[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]


Securing Debian Manual
Capítulo 10 - Depois do comprometimento do sistema (resposta a incidentes)


10.1 Comportamento comum

Se você estiver fisicamente presente quando o ataque ocorrer, sua primeira obrigação é tirar a máquina da rede desconectando o cabo de rede da placa (se isso não for influenciar nas transações dos negócios). Desativando a rede na camada 1 é a única forma de manter o invasor longe da máquina comprometida (conselho sábio de Philip Hofmesiter).

Entretanto, alguns rootkits ou back doors são capazes de detectar este tipo de evento e reagir a ele. Ver um rm -rf / sendo executado quando você desativa a rede não é muito engraçado. Se você se nega a correr o risco e tem certeza que o sistema foi comprometido, você deve desconectar o cabo de energia (todos eles se existirem mais de um) e cruzar os dedos. Isso pode ser extremo mas, de fato, irá evitar qualquer bomba lógica que o invasor possa ter programado. Nesses casos, o sistema comprometido não deve ser reiniciado. Os discos rígidos também devem ser colocados em outro sistema para serem analisados, ou deve ser usado outro tipo de mídia (um CD-ROM) para inicializar o sistema e analisá-lo. Você não deve usar os discos de recuperação do Debian para inicializar o sistema, mas você pode utilizar o shell fornecido pelos discos de instalação (use Alt+F2 para acessá-lo) para analisar o sistema. [45]

O método mais recomendado para restaurar um sistema comprometido é utilizar um CDROM com todas as ferramentas (e módulos do kernel) necessárias para acessar o sistema. Você pode utilizar o pacote mkinitrd-cd para compilar tal CDROM[46]. Você também pode achar o CDROM FIRE útil, já que é um live CDROM com ferramentas para análise forense ideal neste tipo de situação. Não existe (ainda) uma ferramenta baseada no Debian como esta, nem uma maneira fácil de compilar o CDROM com pacotes específicos e com mkinitrd-cd (então você terá que ler a documentação fornecida com o programa para fazer seus próprios CDROMs).

Se você realmente quer consertar um sistema comprometido rapidamente, você deve tirar o sistema da sua rede e reinstalar todo o sistema operacional do zero. Claro, isto pode não ser efetivo porque você não saberá como o invasor comprometeu o sistema. Neste caso, você deve verificar tudo: firewall, integridade de arquivos, host de log, arquivos de log entre outros. Para mais informações do que fazer siga um guia, veja Sans' Incident Handling Guide ou CERT's Steps for Recovering from a UNIX or NT System Compromise.

Algumas perguntas freqüentes de como lidar com um sistema Debian GNU/Linux estão disponíveis em Meu sistema é vulnerável! (Você tem certeza?), Seção 11.2.


10.2 Efetuando backup do sistema

Lembre-se que se você tem certeza de que o sistema foi comprometido você não pode confiar no software instalado ou em qualquer informação retornada por ele. Aplicações podem ser alteradas, módulos do kernel podem ser instalados e etc.

A melhor coisa a se fazer é uma cópia de backup completa do sistema de arquivo (usando o dd) depois de inicializar o sistema de uma mídia segura. Os CDROMs do Debian GNU/Linux podem ser utilizados para isto, já que eles fornecem um shell no console 2 quando a instalação é iniciada (acesse através do Alt+2 e pressione Enter). Do shell, efetue o backup das informações para outro host se possível (talvez um servidor de arquivos de rede através de NFS/FTP). Então qualquer análise da invasão ou reinstalação pode ser feita enquanto o sistema comprometido está off-line.

Se você tiver certeza de que um módulo do kernel com trojan comprometeu o sistema, você pode usar a imagem do kernel do CDROM do Debian no modo rescue. Inicie o GNU/Linux no modo single user para que nenhum outro processo com trojan seja executado depois do kernel.


10.3 Contate seu CERT local

O CERT (Computer and Emergency Response Team) é uma organização que pode te ajudar a recuperar o sistema comprometido. Existem CERTs espalhados por todo o mundo [47] e você deve contatar seu CERT local caso ocorra algum incidente de segurança que comprometa seu sistema. As pessoas do CERT local são orientadas à ajudá-los.

Fornecer informações sobre os incidentes de segurança para o CERT local (ou o centro de coordenação do CERT), mesmo que você não precise de assistência, pode ajudar os outros a determinar se uma vulnerabilidade está disseminada na Internet e indicar que novas ferramentas de combate ao worm estão sendo utilizadas. Estas informações são usadas para fornecer à comunidade da Internet alertas sobre as atividades atuais dos incidentes de segurança, e para publicar notas sobre incidentes e até mesmo alertas de segurança. Para informações mais detalhadas de como (e porquê) relatar um incidente leia o CERT's Incident Reporting Guidelines.

Você pode usar mecanismos menos formais se precisar de ajuda na recuperação de um sistema comprometido ou quiser discutir informações do incidente. Estes mecanismos incluem a lista de discussão sobre incidentes e a lista de discussão sobre intrusos.


10.4 Análise forense

Se você deseja recolher mais informações do ataque, o pacote tct (O Coroner's Toolkit de Dan Farmer e Wietse Venema) contém utilitários que realizam uma análise 'póstuma' do sistema. O tct permite que o usuário colete informações sobre arquivos excluídos, processos em execução e muito mais. Veja a documentação para mais informações. Você também pode conferir os pacotes similares Sleuthkit and Autopsy desenvolvidos por Brian Carrier.

Algumas outras ferramentas que podem ser usadas para análise forense também são fornecidas pela distribuição Debian:

Qualquer um desses pacotes podem ser usados para analisar binários anômalos (como os backdoors) para determinar como eles funcionam e o que eles fazem no sistema. Outras ferramentas comuns são o ldd (no pacote libc6), strings e objdump (ambos no pacote binutils).

Se você tentar fazer uma análise forense de um sistema comprometido com backdoors ou binários suspeitos, você deve fazê-la em um ambiente seguro (por exemplo em uma imagem bochs ou flex86, ou em um ambiente chroot utilizando um usuário com poucos privilégios). Caso contrário seu próprio sistema pode ser comprometido também!

Também, lembre-se que a análise forense deve ser feita sempre na cópia de backup dos dados, nunca nos dados originais, em caso dos dados serem alterados durante a análise e as evidências serem perdidas.

FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.

FIXME: talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition.

FIXME add pointers to forensic analysis papers (like the Honeynet's reverse challenge or David Dittirch's papers.


[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]


Securing Debian Manual

v3.1, Mon, 10 Feb 2014 17:06:00 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Autores, Seção 1.1