Este sistema de detección de intrusos para sistemas Mac OS X fue ideado originalmente por el equipo de seguridad de Facebook, al que posteriormente se unió la Etsy. Hoy en día es mantenido y actualizado por ambos equipos de seguridad y podemos ver los resultados a través de Github, en el cual se puede observar los avances interesantes de la herramienta. ¿De dónde sale la idea? Realmente de las experiencias presentadas en Homebrew Defensive Security y Attack-Driven Defense.
 |
| Figura 1: MIDAS en Github |
Además, en Github se puede encontrar documentación de la herramienta, su arquitectura y los módulos que lo componen. MIDAS está escrito en Python, y permite la extracción de información de un sistema Mac OS X ante una intrusión. ¿Qué tipo de información? Por ejemplo, la configuración de red del sistema, las extensión del kernel, los demonios que están ejecutados o LaunchDaemons, los agentes en el sistema o LaunchAgents, la configuración o reglas del firewall, etcétera.Estas acciones permitirán al usuario mantener cierta integridad en el sistema, detectando posibles anomalías provocadas por una intrusión en puntos críticos del sistema.
Hay un archivo llamado example.py que implementa un ejemplo de lógica de negocio de auditoría. El módulo realiza un registro de una gran cantidad de archivos plist cada sesenta segundos. Además, se centra en los módulos del kernel instalados, calculándose un hash SHA1 para el archivo en disco, y algunos archivos de configuración.
Lo que MIDAS como IDS basado en anomalías debe hacer en primer lugar es realizar un seguimiento de los cambios en el sistema. MIDAS comprueba, por defecto, cada hora si existen cambios en estos lugares críticos, prefijados.
El foro y lo que comparan con auditd
En reddit en un tema dedicado a MIDAS los usuarios han realizado una comparación con auditd, que es un registrador de eventos en el sistema, sobretodo conocido por utilizarse en sistema GNU/Linux. El archivo data_science.py de MIDAS se encarga de buscar cambios en el sistema, por lo que es parte fundamental del sistema, mientras que auditd sigue, realiza un tracking, de las llamadas al sistema, y se centra en las llamadas de escritura en los archivos de configuración, pudiendo detectar más o menos las mismas cosas en global. En el foro indican que auditd realiza casi las mismas operaciones que MIDAS de forma fiable, antes y con mayor detalle en la información sobre los eventos registrados.
MIDAS crece y se personaliza
El detalle de la comparación entre herramientas es interesante, y ver como los usuarios en el foro debaten sobre las características de ambas herramientas. MIDAS está en crecimiento y proporciona ciertas características de personalización interesantes:
- Adición de módulos que implementen nuevas funcionalidades al entorno.
- Despliegue de código a equipos finales de OS X en la organización.
- Configuración un cron para ejecutar MIDAS en un intervalo de tiempo concreto.
- Utilizar un syslog como mecanismo para reenviar los logs a un equipo centralizado. Esta opción es realmente interesante.
- Analizar los datos recolectados y las alertas o anomalías generadas. Este hecho es realmente interesante, ya que el objetivo es detectar y poder procesar.
No hay comentarios:
Publicar un comentario