[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions commerciales, votre première réaction devrait être de débrancher simplement la machine du réseau en débranchant la carte réseau. La désactivation du réseau à la première couche est le seul vrai moyen de garder un attaquant en dehors d'une machine compromise (conseil avisé de Phillip Hofmeister).
Cependant, certains rootkits ou accès cachés sont capables de détecter cet événement et d'y réagir. Voir un rm -rf / s'exécuter quand vous débranchez le réseau du système n'est pas vraiment très drôle. Si vous ne désirez pas prendre le risque et que vous êtes sûr que le système est compromis, vous devriez débrancher le câble d'alimentation (tous les câbles d'alimentation s'il y en a plusieurs) et croiser les doigts. Ceci peut être extrême, mais en fait cela désamorcera toute bombe à retardement que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis ne doit pas être redémarré. Soit le disque dur devrait être déplacé sur un autre système pour analyse, soir vous devriez utiliser un autre support (un CD-ROM) pour amorcer le système et pour l'analyser. Vous ne devez pas utiliser les disquettes de récupération de Debian pour amorcer le système, mais vous pouvez utiliser le shell fourni par les disquettes d'installation (rappelez-vous que Alt+F2 vous y amènera) pour analyser le système. [57]
La méthode la plus recommandée pour récupérer un système compromis est
d'utiliser un système de fichiers autonome sur un CD-ROM avec tous les outils
(et les modules du noyau) dont vous pouvez avoir besoin pour accéder au système
compromis. Vous pouvez utiliser le paquet mkinitrd-cd pour
construire un tel CD-ROM[58].
Vous pourriez également trouver que le CD-ROM FIRE (anciennement appelé Biatchux)
est utile ici, car il s'agit aussi d'un CD-ROM autonome avec des outils
d'analyse post-mortem utiles dans ces situations. Il n'y a pas (encore)
d'outil basé sur Debian comme celui-ci, ni de moyen simple de construire un
CD-ROM en utilisant votre propre sélection de paquets Debian et
mkinitrd-cd (vous devrez donc lire la documentation fournie avec
celui-ci pour faire vos propres CD-ROM).
Si vous voulez corriger la compromission vraiment rapidement, vous devriez
retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à
partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment
l'intrus a obtenu les droits du superutilisateur. Dans ce cas vous devez tout
vérifier : pare-feu, intégrité des fichiers, les différents journaux de
l'hôte de journalisation, etc. Pour plus d'informations sur quoi faire après
une intrusion, reportez-vous aux documents Sans' Incident Handling
Guide ou CERT's Steps for
Recovering from a UNIX or NT System Compromise.
Certaines questions générales sur comment gérer un système Debian GNU/Linux compromis sont également disponibles dans Mon système est vulnérable ! (En êtes-vous certain ?), Section 11.2.
Rappelez-vous que si vous êtes sûr que le système a été compromis, vous ne pouvez pas faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient contenir un trojan, des modules noyau pourraient être installés, etc.
La meilleure chose à faire est une sauvegarde complète du système de fichiers
(en utilisant dd) après avoir démarré depuis un média sûr. Les
CD-ROMs Debian GNU/Linux peuvent être utiles pour cela car ils fournissent un
shell en console 2 quand l'installation est commencée (allez-y en utilisant
Alt+2 et en appuyant sur la touche Entrée). Le shell peut être utilisé pour
sauvegarder les informations vers un autre endroit si possible (peut-être un
serveur de fichier réseau à travers NFS/FTP...) pour analyse pendant que le
système affecté est hors-ligne (ou réinstallé).
Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez essayer d'exécuter l'image noyau du CD-ROM en mode rescue. Assurez-vous aussi de démarrer en mode single de façon à ce qu'aucun autre processus trojan ne s'exécute après le noyau.
Le CERT (Computer and Emergency Response Team) est une organisation qui peut vous aider à récupérer un système compromis. Il y a des CERT partout dans le monde [59] et vous devriez contacter votre CERT local en cas d'incident de sécurité qui a conduit à une compromission système. Les personnes du CERT local peuvent vous aider à le récupérer.
Fournir à votre CERT (ou au centre de coordination CERT) des informations sur
la compromission même si vous ne demandez pas d'aide peut également aider
d'autres personnes car les informations agrégées des incidents reportés sont
utilisées pour déterminer si une faille donnée est répandue, s'il y a un
nouveau ver dans la nature, quels nouveaux outils d'attaque sont utilisés.
Cette information est utilisé pour fournir à la communauté Internet des
informations sur les activités
actuelles des incidents de sécurité et pour publier des notes d'incident et même
des alertes. Pour
des informations plus détaillées sur la façon (et les raisons) de rendre compte
d'un incident, veuillez lire les règles de
compte-rendu d'incident du CERT.
Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin
d'aide pour récupérer un système compromis ou si vous voulez discuter
d'informations d'incident. Cela inclut la liste de diffusion des
incidents et la liste de diffusion des
intrusions.
Si vous souhaitez rassembler plus d'informations, le paquet tct
(The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires
qui effectuent une analyse « post-mortem » d'un système.
Tct permet à l'utilisateur de collecter des informations sur les
fichiers effacés, les processus qui s'exécutent et plus. Voir la documentation
incluse pour plus d'informations. Vous pouvez également regarder les paquets
semblables Sleuthkit and
Autopsy par Brian Carrier.
D'autres outils pouvant être utilisés pour analyse post-mortem sont inclus dans la distribution Debian :
fenris,
strace,
ltrace.
L'un de ces paquets peut être utilisé pour analyser des binaires dangereux
(comme des portes dérobées) afin de déterminer comment ils fonctionnent et ce
qu'ils font au système. Plusieurs outils standard incluent ldd
(dans libc6), strings et objdump (tous
deux dans binutils).
Si vous essayez de faire une analyse post-mortem avec des portes dérobées ou
des binaires suspects récupérés de systèmes compromis, vous devriez le faire
dans un environnement sécurisé (par exemple dans une image bochs,
plex86 ou xen ou un environnement
chrooté en utilisant un utilisateur avec des privilèges bas).
Sinon votre propre système peut être victime de la porte dérobée et également
contaminé !
L'analyse post-mortem devrait toujours être faite sur une copie de sauvegarde des données, jamais sur les données elles-même car elles pourraient être altérées par cette analyse (et toutes les preuves perdues).
FIXME. Ce paragraphe fournira, je l'espère plus d'informations sur la "médecine légale" sur un système Debian dans un futur proche.
FIXME: décrire comment faire des debsums sur un système stable avec md5sums sur un CD-ROM et avec le système de fichiers récupérés restaurés sur une partition séparée
FIXME ajouter des liens vers des articles d'analyse post-mortem (comme le
challenge inversé de Honeynet ou les papiers de David
Dittrich).
[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Manuel de sécurisation de Debian
Version: 3.4, Sun, 06 Nov 2005 22:34:04 +0100jfs@debian.orgdebian-l10n-french@lists.debian.org