Como pode um invasor potencial de armadilha de sysadmin?

Eu não posso fazer cara ou coroa de "Por que muitos atacantes encontram soluções para interceptar sysadmins?", porque eu nunca soube que hackers "capturassem sysadmins", além da engenharia social muito comum. Os honeypots destinam-se a afastar os amadores dos principais alvos. Eles são inúteis contra um hacker habilidoso.

Nunca conseguiremos fazer melhor do que jogar catchup com hackers habilidosos, assim como nunca poderemos estar à frente dos criadores de vírus. Acredito que as coisas mais valiosas que você pode ter são backups confiáveis e um bom plano de recuperação de desastres. Dessa forma, se você se tornar vítima, ou mesmo sofrer qualquer outro tipo de desastre, você tem uma boa chance de voltar ao normal.

Para mim, um dos componentes mais importantes no bloqueio de ataques externos é um bom firewall. Não apenas um monte de regras estáticas, mas uma que responde ativamente a ameaças (por exemplo, Smoothwall com o complemento Guardian). Um erro comum é instalar um firewall e pensar que isso é tudo. Como qualquer outra parte do sistema, um firewall precisa ser monitorado e ajustado como e quando necessário e nunca deve ser tomado como garantido.

Quanto a tentar detectar tentativas de invasão, há várias coisas que você pode fazer, como o monitoramento de registros. Não apenas navegando manualmente, mas também um sistema automatizado para avisar sobre anomalias. É preciso um pequeno esforço para criar, já que ele precisa ser personalizado para sua configuração específica, mas vale a pena o esforço.

Eu não acho que é possível rastrear um hacker inteligente, mesmo para o FBI, com seus poderes de intimação, links para outros governos, etc. Eu também acho que será preciso muito esforço e um pouco de satisfação para idiota idiota que tem muita vida, e usa-o para nariz em torno de dados de outros. Embora seja irritante saber que alguém está lá para invadir sua rede, para prejudicá-lo, você provavelmente não será capaz de pegar o cara que o fez. Muito provavelmente você irá rastrear uma avó que, sem saber, se tornou hospedeira de um botnet.

Dito isto, nem toda a esperança está perdida;). Há muita coisa que você poderia fazer em relação à segurança e, quanto mais recursos você tem, mais você pode fazer. Se você estiver com um orçamento apertado, eu começaria com etapas simples, como: executar a ferramenta "nmap" na sua rede para verificar as portas abertas e desativá-las se elas não forem usadas. Existem alguns scanners de vulnerabilidades de rede, que poderiam testar se sua rede é um alvo para hacks conhecidos; algumas custam $$$, confira Nessus por exemplo. Você não terá 100% de proteção, mas se não estiver executando nenhuma rede de dados de alto perfil, os hackers sérios não se importarão com você; no entanto, será apenas o suficiente para repelir os aspirantes a hackers do ensino médio, o que, imagino, é responsável por muitos casos de intrusão.