Автор подметил интересную особенность. Выражения «лог файлы» или просто «логи» легко употребляются оперативниками, следователями всеми участниками процесса, однако мало кто из них четко представляет себе, что это такое. Чиновники Минсвязи норовят заставить операторов «хранить логи в течение трех лет», однако затрудняются сказать, какие именно логи и вообще, что это такое. Государственный обвинитель во время процесса лихо ссылается на «логи провайдера», однако когда ему эти логи показывают, в упор их не узнает, удивляясь, что это за невразумительная цифирь.
Технические же специалисты, которые с лог файлами сталкиваются ежедневно, для которых это неотъемлемая составляющая каждодневной работы, приходят в недоумение от такого вопроса следователя: «Какая информация записывается в лог файл?» Да любая! Какую вы пожелаете, такая и записывается.
Поэтому необходимо рассмотреть, что же такое логфайл или лог.
Лог – это журнал автоматической регистрации событий, которые фиксируются в рамках какой либо программы. Обычно каждому событию соответствует одна запись в логе. Обычно запись вносится сразу же после события (его начала или окончания). Записи эти складываются в назначенный файл самóй программой либо пересылаются ею другой, специализированной программе, предназначенной для ведения и хранения логов.
Как понятно из определения, в логах могут регистрироваться абсолютно любые события – от прихода единичного ethernet фрейма до результатов голосования на выборах президента. Форма записи о событии также целиком остается на усмотрение автора программы. Формат лога может быть машинно ориентированным, а может быть приспособлен для чтения человеком.
Иногда логи ориентированы на цели безопасности и расследования инцидентов. В таких случаях стараются по возможности изолировать логи от системы, события в которой они фиксируют. Если злоумышленник преодолеет средства защиты и получит доступ в систему, он, возможно, не сможет одновременно получить доступ к логам, чтобы скрыть свои следы.
Почти каждое действие, производимое человеком при взаимодействии с информационной системой, может отражаться в логе прямо или косвенно, иногда даже в нескольких логах одновременно. И логи эти могут быть разбросаны по различным местам, о которых неспециалист даже не догадается.
Чтобы узнать о действиях злоумышленника, получить какие либо данные о нем при помощи логов, необходимо:
● узнать, какие компьютеры и их программы вовлечены во взаимодействие;
● установить, какие события логируются в каждой из вовлеченных программ;
● получить все указанные логи за соответствующие промежутки времени;
● исследовать записи этих логов, сопоставить их друг с другом.
Вот, например, такое обыденное действие, как просмотр одним пользователем одной веб страницы. Перечислим вовлеченные в это действие системы, которые в принципе могут вести логи событий:
● браузер пользователя;
● персональный межсетевой экран на компьютере пользователя;
● антивирусная программа на компьютере пользователя;
● операционная система пользователя;
● DNS-сервер (резолвер), к которому обращался браузер пользователя перед запросом веб страницы, а также DNS сервера (держатели зон), к которым рекурсивно обращался этот резолвер;
● все маршрутизаторы по пути от компьютера пользователя до веб сервера и до DNS серверов, а также билинговые системы, на которые эти маршрутизаторы пересылают свою статистику;
● средства защиты (межсетевой экран, система обнаружения атак, антивирус), стоящие перед веб сервером и вовлеченными DNS серверами;
● веб сервер;
● CGI скрипты, запускаемые веб сервером;
● веб сервера всех счетчиков и рекламных баннеров, расположенных на просматриваемой пользователем веб странице (как правило, они поддерживаются независимыми провайдерами);
● веб сервер, на который пользователь уходит по гиперссылке с просматриваемой страницы;
● прокси сервер (если используется);
● АТС пользователя (при коммутируемом соединении с Интернетом – по телефонной линии) или иное оборудование последней мили (xDSL, Wi Fi, GPRS и т.д.);
● оборудование СОРМ со стороны пользователя и со стороны веб сервера.
Итого может набраться два три десятка мест, где откладываются взаимно скоррелированные записи, относящиеся к одному единственному действию пользователя – просмотру веб страницы.
При более сложных видах взаимодействия появляется еще больше мест, в которых могут остаться следы действий пользователя. Определить все эти места и указать, к кому именно следует обращаться за соответствующими логами, – это задача для ИТ специалиста. Даже самый продвинутый следователь не в состоянии его заменить. Поэтому привлечение специалиста в таких случаях обязательно.
Технические же специалисты, которые с лог файлами сталкиваются ежедневно, для которых это неотъемлемая составляющая каждодневной работы, приходят в недоумение от такого вопроса следователя: «Какая информация записывается в лог файл?» Да любая! Какую вы пожелаете, такая и записывается.
Поэтому необходимо рассмотреть, что же такое логфайл или лог.
Лог – это журнал автоматической регистрации событий, которые фиксируются в рамках какой либо программы. Обычно каждому событию соответствует одна запись в логе. Обычно запись вносится сразу же после события (его начала или окончания). Записи эти складываются в назначенный файл самóй программой либо пересылаются ею другой, специализированной программе, предназначенной для ведения и хранения логов.
Как понятно из определения, в логах могут регистрироваться абсолютно любые события – от прихода единичного ethernet фрейма до результатов голосования на выборах президента. Форма записи о событии также целиком остается на усмотрение автора программы. Формат лога может быть машинно ориентированным, а может быть приспособлен для чтения человеком.
Иногда логи ориентированы на цели безопасности и расследования инцидентов. В таких случаях стараются по возможности изолировать логи от системы, события в которой они фиксируют. Если злоумышленник преодолеет средства защиты и получит доступ в систему, он, возможно, не сможет одновременно получить доступ к логам, чтобы скрыть свои следы.
Почти каждое действие, производимое человеком при взаимодействии с информационной системой, может отражаться в логе прямо или косвенно, иногда даже в нескольких логах одновременно. И логи эти могут быть разбросаны по различным местам, о которых неспециалист даже не догадается.
Чтобы узнать о действиях злоумышленника, получить какие либо данные о нем при помощи логов, необходимо:
● узнать, какие компьютеры и их программы вовлечены во взаимодействие;
● установить, какие события логируются в каждой из вовлеченных программ;
● получить все указанные логи за соответствующие промежутки времени;
● исследовать записи этих логов, сопоставить их друг с другом.
Вот, например, такое обыденное действие, как просмотр одним пользователем одной веб страницы. Перечислим вовлеченные в это действие системы, которые в принципе могут вести логи событий:
● браузер пользователя;
● персональный межсетевой экран на компьютере пользователя;
● антивирусная программа на компьютере пользователя;
● операционная система пользователя;
● DNS-сервер (резолвер), к которому обращался браузер пользователя перед запросом веб страницы, а также DNS сервера (держатели зон), к которым рекурсивно обращался этот резолвер;
● все маршрутизаторы по пути от компьютера пользователя до веб сервера и до DNS серверов, а также билинговые системы, на которые эти маршрутизаторы пересылают свою статистику;
● средства защиты (межсетевой экран, система обнаружения атак, антивирус), стоящие перед веб сервером и вовлеченными DNS серверами;
● веб сервер;
● CGI скрипты, запускаемые веб сервером;
● веб сервера всех счетчиков и рекламных баннеров, расположенных на просматриваемой пользователем веб странице (как правило, они поддерживаются независимыми провайдерами);
● веб сервер, на который пользователь уходит по гиперссылке с просматриваемой страницы;
● прокси сервер (если используется);
● АТС пользователя (при коммутируемом соединении с Интернетом – по телефонной линии) или иное оборудование последней мили (xDSL, Wi Fi, GPRS и т.д.);
● оборудование СОРМ со стороны пользователя и со стороны веб сервера.
Итого может набраться два три десятка мест, где откладываются взаимно скоррелированные записи, относящиеся к одному единственному действию пользователя – просмотру веб страницы.
При более сложных видах взаимодействия появляется еще больше мест, в которых могут остаться следы действий пользователя. Определить все эти места и указать, к кому именно следует обращаться за соответствующими логами, – это задача для ИТ специалиста. Даже самый продвинутый следователь не в состоянии его заменить. Поэтому привлечение специалиста в таких случаях обязательно.
Комментариев нет:
Отправить комментарий