Come posso proteggere i miei file di registro?

8

Ho uno strumento interessante che mostra il mio syslog e kernellog sul desktop del mio mac. Questo mi ha preoccupato per ciò che è scritto in loro - sto fissando come se stessero creando un buco nella mia privacy. Ho visto i nomi dei file da quando mi guardavo intorno in cerca; qualcuno stava generando le anteprime e registrando il nome completo del file; Ho anche visto i nomi dei server a cui mi sono collegato utilizzando smb.

Quindi ho alcune domande:

  • Posso pulire i miei registri o limitare l'utilizzo di un programma da parte loro? Come?
  • Questi log sono utilizzati / letti in computer forensics?
  • Che cosa può tirarne fuori un attaccante? ovvero password o vettori sfruttati
  • Esistono strumenti per estrarre i dati interessanti da questi file?
posta KilledKenny 01.05.2011 - 22:50
fonte

1 risposta

11

Visto che stai usando Mac, manipolare i registri è semplice come elevare te stesso a un utente root (admin), usando un comando come 'sudo -i' nel tuo terminale, e poi modificarli a tuo piacimento.

Per quanto mi riguarda, i registri sono i migliori amici di un professionista della sicurezza. Più registri hai più informazioni da cui estrarre (allo stesso tempo, ci sono più dati da sottoporre a scansione, che ha più a che fare con l'ultima domanda). I registri sono una delle molte risorse quando si tratta di analisi forensi.

Quando si tratta di attaccanti che ottengono l'accesso ai registri, è più preoccupante per loro modificare i registri per coprire le loro tracce. Se un utente malintenzionato ha accesso ai tuoi file di registro, ha già il tuo sistema, quindi non c'è una vera ragione per preoccuparsi che acquisiscano informazioni dirette dai log. D'altra parte, i dati di tendenza possono essere utilizzati per altri mezzi. Ad esempio, se un utente malintenzionato può accedere ai registri su una workstation in una società, può essere in grado di dedurre quali sono i tempi di lavoro medi di un utente (il che, di nuovo, sembra essere un punto controverso per la maggior parte dei casi che vedono che hanno già accesso alla scatola).

Per quanto riguarda la tua ultima domanda, gli strumenti per correlare questi log sono molto utili. Lo strumento principale che stai cercando è un SIM / SEM . Questo è uno strumento che prende i registri e, in base alla profilazione e alle tendenze di attacco tradizionali, avvisa l'amministratore / professionista della sicurezza che esegue lo strumento del potenziale problema. Alcuni buoni esempi di SIM / SEM o SIEM (che credo sia il termine più comune) sono arcsight , loglogic , alienvult / ossim e logrhythm .

Non ho mai pensato che i registri fossero tutt'altro che buoni. Quindi, ti preghiamo di pensarci due volte prima di cancellare i log o persino rimuovere i dati dai tuoi log. Più giochi con i tuoi registri meno diventano preziosi. Non sono riuscito a trovare un incidente di sicurezza / un gestore eventi progettato per un Mac con la mia ricerca limitata, ma può ancora essere fatto.

Rileggendo la mia risposta, i miei pensieri erano piuttosto ristretti, quindi mi scuso se mi sono perso alcuni altri strumenti orientati al log che sono possibilità. Fammi sapere se vuoi chiarimenti su tutto ciò che ho detto, mi sto ancora svegliando: -).

    
risposta data 02.05.2011 - 17:00
fonte

Leggi altre domande sui tag