Sicurezza dei file di registro - Inserimento di codice dannoso nei file di registro

10

Come parte del mio progetto di corso, sto cercando di capire i vari framework di sicurezza e le migliori pratiche.

Uno degli approcci più diffusi è il mantenimento dei registri. La mia domanda riguarda la sicurezza del file di log stesso. Poiché la maggior parte dei registri fornisce una chiara traccia di come l'applicazione gestisce gli errori, quanto è sicuro un file di registro?

Un hacker può iniettare codice dannoso in un file di registro? Quali sono i modi per proteggere un file di registro se crea una vulnerabilità (può essere la codifica, ma quanto può essere efficace)?

Infine, vale la pena spendere enormi quantità di tempo, energia e denaro per la sicurezza dei registri?

    
posta acoolguy 06.08.2012 - 20:47
fonte

2 risposte

15

Questo è un grosso problema quando si dimostra la capacità di controllo, poiché gli IT tendono ad avere accesso ai server e, teoricamente, potrebbero alterare i log.

Una soluzione comune è scrivere registri in qualche posto inaccessibile a IT / Sysadmins ecc. oltre ai server syslog di base, ad esempio fuori sede o su un'unità WORM (Scrivi una volta - Leggi molti)

Ciò consente di utilizzare i normali server syslog per la risoluzione dei problemi di tutti i giorni, l'analisi delle prestazioni, ecc., mantenendo i log "sicuri" a fini di controllo o di indagine.

Ovviamente, un determinato attaccante potrebbe intercettare il traffico, ma l'obiettivo è quello di rendere abbastanza difficile che alcune tracce vengano lasciate.

Riguardo a quanto sia utile proteggerli, dipende dalle esigenze dell'organizzazione. Per le banche e le grandi aziende può essere essenziale / obbligatorio, mentre per un'organizzazione di piccole dimensioni può essere molto meno prioritario.

    
risposta data 06.08.2012 - 21:19
fonte
16

Sì, l'iniezione dei file di registro può essere utile nel processo di utilizzo. Ad esempio, qui è un exploit che utilizza una vulnerabilità PHP File File Include per eseguire codice PHP all'interno di% co_de di Apache % file. Questo modello di exploit è comune nel mondo LAMP.

La maggior parte dei sistemi non ha protezione contro questo tipo di attacco. Solitamente i file di registro sono protetti dai controlli di accesso ai file dei sistemi operativi. AppArmor e SELinux possono impedire a un processo di accedere a un file o una directory arbitrari. Il access_log di PHP può impedire a PHP di includere file al di fuori della directory dell'applicazione.

Remote Logging è un'ottima soluzione sia per gli attacchi di inclusione di file locali, sia per minaccia rappresentata da un utente malintenzionato che compromette la macchina e manipola il file di registro per nascondere le sue tracce.

    
risposta data 06.08.2012 - 21:26
fonte

Leggi altre domande sui tag