Avete seguito alcuni di questi consigli e avete rilevato un'intrusione? La prima cosa da fare è restare calmi. Azioni affrettate possono causare più danni dell'aggressore stesso.
Rilevare una compromissione in corso è una situazione molto tesa. Come reagite avrà grandi conseguenze.
Se la compromissione è fisica probabilmente avete colto qualcuno che si è intrufolato in casa vostra, in ufficio o nel laboratorio. Dovreste avvisare le autorità competenti. In un laboratorio potreste aver visto qualcuno che provava ad aprire un case o riavviare una macchina. A seconda della vostra autorità e delle procedure, potreste farli desistere o chiamare direttamente la sicurezza.
Se avete preso un utente locale che tentava di compromettere la sicurezza la prima cosa da fare è confermare che sia davvero chi credete. Controllate il posto da cui si connettono. È da dove si connettono normalmente? No? Allora usate un mezzo di comunicazione non elettronico. Per esempio, chiamatelo al telefono o andate nel suo ufficio/appartamento e parlateci. Se ammette il fatto, chiedetegli spiegazioni su quel che sta succedendo. Se non c'entra e non sa di cosa stiate parlando, probabilmente dovrete investigare ulteriormente. Investigate e procuratevi molte informazioni prima di accusare qualcuno.
Se avete rilevato un attacco di rete la prima cosa da fare (se possibile) è disconnettere la rete. Se sono connessi via modem, staccate il doppino; se via Ethernet, staccate il cavo Ethernt. Questo impedirà loro di fare altri danni e peneranno ad un problema di rete piuttosto che ad un rilevamento.
Se non potete staccare la rete (se avete un sito trafficato o non avete il
controllo fisico sulle vostre macchine), il prossimo miglior passo è
usare qualcosa come i tcp_wrapper
o ipfwadm
per negare
l'accesso dal sito dell'intrusore.
Se non potete rifiutare tutte le connessioni dal sito dell'intrusore, vi dovete
accontentare di disattivare l'account dell'utente. Farlo però non è
semplice. Dovete tenere a mente i file .rhosts
, l'accesso FTP, e
una montagna di possibili backdoor.
Una volta preso uno dei provvedimenti sopra (disconnesso la rete, negato l'accesso dal suo sito e o disabilitato il suo account), dovete uccidere tutti i suoi processi ed espellerli.
Dovete controllare bene il vostro sito nei minuti seguenti, perché l'aggressore tenterà di rientrare. Forse usando un account differente, o da un altro indirizzo di rete.
Avete trovato una manomissione già avvenuta o avete rilevato e chiuso fuori (si spera) l'intrusore. E ora?
Se siete capaci di determinare in che modo l'aggressore è entrato, dovreste tentare di chiudere quel buco. Per esempio, forse troverete diverse voci FTP subito prima del login dell'utente. Disabilitate il servizio FTP e controllate se esiste una versione aggiornata o se qualche lista conosce un rimedio.
Controllate tutti i log, e visitate le liste di sicurezza e controllate se ci sono exploit che potete riparare. Trovate gli aggiornamenti di sicurezza di Caldera presso http://www.caldera.com/tech-ref/security/. Red Hat non ha ancora separato i propri aggiornamenti di sicurezza da quelli dei bug, ma l'errata corrige della loro distribuzione si trova presso http://www.redhat.com/errata
Debian ha ora una mailing list sulla sicurezza e una pagina web. Visitate http://www.debian.org/security/ per altre informazioni.
È molto probabile che se un distributore Linux ha rilasciato un aggiornamento lo abbiano fatto anche gli altri.
Esiste un progetto di sondaggio della sicurezza di Linux. Passano metodicamente tutti programmi utente e cercano exploit e overflow. Dal loro annuncio:
"Stiamo tentando un sondaggio sistematico dei sorgenti di Linux con l'obiettivo di renderlo sicuro come OpenBSD. Abbiamo già scoperto (e riparato) alcuni problemi, ma altro aiuto è benvenuto. La lista non è moderata e rappresenta anche una buona fonte di discussioni generiche sulla sicurezza. L'indirizzo della lista è [email protected] Per iscriversi, mandate una e-mail a: [email protected]"
Se non chiudete fuori l'aggressore, probabilmente tornerà. Non solo sulla vostra macchina, ma forse da qualche parte nella vostra rete. Se avesse eseguito uno sniffer, ci sono buone probabilità che abbia accesso ad altre macchine locali.
La prima cosa è stimare il danno. Cosa è stato compromesso?
Se stavate eseguendo un test di integrità come Tripwire
,
potete usarlo per eseguire un controllo; dovrebbe aiutare a capire cosa è
stato compromesso. Altrimenti dovrete controllare tutti i dati importanti.
Visto che i sistemi Linux diventano sempre più semplici da istallare potreste considerare di salvare i file di configurazione, vuotare i dischi, reinstallare e quindi ripristinare i file degli utenti e di configurazione dai backup. Questo vi assicura un sistema nuovo e pulito. Se doveste ripristinare dei file dal sistema compromesso siate molto cauti con ogni binario che ripristinate, perché potrebbe essere un cavallo di Troia messo lì dall'intrusore.
La reinstallazione dovrebbe essere considerata obbligatoria se un intrusore ottenesse l'accesso di root. Inoltre, potreste voler tenere le prove lasciate, quindi avere un disco vuoto a disposizione può essere sensato.
Ora dovete preoccuparvi del tempo passato dalla compromissione e se i backup possono contenere lavoro danneggiato. Segue un approfondimento sui backup.
Avere backup regolari è una manna per i problemi di sicurezza. Se il sistema venisse compromesso, potreste ripristinare i dati dai backup. Ovvio che alcuni dati hanno valore anche per l'aggressore e non solo li distruggerà ma li ruberà e si farà le sue copie; ma per lo meno li avrete anche voi.
Dovreste controllare backup anche molto vecchi, prima di ripristinare un file che è stato manomesso. L'intrusore potrebbe aver compromesso i file molto tempo fa e potreste aver fatto molti backup del file già compromesso!
Ovviamente, c'è una serie di problemi di sicurezza con i backup. Assicuratevi di tenerli in un posto sicuro. Sappiate chi vi ha accesso. (Se l'aggressore ottiene i vostri backup, ha accesso a tutti i vostri dati senza che neanche lo sappiate.)
Bene, avete chiuso fuori l'intrusore e ripristinato il sistema, ma non avete ancora finito. Anche se è improbabile che l'intrusore venga preso, dovreste notificare l'attacco.
Dovreste notificarlo all'amministratore del sito da cui proveniva l'attacco.
Potete trovare questo contatto con whois
o sul database dell'Internic.
Potreste mandare una e-mail con tutte le voci, le date e le ore dei log
inerenti. Se aveste notato qualcosa di particolare nell'intrusore dovreste
menzionarlo. Dopo aver mandato l'e-mail dovreste, se volete, far seguire una
telefonata. Se l'amministratore a sua volta vedesse l'aggressore potrebbe
parlare con l'amministratore del sito da cui proviene e via così.
I bravi cracker usano spesso diversi sistemi intermedi, alcuni (o molti) dei quali non sanno neanche di essere stati compromessi. Provare a inseguire un cracker fino al suo sistema base sarà difficile. Essere gentili con gli amministratori con cui parlate aiuta molto ad avere la loro collaborazione.
Dovreste anche dare notizia anche ad ogni organizzazione di sicurezza di cui fate parte (il CERT o simili), oltre al distributore del vostro sistema Linux.