[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Se você estiver fisicamente presente quando o ataque ocorrer, sua primeira obrigação é tirar a máquina da rede desconectando o cabo de rede da placa (se isso não for influenciar nas transações dos negócios). Desativando a rede na camada 1 é a única forma de manter o invasor longe da máquina comprometida (conselho sábio de Philip Hofmesiter).
Entretanto, alguns rootkits ou back doors são capazes de detectar este tipo de evento e reagir a ele. Ver um rm -rf / sendo executado quando você desativa a rede não é muito engraçado. Se você se nega a correr o risco e tem certeza que o sistema foi comprometido, você deve desconectar o cabo de energia (todos eles se existirem mais de um) e cruzar os dedos. Isso pode ser extremo mas, de fato, irá evitar qualquer bomba lógica que o invasor possa ter programado. Nesses casos, o sistema comprometido não deve ser reiniciado. Os discos rígidos também devem ser colocados em outro sistema para serem analisados, ou deve ser usado outro tipo de mídia (um CD-ROM) para inicializar o sistema e analisá-lo. Você não deve usar os discos de recuperação do Debian para inicializar o sistema, mas você pode utilizar o shell fornecido pelos discos de instalação (use Alt+F2 para acessá-lo) para analisar o sistema. [45]
O método mais recomendado para restaurar um sistema comprometido é utilizar um
CDROM com todas as ferramentas (e módulos do kernel) necessárias para acessar o
sistema. Você pode utilizar o pacote mkinitrd-cd
para compilar
tal CDROM[46]. Você também
pode achar o CDROM FIRE
útil, já que é um live CDROM com ferramentas para análise forense ideal neste
tipo de situação. Não existe (ainda) uma ferramenta baseada no Debian como
esta, nem uma maneira fácil de compilar o CDROM com pacotes específicos e com
mkinitrd-cd
(então você terá que ler a documentação fornecida com
o programa para fazer seus próprios CDROMs).
Se você realmente quer consertar um sistema comprometido rapidamente, você deve
tirar o sistema da sua rede e reinstalar todo o sistema operacional do zero.
Claro, isto pode não ser efetivo porque você não saberá como o invasor
comprometeu o sistema. Neste caso, você deve verificar tudo: firewall,
integridade de arquivos, host de log, arquivos de log entre outros. Para mais
informações do que fazer siga um guia, veja Sans' Incident Handling
Guide
ou CERT's Steps for
Recovering from a UNIX or NT System Compromise
.
Algumas perguntas freqüentes de como lidar com um sistema Debian GNU/Linux estão disponíveis em Meu sistema é vulnerável! (Você tem certeza?), Seção 11.2.
Lembre-se que se você tem certeza de que o sistema foi comprometido você não pode confiar no software instalado ou em qualquer informação retornada por ele. Aplicações podem ser alteradas, módulos do kernel podem ser instalados e etc.
A melhor coisa a se fazer é uma cópia de backup completa do sistema de arquivo
(usando o dd
) depois de inicializar o sistema de uma mídia segura.
Os CDROMs do Debian GNU/Linux podem ser utilizados para isto, já que eles
fornecem um shell no console 2 quando a instalação é iniciada (acesse através
do Alt+2 e pressione Enter). Do shell, efetue o backup das informações para
outro host se possível (talvez um servidor de arquivos de rede através de
NFS/FTP). Então qualquer análise da invasão ou reinstalação pode ser feita
enquanto o sistema comprometido está off-line.
Se você tiver certeza de que um módulo do kernel com trojan comprometeu o sistema, você pode usar a imagem do kernel do CDROM do Debian no modo rescue. Inicie o GNU/Linux no modo single user para que nenhum outro processo com trojan seja executado depois do kernel.
O CERT (Computer and Emergency Response Team) é uma organização que pode te ajudar a recuperar o sistema comprometido. Existem CERTs espalhados por todo o mundo [47] e você deve contatar seu CERT local caso ocorra algum incidente de segurança que comprometa seu sistema. As pessoas do CERT local são orientadas à ajudá-los.
Fornecer informações sobre os incidentes de segurança para o CERT local (ou o
centro de coordenação do CERT), mesmo que você não precise de assistência, pode
ajudar os outros a determinar se uma vulnerabilidade está disseminada na
Internet e indicar que novas ferramentas de combate ao worm estão sendo
utilizadas. Estas informações são usadas para fornecer à comunidade da
Internet alertas sobre as atividades atuais dos incidentes de
segurança
, e para publicar notas sobre incidentes
e
até mesmo alertas de
segurança
. Para informações mais detalhadas de como (e porquê)
relatar um incidente leia o CERT's Incident
Reporting Guidelines
.
Você pode usar mecanismos menos formais se precisar de ajuda na recuperação de
um sistema comprometido ou quiser discutir informações do incidente. Estes
mecanismos incluem a lista de discussão sobre
incidentes
e a lista de discussão sobre
intrusos
.
Se você deseja recolher mais informações do ataque, o pacote tct
(O Coroner's Toolkit de Dan Farmer e Wietse Venema) contém utilitários que
realizam uma análise 'póstuma' do sistema. O tct
permite que o
usuário colete informações sobre arquivos excluídos, processos em execução e
muito mais. Veja a documentação para mais informações. Você também pode
conferir os pacotes similares Sleuthkit and Autopsy
desenvolvidos
por Brian Carrier.
Algumas outras ferramentas que podem ser usadas para análise forense também são fornecidas pela distribuição Debian:
Fenris
.
Strace
.
Ltrace
.
Qualquer um desses pacotes podem ser usados para analisar binários anômalos
(como os backdoors) para determinar como eles funcionam e o que eles fazem no
sistema. Outras ferramentas comuns são o ldd
(no pacote
libc6
), strings
e objdump
(ambos no
pacote binutils
).
Se você tentar fazer uma análise forense de um sistema comprometido com
backdoors ou binários suspeitos, você deve fazê-la em um ambiente seguro (por
exemplo em uma imagem bochs
ou flex86
, ou em um
ambiente chroot
utilizando um usuário com poucos privilégios).
Caso contrário seu próprio sistema pode ser comprometido também!
Também, lembre-se que a análise forense deve ser feita sempre na cópia de backup dos dados, nunca nos dados originais, em caso dos dados serem alterados durante a análise e as evidências serem perdidas.
FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.
FIXME: talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition.
FIXME add pointers to forensic analysis papers (like the Honeynet's reverse
challenge or David
Dittirch's papers
.
[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Securing Debian Manual
v3.1,mailto:jfs@debian.org