Para lograr que los Logs sean confiables y válidos en determinadas situaciones como evidencia, se debe tomar medidas que protejan la exactitud,  autenticidad  y accesibilidad de los archivos.

Exactitud de los archivos de log [3]

La exactitud significa que se puede probar que los archivos de log representan con precisión la actividad del sistema.  Incluso la más pequeña imprecisión en los archivos de logs pueden llevar a cuestionar la validez de toda la evidencia.

Los siguientes son  unos consejos a la hora de buscar exactitud en el los archivos de logs:

Registrar todo en los archivos Logs:

Configurar los logs de los sistemas para registrar la mayoría de la información que se pueda.  Mientras algunos administradores ven poca utilidad almacenar información extra, cada campo de estos archivos tiene mucho significado en a la hora de una investigación forense.

Por ejemplo, supongamos que un administrador web aduce que un hacker[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn9 [9]]] ha quebrantado la seguridad de su máquina y ha introducido un backdoor[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn10 [10]]], un servidor proxy para relanzar ataques a otras máquinas.  ¿Cómo se logra probar que el tráfico viene desde un usuario especifico o que fue un ataque realizado por alguien más?, mientras esto no se pueda probar siempre, entre más información se registre más probabilidad de salir exitoso en estos casos se tiene.

Manteniendo el tiempo real:

Sincronizando las maquinas con un fuente de tiempo externa. En  http://tycho.usno.navy.mil/ntp.html se puede encontrar una lista de servidores NTP. 

Usar  múltiples sensores://**

Es difícil perder información de entrada a un logs si múltiples dispositivos están registrando la misma información.  Combinando logs de varios dispositivos, se aumenta el valor dado a cada uno.  Los logs de firewalls, IDS (Intrusion Detection System) e incluso algo tan simple como TCPDump[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn11 [11]]] puede ayudar a probar que desde una dirección IP se realizó un ataque a una maquina especifica a un tiempo especifico.

En http://www.iissecurity.net/4361.htm se puede encontrar un ejemplo del uso de un Snort[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn12 [12]]] como suplemento de los logs de un servidor.

Autenticidad de los archivos de log:

Se puede decir que un archivo de log es autentico si se puede probar que ellos no han sido modificados desde que ellos fueron originalmente registrados. Generalmente los archivos de logs son archivos de texto muy fácilmente modificables, incluyendo su fecha y hora. Desde este aspecto no se podría dar la autenticidad pero llevando a cabo ciertos procedimientos se puede lograr este aspecto:[3]

Movimiento de Logs:

Para comenzar a pensar en la autenticidad de los archivos de logs, se debe cambiar la localización de los archivos en si, se debe considerar trasladar los logs a una máquina diferente a la cual los produce.  Por ejemplo si un servidor ha sido comprometido, se debe considerar que los archivos de logs también se han visto involucrados en el ataque.

Centralizar los logs a un servidor master que los registre en una cinta, CD o base de datos tan rápido como se produzcan puede ser una buena estrategia.

Firmas, Encripción y Checksums:

La única forma de estar absolutamente seguro que un archivo no ha sido modificado es firmar y encriptar el archivo de log usando PGP[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn13 [13]]]  o algún otro esquema de llave-publica de encripción.

La firma de archivos es muy útil ya que si sencillamente un archivo ha sido modificado (es corrupto), este no invalida el resto de logs. Se puede utilizar herramientas como Fsum[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn14 [14]]] que fácilmente genera MD5 hashes para los archivos.

Al encriptar los archivos se debe tener en cuenta el impacto que esto conlleva a la hora de la creación, modificación y acceso a los archivos.

Trabajar con copias://**

Cuando se realiza cualquier tipo de análisis sobre los archivos de logs, nunca se debe realizar sobre el archivo original. Se debe realizar copias antes de ejecutar cualquier tipo de pos-procesamiento o análisis. Estar seguro que los archivos originales nunca serán modificados, ayuda a establecer que ellos son todavía auténticos y se encuentran en su forma original

Asegurar la integridad del sistema:

Se  debe auditar permanentemente todos los cambios que se produzcan en el sistema. Si un intruso esta en capacidad de modificar cualquier archivo del sistema, los archivos de logs producidos por el mismo (sistema operativo) la  validez  de estos archivos como evidencia entrara en duda.

Documentación de procesos:

Mantener siempre en mente que un proceso bien establecido puede ser muy útil a la hora de evaluar autenticidad.

Establecer un proceso significa crear un documento que liste y detalle cada paso tomado, ya sea de forma manual o automático a la hora de recolectar la evidencia.  Además, cualquier scripts que se utilice en el procesamiento y recolección de archivos de logs, deberá también contener comentarios explicando lo que exactamente se esta realizando. Las técnicas que se usen en los procesos deberán generalmente ser aceptadas legalmente para la administración y recolección de archivos de log.

Control de Acceso:

Una vez el archive de log es creado debe ser auditado y protegido para prevenir accesos no autorizados.

Si se asegura y audita un archive de log apropiadamente, se tendrá un evidencia documentada que ayuda ha establecer su credibilidad.

Restringir el acceso a archivos://**

Un archive de logs necesita ciertos permisos para que la aplicación o sistema que o produce pueda registrar eventos en él.  Pero luego que esto se produce el archivo se debe cerrar y nadie debe tener acceso a modificar el contenido del mismo. Se puede también considerar programar comandos para bloquear el acceso a estos archivos y auditar luego este. También se debe tener en cuenta que al cambiar la ubicación de los archivos de logs se debe establecer los permisos correctamente.

Cadena de custodia

Al mover los archivos desde un servidor a una dispositivo offline, o cualquier otro manejo que se ha planeado realizar, es muy importante registrar los cambios de ubicación que los archivos han tenido.  Es practica aconsejable, además lograr un nivel de detalle alto e incluir tiempos, fechas, responsables, el estado en que se almaceno y poseer controles los cuales puedan constatar el no cambio de los datos. Esto puede ser hecho a través de métodos técnicos o no técnicos.

Es muy importante pensar que el proceso diario de recolectar archivos de logs puede algún día llegar a ser parte de un proceso de recolección de evidencia en una investigación criminal. Incluso se podría sugerir que se maneja siempre la recolección y procesamiento de logs como si la fuente ya estuviera envuelta en una situación de investigación y estos fueran a ser utilizados como evidencia.