Kinahanglan Ka nga Magplano sa Unahan Aron Makuha ang Usa nga Nagtukod
Hinaut nga imong huptan ang imong mga kompyuter nga gibag-o ug gibag-o ug ang imong network luwas. Bisan pa, kini dili gayud kalikayan nga sa usa ka bahin maigo sa malisyosong kalihokan-usa ka virus , ulod , kabayo sa Trojan , pag-ataki sa hack o dili. Kon mahitabo kana, kung nakahimo ka sa husto nga mga butang sa wala pa ang pag-atake imong himoon ang trabaho sa pagtino kon kanus-a ug giunsa nga mas madali ang pag-atake.
Kung nakita nimo ang TV show CSI , o bisan unsang mga pulis o legal nga salida sa TV, nahibal-an nimo nga bisan pa sa mga slimmest shred sa forensic nga ebidensya ang mga imbestigador makahimo sa pag-ila, pagsubay ug pagdakop sa mga kriminal.
Apan, dili ba maayo kon dili kinahanglan nga mag-ayag sa mga lanot aron makit-an ang usa ka buhok nga tinuod nga gipanag-iya sa sad-an ug himoon ang DNA testing aron mailhan ang tag-iya niini? Unsa kaha kon adunay usa ka rekord nga gitipigan sa matag tawo kinsa ilang nahimamat ug kanus-a? Unsa kaha kon adunay rekord nga gitipigan sa unsay nahimo niana nga tawo?
Kon mao kana ang kahimtang, ang mga imbestigador nga sama niadtong sa CSI mahimong wala sa negosyo. Ang kapulisan makakaplag sa lawas, susihon ang rekord aron tan-awon kung kinsa ang katapusan nakahibalag sa namatay ug kung unsa ang nahimo ug sila adunay identidad nga dili kinahanglan nga magkalot. Mao kini ang gigikanan sa pag-log sa paghatag og ebidensya sa forensic nga ebidensya kung adunay makadaut nga kalihokan sa imong computer o network.
Kung ang usa ka network administrator wala mag-logging o wala mag log sa husto nga mga panghitabo, ang pagkalot sa forensic nga ebidensya aron mahibal-an ang oras ug petsa o pamaagi sa dili awtorisado nga pag-access o uban pang malisyosong kalihokan sama ka lisud sa pagpangita sa panultihon nga usa ka panultihon haystack. Kasagaran ang hinungdan sa pag-atake dili madiskobrehan. Gipanghinlo ang mga hacked o nataptan nga mga makina ug ang tanan mobalik sa negosyo sama sa naandan nga walay tinuod nga nahibal-an kon ang mga sistema gipanalipdan ba nga mas maayo kay sa diha nga sila naigo sa unang dapit.
Ang pipila ka mga aplikasyon mag-log sa mga butang nga dili mahimo. Ang mga web server sama sa IIS ug Apache sa kasagaran mag log sa tanan nga umaabot nga trapiko. Gigamit kini sa kadaghanan aron makita kung pila ka mga tawo ang mibisita sa web site, kung unsa ang IP address nga ilang gigamit ug ubang mga impormasyon nga tipo sa metrics mahitungod sa web site. Apan, sa kaso sa mga ulod nga sama sa CodeRed o Nimda, ang mga web log mahimo usab nga magpakita kanimo kung ang mga sistema sa impeksyon naningkamot nga maka-access sa imong sistema tungod kay sila adunay pipila ka mga sugo nga ilang gisulayan nga magpakita sa mga troso kung kini malampuson o dili.
Ang uban nga mga sistema adunay nagkalain-lain nga pag-awdit ug pag-log-in nga gitukod. Mahimo usab mo-instalar og dugang nga software aron ma-monitor ug mag-log sa lainlaing mga aksyon sa computer (tan-awa ang Tools sa linkbox sa tuo niini nga artikulo). Sa usa ka makina sa Windows XP Professional adunay mga kapilian sa pag-audit sa account logon events, pagdumala sa account, access sa serbisyo sa direktoryo, mga kalihokan sa logon, pag-access sa object, pagbag-o sa polisiya, paggamit sa pribilihiyo, proseso sa pagsubay ug mga panghitabo sa sistema.
Alang sa matag usa niini mahimo ka mopili sa pag-log sa kalampusan, kapakyasan o wala. Gigamit ang Windows XP Pro ingon nga pananglitan, kon wala nimo mahimo ang bisan unsang logging alang sa pag-access sa object ikaw walay rekord kung kanus-a ang usa ka file o folder nga na-access sa katapusan. Kung imo lamang gipadagan ang kapakyasan nga pag-logging ikaw adunay rekord kung adunay usa nga misulay sa pag-access sa file o folder apan napakyas tungod kay wala adunay tukmang mga permiso o awtorisasyon, apan wala ka'y rekord kung kanus-a gi-access sa usa ka awtorisadong user ang file o folder .
Tungod kay ang usa ka hacker mahimo nga maayo ang paggamit sa usa ka crack username ug password nga sila mahimo nga malampuson nga makahimo sa mga file. Kung tan-awon nimo ang mga troso ug makita nga gibalibaran ni Bob Smith ang pinansyal nga pahayag sa kompaniya sa alas-3 sa buntag sa Domingo mahimong luwas nga hunahunaon nga si Bob Smith natulog ug nga tingali ang iyang username ug password na- kompromiso . Sa bisan unsa nga panghitabo, nahibal-an na nimo karon kung unsa ang nahitabo sa file ug kanus-a ug kini naghatag kanimo sa pagsugod sa pagsusi kung giunsa kini nahitabo.
Ang duha nga kapakyasan ug kalampusan nga pagpamutolon makahatag og mapuslanong impormasyon ug mga timailhan, apan kinahanglan nga balansehon ang imong mga kalihokan sa pagmonitor ug pag-log sa sistema nga pasundayag. Pinaagi sa paggamit sa tawhanong libro nga panig-ingnan nga basahon gikan sa itaas-kini makatabang sa mga imbestigador kon ang mga tawo nagbutang sa usa ka troso sa matag usa nga ilang nahimamat ug unsa ang nahitabo sa panahon sa pakigsugilanon, apan kini makapahinay sa mga tawo.
Kon kinahanglan nimo nga ihunong ug isulat kinsa, unsa ug kanus-a alang sa matag engkwentro kanimo sa tibuok nga adlaw kini mahimong makadaut sa imong pagkamabungahon. Ang sama nga butang tinuod sa pag-monitor ug pag-log sa kalihokan sa computer. Mahimo nimong mapahimuslan ang tanan nga posible nga kapakyasan ug kapilian sa pag-logging sa kalampusan ug ikaw adunay usa ka detalyado nga rekord sa tanan nga nagpadayon sa imong computer. Bisan pa niana, ikaw makadaot sa performance tungod kay ang prosesor mahimong busy nga magrekord sa 100 ka lainlaing mga entry sa mga troso matag higayon nga adunay usa ka tawo nga mopugpok sa usa ka butones o mag-klik sa ilang mouse.
Kinahanglan nimo nga mahibal-an kon unsa nga mga matang sa logging ang mapuslanon sa epekto sa performance sa sistema ug maghimo sa balanse nga labing maayo alang kanimo. Kinahanglan mo usab ibutang sa hunahuna nga daghang mga himan sa hacker ug mga kabayo sa Trojan sama sa Sub7 naglakip sa mga utilities nga nagtugot kanila sa pag-usab sa mga log file aron itago ang ilang mga lihok ug itago ang pagsulod aron dili ka makasalig sa 100% sa log files.
Mahimo nimo malikayan ang pipila sa mga isyu sa paghimo ug posible nga ang mga problema sa hacker tool concealment pinaagi sa pagkuha sa pipila ka mga butang nga konsiderahan sa dihang mag-set up sa imong logging. Kinahanglan nimo ang pagsukod kon unsa ka dako ang makuha nga log file ug siguraduhon nga adunay igo nga disk space sa una nga lugar. Kinahanglan usab nga maghimo ka og usa ka palisiya kon ang daan nga mga troso mapuli o mapapas o kung gusto nimo pag-archive ang mga troso sa usa ka adlaw-adlaw, matag semana o uban pang periodic nga basehan aron nga ikaw adunay mas daan nga data aron sa pagtan-aw balik usab.
Kung posible nga gamiton ang usa ka gipahinungod nga hard drive ug / o hard drive controller ikaw adunay gamay nga epekto sa performance tungod kay ang mga log file mahimo nga isulat sa disk nga dili kinahanglan nga makig-away sa mga aplikasyon nga imong gisulayan nga makadagan alang sa pag-access sa drive. Kon mahimo nimo itudlo ang mga file sa log sa lain nga computer - nga posibleng gipahinungod sa pagtipig sa mga file sa log ug uban ang bug-os nga nagkalainlain nga mga setting sa seguridad - mahimo nimo nga mapugngan ang abilidad sa manlalus sa pag-usab o pag-delete usab sa mga file sa log.
Ang katapusan nga nota mao nga dili ka maghulat hangtud nga kini ulahi na ug ang imong sistema nahagsa na o nakompromiso sa wala pa makita ang mga troso. Labing maayo ang pagribyu sa mga troso matag karon ug unya aron mahibal-an ninyo kung unsa ang normal ug pagtukod og baseline. Nianang paagiha, kung makit-an nimo ang sayop nga mga pagsulat mahimo nimong mailhan sila nga ingon niana ug maghimo ug mga proactive nga mga lakang sa pagpatig-a sa imong sistema kaysa sa pagbuhat sa forensic imbestigasyon pagkahuman sa ulahi.