Blog personal de Juanma Merino

Hace unos días me preguntaban como detectar defacements antes de que fuera demasiado tarde. La respuesta original es que si detectas un defacement ya es demasiado tarde pero entiendo que el objetivo es darte cuenta lo antes posible para corregir la situación e impedir que tu imagen quede dañada.

Existen varias soluciones para detectar defacements. Los chequeos de navegación automatizada, servicios externos que visitan tu página de forma periódica, software de monitorización que comprueba el resultado de un get con otros realizados anteriormente, … Pero en este caso quiero hablar de chequeos de integridad de archivos. Este es un requerimiento PCI, el 11.5 creo.

De entre la multitud de herramientas opensource y comerciales he escogido AFICK. Another File Integrity Checker viene a ocupar el vacío dejado por antiguas versiones freeware de Tripwire, la solución líder en su categoría.

Los pasos a seguir son:

• Descargar Afick
• Disponer de perl y del módulo tk (si no lo tienes se puede descargar con ppm)
• Editar el archivo de configuración
• Crear una base de datos inicial contra la que se compararán los siguientes chequeos
• Ejecutar un chequeo manual
• Automatizar el proceso

Esta herramienta, al estar basada en Perl corre tanto en *NIX como en Windows.

Los resultados se pueden enviar por e-mail, por syslog o dejarlos en un archivo local.

Dos consejos que cabe tener en cuenta:

• Fortifica la base de datos de AFICK para que en caso de compromiso del sistema no sea comprometida también.
• Establece un procedimiento de actuación que indique claramente qué hacer cuando se detecta un defacement. No servirá de mucho que AFICK te lo diga si no tienes planeado que vas a hacer para remediar la situación.