Manipulationserkennung mit AFICK

Another File Integrity ChecKer, kurz AFICK [1], erkennt Änderungen am System und schlägt in einem solchen Fall Alarm. Dazu erstellt das Tool zunächst von ausgewählten Dateien einen eindeutigen Fingerabdruck in Form einer Prüfsumme. Sollten sich bei einer späteren Kontrolle andere Prüfsummen ergeben, hat ein Schadprogramm, ein Angreifer oder ein Defekt die entsprechenden Dateien verändert. Auf diese Weise spürt AFICK nicht nur Manipulationsversuche auf, sondern dient auch als kleines Intrusion Detection System.

Das Tool steht unter der liberalen GNU-GPLv3-Lizenz, die auch den kostenlosen Einsatz in Unternehmen erlaubt. AFICK setzt lediglich Perl voraus, das mindestens in der Version 5.10 vorliegen muss. Getestet hat Entwickler Eric Gerbier sein Tool unter allen Windows-Versionen ab XP, verschiedenen Unix-Systemen wie HPUX und AIX sowie zahlreichen Linux-Distributionen. Zu Letzteren zählen die üblichen Verdächtigen wie Suse Linux, Red Hat, Debian und Ubuntu. Windows-Anwender können Perl einfach über das Komplettpaket ActivePerl [2] installieren.

Die meisten Unix- und Linux-Systeme bringen Perl bereits standardmäßig mit oder erlauben die Installation über die Paketverwaltung. Dort benötigen Sie neben dem eigentlichen Perl-Paket außerdem noch die Perl-Module Digest::MD5, Digest::SHA1 und Perl/Tk. Die beiden Letztgenannten sind optional, Perl/Tk ist zudem nur für die grafische Benutzeroberfläche notwendig.

Installation

Um AFICK zu installieren, laden Sie sich zunächst bei Sourceforge.net die aktuelle Version herunter. Windows-Anwender greifen dabei zur angebotenen EXE-Datei – zum Redaktionsschluss war dies "afick-setup-3.6.1.exe". Dieses Programm müssen Sie lediglich starten und dem Assistenten die eigentliche Installation überlassen. Der lädt im späteren Verlauf noch ein paar zusätzliche Perl-Module herunter, Sie müssen ihm folglich den Zugriff

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.