[HACK] Programa integridad de ficheros

[Bernardo Quintero]

> Como cada vez es más difícil estar analizando todos los logs, alertas,
> etc... estoy buscando un programa que me chequee periódicamente TODOS
> los ficheros de un servidor y me avise de los que han cambiado. Creo
> que al final es una de las mejores formas de ver si algo se te ha
> metido en la maquina.

Es preferible algo que, además de avisarte sea capaz de detenerlo,
(proactivo, no reactivo), y en tiempo real... no a demanda (que no
te enterés una semana depués, cuando tal vez sea tarde).

Desarrollé una prueba de concepto con características similares
a las que pides, pero con las ventajas que comento arriba, no
necesita bb.dd. de checksums ni firmas, puedes configurarlo
según paths y tipos de fichero, puedes configurarlo para que te
impida crear y/o modificar los ficheros y/o solo te avise (mensajería,
email, etc.), informa de que proceso es el que lo está haciendo,
tambien puedes proteger el registro de windows (tiene un
apartado donde puedes configurar que claves quieres vigilar),
etc,etc..

Problemas: solo funciona en sistemas Windows, puede dar muchos
falsos positivos si es una estación de trabajo, por ejemplo al
instalar una actualización de windows, una aplicacion, etc.. (en un
servidor efectivamente hay menos cambios y se puede ajustar la
configuración), y no está liberado... (fue desarrollado para una
demo en un congreso de seguridad, para hablar de técnicas
antivirus proactivas, y no lo he vuelto a tocar...).

Pero espero que te sirvan las ideas... seguramente debe haber
ya soluciones similares en el mercado.

Saludos,
Bernardo Quintero
bernardo at hispasec.com