Vorgehensweise bei Sicherheitszwischenfällen
Einleitung
Selbst wenn Sie sich bemühen, alle Systeme immer möglichst sicher zu halten, kann es passieren, dass Ihr System kompromittiert wird.
Das ist kein Grund, in Panik zu verfallen oder zu versuchen, die Angelegenheit "unter den Tisch zu kehren". Wenn wir Sie nicht bereits wegen des Problems kontaktiert haben (was oft der Fall sein wird), kontaktieren Sie bitte den ZID. Wir werden versuchen, Ihnen bei der Problemlösung behilflich zu sein.
Erkennung
Ein kompromittiertes System erkennt man oft daran, dass es sich in irgendeiner Weise seltsam verhält. Die Festplatte arbeitet (Festplattenaktivität), obwohl Sie nichts auf die Festplatte schreiben. Oder der Rechner ist übermäßig langsam oder fährt sich automatisch herunter. In anderen Fällen ist plötzlich der Großteil der Festplatte belegt, ohne dass Sie größere Datenmengen gespeichert haben bzw. Dateien sind weg oder können nicht mehr geöffnet werden (Verschlüsselt?).
Sie sollten den Rechner auf jeden Fall mit einem aktuellen Virenprogramm überprüfen. Die meisten derartigen Probleme werden von klassischer Schadsoftware wie z.B. Viren verusacht, sie sollten vom Virenprogrammen in der Regel erkannt werden.
Findet auch das Virenprogramm kein Problem, sollten Sie den Rechner mit einem Programm zur Erkennung von Malware scannen.
Liefert die Analyse kein Ergebnis bzw. Sie brauchen Hilfe bei der Analyse, dann wenden Sie sich bitte an den ZID.
Wenn Sie einen Zwischenfall melden, sollten Sie möglichst folgende Angaben mitliefern:
- Wer meldet?
- Name, E-Mail-Adresse und ggf. Telefonnummer
- Wann hat sich der Vorfall ereignet?
- Datum und Uhrzeit des Vorfalls. Ggf. auch Zeitraum.
- Art des Vorfalls
- Hacking, Fehlkonfiguration, Sicherheitsloch, etc.
- Welches System ist betroffen?
- Name oder IP-Adresse des Systems. Eventuell auch noch Standort, Betriebssystemversion, etc.
- Kurze Beschreibung des Vorfalls
In den meisten Fällen werden wir Sie beziehungsweise den EDV-Beauftragten Ihres Institutes bei akuten Problemen selbst kontaktieren, da viele akute Zwischenfälle bereits im Rahmen unseres Netzwerksicherheitsmonitoring erkannt werden.
Erstmaßnahmen des ZID
Die erste Maßnahme am ZID ist meist, dass die vorhandenen Logdateien der Netzwerksicherheitsmonitoring Systeme gesichtet werden, um einen groben Überblick über die Art des Zwischenfalls zu erhalten.
Ist das Problem oder dessen Umfang nicht bereits daraus ersichtlich, überprüfen wir das System aktiv mit Sicherheitsscannern und führen gegebenenfalls auch manuelle Analysen des Systems durch.
Die nächsten Maßnahmen seitens des ZID hängen stark von der Art des Zwischenfalles ab. Wenn von dem System aus aktiv andere Rechner attackiert werden, werden wir schärfer und schneller reagieren als wenn ein Rechner "nur" versucht, Virenmails zu verschicken (die durch bereits bestehende Sicherheitsmaßnahmen abgeblockt werden). In den meisten Fällen werden wir den Rechner an einer Stelle im Datennetz sperren - entweder nur für den Verkehr mit Rechnern außerhalb der Universität Innsbruck, für den Verkehr außerhalb des eigenen Subnetzes oder für den gesamten Verkehr.
Im nächsten Schritt informieren wir den EDV-Beauftragten. Hier beschreiben wir, welches Problem vorliegt, was wir dazu herausgefunden haben und was wir unternommen haben. Außerdem geben wir hier oft bereits Empfehlungen ab, wie das Problem behoben werden kann. Dazu zwei Beispiele:
- Der Rechner ist mit er Schadsoftware infiziert
- In diesem Fall werden wir Ihnen meist sagen können, welche Schadsoftware es ist (oder zumindest eine Gruppe von Schadsoftware nennen können).
- Wenn möglich beschreiben wir, wieso der Rechner infiziert wurde. Zum Beispiel, weil Sicherheitsupdates gefehlt haben oder Benutzer schwache Passwörter gewählt haben.
- Der Rechner wird - je nach Art des Netzwerkanschlusses - entweder für den gesamten Verkehr oder für den Verkehr mit Rechnern außerhalb des Subnetzes gesperrt (das Ergebnis ist für den betroffenen Benutzer mehr oder weniger dasselbe).
- Beseitigen Sie das Problem mit einem aktuellen Antivirenprogramm bzw. Malwarescanner. Können Sie die Schadsoftware nicht erkennen bzw. entfernen, dann wenden Sie sich an den ZID.
- Der Rechner wurde kompromitiert
- Zuerst beschreiben wir, welches Problem festgestellt wurde - zum Beispiel, dass der Rechner für den Austausch illegaler Daten verwendet wurde.
- Es folgt eine Beschreibung, welche Probleme wir bei der Überprüfung festgestellt haben. Zum Beispiel, auf welchem Port ein FTP Server läuft oder wo wir verdächtige Programme festgestellt haben, die beispielsweise zur Fernsteuerung verwendet werden. Meist listen wir auch sämtliche anderen Ports auf, die uns nicht bekannt sind und auf denen Schadprogramme laufen könnten. Sollten auf dem Rechner auch "unnötige" Dienste wie DNS Server oder Ähnliches laufen, werden wir dies ebenfalls angeben.
- Es folgt die Angabe, wie der Rechner von uns gesperrt wurde.
- Schließlich schlagen wir vor, wie die Integrität des Rechners wiederhergestellt werden kann. Wurde der Rechner von einem Angreifer kompromitiert, wird in den meisten Fällen unsere Empfehlung lauten, den Rechner neu aufzusetzen. Sehen Sie dazu die Erläuterungen weiter unten.
Beweissicherung
In vielen Fällen ist nicht wirklich interessant, was bei einem Sicherheitszwischenfall genau auf Ihrem System passiert ist. Vor allem bei Viren und Würmern ist die Schadfunktion hinreichend bekannt, diese können in der Regel einfach entfernt werden.
Wird Ihr System jedoch von einem Angreifer aktiv kompromitiert, so ist unklar, welche Aktionen dieser gesetzt hat. Wenn er einen FTP Server installiert hat oder am System Programme gestartet hat, die andere Computer scannen, so kann er auch fast beliebige Aktionen ausgeführt haben. So kann er auch die Passwörter lokaler Benutzer ausspioniert oder andere Systeme vom betroffenen Computer aus attackiert haben.
Bei jedem Angriff ist abzuwägen, in welchem Umfang eine Beweissicherung erfolgen soll. Soll der Rechner möglichst schnell wieder in Betrieb genommen werden, kann unter Umständen der Rechner einfach neu aufgesetzt werden, wodurch aber auch alle genaueren Analysen verhindert werden. Sie sollten das auf jeden Fall mit uns koordinieren.
Soll das bestehende System wieder in Betrieb genommen werden, so ist eine genauere Analyse notwendig, um auszuschließen, dass Hintertüren oder Verwundbarkeiten erhalten bleiben, die eine neuerliche Kompromitierung des Systems ermöglichen. Damit beschäftigt sich der nächste Abschnitt.
Wiederherstellen der Systemintegrität
Bei Viren, Würmern und Malware ist die Wiederherstellung der Integrität meist recht einfach: Überprüfen Sie das System mit einem aktuellen Virenscanner mit einer aktuellen Virendatenbank.
Wenn Sie der Meinung sind das Problem gelöst zu haben, dann melden Sie sich bitte bei uns zur Freischaltung des Rechners.
Schwieriger ist es, wenn der Rechner von einem Angreifer aktiv kompromitiert wurde. In diesem Fall sind weitergehende Maßnahmen notwendig.
Bei Serversystemen und Geräten mit Spezialaufgaben besteht seitens der Systembetreuer oft der Wunsch, das System wieder möglichst unverändert in Betrieb zu nehmen. Sie gehen davon aus, dass die Beseitigung des Problems weniger Zeit beansprucht als das das Neuaufsetzen des Systems.
Leider ist dies meist nicht so. Die Analyse, was genau am System passiert ist, kostet oft sehr viel mehr Zeit als eine Neuinstallation. Es ist zu beachten, dass nicht nur das Symptom beseitigt werden muss. Ein vom Angreifer installierter FTP Server ist schnell gefunden und beseitigt. Damit ist aber noch nicht klar, wie der Angreifer überhaupt eindringen konnte. Der Angreifer kann außerdem Hintertüren installiert oder die Passwörter der Benutzer ausspioniert haben. Solange diese Punkte nicht geklärt sind, ist nicht auszuschließen, dass der Rechner vom Angreifer jederzeit wieder missbraucht werden kann.
Was wir damit sagen wollen: Eine gründliche Problembeseitigung erfordert viel Zeit und Expertise (und selbst dann können Sie noch nicht ganz sicher sein, dass wirklich alle Probleme beseitigt wurden). Geben Sie sich nicht der Illusion hin, dass Sie das Problem "so nebenbei" beheben können.