Capítulo 4 – Herramientas para la Detección de Intrusos
4.5 File Integrity Checkers
Cuando un sistema ha sido comprometido, el atacante frecuentemente alterará ciertos archivos claves para proveer acceso continuo y prevenir la detección futura (Cuff, 2002). Aplicando un message digest (signo criptográfico) a los archivos claves y revisándolos periódicamente se asegura que el hash no ha sido modificado con el fin de mantener el nivel de seguridad. Al detectar un cambio, una alerta será disparada. Además, seguido de un ataque, los mismos archivos pueden tener su integridad revisada para asegurar que el sistema esté exento de compromisos. Algunas herramientas son las que se presentan en la Tabla 4.3 y posteriormente se hará una descripción de las características de cada una de ellas.
Tabla 4.3 File Integrity Checkers
AIDE chkrootkit Fcheck Intact integrit
Ionx LANguard Tripwire
AIDE (Advanced Intrusion Detection Environment)
Appliance TippingPoint Technologies, Inc. http://www.cs.tut.fi/~rammer/aide.html Crea una base de datos de reglas de expresión regular sobre los archivos de configuración. Una vez que la base de datos es inicializada puede ser usada para verificar la integridad de los archivos mediante el uso de algoritmos para descifrar mensajes (md5, sha1, rmd160, tiger, haval) y se pueden incluir nuevos algoritmos. Los atributos de los archivos pueden ser revisados por inconsistencias. Puede leer bases de datos recientes u obsoletas.
Comercial Información Actualizada: 30 Marzo 2003
chkrootkit
UNIX/Linux http://www.chkrootkit.org
Es una herramienta para revisar localmente paquetes tipo rootkit. Contiene scripts como:
chkrootkit: script que revisa los binarios del sistema si han sido modificados.
ifpromisc.c: revisa si la interfase está en modo promiscuo
chklastlog.c: revisa los últimos logs borrados
chkwtmp.c: revisa los wtmp borrados
chkdirs.c: revisa por señales de troyanos
FCheck
AIX, BSD, HP/UX, Linux SCO, Solaris, SunOS, Windows 95/98/NT
http://www.geocities.com/fcheck2000/fcheck.html
Es un script de código abierto basado en PERL que provee detección de intrusos y refuerzo a las políticas a través del uso de fotografías comparativas del sistema. Proporciona la notificación de cualquier diferencia encontrada a través del uso del sistema de administración de eventos, impresoras y/o correos electrónicos de cualquiera de los archivos o directorios monitoreados son alterados, incluyendo archivos agregados y/o borrados. Reporta inmediatamente cualquier desviación de la fotografía original.
Gratuito Información Actualizada: 30 Marzo 2003
Intact
Unix, WindowsNT/2000/XP Pedestal Software http://www.pedestalsoftware.com/products/intact/
Es un detector de cambios en tiempo real y la solución de recuperación del sistema que asegura integridad y disponibilidad descubriendo, registrando y respondiendo a cambios no autorizados a las configuraciones de seguridad en servidores y estaciones de trabajo. Compara una fotografía del estado deseado de los objetos del sistema y las configuraciones con el monitor activo del sistema. Previene daños accidentales o maliciosos. Notifica de intrusiones, virus, troyanos, instalación de programas, alertas de seguridad, cambios a configuraciones de auditorias y agregados o borrados de archivos. Cuenta con una consola central para monitorear los equipos donde está instalada la solución. Protege los servicios de directorio LDAP como el Active Directory de
Microsoft, NDS de Novell y el iPlanet de Netscape.
COMERCIAL Información Actualizada: 30 Marzo 2003
integrit
UNIX/Linux http://integrit.sourceforge.net/
Es una alternativa para verificar la integridad de los programas. Ayuda a determinar si un intruso ha modificado una computadora. Funciona creando una base de datos que es una fotografía de las partes más esenciales del sistema. En el caso de una intrusión, se conoce exactamente cuáles archivos fueron modificados, agregados o borrados.
IONX Data Sentinel
Windows Ionx http://www.ionx.co.uk/html/products/data_sentinel/index.php
Es un avanzado detector de intrusión y tiene la habilidad de mantener la integridad de datos críticos de la empresa y descubrir accesos no autorizados. Funciona con una fotografía base del sistema y de acuerdo a las necesidades, se calendarizan fechas para futuras fotografías y compararla contra la inicial. Otorga reportes para determinar qué archivos o registros se han modificado y permite compilar evidencia de datos forénsicos. Los reportes se guardan en formato cifrado y pueden ser guardados en formato HTML,
XML y CSV. Además, puede configurarse para enviar los reportes por correo electrónico. Examina un número grande de propiedades y atributos de cada archivo para determinar si cualquier cambio ha sido hecho. En lugar de simplemente revisar la última vez de la modificación que puede cambiarse fácilmente, realiza un complejo algoritmo criptográfico en los datos reales contenidos dentro de cada archivo.
Gratuito Información Actualizada: 30 Marzo 2003
GFI LANguard System Integrity Monitor
Windows NT 4.0/2000 GFI Software Ltd. http://www.gfi.com/lansim/index.html
Provee la detección de intrusiones revisando si los archivos han sido modificados, agregados o borrados permitiendo restaurar el sistema a su estado original. Daños por virus son fácilmente detectados y todos los archivos infectados son identificados rápidamente. Alerta al administrador por correo electrónico. Puede ser configurado para monitorear archivos del S.O., imágenes, programas CGI, paginas HTML.
Comercial Información Actualizada: 30 Marzo 2003
Tripwire
Linux, Solaris, Windows Tripwire http://www.tripwire.com
Es una herramienta que revisa los cambios que han ocurrido en el sistema en los servidores y/o clientes en la Red. El programa monitorea los atributos de los archivos claves que no deben ser cambiados, incluyendo forma binaria, tamaño, etc. Fue originalmente desarrollado en la Universidad de Purdue por el reconocido experto de seguridad Dr. Eugene Spafford y Gene Kim. Las versiones comerciales expanden las características y ofrecen capacidades más sofisticadas para los reportes para las versiones de S.O. Solaris, Windows NT, HP-UX (11+), SGI IRIX, Compaq Tru64 y AIX. Existe también la versión gratuita para los sistemas Linux.