Du bør checke fil-integriteten på din webserver
Det kan være sin sag at være up-to-date med patches, også på webserveren. Blandt andet derfor kan det være en god idé at køre et automatisk integritetscheck, hvis nu nogen skulle have brugt et åbent sikkerhedshul til at pille ved filerne på serveren.
Faktisk går det slet ikke at lade være med at checke filerne på sådan en server, mener leder af televirksomheden Verizons risk-team Lorenz Kuhlee.
»På en webserver er det et must. Hvis du for eksempel har en php-baseret eCommerce webserver. Så har du med tusindvis af php-kodelinjer at gøre. En bagdør kan være på en eller to linjer,« siger han og fortsætter:
»En eller to linjer, og fra et forensic standpunkt, så er det ofte for omkostningstungt at gennemgå tusindvis af linjer for at finde en eller to linjer.«
Integritets-tjekket eller File Integrity Monitoring (FIM), som det kaldes, kan køres automatiseret med givne intervaller, hvor den ansvarlige modtager en mail, hvis noget ikke stemmer.
FIM kan foregå ved at beregne en kryptografisk checksum for hver enkelt fil. Hvis checksummen ændrer sig, betyder det i udgangspunktet, at indholdet af filen har ændret sig.
Og hvis ikke der umiddelbart er en gyldig forklaring på ændringen, så kan det være tegn på ubudne gæster på serveren.
Lorenz Kuhlee anbefaler generelt - og altså ikke kun i forhold til webservere - at køre en eller anden form for automatiseret proces, der kan checke, om der er blevet pillet ved filer.
Når det ifølge ham er et must at checke fil-integriteten på netop en webserver, så hænger det - måske ikke helt overraskende - sammen med, at den type servere i sagens natur er tilgængelige fra internettet.
»Så de er et mål, der let kan nås af alle. Alle kan forsøge at manipulere serveren, så det er en god idé at have dette (integritetscheck, red.),« siger han.
I forhold til at checke fil-integriteten, så er det ikke nok bare at scanne efter, om en php-fil har fået fjernet eller tilføjet en ekstra kodelinje på et tidspunkt, hvor det ikke burde være sket. Også sådan noget som ændringer i billedfiler, bør der scannes efter.
»Ja, også billedfiler. Jeg har haft en sag, hvor følsomme data var tilføjet en billedfil. Og så blev billedfilen hentet via nettet. Det var exfiltration-metoden,« siger Kuhlee.
Check ofte
Det er en god idé at checke fil-integriteten ofte, mener Kuhlee. Men sådan et check koster også ressourcer på serveren. Og derfor er det en afvejning, hvor ofte tjekket bør køres, påpeger han.
»Det er svært at svare på. Det kommer virkeligt an på implementeringen. Jo oftere jo bedre. Men du kan ikke checke hvert femte minut, hvis det er tusindvis af filer. Det er svært at sige et tal, det kommer an på situationen på web-serveren. Men mindst to gange om dagen. En løsning kan være at gøre det oftere for kritiske filer, og mindre intensivt for andre filer.«
Uanset hvor ofte fil-integriteten bliver checket, så er giver det ikke en 100 pct. sikkerhed i forhold til at opdage fifleri, påpeger Kuhlee.
Han nævner, at en angriber eksempelvis kan manipulere med filer mellem de to integritetscheck og sørge for, at filerne er tilbage i deres oprindelige tilstand, inden der bliver checket igen.
»Hvis det sker mellem integritets check, så ser du det ikke. Med mindre du også tager højde for time stamps (fil-metadata).«
Der findes flere værktøjer derude til at automatisere checket af fil-integriteten, fortæller Lorenz Kuhlee, som dog ikke ønsker at anbefale et specifikt produkt. Det står naturligvis Version2's læsere frit for at diske op med fif til FIM.
