Link copiato negli appunti
Il mantenimento della integrità delle risorse è determinante per scongiurare
gli effetti delle azioni che l'aggressore può compiere in caso di penetrazione e
che generalmente consistono:
- nella sostituzione dei file di sistema con analoghi file, modificati ed
alterati nelle loro funzionalità (http://www.rootkit.com), e nella modifica dei file di logs per
cercare di cancellare le proprie tracce; - nella installazione di strumenti (backdoors) che consentono di rientrare nel
sistema in qualsiasi momento per riprenderne il controllo; - nella modifica delle pagine Web in modo che riproducano informazioni
fuorvianti od offensive e/o addirittura nella cancellazione dell'intero sito;
Per tutelarsi nei confronti di questi abusi è innanzitutto necessario
predisporre una serie di meccanismi idonei a monitorare lo stato, le modifiche e
l'integrità del file system ed individuare:
- le modifiche del file system come la creazione di nuovi file/directory e/o
la modifica e cancellazione di file esistenti; - i cambiamenti nella dimensione, nel contenuto, negli attributi e nelle
regole di accesso ai files; - le alterazioni della consistenza dei logs (variazioni nella dimensione,
buchi temporali nella registrazione degli eventi,etc...); - la presenza di virus, backdoors e cavalli di troia;
- le alterazioni del file delle password;
Inoltre è importante predisporre delle misure idonee a consentire il
ripristino di tutti i files e programmi rilevanti in caso di compromissione
della integrità degli stessi attraverso:
- la creazione di copie di backup sicure di tutti i files e programmi
significativi; - il salvataggio di queste copie in forma criptata su supporti di
memorizzazione a sola lettura o su un altro host posto in una sottorete protetta
attraverso l'uso di firewalls; - la restrizione dell'accesso e dell'uso delle copie ai soli utenti
debitamente autorizzati; - la predisposizione di procedure da seguire per il ripristino dello stato dei
file alterati o modificati;
