Dus je hebt enkele van de adviezen hier (of ergens anders) opgevolgd en een inbraak geconstateerd? Het eerste dat je moet doen is kalm blijven. Overhaaste acties kunnen meer schade aanrichten dan de aanvaller zou hebben gedaan.
Het in de gaten krijgen van een aanval op de beveiliging die aan de gang is, kan een gespannen onderneming zijn. De manier waarop je reageert kan grote gevolgen hebben.
Als de aanval die je ziet een fysieke is, bestaat de kans dat je iemand hebt opgemerkt die heeft ingebroken in je huis, kantoor of laboratorium. Je zou de plaatselijke autoriteiten in moeten lichten. In een laboratorium kun je misschien iemand opgemerkt hebben die probeerde een kast te openen of een machine opnieuw op te starten. Afhankelijk van je autoriteit en procedures kun je hem vragen daarmee te stoppen of contact opnemen met lokale beveiligingsmensen.
Als je hebt geconstateerd dat een lokale gebruiker je beveiliging in gevaar tracht te brengen, is het eerste dat je moet doen je ervan vergewissen dat het inderdaad de persoon is die je denkt dat het is. Controleer de site waar vanaf hij inlogt. Is het de site waar vanaf hij normaal gesproken inlogt? Nee? Gebruik dan een niet-elektronische manier om contact te maken. Bel hem bijvoorbeeld op of loop naar zijn kantoor/huis en praat met hem. Als hij bevestigt dat hij verbinding heeft, kun je hem vragen om uit te leggen wat hij aan het doen was of hem vertellen dat hij ermee op moet houden. Als hij geen verbinding heeft en ook geen idee heeft waar je het over hebt, bestaat de kans dat dit incident verder uitgezocht moet worden. Bestudeer zulke incidenten en verzamel genoeg informatie voordat je enige beschuldiging uit.
Als je een aanval via het netwerk hebt geconstateerd, is het eerste dat je moet doen (als je daartoe de mogelijkheid hebt) het verbreken van de verbinding met het netwerk. Als ze verbonden zijn met een modem, haal de stekker van het modem er dan uit; als je verbonden zijn via Ethernet, haal dan de Ethernet kabel los. Dit voorkomt dat ze nog meer schade aanrichten. Ze zullen het waarschijnlijk als een netwerkprobleem zien en niet als een signaal dat ze opgemerkt zijn.
Als je de verbinding met het netwerk niet kunt verbreken (als je een
drukke site hebt of je hebt geen fysieke controle over je machines), is de
volgende stap om iets als tcp_wrappers
of ipfwadm
te
gebruiken om toegang vanaf de site van de indringer te weigeren.
Als je niet alle mensen vanaf dezelfde site als de indringer de toegang
kunt weigeren, zal afsluiten van het gebruikersaccount de oplossing zijn.
Houd er rekening mee dat het afsluiten van een account niet gemakkelijk is.
Denk aan de .rhosts
bestanden, FTP toegang en een host met
mogelijke achterdeuren.
Als je een van de bovenstaande dingen hebt gedaan (het netwerk afgesloten, toegang vanaf hun site geweigerd en/of hun account uitgeschakeld), moet je al hun gebruikersprocessen afsluiten en ze uitloggen.
Je moet je site de komende paar minuten goed in de gaten houden, want de aanvaller probeert om weer binnen te komen. Misschien door gebruik te maken van een ander account en/of vanaf een ander netwerkadres.
Dus je hebt ofwel een aanval opgemerkt die reeds heeft plaatsgevonden of je hebt het opgemerkt en (hopelijk) de overtredende aanvaller buiten je systeem gesloten. Wat nu?
Als het gelukt is om vast te stellen op welke manier de aanvaller je systeem is binnengedrongen, moet je proberen dat gat te dichten. Misschien zie je bijvoorbeeld diverse FTP entries net voordat de gebruiker inlogte. Schakel de FTP service uit en kijk of er een bijgewerkte versie van is of dat een van de mailing lists iets weet over een fix.
Controleer al je logbestanden en breng een bezoek aan je beveiligings lists en pagina's om te kijken of er een fix is voor nieuwe algemene misbruiken. Je kunt beveiligingsfixes voor Caldera vinden op http://www.caldera.com/tech-ref/security/. Red Hat heeft zijn beveiligingsfixes nog niet gescheiden van zijn bug fixes, maar hun distributie errata is beschikbaar op http://www.redhat.com/errata.
Debian heeft nu een mailing list over beveiliging en een webpagina. Zie: http://www.debian.org/security/ voor meer informatie.
Het is erg waarschijnlijk dat als de ene distributeur een beveiligingsupdate heeft uitgegeven, de meeste andere Linux distributeurs dit ook zullen doen.
Er is nu een project dat de beveiliging onder Linux doorlicht. Ze gaan systematisch door alle user-space voorzieningen en kijken naar mogelijke beveiligingslekken en overflows. Uit hun aankondiging:
"We proberen de Linux bronnen systematisch door te lichten teneinde net zo veilig te zijn als OpenBSD. We hebben reeds enkele problemen ontdekt (en opgelost), maar meer hulp is welkom. De lijst staat open voor iedereen en is tevens een bruikbaar hulpmiddel voor algemene discussies over beveiliging. Het adres van de lijst is: security-audit@ferret.lmh.ox.ac.uk. Stuur, om je in te schrijven, een e-mail naar: security-audit-subscribe@ferret.lmh.ox.ac.uk"
Als je de aanvaller niet buitensluit, komt hij waarschijnlijk terug. Niet alleen terug op je machine, maar terug ergens op je netwerk. Als hij een packet sniffer draaide, is de kans groot dat hij toegang heeft tot andere lokale machines.
Het eerste dat je moet doen is de schade opnemen. Waar is mee geknoeid?
Als je een integrity checker zoals Tripwire
draait, kun je die
gebruiken om een integriteitscontrole uit te voeren; het helpt je met het
bepalen waarmee is geknoeid. Zo niet, dan zul je al je belangrijke gegevens
moeten nakijken.
Omdat Linux systemen steeds eenvoudiger te installeren zijn, kun je overwegen om je configuratiebestanden op te slaan, je disk(s) schoon te vegen, opnieuw te installeren en je gebruikersbestanden en configuratiebestanden vanaf backups terug te zetten. Zo ben je ervan verzekerd dat je een nieuw, schoon systeem hebt. Als je bestanden moet terugplaatsen vanaf een gecompromitteerd systeem, wees dan vooral voorzichtig met enige binary's die je terug plaatst, omdat het Trojan horses kunnen zijn die daar neergezet zijn door de indringer.
Als een indringer root toegang heeft verkregen, moet je opnieuw installeren. Bovendien wil je alle bewijs dat er is graag bewaren, dus het hebben van een reserve disk in de kluis is zinvol.
Vervolgens moet je je druk maken over hoe lang geleden het gebeurd is en of de backups beschadigd werk bevatten. Meer over backups volgt later.
Het hebben van regelmatig gemaakte backups is een uitkomst voor beveiligingsaangelegenheden. Als je systeem gecompromitteerd is, kun je de gegevens die je nodig hebt herstellen vanaf de backups. Natuurlijk zijn sommige gegevens ook voor de aanvaller waardevol. Ze zullen ze niet alleen vernietigen, ze zullen ze stelen en er kopieën voor henzelf van maken; maar je hebt in ieder geval de gegevens nog.
Je moet diverse eerdere backups controleren voordat je een bestand herstelt waarmee geknoeid is. De indringer kan je bestanden al lang geleden hebben gecompromitteerd en je kunt veel succesvolle backups gemaakt hebben van het gecompromitteerde bestand.
Natuurlijk kleven er ook een aantal beveiligingsbezwaren aan backups. Zorg ervoor dat je ze op een veilige plaats bewaart. Weet wie er toegang toe heeft. (Als een indringer je backups te pakken kan krijgen, heeft hij toegang tot al je gegevens zonder dat je het ooit te weten komt.)
Ok, je hebt de indringer buitengesloten en je systeem hersteld, maar je bent nog niet helemaal klaar. Hoewel het onwaarschijnlijk is dat de meeste indringers ooit worden opgepakt, moet je aangifte doen van de aanval.
Je moet de aanval rapporteren aan de beheerder van de site vanwaar de
aanvaller je systeem heeft aangevallen. Je kunt deze beheerder opzoeken
met whois
of de Internic database. Je zou hem een e-mail kunnen
sturen met alle van toepassing zijnde log entries, datums en tijden. Als je
iets anders opmerkerkelijks over je indringer is opgevallen, moet je dat ook
melden. Na de e-mail verstuurd te hebben, zou je dit (mocht je daartoe geneigd
zijn) moeten laten volgen door een telefoontje. Als die beheerder op zijn beurt
je aanvaller in de gaten krijgt, kan contact worden opgenomen met de
beheerder van de site waar de aanvaller vandaan komt enzovoort.
Goede crackers gebruiken vaak veel bemiddelende systemen. Sommige (of veel) daarvan weten wellicht niet eens dat ze zijn gecompromitteerd. Proberen om het spoor van een cracker terug te volgen naar zijn eigen systeem kan moeilijk zijn. Wees beleefd tegen de beheerders waar je mee praat, ze kunnen je een heel eind op weg helpen.
Je moet ook de beveiligingsorganisaties waar je deel van uitmaakt op de hoogte stellen ( CERT of soortgelijk), evenals de verkoper van je Linux systeem.