Con la tipologia "file canarino" (canary) si intendono file dal contenuto irrilevante che vengono usati come "sentinelle" per monitorare eventi all'interno di una cartella: la loro cifratura da parte di un ransomware, l'esfiltrazione durante un attacco hacker, la rimozione dolosa o accidentale, innescheranno un allarme che avviserà l'utente (o l'amministratore di rete) che qualcosa di sospetto sta accadendo in quella cartella. Si possono anche impostare misure difensive che attivano una reazione automatica in base al tipo di allarme, senza richiedere l'intervento dell'operatore. [continua..]
Inserite di seguito i vostri commenti.
Re: Commenti a "CanaryShell: monitora e blocca azioni indesiderate nelle cartelle"
Inviato: lun mar 04, 2024 10:16 am
da CUB3
Ancora una volta, bravo Zigul!! Un altro articolo interessante e originale!!
Il controllo dell'accesso al file è necessario anche per rilevare se i file vengono copiati, ad esempio, con Ctrl+C o tasto destro, giusto? Non avevo mai fatto caso che si modificasse la data di accesso con l'operazione di copia!
Metto sotto spoiler giusto un paio di suggerimenti:
Puoi utilizzare l'elenco puntato anche per
Le possibili azioni d'allarme che possono essere innescate dal canary sono:
e utilizzerei il tag istruzioni anche per evidenziare le voci per l'impostazione del monitoraggio anziché utilizzare le virgolette.
Re: Commenti a "CanaryShell: monitora e blocca azioni indesiderate nelle cartelle"
Inviato: lun mar 04, 2024 11:00 am
da Zigul
Grazie CUB3, anche per i suggerimenti grafici.
Per bypassare l'eventuale ritardo nell'aggiornamento della data di ultimo accesso, il monitoraggio della copia è basato sulla lettura in tempo reale (sempre considerando l'intervallo fra i controlli impostato dall'utente) della clipboard relativa ai file e alle cartelle; quindi il controllo dell'ultimo accesso è in questo caso un controllo secondario.
Re: Commenti a "CanaryShell: monitora e blocca azioni indesiderate nelle cartelle"
