Sherlock Holmes non avrebbe mai chiesto chi avesse commesso il furto. Avrebbe chiesto: “Mostratemi le chiavi, mostratemi le finestre, mostratemi le impronte sul pavimento.” In informatica si chiamano log. Sono noiosi, voluminosi, scritti in un linguaggio criptico. Ma raccontano esattamente chi è entrato, da dove, a che ora, e cosa ha toccato.
Il problema è che la maggior parte delle aziende, dopo aver subito un incidente, scopre che i log non li ha. Il server era configurato con la rotazione di default (sette giorni), nessuno li archiviava, e l’attacco è iniziato due mesi prima dell’esplosione visibile. È come arrivare sulla scena del delitto e scoprire che la polvere è stata tirata su con l’aspirapolvere.
Una buona configurazione dei log non costa praticamente nulla: conservare almeno 90 giorni di log applicativi, di accessi SSH, di query database, in un posto separato dal server stesso (perché un attaccante furbo cancella i log). E un centralizzatore (anche un VPS da 5 euro al mese con rsyslog) trasforma l’aspirapolvere in una telecamera. Quando il momento arriva – e per molti arriverà – avere i log significa la differenza tra “sappiamo cosa è successo” e “tiriamo a indovinare”.
