Advanced Intrusion Detection Environment

Questa voce è orfana, ovvero priva di collegamenti in entrata da altre voci.

Inseriscine almeno uno pertinente e utile e rimuovi l'avviso. Segui i suggerimenti del progetto di riferimento.

AIDE (Advanced Intrusion Detection Environment) è un software libero per il controllo dell'integrità dei file, progettato quale sostituto moderno del celebre Tripwire. È utilizzato principalmente su sistemi operativi di tipo Unix-like per rilevare modifiche non autorizzate al sistema ed è rilasciato sotto licenza GNU General Public License (GPL).

Lo sviluppo del software è guidato da Rami Lehti e Pablo Virolainen, ricercatori presso l'Università della tecnologia di Tampere, con il contributo dell'olandese Richard van den Berg, consulente indipendente per la sicurezza informatica.

AIDE crea una "snapshot" dello stato del sistema, includendo permessi, tempi di modifica e checksum crittografici dei file selezionati nella configurazione. Una volta generato il database di riferimento, l'amministratore di sistema può avviare dei controlli periodici su di essi. Il software confronterà quindi lo stato attuale dei file con quello memorizzato nel database. Qualora venga rilevata una discrepanza (ad esempio un file binario di sistema modificato da un rootkit o un file di configurazione alterato), AIDE segnala l'anomalia.^[1]

Il software consente il monitoraggio granulare del file system attraverso diversi parametri, tra cui:

Algoritmi di hashing: supporta molteplici funzioni crittografiche di hash per verificare l'integrità dei dati, tra cui MD5, SHA-1, SHA-256, SHA-512, RMD160, Tiger e CRC32.

Attributi dei file: oltre al contenuto, il software è in grado di controllare i metadati memorizzati nell'inode, inclusi i permessi, l'utente (UID) e il gruppo (GID) proprietari, la dimensione del file e i timestamp di accesso e modifica.

Configurazione: attraverso l'uso di espressioni regolari è possibile definire quali file o directory includere o escludere dalla scansione.

AIDE consente scansioni manuali ma può essere configurato per eseguire scansioni pianificate. Nelle distribuzioni basate su Debian, il pacchetto predefinito include già uno script per l'esecuzione giornaliera tramite il demone di pianificazione cron. ^[2]

AIDE basa i suoi controlli sul confronto del sistema con un database locale (snapshot di sistema). Ne consegue che la sicurezza dell'intero processo dipende dall'integrità del database stesso. Se un utente malintenzionato ottenesse i privilegi di root, potrebbe modificare un file di sistema e successivamente aggiornare il database di AIDE nascondendo le proprie tracce.

Per far fronte a questo potenziale problema è bene copiare il database su un supporto esterno dopo ogni aggiornamento legittimo.

Sebbene AIDE nasca come alternativa di Tripwire, si distingue per una licenza più permissiva (GPL) e per una gestione più snella della configurazione.

• Intrusion Detection System

• (EN) Sito ufficiale, su aide.github.io.
• (EN) Advanced Intrusion Detection Environment, su SourceForge.
• Advanced Intrusion Detection Environment, su packages.debian.org.
• Repository sorgenti di Advanced Intrusion Detection Environment, su github.com.
• AIDE Github project
• AIDE online manpage, su aide.sourceforge.net (archiviato dall'url originale il 27 ottobre 2014).
• AIDE reference in Ubuntu wiki, su help.ubuntu.com.
• OpenSUSE Security Guide chapter on AIDE, su doc.opensuse.org.

Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica