Wir alle wissen, dass es passiert. Ein bitterer alter IT-Typ hinterlässt eine Hintertür in das System und das Netzwerk, um Spaß mit den neuen Männern zu haben und dem Unternehmen zu zeigen, wie schlimm die Dinge ohne ihn sind.
Das habe ich persönlich noch nie erlebt. Das meiste, was ich erlebt habe, war jemand, der kurz vor seiner Abreise Sachen kaputt gemacht und gestohlen hat. Ich bin mir aber sicher, dass das passiert.
Wenn Sie also ein nicht ganz vertrauenswürdiges Netzwerk übernehmen, welche Schritte sollten Sie unternehmen, um sicherzustellen, dass alles sicher und geschützt ist?
Antworten:
Es ist wirklich sehr, sehr, sehr schwer. Es erfordert eine sehr vollständige Prüfung. Wenn Sie sehr sicher sind, dass die alte Person etwas zurückgelassen hat, das den Boom auslöst, oder wenn sie eine Neueinstellung benötigt, weil sie die einzige Person sind, die ein Feuer löschen kann, ist es Zeit anzunehmen, dass Sie von einem verwurzelt wurden feindliche Partei. Behandle es so, als ob eine Gruppe von Hackern hereinkäme und Sachen gestohlen hätte, und du musst nach ihrem Durcheinander aufräumen. Weil es so ist.
Gar nicht so einfach, auch nicht aus der Ferne. Die Kosten all dessen zu rechtfertigen, kann wirklich schwierig sein, ohne einen eindeutigen Beweis dafür, dass der jetzt Ex-Administrator tatsächlich böse war. Das Ganze ist nicht einmal mit Unternehmensvermögen machbar, was erfordert, dass Sicherheitsberater eingestellt werden, um einen Teil dieser Arbeit zu erledigen.
Wenn tatsächlich Böses entdeckt wird, insbesondere wenn es sich um eine Art Software handelt, sind geschulte Sicherheitsexperten am besten, um die Breite des Problems zu bestimmen. Dies ist auch der Zeitpunkt, an dem ein Strafverfahren eingeleitet werden kann, und Sie möchten wirklich, dass Personen, die im Umgang mit Beweismitteln geschult sind, diese Analyse durchführen.
Aber wie weit müssen Sie wirklich gehen? Hier kommt das Risikomanagement ins Spiel. Vereinfacht ausgedrückt ist dies die Methode zum Abwägen des erwarteten Risikos gegen den Verlust. Sysadmins tun dies, wenn wir entscheiden, an welchem externen Speicherort wir Backups erstellen möchten. Bankschließfach im Vergleich zu einem Datencenter außerhalb der Region. Herauszufinden, wie viel von dieser Liste benötigt wird, ist eine Übung im Risikomanagement.
In diesem Fall beginnt die Beurteilung mit ein paar Dingen:
Die Entscheidung, wie weit unten im obigen Kaninchenbau getaucht werden soll, hängt von den Antworten auf diese Fragen ab. Für Routineabfahrten von Administratoren, bei denen die Erwartung des Bösen sehr gering ist, ist der volle Zirkus nicht erforderlich. Das Ändern von Kennwörtern auf Administratorebene und das erneute Verschlüsseln von externen SSH-Hosts ist wahrscheinlich ausreichend. Dies wird wiederum durch die Sicherheitslage des Unternehmensrisikomanagements bestimmt.
Für Admins, die aus wichtigem Grund gekündigt wurden oder nach ihrer sonst normalen Abreise böse aufgetaucht sind, wird der Zirkus mehr gebraucht. Das schlimmste Szenario ist ein paranoider BOFH-Typ, dem mitgeteilt wurde, dass ihre Position in zwei Wochen aufgehoben wird, da sie so viel Zeit haben, sich vorzubereiten. Unter solchen Umständen kann Kyles Idee eines großzügigen Abfindungspakets alle möglichen Probleme lindern. Sogar Paranoiker können viele Sünden vergeben, nachdem ein Scheck mit einem Gehalt von 4 Monaten eingegangen ist. Diese Überprüfung wird wahrscheinlich weniger kosten als die Kosten der Sicherheitsberater, die zur Aufspürung ihres Bösen benötigt werden.
Aber letztendlich kommt es auf die Kosten an, zu bestimmen, ob Böses getan wurde, im Vergleich zu den potenziellen Kosten, die durch das tatsächliche Tun von Bösem entstehen.
quelle
Ich würde sagen, es ist ein Gleichgewicht zwischen Ihrer Sorge und dem Geld, das Sie bereit sind zu zahlen.
Sehr besorgt:
Wenn Sie sehr besorgt sind, können Sie einen externen Sicherheitsberater beauftragen, um einen vollständigen Scan von allem sowohl von außen als auch von innen durchzuführen. Wenn diese Person besonders klug wäre, könnten Sie in Schwierigkeiten geraten, sie könnten etwas haben, das für eine Weile ruht. Die andere Möglichkeit ist, einfach alles neu zu erstellen. Dies mag sehr übertrieben klingen, aber Sie werden die Umgebung gut kennenlernen und auch ein Disaster Recovery-Projekt durchführen.
Geringfügig besorgt:
Wenn Sie nur geringfügig besorgt sind, möchten Sie möglicherweise Folgendes tun:
Für die Zukunft:
Wenn ein Administrator geht, geben Sie ihm eine schöne Party und wenn er betrunken ist, bieten Sie ihm einfach eine Heimfahrt an - und entsorgen Sie ihn dann im nächsten Fluss, Sumpf oder See. Im Ernst, dies ist einer der guten Gründe, Admins großzügige Abfindungszahlungen zu gewähren. Sie möchten, dass sie sich gut fühlen, wenn sie so viel wie möglich gehen. Auch wenn sie sich nicht gut fühlen sollten, wen interessiert das? Tu so als ob es deine Schuld ist und nicht ihre. Die Kosten für eine Erhöhung der Kosten für die Arbeitslosenversicherung und das Abfindungspaket sind nicht mit dem Schaden vergleichbar, den sie anrichten könnten. Hier geht es um den Weg des geringsten Widerstands und darum, so wenig Drama wie möglich zu schaffen.
quelle
Vergessen Sie nicht, wie Teamviewer, LogmeIn, etc ... Ich weiß, dass dies bereits erwähnt wurde, aber ein Software-Audit (viele Apps da draußen) auf jedem Server / jeder Workstation würde nicht schaden, einschließlich Subnetz-Scans mit nmap NSE-Skripte.
quelle
Das Wichtigste zuerst - sichern Sie alles, was sich auf einem externen Speicher befindet (z. B. Band oder Festplatte, die Sie trennen und in den Speicher legen). Auf diese Weise können Sie sich möglicherweise ein wenig erholen, wenn etwas Bösartiges passiert.
Kämmen Sie als Nächstes Ihre Firewall-Regeln durch. Alle verdächtigen offenen Ports sollten geschlossen werden. Wenn es eine Hintertür gibt, wäre es eine gute Sache, den Zugang zu verhindern.
Benutzerkonten - suchen Sie nach Ihrem verärgerten Benutzer und stellen Sie sicher, dass sein Zugriff so schnell wie möglich entfernt wird. Wenn SSH-Schlüssel oder / etc / passwd-Dateien oder LDAP-Einträge vorhanden sind, sollten auch .htaccess-Dateien gescannt werden.
Suchen Sie auf Ihren wichtigen Servern nach Anwendungen und aktiven Überwachungsports. Stellen Sie sicher, dass die mit ihnen verbundenen laufenden Prozesse sinnvoll erscheinen.
Letztendlich kann ein entschlossener verärgerter Mitarbeiter alles - schließlich hat er Kenntnisse über alle internen Systeme. Man hofft, dass sie die Integrität haben, keine negativen Maßnahmen zu ergreifen.
quelle
Eine gut funktionierende Infrastruktur wird über die Tools, Überwachung und Kontrolle verfügen, um dies weitgehend zu verhindern. Diese schließen ein:
Wenn diese Tools ordnungsgemäß installiert sind, verfügen Sie über einen Audit-Trail. Andernfalls müssen Sie einen vollständigen Penetrationstest durchführen .
Der erste Schritt wäre, den gesamten Zugriff zu überwachen und alle Kennwörter zu ändern. Konzentrieren Sie sich auf externen Zugriff und potenzielle Einstiegspunkte - hier verbringen Sie Ihre Zeit am besten. Wenn der äußere Fußabdruck nicht gerechtfertigt ist, beseitigen oder verkleinern Sie ihn. Auf diese Weise haben Sie Zeit, sich intern auf mehr Details zu konzentrieren. Beachten Sie auch den gesamten ausgehenden Datenverkehr, da programmgesteuerte Lösungen möglicherweise eingeschränkte Daten extern übertragen.
Als System- und Netzwerkadministrator haben Sie letztendlich uneingeschränkten Zugriff auf die meisten, wenn nicht sogar alle Dinge. Damit geht ein hohes Maß an Verantwortung einher. Einstellungen mit dieser Verantwortung sollten nicht leichtfertig vorgenommen werden, und es sollten von Anfang an Maßnahmen ergriffen werden, um das Risiko zu minimieren. Wenn ein Profi eingestellt wird, und dies auch zu schlechten Bedingungen, würde er keine unprofessionellen oder illegalen Maßnahmen ergreifen.
Es gibt viele detaillierte Beiträge zu Server Fault, die die ordnungsgemäße Systemüberwachung aus Sicherheitsgründen sowie die Maßnahmen im Falle einer Kündigung behandeln. Diese Situation ist von diesen nicht einzigartig.
quelle
Ein kluger BOFH könnte eines der folgenden Dinge tun:
Periodisches Programm, das eine ausgehende Netcat-Verbindung an einem bekannten Port initiiert, um Befehle abzurufen. Beispiel: Port 80. Wenn der Hin- und Rückverkehr gut durchgeführt wird, sieht er wie der Verkehr für diesen Port aus. Wenn also auf Port 80 HTTP-Header vorhanden wären und die Nutzdaten in Images eingebettete Chunks wären.
Aperiodischer Befehl, der an bestimmten Stellen nach Dateien sucht, die ausgeführt werden sollen. Orte können Benutzercomputer, Netzwerkcomputer, zusätzliche Tabellen in Datenbanken und temporäre Spooldateiverzeichnisse sein.
Programme, die prüfen, ob eine oder mehrere der anderen Hintertüren noch vorhanden sind. Ist dies nicht der Fall, wird eine Variante installiert und die Details per E-Mail an das BOFH gesendet
Da Backups jetzt weitgehend auf der Festplatte ausgeführt werden, müssen Sie die Backups so ändern, dass sie mindestens einige Ihrer Root-Kits enthalten.
Möglichkeiten, sich vor solchen Dingen zu schützen:
Wenn ein Mitarbeiter der BOFH-Klasse das Unternehmen verlässt, installieren Sie eine neue Box in der DMZ. Es wird eine Kopie des gesamten Datenverkehrs abgerufen, der die Firewall passiert. Suchen Sie nach Anomalien in diesem Verkehr. Letzteres ist nicht trivial, insbesondere wenn das BOFH normale Verkehrsmuster gut imitiert.
Wiederholen Sie Ihre Server, damit wichtige Binärdateien auf schreibgeschützten Datenträgern gespeichert werden. Das heißt, wenn Sie / bin / ps ändern möchten, müssen Sie zum Computer gehen, einen Switch physisch von RO nach RW verschieben, einen einzelnen Benutzer neu starten, diese Partition rw erneut einbinden, Ihre neue Kopie von ps installieren, synchronisieren, neu starten, Kippschalter. Ein System, das auf diese Weise erstellt wurde, verfügt über mindestens einige vertrauenswürdige Programme und einen vertrauenswürdigen Kernel für die weitere Arbeit.
Natürlich, wenn Sie Windows verwenden, werden Sie abgespritzt.
Möglichkeiten, dies zu verhindern.
Tierarzt Antragsteller sorgfältig.
Finden Sie heraus, ob diese Personen verärgert sind, und beheben Sie die Personalprobleme im Voraus.
Wenn Sie einen Administrator mit diesen Kräften entlassen, versüßen Sie den Kuchen:
ein. Sein Gehalt oder ein Teil seines Gehalts bleibt für einen bestimmten Zeitraum bestehen oder bis sich eine wesentliche Änderung des Systemverhaltens ergibt, die vom IT-Personal nicht erklärt wird. Dies könnte auf einem exponentiellen Zerfall sein. ZB bekommt er das volle Gehalt für 6 Monate, 80% davon für 6 Monate, 80% davon für die nächsten 6 Monate.
b. Ein Teil seiner Vergütung wird in Form von Aktienoptionen gezahlt, die erst ein bis fünf Jahre nach seinem Ausscheiden wirksam werden. Diese Optionen werden nicht entfernt, wenn er geht. Er hat einen Anreiz, dafür zu sorgen, dass das Unternehmen in 5 Jahren gut läuft.
quelle
Es fällt mir auf, dass das Problem schon besteht, bevor der Administrator geht. Es ist nur so, dass man das Problem zu dieser Zeit mehr bemerkt.
-> Man braucht einen Prozess, um jede Änderung zu überwachen, und ein Teil des Prozesses besteht darin, dass Änderungen nur über ihn angewendet werden.
quelle
Stellen Sie sicher, dass Sie alle Mitarbeiter im Unternehmen informieren, sobald sie das Unternehmen verlassen haben. Dadurch wird der Social-Engineering-Angriffsvektor entfernt. Wenn das Unternehmen groß ist, stellen Sie sicher, dass die Leute, die es wissen müssen, es wissen.
Wenn der Administrator auch für den geschriebenen Code verantwortlich war (Unternehmenswebsite usw.), müssen Sie auch eine Codeprüfung durchführen.
quelle
Es gibt eine große, die jeder ausgelassen hat.
Denken Sie daran, dass es nicht nur Systeme gibt.
quelle
Wenn Sie nicht wirklich wirklich paranoid sind, würde mein Vorschlag einfach darin bestehen, mehrere TCP / IP-Scan-Tools (tcpview, wireshark usw.) auszuführen, um festzustellen, ob verdächtige Versuche vorliegen, mit der Außenwelt in Kontakt zu treten.
Ändern Sie die Administratorkennwörter und stellen Sie sicher, dass keine zusätzlichen Administratorkonten vorhanden sind, die nicht vorhanden sein müssen.
Vergessen Sie auch nicht, die Kennwörter für den drahtlosen Zugriff zu ändern und die Einstellungen Ihrer Sicherheitssoftware (insbesondere AV und Firewall) zu überprüfen.
quelle
TRUNCATE TABLE customer
Überprüfen Sie die Protokolle auf Ihren Servern (und auf Computern, auf denen sie direkt arbeiten). Suchen Sie nicht nur nach ihrem Konto, sondern auch nach Konten, die keine bekannten Administratoren sind. Suchen Sie nach Löchern in Ihren Protokollen. Wenn ein Ereignisprotokoll kürzlich auf einem Server gelöscht wurde, liegt ein Verdacht vor.
Überprüfen Sie das Änderungsdatum der Dateien auf Ihren Webservern. Führen Sie ein schnelles Skript aus, um alle kürzlich geänderten Dateien aufzulisten und zu überprüfen.
Überprüfen Sie das Datum der letzten Aktualisierung aller Gruppenrichtlinien- und Benutzerobjekte in AD.
Stellen Sie sicher, dass alle Ihre Sicherungen funktionieren und die vorhandenen Sicherungen noch vorhanden sind.
Überprüfen Sie die Server, auf denen Sie Volume Shadow Copy-Dienste ausführen, damit der vorherige Verlauf fehlt.
Ich sehe bereits viele gute Dinge aufgelistet und wollte nur diese anderen Dinge hinzufügen, die Sie schnell überprüfen können. Es wäre es wert, eine vollständige Überprüfung von allem zu tun. Beginnen Sie jedoch mit den Orten mit den letzten Änderungen. Einige dieser Dinge können schnell überprüft werden und einige frühe rote Fahnen auslösen, um Ihnen zu helfen.
quelle
Grundsätzlich würde ich sagen, wenn Sie einen kompetenten BOFH haben, sind Sie zum Scheitern verurteilt ... es gibt viele Möglichkeiten, Bomben zu installieren, die unbemerkt bleiben. Und wenn Ihre Firma es gewohnt ist, die entlassenen "Manu-Militär" auszuwerfen, stellen Sie sicher, dass die Bombe vor der Entlassung gut gepflanzt wird !!!
Der beste Weg ist, das Risiko eines verärgerten Administrators zu minimieren ... Vermeiden Sie die "Entlassung aus Kostengründen" (wenn er ein kompetenter und bösartiger BOFH ist, werden die Verluste, die Ihnen möglicherweise entstehen, wahrscheinlich viel größer sein, als die, die Sie daraus ziehen die Entlassung) ... Wenn er einen inakzeptablen Fehler gemacht hat, ist es besser, ihn als Alternative zur Entlassung reparieren zu lassen ... Er wird das nächste Mal vorsichtiger sein, den Fehler nicht zu wiederholen (was eine Zunahme sein wird in seinem Wert) ... Aber seien Sie sicher, das gute Ziel zu treffen (es ist üblich, dass nicht kompetente Leute mit gutem Charisma ihre eigene Schuld dem kompetenten, aber weniger sozialen ablehnen).
Und wenn Sie sich im schlimmsten Sinne einem echten BOFH gegenübersehen (und dieses Verhalten ist der Grund für die Entlassung), sollten Sie besser bereit sein, das gesamte System, mit dem er in Kontakt stand, von Grund auf neu zu installieren (was wahrscheinlich bedeuten wird) jeden einzelnen Computer).
Vergessen Sie nicht, dass ein einziger Bitwechsel das gesamte System zerstören kann ... (setuid-Bit, Springen, wenn Carry auf Jump, wenn No Carry, ...) und dass sogar die Kompilierungswerkzeuge möglicherweise kompromittiert wurden.
quelle
Viel Glück, wenn er wirklich etwas weiß und etwas im Voraus eingerichtet hat. Sogar ein Trottel kann die Telekommunikation mit Unterbrechungen anrufen / mailen / faxen oder sie sogar auffordern, während des Tages vollständige Testmuster auf den Stromkreisen auszuführen.
Im Ernst, ein bisschen Liebe und ein paar Riesen bei der Abreise zu zeigen, verringert das Risiko wirklich.
Oh ja, für den Fall, dass sie anrufen, um "ein Passwort oder etwas zu bekommen", erinnern sie sich an Ihre 1099-Rate und die 1-Stunden-Minute und 100 Reisekosten pro Anruf, unabhängig davon, ob Sie irgendwo sein müssen ...
Hey, das ist das gleiche wie mein Gepäck! 1,2,3,4!
quelle
Ich schlage vor, dass Sie am Rand beginnen. Überprüfen Sie Ihre Firewall-Konfigurationen und stellen Sie sicher, dass Sie keine unerwarteten Einstiegspunkte in das Netzwerk haben. Stellen Sie sicher, dass das Netzwerk physisch gegen Wiedereintritt und Zugriff auf alle Computer geschützt ist.
Stellen Sie sicher, dass Sie über voll funktionsfähige und wiederherstellbare Sicherungen verfügen. Gute Backups halten Sie davon ab, Daten zu verlieren, wenn er etwas Zerstörerisches tut.
Überprüfen Sie alle Dienste, die über den Perimeter zugelassen sind, und stellen Sie sicher, dass ihm der Zugriff verweigert wurde. Stellen Sie sicher, dass diese Systeme über funktionierende Protokollierungsmechanismen verfügen.
quelle
Alles löschen, neu starten;)
quelle
Verbrenne es ... verbrenne alles.
Nur so können Sie sicher sein.
Brennen Sie dann alle Ihre externen Interessen, Domain-Registrare, Kreditkartenzahlungsanbieter das Los.
Beim zweiten Gedanken ist es vielleicht einfacher, Bikie-Kollegen zu bitten, die Person davon zu überzeugen, dass es gesünder ist, wenn sie Sie nicht stört.
quelle
Vermutlich hat ein kompetenter Administrator irgendwo auf dem Weg ein sogenanntes BACKUP der Basissystemkonfiguration erstellt. Es ist auch sicher anzunehmen, dass Sicherungen mit einer angemessenen Häufigkeit durchgeführt werden, die die Wiederherstellung einer bekannten sicheren Sicherung ermöglicht.
Da einige Dinge tun ändern, ist es eine gute Idee , von der Sicherung läuft virtualisiert , wenn möglich , bis Sie die primäre Installation nicht beeinträchtigt werden sicherstellen können.
Unter der Annahme, dass das Schlimmste offensichtlich wird, verschmelzen Sie, was Sie können, und geben den Rest von Hand ein.
Ich bin schockiert, dass noch niemand erwähnt hat, dass ich ein sicheres Backup verwende. Bedeutet das, dass ich meinen Lebenslauf bei Ihrer Personalabteilung einreichen sollte?
quelle
Versuchen Sie, seinen Standpunkt einzunehmen.
Sie kennen Ihr System und wissen, was es tut. Sie könnten sich also vorstellen, was für eine Verbindung von außen erfunden werden könnte , selbst wenn Sie kein Systemadministrator mehr sind ...
Abhängig davon, wie die Netzwerkinfrastruktur ist und wie all dies funktioniert, sind Sie die beste Person, die möglicherweise weiß, was zu tun ist und wo sich dies befinden könnte.
Aber wenn Sie von einem experimentierten Fach sprechen , müssen Sie überall in der Nähe suchen ...
Netzwerkverfolgung
Da das Hauptziel darin besteht, die Fernsteuerung Ihres Systems über Ihre Internetverbindung zu übernehmen, können Sie die Firewall beobachten (und sogar ersetzen, da dies ebenfalls beschädigt sein könnte !!) und versuchen, jede aktive Verbindung zu identifizieren .
Das Ersetzen der Firewall gewährleistet keinen vollständigen Schutz, stellt jedoch sicher, dass nichts verborgen bleibt. Wenn Sie also nach Paketen Ausschau halten, die von der Firewall weitergeleitet werden, müssen Sie alles sehen, einschließlich unerwünschten Datenverkehrs.
Sie können es verwenden,
tcpdump
um alles zu verfolgen (wie es US-Paranoiker tun;) und die Dump-Datei mit einem erweiterten Tool wie dem zu durchsuchenwireshark
. Nehmen Sie sich etwas Zeit, um zu sehen, was dieser Befehl bewirkt (Sie benötigen 100 GB freien Speicherplatz auf der Festplatte):Vertraue nicht alles
Selbst wenn Sie etwas finden, werden Sie nicht sicher sein, dass Sie ganz schlechtes Zeug gefunden haben!
Schließlich werden Sie nicht wirklich ruhig sein , bevor Sie wieder installiert haben alles (aus vertrauenswürdigen Quellen!)
quelle
Wenn Sie den Server nicht wiederherstellen können, ist es wahrscheinlich das Beste, Ihre Firewalls so weit wie möglich zu sperren. Folgen Sie jeder einzelnen möglichen eingehenden Verbindung und stellen Sie sicher, dass sie auf das absolute Minimum reduziert ist.
Ändern Sie alle Passwörter.
Ersetzen Sie alle SSH-Schlüssel.
quelle
Im Allgemeinen ist es ziemlich schwer ...
Wenn es sich jedoch um eine Website handelt, sehen Sie sich den Code direkt hinter dem Login-Button an.
Wir haben ein "if username = 'admin'" Ding gefunden ...
quelle
Machen Sie das Wissen der vorherigen IT-Mitarbeiter im Wesentlichen wertlos.
Ändern Sie alles, was Sie ändern können, ohne die IT-Infrastruktur zu beeinträchtigen.
Der Wechsel oder die Diversifizierung von Lieferanten ist eine weitere gute Praxis.
quelle