2015-09-07
624
Програма перевірки цілісності файлу є програмним забезпеченням, яке обчислює і зберігає криптографічну контрольну суму кожного файлу, що захищається, і підтримує базу даних контрольних сум файлів. Це дозволяє системному адміністраторові легко розпізнати зміни, зокрема, неавторизовані, зроблені в критичних файлах. Контрольні суми повинні переобчислюватися регулярно для порівняння поточного значення із значенням, що зберігається, що дозволить визначити будь-які модифікації файлу. Можливість перевірки цілісності файлів часто включається в системи виявлення проникнень для хоста, але така перевірка може бути доступна і у вигляді окремої програми.
Хоча програма перевірки цілісності і є корисним інструментальним засобом, який не вимагає великої участі людини, для гарантії ефективності вона повинна використовуватися продумано.
1. При створенні першого варіанту бази даних файлом перевірки цілісності потрібна гарантія, що система знаходиться в безпечному стані. Інакше можуть бути створені криптографічні хеші скомпрометованої системи, і тим самим створиться помилкове відчуття безпеки у того, що тестує.
2. База даних контрольних сум повинна зберігатися off-line, щоб той, що атакує не міг скомпрометувати систему і модифікувати базу даних заховати сліди атаки.
3. Програма перевірки цілісності файлів може також створювати помилкові позитивні попередження. Кожна зміна файлу і кожен системний patch змінює файл і, отже, потрібно змінити базу даних контрольних сум. Таким чином, тримати базу даних актуальною може бути непросто.
Проте навіть якщо програма перевірки цілісності виконується тільки один раз (при першій інсталяції системи), вона може бути корисна для визначення того, які файли були модифіковані у разі передбачуваної компрометації. Нарешті, той, що атакує може так модифікувати файл, що використання 32-бітової циклічної контрольної суми (Cyclic Redundancy Check – CRC) не визначить модифікацію. Отже, рекомендуються сильніші алгоритми підрахунку контрольних сум для гарантування цілісності даних.
Програми перевірки цілісності повинні виконуватися вночі для перевірки деякої файлової системи, яка могла бути скомпрометована. Якщо програма перевірки цілісності визначить неавторизовані модифікації системних файлів, повинна бути розглянута можливість інциденту, пов'язаного з безпекою, і здійснені відповідні процедури, згідно встановленої політики безпеки.
