[HACK] Programa integridad de ficheros

xavier caballe os2man at quands.com
Mon Feb 3 11:44:10 CET 2003


>Como cada vez es más difícil estar analizando todos los logs, alertas, 
>etc... estoy buscando un programa que me chequee periódicamente TODOS 
>los ficheros de un servidor y me avise de los que han cambiado. Creo 
>que al final es una de las mejores formas de ver si algo se te ha 
>metido en la maquina.

La verificación de *todos* los archivos no creo que sea una buena idea,
ya que hay archivos que si se modificarán como consecuencia del normal
funcionamiento de un equipo (por ejemplo, los logs). Por tanto, si
analizas todos los archivos, siempre recibirás la notificación y, a la
larga, acabarás ignorando estos avisos.

>1. Funcionar autónomamente una vez a la semana en un WNT y W2000 (y si 
>es posible también en UNIX)

Esto puede controlarse perfectamente a través del propio sistema
operativo. Tanto Windows como Unix incluyen un planificador de tareas
que permite ejecutar un programa a una hora determinada.

>2. Chequear en base al tamaño y/o MD5 (por ejemplo), y detectar si un 
>fichero es nuevo o si uno ha sido borrado desde la última vez

Tripwire utiliza diversos métodos para verificar que los archivos son
equivalentes, incluyendo el CRC-32. MD5, SHA, HAVAL (firma digital de
128-bit), etc... Además, también detecta los nuevos archivos y los que
han sido eliminados. 

>3. Chequear TODOS los ficheros, sin que haya que indicarle cuáles sí y 
>cuales no.  Posibilidad de excluir directorios (p.e, C:\TEMP).

Sin problemas... aunque como te he indicado antes, no es la opción más
adecuada.

>4. Que trabaje con un log cifrado de sus chequeos, para poder comparar 
>una vez con otra. Lo del cifrado es para que un intruso no le altere el 
>log.

Igualmente Tripwire se ajusta a tus requerimientos. No obstante, una
posible forma "barata" consiste en tener la base de datos de confianza
en un dispositivo de sólo lectura, como un CD-ROM.

>5. Que envíe un email (preferentemente) avisando de qué ficheros tienen 
>incidencias (no es necesario saber qué incidencias)

Fácilmente realizable a nivel de sistema operativo, tanto en Windows
como en Unix.

>6. Fácil instalación (nada de 7.000 DLLs y cosas asi :-)  ) y que no se 
>coma todos los recursos de la máquina.

No lo he instalado nunca en Windows, pero en Unix la instalación es muy
simple.

>7. Gratis  :P

Hay dos versiones de Tripwire de libre acceso: Tripwire Open Source y
Tripwire Academic Source Release. Ésta última hace tiempo que no se
mantiene. La versión gratuita cubre casi todos tus requerimientos.
Únicamente falla en que no firma digitalmente la base de daots de
referencia.

Hay otro proyecto (AIDE, http://www.cs.tut.fi/~rammer/aide.html) que
ofrece un verificador de integridad similar a Tripwire, pero totalmente
libre (licencia GPL). A nivel de prestaciones es bastante equivalente
al Tripwire Academic Source Release, aunque todavía no lo he probado en
serio.

>8. Y si además chequea el Register de Windows sería ....

Según la web de Tripwire, la versión para Windows lo hace.

Xavi
---
 http://www.quands.info
 Portal de seguretat informàtica en català







More information about the hacking mailing list