[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ J ] [ suivant ]

Manuel de sécurisation de Debian
Chapitre 10 - Après la compromission (la réponse à l'incident)


10.1 Comportement général

Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions d'affaires, votre première réaction devrait être de débrancher simplement la machine du réseau en débranchant la carte réseau. La désactivation du réseau à la couche 1 est le seul vrai moyen de garder un attaquant hors d'une machine compromise. (Conseil sage de Phillip Hofmeister)

Cependant, certains rootkits et back doors sont capables de détecter cet événement et d'y réagir. Voir un rm -rf / s'exécuter quand vous débranchez le réseau dy système n'est pas vraiment très drole. Si vous ne désirez pas prendre le risque et que vous êtes sûr que le système est compromis, vous devriez débrancher le cable d'alimentation (tous les cables d'alimentation s'il y en a plusieurs) et croiser les doigts. Ceci peut être extrême, mais en fait cela évitera toute bombe logique que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis ne doit pas être redémarré. Soit le disque dur devrait être déplacé sur un autre système pour analyse, soir vous devriez utiliser un autre support (un CD-ROM) pour amorcer le système et pour l'analyser. Vous ne devez pas utiliser les disquettes de récupération de Debian pour amorcer le système, mais vous pouvez utiliser le shell fourni par les disquettes d'installation (rappelez-vous qu'Alt+F2 vous y amènera) pour analyser le système. [33]

La méthode la plus recommandée pour récupérer un système compromis est d'utiliser un système de fichier autonome sur un CD-ROM avec tous les outils (et les modules noyau) dont vous pouvez avoir besoin pour accéder au système compromis. Vous pouvez utiliser le paquet mkinitrd-cd pour construire un tel CDROM[34]. Vous pourriez également trouver que le CD-ROM FIRE (anciennement appelé Biatchux) est utile ici, car il s'agit aussi d'un CD-ROM autonome avec des outils d'analyse post-mortem utiles dans ces situations. Il n'y a pas (encore) d'outil basé sur Debian comme celui-ci, ni de moyen simple de construire un CD-ROM en utilisant votre propre sélection de paquets Debian et mkinitrd-cd (vous devrez donc lire la documentation fournie avec celui-ci pour faire vos propres CD-ROM).

Si vous voulez réellement corriger la compromission rapidement, vous devriez retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment l'intrus est devenu root. Dans ce cas vous devez tout vérifier : pare-feu, intégrité fichier, journaux de l'hôte de journalisation, etc. Pour plus d'informations sur quoi faire après une intrusion, voir Sans' Incident Handling Guide ou CERT's Steps for Recovering from a UNIX or NT System Compromise.

Certaines questions générales sur comment gérer un système Debian GNU/Linux compromis sont également disponibles dans Mon système est vulnérable ! (En êtes-vous certain ?), Section 11.2.


10.2 Sauvegarde du système

Rappelez-vous que si vous êtes sûr que le système a été compromis, vous ne pouvez faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient contenir un trojan, des modules noyau pourraient être installés, etc.

La meilleure chose à faire est une sauvegarde complète du système de fichiers (en utilisant dd) après avoir démarré d'un média sûr. Les CDs Debian GNU/Linux peuvent utiles pour cela car il fournissent un shell en console 2 quand l'installation est commencée (allez-y en utilisant Alt+2 et en appuyant sur la touche Entrée). Le shell peut être utilisé pour sauvegarder les informations vers un autre endroit si possible (peut-être un serveur de fichier réseau à travers NFS/FTP...) pour analyse pendant que le système affecté est hors-ligne (ou réinstallé).

Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez essayer d'exécuter l'image noyau du CD en mode rescue. Assurez-vous aussi de démarrer en mode single de façon à ce qu'aucun autre processus trojan ne s'exécute après le noyau.


10.3 Contacter votre CERT local

Le CERT (Computer and Emergency Response Team) est une organisation qui peut vous aider à récupérer d'une compromission d'un système. Il y a des CERT partout dans le monde [35] et vous devriez contacter votre CERT local en cas d'incident de sécurité qui a conduit à une compromission système. Les personnes du CERT local peuvent vous aider à le récupérer.

Fournir à votre CERT (ou au centre de coordination CERT) des informations sur la compromission même si vous ne demandez pas d'aide peut également aider d'autres personnes car les informations aggrégées des incidents reportés sont utilisées pour déterminer si une faille donnée est répandue, s'il y a un nouveau ver dans la nature, quels nouveaux outils d'attaque sont utilisés. Cette information est utilisé pour fournir à la communeauté Internet des information sur les activités actuelles des incidents de sécurité et pour publier des notes d'incident et même des alertes. Pour des informations plus détaillées sur la façon (et les raisons) de rendre compte d'un incident, veuillez lire les règles de compte-rendu d'incident du CERT.

Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin d'aide pour récupérer d'un compromis ou si vous voulez discuter d'informations d'incident. Cela inclut la liste de diffusion des incidents et la liste de diffusion des intrusions.


10.4 Analyse post-mortem

Si vous souhaitez rassembler plus d'informations, le paquetage tct (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires qui effectuent une analyse « post mortem » d'un système. tct permet à l'utilisateur de collecter des informations sur les fichiers effacés, les processus qui s'exécutent et plus. Voir la documentation incluse pour plus d'informations.

D'autres outils pouvant être utilisés pour analyse post-mortem sont inclus dans la distribution Debian :

L'un de ces paquets peut être utilisé pour analyser des binaires dangereux (comme des portes dérobées) afin de déterminer comment ils fonctionnent et ce qu'ils font au système. Plusieurs outils standard incluent ldd (dans libc6), strings et objdump (tous deux dans binutils).

Si vous essayez de faire une analyse post-mortem avec des portes dérobées ou des binaires suspects récupérés de systèmes compromis, vous devriez le faire dans un environnement sécurisé (par exemple dans une image bochs ou plex86 ou un environnement chrooté en utilisant un utilisateur avec des privilèges bas). Sinon votre propre système peut être victime de la porte dérobée et également contaminé !

L'analyse post mortem devrait toujours être faite sur une copie de sauvegarde des données, jamais sur les données elles-même car elles pourraient être altérées par cette analyse (et toutes les preuves perdues).

FIXME. Ce paragraphe fournira, je l'espère plus d'informations sur la "médecine légale" sur un système Debian dans un futur proche.

FIXME: décrire comment faire des debsums sur un système stable avec md5sums sur un CD et avec le système de fichiers récupérés restorés sur une partition séparée

FIXME ajouter des liens vers des papiers d'analyse post-mortem (comme le challnge inversé de Honeynet ou les papiers de David Dittirch.


[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ J ] [ suivant ]

Manuel de sécurisation de Debian

2.95 5 marzo 2004Vendredi 4 juillet 2003 23:13:42 +0100

Javier Fernández-Sanguino Peña jfs@computer.org