Wikipedia

Host-based intrusion detection system: differenze tra le versioni

Naviga nella cronologia in modo interattivo
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
mNessun oggetto della modifica
 
Xr1blu (discussione | contributi)
3 512 modifiche
Funzionalità collegamenti suggeriti: 1 collegamento inserito.
 
(26 versioni intermedie di 22 utenti non mostrate)
Riga 1:
Un '''Host based intrusion detection system''' ('''HIDS''') è una tipologia di [[intrusion detection system]] speicalizzatospecializzato sullnell'analisi e ilnel monitoraggio del funzionamentocomputer. Una variante del computer[[network intrusion detection system]], unauno variantestrumento indirizzaindirizzato verso l'analisi del traffico di rete è il [[network intrusion detection system]].
 
== Obiettivo ==
Un HIDS controlla dinamicamente alcune o tutte le componenti che formano l'host (il computer). Come i NIDS provvedono ad analizzare il traffico di rete gli HIDS provvedono ad analizzare i programmi in esecuzione e il loro utilizzo delle risorse. Questi programmi segnalerebbero per esempio se senza nessun motivo apparente il word processor si dovesse attivare e dovesse modificare il database delle password di sistema.

Gli HIDS sorvegliano lo stato del sistema, la memorizzazione delle informazioni e l'accesso alle risorse condivise e allaalle unità di memorizzazione.
Un HIDS è un componente che sorveglia il funzionamento del [[sistema operativo]] verificando che le policy di sicurezza non siano aggirate o scavalcate.
 
=== Controllo del funzionamento dinamico ===
La maggior parte delle persone ha familiarità con questo genere di programmi grazie agli [[antivirus]]. Gli antivirus controllano costantemente lo stato del sistema alla ricerca di potenziali infezioni. Lo stesso fanno i programmi HIDS solo che questi non si limitano a virus, troyantrojan e worm ma controllano il funzionamento anche di programmi comuni. Comunque le linee di demarcazione tra i vari programmi sono molto sottilesottili e quindi spesso le funzionalità delle due tipologie di programmi si sovrappongono.
 
=== Controllo dello stato ===
Il principio di funzionamento degli HIDS è basato sulla considerazione che se l'attaccante ([[Cracker (informatica)|cracker]]) riesce a forzare il sistema deve lasciare traccia del suo passaggio anche perché probabilmente l'attaccante installerà nel computer uno o più programmi deputati alla raccolta di informazioni o alla gestione remota della macchina.
 
InstallazioneL'installazione e l'attivazione di questi programmi modificamodificano lo stato interno della macchina e un buon HIDS dovrebbe essere in grado di rilevare un'intrusione. Usualmente gli HIDS vengono utilizzati in congiunzione con i NIDS in modo che i programmi si completino a vicenda per un controllo totale della macchina e delle sue comunicazioni.
 
Ironicamente la prima cosa che gli attaccanti fanno usualmente eè quella di installare un programma di controllo remoto in modo da impedire aua un altro cracker di accedere al sistema.
 
==== Tecniche ====
In generale gli HIDS utilizzano un database degli elementi da controllare. Questi spesso sono memorizzati nel file system ma non sempre. Non vi è motivo infatti perché un HIDS non debba periodicamente controllare alcune aree di memoria alla ricerca di violazioni. Anche la tabella delle system- call è un componente che può essere controllato proficuamente dato che molti virus tendono ad alterarla.
 
Per ogni elemento l'HIDS normalmente memorizza gli attributi (permessi di scrittura, dimensione, data modifica, ecc) e effettua un calcolo del checksum con algoritmi tipo hash [[MD5]] o simili. Questi dati vengono memorizzati nel database per le future comparazioni. Da notare che l'MD5 non garantisce una completa sicurezza dato che è possibile modificare il file senza variare l'MD5. Recenti studi (2004) hanno dimostrato che la possibilità che ciò avvenga non è così ridotta come si pensava all'inizio.
 
==== Funzionamento ====
Durante l'installazione ede aad ogni modifica autorizzata degli elementi questi vengono analizzatoanalizzati e il loro checksum viene calcolato e memorizzato nel database. Questa è una fase che va controllata con attenzione per impedire che degli elementi corrotti possano essere marcati come validi.
 
Esistono molti elementi che il sistema operativo modifica di frequente che sono interessanti da controllare dato che sono elementi che anche un' aggressore avrebbe interesse allaa loro modificamodificare. Un controllo approfonditiapprofondito di troppi elementi però rallenterebbe eccessivamente il sistema quindi alcuni HIDS per file non vitali preferiscono fare dei controlli bastibasati sugli attributi senza dover ogni volta generare il checksum, un processo che per file di elevategrosse dimensioni può rendere l'analisi molto lenta. Un 'analisi di un numero eccessivo di elementi può generare un elevato numero di falsi positivi dato che spesso il sistema operativo modifica molti file di sistema solo per svolgere sele luesue usuali operazioni.
 
Una volta che il sistema è installato, i checksum sono stati calcolati e è stato impostato inun intervallo ragionevole tra le varie analisi dell'HIDS, il sistema è pronto. Le segnalazioni possono essere inviate all'utente tramite file di log, email, finestre a video o altro.
 
=== Protezione dell'HIDS ===
Un HIDS utilizzerà normalmente un insieme di tecniche aggiuntive per rivelare violazioni nel proprio database degli oggetti e per rendere queste violazioni difficili. Infatti se un attaccante è stato in grado di introdursi nel sistema nulla gli impedisce di cercare di eludere l'HIDS. Sono molto diffusi per esempio i virus che dopo essersi installati cercano di disabilitare i programmi antivirus.
 
Oltre ad adottare protezioni [[crittografia|crittografiche]] un amministratore può utilizzare protezioni aggiuntive come memorizzare il database dell'HIDS in un supporto non cancellabile come un CD-ROM (sempre che il database non vada aggiornato con frequenza..) o memorizzare il database in un'altra macchina separata da quelle da controllare.
 
Si potrebbe anche affermare che i [[Trusted Platform Module]] siano un tipo di HIDS. Sebbene gli scopi siano diversi entrambi i moduli provvedono ad identificare eventuali modifiche a componenti del computer. Dal puntipunto di vista progettaleprogettuale questi moduli sono l'ultima difesa contro le modifiche non autorizzate ed essendo integrati nell'hardware del computer se non nella CPU stessa sono estremamente difficili da aggirare.
 
==Voci correlate==
*[[Intrusion detection system]]
*[[network intrusion detection system|Network Intrusion Detection System]]
*[[Trusted Computing Group]]
*[[Trusted Platform Module]]
 
==Collegamenti esterni==
* {{en}}cita [web|http://wwwmd5deep.tripwiresourceforge.org Tripwirenet/|md5deep, un HIDS Open Source]|lingua=en}}
* {{en}}cita [httpweb|https://md5deep.sourceforge.net/ md5deepprojects/aide|Aide, un HIDS Open Source]|lingua=en}}
* {{en}}cita [web|http://sourceforgela-samhna.netde/projectssamhain/aide Aide|Samhain, un HIDS Open Source]|lingua=en}}
* {{en}}cita [web|http://la-samhnawww.de/samhain/snort.org|Snort Samhain,è unil HIDSNIDS Open Source]|lingua=en}}
* {{cita web|1=http://www.openhids.com|2=OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003|lingua=en|accesso=17 aprile 2019|urlarchivio=https://web.archive.org/web/20170422100758/http://www.openhids.com/|dataarchivio=22 aprile 2017|urlmorto=sì}}
* {{en}} [http://www.snort.org Snort è il NIDS Open Source]
* {{en}} [http://www.openhids.com OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003]
 
{{Controllo di autorità}}
[[Categoria:{{Portale|Sicurezza informatica]]}}
 
[[Categoria:Tecniche di difesa informatica]]
[[en:Host-based intrusion detection system]]
Estratto da "https://it.wikipedia.org/wiki/Host-based_intrusion_detection_system"