Verificação de integridade de arquivos
O que é o Ossec
OSSEC (Open Source Host-based Intrusion Detection System) é uma ferramenta considerada o canivete suíço de sistemas de detecção de intruso. Com essa única ferramenta é possível fazer análise de logs, checar integridade de arquivos, monitorar administradores, detectar rootkits e obter alertas em tempo real. Dentre de todas essas funcionalidades, iremos aprender aqui como utilizar do processo Syscheck do OSSEC para a verificação de integridade de arquivos.
Porque verificar a integridade de arquivos
A resposta para a pergunta acima é simples, segurança. Quando se deseja um sistema seguro, é necessário construir barreiras em volta dele, tanto barreiras físicas quanto virtuais. Barreiras físicas são construídas no mundo real, por exemplo, os servidores devem estar localizados em uma sala na qual somente os administradores tenham acesso, o acesso a intranet de uma empresa deve ser restrita a seus funcionários etc. Já as barreiras virtuais são aquelas construídas no sistema através da utilização de softwares/hardware como proxys, firewalls etc.
Quanto o maior número de barreiras nesse sistema, mais difícil será o trabalho do invasor para obter sucesso. Porém a possibilidade de sucesso sempre existe. Na maioria das vezes que um invasor alcança seu objetivo, ele deixa rastros no sistema e a modificação de arquivos é um deles. A integridade de arquivo entra nessa guerra para identificar os rastros deixados em arquivos e notificar os administradores de um possível ataque.
Como funciona
Integridade de arquivo, como diz o nome, é o processo que verifica a integridade e autenticidade de um arquivo, ou seja, o objetivo é identificar arquivos modificados sem o consentimento do administrador do sistema. Esse processo é feito através de comparações de chaves hash que representa os arquivos.
O hash é uma sequência de bits gerado por um algoritmo de dispersão, o qual transforma uma grande quantidade de arquivo em uma pequena quantidade. Dessa