αρχείο για το πότε θα αποκτήθηκε τελευταία πρόσβαση σε ένα αρχείο ή φάκελο. Αν ενεργοποιήσατε μόνο την καταγραφή βλαβών, θα έχετε καταγραφή όταν κάποιος επιχείρησε να αποκτήσει πρόσβαση στο αρχείο ή στον φάκελο, αλλά απέτυχε λόγω της μη κατοχής των κατάλληλων δικαιωμάτων ή εξουσιοδότησης, αλλά δεν θα έχετε αρχείο σχετικά με το πότε ένας εξουσιοδοτημένος χρήστης έχει πρόσβαση στο αρχείο ή στον φάκελο .
Επειδή ένας χάκερ μπορεί πολύ καλά να χρησιμοποιήσει ένα ραγισμένο όνομα χρήστη και κωδικό πρόσβασης, μπορεί να έχει πρόσβαση σε αρχεία με επιτυχία. Εάν δείτε τα αρχεία καταγραφής και δείτε ότι ο Bob Smith διαγράψει το οικονομικό δελτίο της εταιρείας στις 3 π.μ. την Κυριακή, ίσως είναι ασφαλές να υποθέσουμε ότι ο Bob Smith κοιμόταν και ότι ίσως το όνομα χρήστη και ο κωδικός πρόσβασής του είχαν παραβιαστεί. Σε κάθε περίπτωση, γνωρίζετε τώρα τι συνέβη με το φάκελο και πότε και σας δίνει ένα σημείο εκκίνησης για να διερευνήσετε πώς συνέβη.
Η αποτυχία και η καταγραφή επιτυχίας μπορούν να παρέχουν χρήσιμες πληροφορίες και ενδείξεις, αλλά πρέπει να σταθμίσετε τις δραστηριότητες παρακολούθησης και καταγραφής με την απόδοση του συστήματος. Χρησιμοποιώντας το παράδειγμα του βιβλίου του ανθρώπινου ρεκόρ από πάνω - θα βοηθούσε τους ερευνητές εάν οι άνθρωποι τηρούσαν ένα ημερολόγιο όλων όσων έρχονταν σε επαφή μαζί τους και τι συνέβη κατά τη διάρκεια της αλληλεπίδρασης, αλλά σίγουρα θα επιβράδυνε τους ανθρώπους.
Αν έπρεπε να σταματήσετε και να γράψετε ποιος, τι και πότε για κάθε συνάντηση που είχατε όλη την ημέρα θα μπορούσε να επηρεάσει σοβαρά την παραγωγικότητά σας. Το ίδιο ισχύει και για την παρακολούθηση και την καταγραφή της δραστηριότητας του υπολογιστή. Μπορείτε να ενεργοποιήσετε κάθε επιλογή αποτυχίας και επιτυχίας και θα έχετε μια πολύ λεπτομερή καταγραφή για όλα όσα συμβαίνουν στον υπολογιστή σας. Ωστόσο, θα επηρεάσετε σοβαρά την απόδοση, επειδή ο επεξεργαστής θα είναι απασχολημένος να καταγράφει 100 διαφορετικές καταχωρήσεις στα αρχεία καταγραφής κάθε φορά που κάποιος πιέζει ένα κουμπί ή κάνει κλικ στο ποντίκι του.
Πρέπει να σταθμίσετε τι είδους υλοτομία θα ήταν επωφελής με τον αντίκτυπο στην απόδοση του συστήματος και να βρεθεί η ισορροπία που λειτουργεί καλύτερα για εσάς. Θα πρέπει επίσης να έχετε κατά νου ότι πολλά εργαλεία χάκερ και προγράμματα Trojan horse όπως το Sub7 περιλαμβάνουν βοηθητικές εφαρμογές που τους επιτρέπουν να αλλάζουν τα αρχεία καταγραφής για να αποκρύψουν τις ενέργειές τους και να αποκρύψουν την εισβολή, έτσι ώστε να μην βασίζεστε 100% στα αρχεία καταγραφής.
Μπορείτε να αποφύγετε ορισμένα από τα προβλήματα επιδόσεων και ενδεχομένως τα θέματα απόκρυψης εργαλείων χάκερ, λαμβάνοντας υπόψη ορισμένα πράγματα κατά τη ρύθμιση της καταγραφής σας. Πρέπει να μετρήσετε πόσο μεγάλα θα έχουν τα αρχεία καταγραφής και βεβαιωθείτε ότι έχετε αρκετό χώρο στο δίσκο.Επίσης, πρέπει να ορίσετε μια πολιτική για το αν τα παλιά αρχεία καταγραφής θα αντικατασταθούν ή θα διαγραφούν ή εάν θέλετε να αρχειοθετήσετε τα αρχεία καταγραφής σε καθημερινή, εβδομαδιαία ή άλλη περιοδική βάση, ώστε να έχετε και παλαιότερα δεδομένα για να τα κοιτάξετε ξανά.
Εάν είναι δυνατόν να χρησιμοποιήσετε έναν ειδικό σκληρό δίσκο ή / και έναν ελεγκτή σκληρού δίσκου, θα έχετε μικρότερη επίπτωση στην απόδοση, επειδή τα αρχεία καταγραφής μπορούν να εγγραφούν στο δίσκο χωρίς να χρειαστεί να αγωνιστείτε με τις εφαρμογές που προσπαθείτε να εκτελέσετε για πρόσβαση στη μονάδα δίσκου. Εάν μπορείτε να κατευθύνετε τα αρχεία καταγραφής σε έναν ξεχωριστό υπολογιστή Â- ενδεχομένως αφιερωμένο στην αποθήκευση αρχείων καταγραφής και με τελείως διαφορετικές ρυθμίσεις ασφαλείας- ίσως μπορέσετε να αποκλείσετε την ικανότητα εισβολέα να αλλάξει ή να διαγράψει και τα αρχεία καταγραφής.
Μια τελευταία σημείωση είναι ότι δεν πρέπει να περιμένετε έως ότου είναι πολύ αργά και το σύστημά σας έχει ήδη καταρρεύσει ή συμβιβαστεί πριν προβάλετε τα αρχεία καταγραφής. Είναι καλύτερα να ελέγχετε περιοδικά τα αρχεία καταγραφής ώστε να μπορείτε να γνωρίζετε τι είναι φυσιολογικό και να δημιουργήσετε μια γραμμή βάσης. Με αυτόν τον τρόπο, όταν συναντάτε λανθασμένες καταχωρίσεις, μπορείτε να τις αναγνωρίσετε ως τέτοιες και να λάβετε προληπτικά βήματα για να σκληρύνετε το σύστημά σας παρά να κάνετε την εγκληματολογική έρευνα μετά από πολύ αργά.
