Anda Harus Merencanakan ke Depan Untuk Menangkap Seorang Penyusup
Mudah-mudahan Anda menjaga komputer Anda ditambal dan diperbarui dan jaringan Anda aman. Namun, itu cukup tak terelakkan bahwa Anda akan di beberapa titik dipukul dengan aktivitas berbahaya - virus , worm , Trojan horse, serangan hack atau sebaliknya. Ketika itu terjadi, jika Anda telah melakukan hal yang benar sebelum serangan, Anda akan membuat tugas untuk menentukan kapan dan bagaimana serangan itu berhasil yang jauh lebih mudah.
Jika Anda pernah menonton acara TV CSI , atau hanya tentang acara TV polisi atau hukum lainnya, Anda tahu bahwa bahkan dengan bukti forensik yang paling tipis, para penyelidik dapat mengidentifikasi, melacak, dan menangkap pelaku kejahatan.
Tapi, bukankah lebih baik jika mereka tidak harus menyaring melalui serat untuk menemukan satu rambut yang sebenarnya milik pelaku dan melakukan tes DNA untuk mengidentifikasi pemiliknya? Bagaimana jika ada catatan yang disimpan pada setiap orang dari siapa mereka berhubungan dan kapan? Bagaimana jika ada catatan yang menyimpan apa yang dilakukan pada orang itu?
Jika itu kasusnya, peneliti seperti yang ada di CSI mungkin akan keluar dari bisnis. Polisi akan menemukan mayatnya, memeriksa catatan untuk melihat siapa yang terakhir bersentuhan dengan almarhum dan apa yang telah dilakukan dan mereka sudah memiliki identitas tanpa harus menggali. Ini adalah apa yang dibuat oleh penebangan dalam hal menyediakan bukti forensik ketika ada aktivitas jahat di komputer atau jaringan Anda.
Jika administrator jaringan tidak mengaktifkan pencatatan atau tidak mencatat peristiwa yang benar, menggali bukti forensik untuk mengidentifikasi waktu dan tanggal atau metode dari akses yang tidak sah atau aktivitas jahat lainnya dapat sama sulitnya dengan mencari jarum pepatah dalam tumpukan jerami. Seringkali akar penyebab serangan tidak pernah ditemukan. Mesin yang diretas atau yang terinfeksi dibersihkan dan setiap orang kembali ke bisnis seperti biasa tanpa benar-benar mengetahui apakah sistem dilindungi lebih baik daripada ketika mereka dipukul di tempat pertama.
Beberapa aplikasi mencatat hal-hal secara default. Server web seperti IIS dan Apache umumnya mencatat semua lalu lintas masuk. Ini terutama digunakan untuk melihat berapa banyak orang yang mengunjungi situs web, alamat IP apa yang mereka gunakan dan informasi jenis-metrik lainnya mengenai situs web. Namun, dalam kasus cacing seperti CodeRed atau Nimda, log web juga dapat menunjukkan kepada Anda ketika sistem yang terinfeksi mencoba mengakses sistem Anda karena mereka memiliki perintah tertentu yang mereka coba yang akan muncul di log apakah mereka berhasil atau tidak.
Beberapa sistem memiliki berbagai fungsi audit dan pencatatan bawaan. Anda juga dapat menginstal perangkat lunak tambahan untuk memantau dan mencatat berbagai tindakan pada komputer (lihat Alat di kotak tautan di sebelah kanan artikel ini). Pada mesin Windows XP Professional ada pilihan untuk mengaudit peristiwa log masuk akun, manajemen akun, akses layanan direktori, peristiwa logon, akses objek, perubahan kebijakan, penggunaan hak istimewa, pelacakan proses dan acara sistem.
Untuk masing-masing ini Anda dapat memilih untuk mencatat kesuksesan, kegagalan atau tidak sama sekali. Menggunakan Windows XP Pro sebagai contoh, jika Anda tidak mengaktifkan pencatatan apa pun untuk akses objek, Anda tidak akan memiliki catatan kapan file atau folder terakhir diakses. Jika Anda mengaktifkan hanya kegagalan pencatatan, Anda akan memiliki catatan ketika seseorang mencoba mengakses file atau folder tetapi gagal karena tidak memiliki izin atau otorisasi yang tepat, tetapi Anda tidak akan memiliki catatan ketika pengguna yang sah mengakses file atau folder .
Karena peretas mungkin sangat baik menggunakan nama pengguna dan sandi yang retak, mereka mungkin dapat berhasil mengakses file. Jika Anda melihat log dan melihat bahwa Bob Smith menghapus laporan keuangan perusahaan pada pukul 3 pagi pada hari Minggu, mungkin aman untuk mengasumsikan bahwa Bob Smith sedang tidur dan mungkin nama pengguna dan kata sandinya telah disusupi . Bagaimanapun, Anda sekarang tahu apa yang terjadi pada file dan kapan dan itu memberi Anda titik awal untuk menyelidiki bagaimana hal itu terjadi.
Kedua kegagalan dan keberhasilan penebangan dapat memberikan informasi dan petunjuk yang berguna, tetapi Anda harus menyeimbangkan kegiatan pemantauan dan pencatatan dengan kinerja sistem. Dengan menggunakan contoh buku catatan manusia dari atas - ini akan membantu simpatisan jika orang menyimpan log dari setiap orang yang mereka hubungi dan apa yang terjadi selama interaksi, tetapi itu pasti akan memperlambat orang.
Jika Anda harus berhenti dan menuliskan siapa, apa dan kapan untuk setiap pertemuan yang Anda lakukan sepanjang hari, itu mungkin akan sangat memengaruhi produktivitas Anda. Hal yang sama berlaku untuk memantau dan mencatat aktivitas komputer. Anda dapat mengaktifkan setiap kemungkinan kegagalan dan opsi pencatatan keberhasilan dan Anda akan memiliki catatan yang sangat mendetail tentang segala sesuatu yang terjadi di komputer Anda. Namun, Anda akan sangat memengaruhi kinerja karena prosesor akan sibuk merekam 100 entri berbeda di log setiap kali seseorang menekan tombol atau mengeklik mouse mereka.
Anda harus menimbang apa jenis penebangan akan bermanfaat dengan dampak pada kinerja sistem dan datang dengan keseimbangan yang paling cocok untuk Anda. Anda juga harus ingat bahwa banyak alat peretas dan program kuda Trojan seperti Sub7 termasuk utilitas yang memungkinkan mereka mengubah file log untuk menyembunyikan tindakan mereka dan menyembunyikan gangguan sehingga Anda tidak dapat mengandalkan 100% pada file log.
Anda dapat menghindari beberapa masalah kinerja dan mungkin masalah penyembunyian alat peretas dengan mempertimbangkan hal-hal tertentu saat menyiapkan pencatatan log Anda. Anda perlu mengukur seberapa besar file log akan mendapatkan dan memastikan Anda memiliki cukup ruang disk di tempat pertama. Anda juga perlu menyiapkan kebijakan untuk apakah log lama akan ditimpa atau dihapus atau jika Anda ingin mengarsipkan log pada basis harian, mingguan, atau lainnya secara periodik sehingga Anda memiliki data lama untuk dilihat kembali juga.
Jika dimungkinkan untuk menggunakan hard drive khusus dan / atau pengontrol hard drive, Anda akan memiliki dampak kinerja yang lebih rendah karena file log dapat ditulis ke disk tanpa harus bertarung dengan aplikasi yang Anda coba jalankan untuk akses ke drive. Jika Anda dapat mengarahkan file-file log ke komputer yang terpisah - mungkin didedikasikan untuk menyimpan file-file log dan dengan pengaturan keamanan yang benar-benar berbeda- Anda mungkin dapat memblokir kemampuan penyusup untuk mengubah atau menghapus file-file log juga.
Catatan terakhir adalah Anda tidak boleh menunggu hingga terlambat dan sistem Anda telah rusak atau terganggu sebelum melihat log. Yang terbaik adalah meninjau log secara berkala sehingga Anda dapat mengetahui apa yang normal dan menetapkan garis dasar. Dengan begitu, ketika Anda menemukan entri yang salah Anda dapat mengenali mereka seperti itu dan mengambil langkah proaktif untuk mengeraskan sistem Anda daripada melakukan penyelidikan forensik setelah terlambat.