Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions d'affaires, votre première réaction devrait être de débrancher simplement la machine du réseau en débranchant la carte réseau. La désactivation du réseau à la couche 1 est le seul vrai moyen de garder un attaquant hors d'une machine compromise. (Conseil sage de Phillip Hofmeister)
Cependant, certains rootkits et back doors sont capables de détecter cet événement et d'y réagir. Voir un rm -rf / s'exécuter quand vous débranchez le réseau dy système n'est pas vraiment très drole. Si vous ne désirez pas prendre le risque et que vous êtes sûr que le système est compromis, vous devriez débrancher le cable d'alimentation (tous les cables d'alimentation s'il y en a plusieurs) et croiser les doigts. Ceci peut être extrême, mais en fait cela évitera toute bombe logique que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis ne doit pas être redémarré. Soit le disque dur devrait être déplacé sur un autre système pour analyse, soir vous devriez utiliser un autre support (un CD-ROM) pour amorcer le système et pour l'analyser. Vous ne devez pas utiliser les disquettes de récupération de Debian pour amorcer le système, mais vous pouvez utiliser le shell fourni par les disquettes d'installation (rappelez-vous qu'Alt+F2 vous y amènera) pour analyser le système. [33]
La méthode la plus recommandée pour récupérer un système compromis est
d'utiliser un système de fichier autonome sur un CD-ROM avec tous les outils
(et les modules noyau) dont vous pouvez avoir besoin pour accéder au système
compromis. Vous pouvez utiliser le paquet mkinitrd-cd
pour
construire un tel CDROM[34].
Vous pourriez également trouver que le CD-ROM FIRE
(anciennement appelé Biatchux)
est utile ici, car il s'agit aussi d'un CD-ROM autonome avec des outils
d'analyse post-mortem utiles dans ces situations. Il n'y a pas (encore)
d'outil basé sur Debian comme celui-ci, ni de moyen simple de construire un
CD-ROM en utilisant votre propre sélection de paquets Debian et
mkinitrd-cd
(vous devrez donc lire la documentation fournie avec
celui-ci pour faire vos propres CD-ROM).
Si vous voulez réellement corriger la compromission rapidement, vous devriez
retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à
partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment
l'intrus est devenu root. Dans ce cas vous devez tout vérifier :
pare-feu, intégrité fichier, journaux de l'hôte de journalisation, etc. Pour
plus d'informations sur quoi faire après une intrusion, voir Sans' Incident Handling
Guide
ou CERT's Steps for
Recovering from a UNIX or NT System Compromise
.
Certaines questions générales sur comment gérer un système Debian GNU/Linux compromis sont également disponibles dans Mon système est vulnérable ! (En êtes-vous certain ?), Section 11.2.
Rappelez-vous que si vous êtes sûr que le système a été compromis, vous ne pouvez faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient contenir un trojan, des modules noyau pourraient être installés, etc.
La meilleure chose à faire est une sauvegarde complète du système de fichiers
(en utilisant dd
) après avoir démarré d'un média sûr. Les CDs
Debian GNU/Linux peuvent utiles pour cela car il fournissent un shell en
console 2 quand l'installation est commencée (allez-y en utilisant Alt+2 et en
appuyant sur la touche Entrée). Le shell peut être utilisé pour sauvegarder
les informations vers un autre endroit si possible (peut-être un serveur de
fichier réseau à travers NFS/FTP...) pour analyse pendant que le système
affecté est hors-ligne (ou réinstallé).
Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez essayer d'exécuter l'image noyau du CD en mode rescue. Assurez-vous aussi de démarrer en mode single de façon à ce qu'aucun autre processus trojan ne s'exécute après le noyau.
Le CERT (Computer and Emergency Response Team) est une organisation qui peut vous aider à récupérer d'une compromission d'un système. Il y a des CERT partout dans le monde [35] et vous devriez contacter votre CERT local en cas d'incident de sécurité qui a conduit à une compromission système. Les personnes du CERT local peuvent vous aider à le récupérer.
Fournir à votre CERT (ou au centre de coordination CERT) des informations sur
la compromission même si vous ne demandez pas d'aide peut également aider
d'autres personnes car les informations aggrégées des incidents reportés sont
utilisées pour déterminer si une faille donnée est répandue, s'il y a un
nouveau ver dans la nature, quels nouveaux outils d'attaque sont utilisés.
Cette information est utilisé pour fournir à la communeauté Internet des
information sur les activités
actuelles des incidents de sécurité
et pour publier des notes d'incident
et même
des alertes
. Pour
des informations plus détaillées sur la façon (et les raisons) de rendre compte
d'un incident, veuillez lire les règles de
compte-rendu d'incident du CERT
.
Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin
d'aide pour récupérer d'un compromis ou si vous voulez discuter d'informations
d'incident. Cela inclut la liste de diffusion des
incidents
et la liste de diffusion des
intrusions
.
Si vous souhaitez rassembler plus d'informations, le paquetage tct
(The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires
qui effectuent une analyse « post mortem » d'un système.
tct
permet à l'utilisateur de collecter des informations sur les
fichiers effacés, les processus qui s'exécutent et plus. Voir la documentation
incluse pour plus d'informations.
D'autres outils pouvant être utilisés pour analyse post-mortem sont inclus dans la distribution Debian :
Fenris
,
Strace
,
Ltrace
.
L'un de ces paquets peut être utilisé pour analyser des binaires dangereux
(comme des portes dérobées) afin de déterminer comment ils fonctionnent et ce
qu'ils font au système. Plusieurs outils standard incluent ldd
(dans libc6
), strings
et objdump
(tous
deux dans binutils
).
Si vous essayez de faire une analyse post-mortem avec des portes dérobées ou
des binaires suspects récupérés de systèmes compromis, vous devriez le faire
dans un environnement sécurisé (par exemple dans une image bochs
ou plex86
ou un environnement chroot
é en utilisant un
utilisateur avec des privilèges bas). Sinon votre propre système peut être
victime de la porte dérobée et également contaminé !
L'analyse post mortem devrait toujours être faite sur une copie de sauvegarde des données, jamais sur les données elles-même car elles pourraient être altérées par cette analyse (et toutes les preuves perdues).
FIXME. Ce paragraphe fournira, je l'espère plus d'informations sur la "médecine légale" sur un système Debian dans un futur proche.
FIXME: décrire comment faire des debsums sur un système stable avec md5sums sur un CD et avec le système de fichiers récupérés restorés sur une partition séparée
FIXME ajouter des liens vers des papiers d'analyse post-mortem (comme le
challnge inversé de Honeynet ou les papiers de David
Dittirch
.
Manuel de sécurisation de Debian
2.95 31 mayo 2004Vendredi 4 juillet 2003 23:13:42 +0100jfs@computer.org