OmniLog
Ni root puede alterar estos logs. Porque no pasan por el OS.
El Problema
Los loggers convencionales escriben a través de syslog, libc y el kernel. Root puede editar logs. El malware puede hookear libc. Los backdoors pueden filtrar entradas de log. Cuando un atacante obtiene acceso root, el audit trail se vuelve no confiable — exactamente cuando más lo necesitas.
La Solución
OmniLog escribe directo a disco vía syscalls. Cada entrada se hashea con la anterior en una cadena SHA-256. Si alguien — root, admin, malware — modifica una entrada, la cadena se rompe. Detectable en milisegundos. No hay libc que hookear, ni framework donde inyectar filtros.
Por Qué Bare-Metal Importa
La cadena de hashes es la prueba matemática de integridad. No confías en el OS. No confías en el admin. Confías en SHA-256. Un binario de 15KB con cero dependencias tiene cero superficie de ataque para manipulación de logs — no hay nada que explotar entre la entrada de log y el disco.
Especificaciones Técnicas
| Característica | Valor |
|---|---|
| Binary Size | ~15KB |
| Integrity | SHA-256 hash chain |
| Write Method | Direct syscall (no libc) |
| Dependencies | None |
| Tamper Detection | Milliseconds (chain verification) |
| Compliance | PCI-DSS, SOX, HIPAA |
| Interface | HTTP log ingestion |
Comparación
| OmniLog | Splunk | ELK Stack | |
|---|---|---|---|
| Size | ~15KB | 500MB+ | 1GB+ (Java/Docker) |
| RAM usage | <1MB | 4-8GB | 2-4GB |
| Dependencies | None | JVM + proprietary | Java + Docker + OS |
| Tamper-proof | Yes (hash chain) | No (admin can edit) | No (admin can edit) |
| Root can modify logs | No (chain breaks) | Yes | Yes |
| Annual cost | One-time license | $15K+/year | "Free" + DevOps $96K |
Casos de Uso
Cumplimiento PCI-DSS
Las instituciones financieras requieren audit trails inmutables. OmniLog proporciona prueba matemática de que los logs no han sido alterados — no solo controles de acceso que root puede bypasear.
Logging de Auditoría HIPAA
Los sistemas de salud necesitan logging a prueba de manipulación para acceso a expedientes. La cadena de hashes prueba integridad sin depender del OS que un atacante puede haber comprometido.
Forense de Incidentes
Al investigar una brecha, la primera pregunta es "¿podemos confiar en los logs?" Con OmniLog, la respuesta es matemáticamente demostrable.