Een aanval heeft reeds plaatsgevonden Dus je hebt ofwel een aanval opgemerkt die reeds heeft plaatsgevonden
of je hebt het opgemerkt en (hopelijk) de overtredende aanvaller buiten je
systeem gesloten. Wat nu?
Het gat dichten Als het gelukt is om vast te stellen op welke manier de aanvaller je
systeem is binnengedrongen, moet je proberen dat gat te dichten. Misschien zie
je bijvoorbeeld diverse FTP entries net voordat de gebruiker inlogte. Schakel
de FTP service uit en kijk of er een bijgewerkte versie van is of dat een van
de mailing lists iets weet over een fix. Controleer al je logbestanden en breng een bezoek aan je beveiligings
lists en pagina's om te kijken of er een fix is voor nieuwe algemene
misbruiken. Je kunt beveiligingsfixes voor Caldera vinden op . Red Hat heeft zijn
beveiligingsfixes nog niet gescheiden van zijn bug fixes, maar hun
distributie errata is beschikbaar op . Debian heeft nu een mailing list over beveiliging en een webpagina. Zie:
voor meer informatie. Het is erg waarschijnlijk dat als de ene distributeur een
beveiligingsupdate heeft uitgegeven, de meeste andere Linux distributeurs dit
ook zullen doen. Er is nu een project dat de beveiliging onder Linux doorlicht. Ze gaan
systematisch door alle user-space voorzieningen en kijken naar mogelijke
beveiligingslekken en overflows. Uit hun aankondiging:""We proberen de Linux bronnen systematisch door te lichten
teneinde net zo veilig te zijn als OpenBSD. We hebben reeds enkele problemen
ontdekt (en opgelost), maar meer hulp is welkom. De lijst staat open voor
iedereen en is tevens een bruikbaar hulpmiddel voor algemene
discussies over beveiliging. Het adres van de lijst is:
security-audit@ferret.lmh.ox.ac.uk. Stuur, om je in te schrijven, een e-mail
naar: security-audit-subscribe@ferret.lmh.ox.ac.uk" " Als je de aanvaller niet buitensluit, komt hij waarschijnlijk terug.
Niet alleen terug op je machine, maar terug ergens op je netwerk. Als hij een
packet sniffer draaide, is de kans groot dat hij toegang heeft tot andere
lokale machines.
De schade opnemen Het eerste dat je moet doen is de schade opnemen. Waar is mee geknoeid?
Als je een integrity checker zoals Tripwire draait, kun je die
gebruiken om een integriteitscontrole uit te voeren; het helpt je met het
bepalen waarmee is geknoeid. Zo niet, dan zul je al je belangrijke gegevens
moeten nakijken. Omdat Linux systemen steeds eenvoudiger te installeren zijn, kun je
overwegen om je configuratiebestanden op te slaan, je disk(s) schoon te vegen,
opnieuw te installeren en je gebruikersbestanden en configuratiebestanden vanaf
backups terug te zetten. Zo ben je ervan verzekerd dat je een nieuw, schoon
systeem hebt. Als je bestanden moet terugplaatsen vanaf een gecompromitteerd
systeem, wees dan vooral voorzichtig met enige binary's die je terug plaatst,
omdat het Trojan horses kunnen zijn die daar neergezet zijn door de
indringer. Als een indringer root toegang heeft verkregen, moet je opnieuw
installeren. Bovendien wil je alle bewijs dat er is graag bewaren, dus het
hebben van een reserve disk in de kluis is zinvol. Vervolgens moet je je druk maken over hoe lang geleden het gebeurd is en
of de backups beschadigd werk bevatten. Meer over backups volgt later.
Backups, backups, backups! Het hebben van regelmatig gemaakte backups is een uitkomst voor
beveiligingsaangelegenheden. Als je systeem gecompromitteerd is, kun je de
gegevens die je nodig hebt herstellen vanaf de backups. Natuurlijk zijn
sommige gegevens ook voor de aanvaller waardevol. Ze zullen ze niet alleen
vernietigen, ze zullen ze stelen en er kopiën voor henzelf van maken;
maar je hebt in ieder geval de gegevens nog. Je moet diverse eerdere backups controleren voordat je een bestand
herstelt waarmee geknoeid is. De indringer kan je bestanden al lang geleden
hebben gecompromitteerd en je kunt veel succesvolle backups gemaakt hebben van
het gecompromitteerde bestand. Natuurlijk kleven er ook een aantal beveiligingsbezwaren aan backups.
Zorg ervoor dat je ze op een veilige plaats bewaart. Weet wie er toegang toe
heeft. (Als een indringer je backups te pakken kan krijgen, heeft hij toegang
tot al je gegevens zonder dat je het ooit te weten komt.)
De indringer traceren Ok, je hebt de indringer buitengesloten en je systeem hersteld, maar je
bent nog niet helemaal klaar. Hoewel het onwaarschijnlijk is dat de meeste
indringers ooit worden opgepakt, moet je aangifte doen van de aanval. Je moet de aanval rapporteren aan de beheerder van de site vanwaar de
aanvaller je systeem heeft aangevallen. Je kunt deze beheerder opzoeken
met whois of de Internic database. Je zou hem een e-mail kunnen
sturen met alle van toepassing zijnde log entries, datums en tijden. Als je
iets anders opmerkerkelijks over je indringer is opgevallen, moet je dat ook
melden. Na de e-mail verstuurd te hebben, zou je dit (mocht je daartoe geneigd
zijn) moeten laten volgen door een telefoontje. Als die beheerder op zijn beurt
je aanvaller in de gaten krijgt, kan contact worden opgenomen met de
beheerder van de site waar de aanvaller vandaan komt enzovoort. Goede crackers gebruiken vaak veel bemiddelende systemen. Sommige (of
veel) daarvan weten wellicht niet eens dat ze zijn gecompromitteerd. Proberen
om het spoor van een cracker terug te volgen naar zijn eigen systeem kan
moeilijk zijn. Wees beleefd tegen de beheerders waar je mee praat, ze
kunnen je een heel eind op weg helpen. Je moet ook de beveiligingsorganisaties waar je deel van uitmaakt
op de hoogte stellen ( of
soortgelijk), evenals de verkoper van je Linux systeem.