Una Mpango wa Kuendeleza Ili Kuambukizwa Intruder
Tunatarajia kuweka kompyuta zako zimehifadhiwa na zimehifadhiwa na mtandao wako ukiwa salama. Hata hivyo, ni hakika kuepukika kwamba wakati fulani utaathiriwa na shughuli zisizo mbaya- virusi , mdudu , farasi wa Trojan , mashambulizi ya hack au vinginevyo. Wakati hilo linatokea, ikiwa umefanya mambo ya haki kabla ya shambulio utafanya kazi ya kuamua ni lini na jinsi shambulio limefanikiwa iwe rahisi zaidi.
Ikiwa umewahi kutazama TV ya CSI , au kuhusu polisi nyingine yoyote au show ya kisheria ya kisheria, unajua kwamba hata kwa kupigwa kwa kiwango cha chini cha ushahidi wa upelelezi watafiti wanaweza kutambua, kufuatilia na kukamata mhalifu wa uhalifu.
Lakini, ingekuwa si nzuri kama hawapaswi kupima kwa nyuzi kupata nywele moja ambayo ni kweli ya mhalifu na kufanya kupima DNA kutambua mmiliki wake? Nini ikiwa kuna rekodi iliyowekwa juu ya kila mtu ambaye aliwasiliana na wakati gani? Nini ikiwa kuna rekodi iliyowekwa ya kile kilichofanyika kwa mtu huyo?
Ikiwa ndivyo ilivyokuwa, watafiti kama wale wa CSI wanaweza kuwa nje ya biashara. Wapolisi watapata mwili, angalia rekodi ili kuona ambaye mwisho aliwasiliana na marehemu na kile kilichofanyika na wangekuwa na utambulisho bila ya kuchimba. Hii ni nini ukataji hutoa katika suala la kusambaza ushahidi wa uangalifu wakati kuna shughuli zenye malicious kwenye kompyuta yako au mtandao.
Ikiwa msimamizi wa mtandao hajui kuingia kwenye magogo au hakuingia kwenye matukio sahihi, kuchimba ushahidi wa uhakiki ili kutambua wakati na tarehe au njia ya upatikanaji usioidhinishwa au shughuli nyingine mbaya inaweza kuwa vigumu kama kutafuta sindano ya proverbi katika msipu wa nyasi. Mara nyingi sababu ya msingi ya shambulio haijulikani kamwe. Mashine iliyopotea au kuambukizwa husafishwa na kila mtu anarudi kwenye biashara kama kawaida bila kujua kama mifumo inahifadhiwa bora zaidi kuliko ilivyokuwa wakati walipopiga hit.
Baadhi ya programu husajili vitu kwa default. Seva za wavuti kama IIS na Apache kwa ujumla huingia trafiki zote zinazoingia. Hii hutumiwa hasa kuona watu wangapi waliotembelea wavuti, ni anwani gani ya IP waliyotumia na maelezo mengine ya aina ya metrics kuhusu tovuti. Lakini, katika kesi ya minyoo kama CodeRed au Nimda, magogo ya wavuti pia yanaweza kukuonyesha wakati mifumo ya kuambukizwa inajaribu kufikia mfumo wako kwa sababu ina amri fulani ambayo hujaribu ambayo itaonyesha kwenye magogo ikiwa imefanikiwa au la.
Mifumo mingine ina kazi mbalimbali za ukaguzi na magogo zilizojengwa. Unaweza pia kufunga programu ya ziada ya kufuatilia na kuandika vitendo mbalimbali kwenye kompyuta (angalia Vyombo kwenye kiungo cha kiungo kwenye haki ya makala hii). Kwenye mashine ya Windows XP Professional kuna chaguo la ukaguzi wa matukio ya logon ya akaunti, usimamizi wa akaunti, upatikanaji wa huduma ya saraka, matukio ya logoni, upatikanaji wa kitu, mabadiliko ya sera, matumizi ya upendeleo, kufuatilia mchakato na matukio ya mfumo.
Kwa kila moja ya haya unaweza kuchagua kuingia mafanikio, kushindwa au chochote. Kutumia Windows XP Pro kama mfano, ikiwa haukuwezesha magogo yoyote kwa upatikanaji wa kitu huwezi kuwa na rekodi ya wakati faili au folda ilifikia mwisho. Ikiwa umewezesha kuanguka kwa kushindwa tu ungekuwa na rekodi ya wakati mtu alijaribu kupata faili au folda lakini alishindwa kutokana na kuwa na ruhusa sahihi au idhini, lakini huwezi kuwa na rekodi ya wakati mtumiaji aliyeidhinishwa alipata faili au folda .
Kwa sababu mchungaji anaweza kutumia vizuri jina la mtumiaji na nenosiri ambalo wanaweza kufikia faili kwa ufanisi. Ikiwa utaona magogo na kuona kwamba Bob Smith amefuta taarifa ya kifedha ya kampuni saa 3am Jumapili inaweza kuwa salama kudhani kwamba Bob Smith alikuwa amelala na labda jina lake la mtumiaji na nenosiri limeathiriwa . Katika tukio lolote, sasa unajua kilichotokea kwenye faili na wakati na inakupa hatua ya kuanzia kuchunguza jinsi ilitokea.
Kupoteza magogo na mafanikio yote yanaweza kutoa taarifa muhimu na dalili, lakini unapaswa usawa shughuli zako za ufuatiliaji na magogo na utendaji wa mfumo. Kutumia mfano wa kitabu cha rekodi ya kibinadamu kutoka juu - itasaidia wachunguzi kama watu waliweka logi ya kila mtu waliyowasiliana naye na kile kilichotokea wakati wa maingiliano, lakini hakika itapunguza watu chini.
Ikiwa unapaswa kuacha na kuandika nani, ni nini na wakati kwa kila kukutana ulikuwa na siku yote inaweza kuathiri sana tija yako. Vile vile ni kweli kwa shughuli za ufuatiliaji na magogo ya kompyuta. Unaweza kuwezesha chaguo lolote lolote la kushindwa na ufanisi na utakuwa na rekodi ya kina ya kila kitu kinachoendelea kwenye kompyuta yako. Hata hivyo, utakuwa na athari kubwa kwa utendaji kwa sababu processor itakuwa busy kurekodi entries 100 katika magogo kila wakati mtu presses kifungo au Clicks mouse zao.
Unahitaji kupima aina gani ya magogo itakuwa na manufaa na athari kwenye utendaji wa mfumo na kuja na usawa unaofaa kwako. Unapaswa kukumbuka pia kwamba zana nyingi za hacker na mipango ya farasi ya Trojan kama vile Sub7 hujumuisha huduma ambazo zinawawezesha kubadilisha mafaili ya logi kuficha matendo yao na kujificha kuingilia kwa hivyo huwezi kutegemea 100% kwenye faili za logi.
Unaweza kuepuka baadhi ya masuala ya utendaji na uwezekano wa masuala ya kuficha chombo cha hacker kwa kuzingatia mambo fulani wakati wa kuanzisha magogo yako. Unahitaji kupima jinsi kubwa faili za logi zitakapopata na kuhakikisha una nafasi ya kutosha ya disk mahali pa kwanza. Pia unahitaji kuanzisha sera ya kuwa magogo ya zamani yatarejeshwa au kufutwa au unataka kuhifadhi kumbukumbu wakati wa kila siku, kila wiki au nyingine ili uwe na data ya zamani ili urejee tena.
Ikiwa inawezekana kutumia gari la bidii na / au mtawala wa gari ngumu utakuwa na athari ndogo ya utendaji kwa sababu faili za logi zinaweza kuandikwa kwenye diski bila kupigana na programu unazojaribu kukimbia kwa ufikiaji wa gari. Ikiwa unaweza kuelekeza mafaili ya logi kwenye kompyuta tofauti - uwezekano wa kujitolea kuhifadhi mafaili ya logi na mipangilio tofauti ya usalama - unaweza kuzuia uwezo wa intruder kubadilisha au kufuta faili za logi pia.
Maelezo ya mwisho ni kwamba haipaswi kusubiri hadi kuchelewa sana na mfumo wako tayari umevunjika au kuathiriwa kabla ya kutazama kumbukumbu. Ni vyema kuchunguza magogo mara kwa mara ili uweze kujua jambo la kawaida na kuanzisha msingi. Kwa njia hiyo, wakati unapoingia kwenye entries zisizo sahihi unaweza kuzijua kama vile na kuchukua hatua za ufanisi kuimarisha mfumo wako badala ya kuchunguza uchunguzi baada ya kuchelewa.