Dus je hebt enkele van de adviezen hier(of ergens anders) opgevolgd en je hebt een inbraak gedetecteerd? Het eerste wat je moet doen is kalm blijven. Haastige acties kunnen meer schade veroorzaken dan de aanvaller wilde hebben.
Een Security aanval detecteren kannen een spannende ondernemening zijn. Hoe je reageert kan grote consequenties hebben.
Als de aanval die je ziet een fysieke is, is er een grote kans dat er iemand in je huis heeft in-gebruiken, je kantoor of lab. Je moet je lokale autoriteiten waarschuwen. In een lab, kun je iemand opgemerkt hebben die een computer probeert te rebooten of een kist probeert te openen. Gebaseerd op je bevoegdheden en procedures, kun je ze vragen om hem te stoppen, of je kun je lokale security mensen bellen.
Als je detecteert dat een lokale gebruiker je security probeert te doorbreken is het eerste wat je doet kijken of het de gene is wie je denkt dat het is. Kijk op het netwerk waarvan ze zijn in-gelogd. Is het de manier hoe ze normaal inloggen? Nee? Gebruik dan een niet elektronische manier om in contact te komen. Bijvoorbeeld, bel ze of loop naar hun kantoor of huis en praat tegen ze. Als ze toegeven dat zij het waren, kun je ze vragen om uit te leggen wat ze gedaan hebben en of ze daar mee willen stoppen. Als ze het niet weten, en ze hebben geen idee waar je over praat, vraagt het om een uitgebreider onderzoek. Kijk naar zulke incidentjes en zorg dat je veel informatie hebt voordat je iemand beschuldigt.
Als je een netwerk aanval hebt gedetecteerd, is het eerste wat je doet ( als je kunt) het netwerk afbreken. Als ze verboden zijn met een modem trek dan de stekker van de modem eruit; Als ze via het ethernet komen, trek dan die kabel eruit. Dit stopt ze om nog meer schade aan te richten, en ze zullen het zien als een netwerk probleem, in plaats van detectie.
Als het onmogelijk is om het netwerk af te sluiten (je hebt een druk bedrijf,
je hebt geen fysieke control over je machines), is de beste stap
een programma als tcp_wrappers
of ipfwadm
te gebruiken om het netwerk waar de indringers vandaan komen de toegang
te ontzeggen.
Als je niet alle mensen van het zelfde netwerk als de indringers
kan tegenspreken, moet je het gebruikers account op slot zetten.
Een account opslot zetten is niet gemakkelijk. Je moet rekening houden met de .rhosts
file, FTP toegang, en een mogelijke achterdeur.
Als je een van de dingen hierboven hebt gedaan (het netwerk afsluiten, toegang ontzeggen van hun netwerk, en/of hun account uitschakelen), moet je al hun gebruikers processen killen en hun uitloggen.
Je moet je netwerk een aantal minuten goed in de gaten houden, als de aanvallers terug proberen binnen te komen. Bijvoorbeeld op een ander account en/of van een ander netwerk-adres.
Dus je hebt een pas een aanval gedetecteerd die al is gebeurt of je hebt er een gedetecteerd en de aanvaller uit je systeem gezet (hopelijk). En nu?
Als je kan achterhalen hoe de aanvaller is binnengekomen in je systeem, moet je het gat proberen te dichten. Bijvoorbeeld, je ziet enkele FTP aangifte's in je log files vlak voordat de aanvaller is in-gelogd. Schakel dan FTP uit en kijk of er een nieuwe versie.
Bekijk alle logfile's, en ga op bezoek bij je security lijst en pagina's en kijk of er nieuwe algemeen misbruik is wat je kan repareren. Je kan de Caldera security fixes vinden op http://www.caldera.com/tech-ref/security/. Red Hat heeft de security fixes nog niet gescheiden van de bug fixes, maar hun distributie errata is verkrijgbaar op http://www.redhat.com/errata
Debian heeft nu een security mailing list en een web-page Zie: http://www.debian.com/security/ voor meer informatie.
Het is zeer gebruikelijk als een van de lever een security update uitbrengt, dat de meeste andere dat dan ook doen.
Er is nu een linux security boekhouding project. Er komen methodes om alle user space utilities om te kijken voor een mogelijke security misbruik of een overflow. Uit hun aankondiging:
"We pogen een systematische boekhouden van de Linux sources te maken met als doel zo veilig worden als Open-BSD. We hebben al enkele problemen ontdekt (en opgelost), maar meer hulp is welkom. De lijst is oncontroleerbaar en is een bruikbare bron voor algemene security discussies. Het adres van de lijst is: security-audit@ferret.lmh.ox.ac.uk Om je in te schrijven moet je een mailtje zenden naar: security-audit-subscribe@ferret.lmh.ox.ac.uk"
Als je de aanvaller niet buiten zet, zullen ze terug komen. Niet alleen terug op jouw machine, maar terug ergens op je netwerk. Als je een packet sniffer draaiden, onveiligheden zijn voor hen goed om naar andere lokale machines te gaan.
Het eerst dat je doet om de schade in te schatten is. Wat is er aangevallen?
Aks je een Intergeriteit Checker als Tripwire
draait, kun
je het gebruiken om een integeriteits check uit te voeren, en dat
kan je helpen om de schade vast te stellen. Als het niet help, moet
je rond kijken naar de belangrijke data.
Sinds Linux system makkelijker en makkelijker te installeren zijn, kun je je configuratie files op een diskketje('s) zetten en het zo her installeren, dan je gebruikers files van ja backups herstellen. Dat laat je zeker weten dat je weer een schoon systeem hebt. Als je files moet backup-en van een binnengedrongen systeem, kan gevaarlijk zijn zeker met binaries, omdat ze een Trojan horse kunnen zijn geplaatst door een indringer.
Re installatie moet verplicht gesteld worden als de de indringer root toegang heeft gehad. Maar, je kan wel het bewijs materiaal bewaren, dus als je een reserve disk hebt kan een goede gedachte zijn.
Dan moet je je druk maken over hoe lang geleden de aanval is gebeurd, en of de backups beschadigd werk bevatten. Meer over backups later.
Als je een reguliere backup hebt is een geschenk van god voor security. Als je systeem is binnen gedrongen, kun je de data die je nodig hebt herstellen van een backup. Natuurlijk, sommige data is waardevol voor een aanval, en ze zullen het niet alleen kapot maken, ze stelen het en hebben hun eigen copieëren maar je hebt nog steeds de data.
Je moet enkele backups terug checken voordat je de verknoeide file het hersteld. De indringer kan de files een tijdje geleden hebben verknoeid, en je kan enkele succesvolle backups hebben gemaakt van de verknoeide file!!!!
Natuurlijk, er zijn ook een aantal security bezorgd-heden met backups. Zorg dat je ze op een veilige plaats bewaard. Weet wie toegang tot ze heeft. (Als een aanvaller je backups kan pakken, kunnen ze toegang hebben tot al je data zonder dat je het weet.)
Ok, je hebt de indringer van je systeem geschopt, en je systeem hersteld, maar je bent nog niet klaar. Zolang het niet waarschijnlijk is dat de indringer wordt gepakt, moet je de aanval toch aangeven.
Je moet de aanval aangeven bij de admin van het netwerk
waar de indringer vandaan kwam. Je kan zijn adres opvragen met
whois
of de Internic database. Je kan ze een email zenden
met alle log entries en datum's en tijden. Als je iets anders strafbaars
tegen komt over de indringer moet je dat ook melden. Na dat, moet je (als je
zo Be-invloed bent) ook bellen. Als de desbetreffende admin de aanvaller vindt,
kun je met de admin praten over waar ze vandaan komen en zo.
Goede krakers gebruiken vaak tussen liggende systemen, enkele (of veel) van welke ze niet weten dat ze zijn binnen gedrongen. Dan het adres van de kraker vinden kan moeilijk zijn. Door beleefd te zijn tegen de admin's kan ook helpen om hulp van hem te krijgen.
Je moet ook een security organisatie waar je deel van bent waarschuwen ( CERT of een andere), en ook je Linux systeem dealer.