¿Cómo puedo proteger mis archivos de registro?

Navega tus respuestas
8

Tengo una herramienta genial que muestra mi syslog y kernellog en el escritorio de mi mac. Esto me tiene preocupado por lo que está escrito en ellos; estoy empezando a sentir que están creando un agujero en mi privacidad. He visto nombres de archivos de cuando estaba buscando en el buscador; alguien estaba generando miniaturas y registrando el nombre completo del archivo; También he visto nombres de servidores a los que me he conectado usando smb.

Tengo algunas preguntas:

  • ¿Puedo limpiar mis registros o limitar el uso de ellos por parte de un programa? ¿Cómo?
  • ¿Se utilizan / leen estos registros en informática forense?
  • ¿Qué puede sacar un atacante de ellos? es decir, contraseñas o vectores explotados
  • ¿Existen herramientas para extraer los datos interesantes de estos archivos?
pregunta KilledKenny 01.05.2011 - 22:50
fuente

1 respuesta

11

Al ver que está usando Mac, manipular registros es tan simple como elevarse a un usuario root (administrador), usando un comando como 'sudo -i' en su terminal, y luego editarlos como desee.

En lo que a mí respecta, los registros son el mejor amigo de un profesional de la seguridad. Cuantos más registros tenga, más información tendrá que extraer (al mismo tiempo, habrá más datos para rastrear, lo que tiene más que ver con su última pregunta). Los registros son uno de los muchos recursos cuando se trata de análisis forense.

Cuando se trata de que los atacantes obtengan acceso a los registros, es más preocupante que modifiquen los registros para cubrir sus huellas. Si un atacante tiene acceso a sus archivos de registro, ya tienen su sistema, por lo que no hay una razón real para preocuparse de que obtengan información directa de los registros. Por otro lado, los datos de tendencias se pueden utilizar para otros medios. Por ejemplo, si un atacante puede obtener acceso a los registros en una estación de trabajo en una corporación, puede deducir cuáles pueden ser los tiempos de trabajo promedio de un usuario (lo que, de nuevo, parece ser un punto discutible para la mayoría de los casos que ya tienen acceso a la caja).

En cuanto a su última pregunta, las herramientas para correlacionar estos registros son muy útiles. La herramienta principal que está buscando es una SIM / SEM . Esta es una herramienta que toma registros y, en función de las tendencias de ataques tradicionales y de perfiles, alerta al administrador / profesional de seguridad que ejecuta la herramienta sobre el posible problema. Algunos buenos ejemplos de SIM / SEM o SIEM (que supongo que es el término más común) son arcsight , loglogic , alienvult / ossim , y logrhythm .

Nunca he pensado en los registros como algo que no sea bueno. Entonces, piénselo dos veces antes de eliminar registros o incluso eliminar cualquier dato de sus registros. Cuanto más te metes con tus registros, menos valiosos se vuelven. No pude encontrar un administrador de incidentes / eventos de seguridad diseñado para una Mac con mi búsqueda limitada, pero aún se puede hacer.

Al volver a leer mi respuesta, mis pensamientos tenían una mentalidad bastante estrecha, por lo que me disculpo si me perdí otras herramientas orientadas al registro que son posibles. Déjame saber si quieres aclarar algo de lo que dije, todavía estoy despertando :-).

    
respondido por el Ormis 02.05.2011 - 17:00
fuente

Lea otras preguntas en las etiquetas

Implicaciones de seguridad de almacenar el hash de contraseña a lo largo de una clave AES cifrada ¿Cómo canalizar toda la comunicación de red?