IT-Forensik und Incident Response

Transkript

1 Bruno Leupi Silvan Rösli Hochschule Luzern (HSLU) Departement Technik & Architektur 20. Dezember 2012

2 Inhalt 1 Einleitung 2 Vorbereitung 3 Entdeckung 4 Analyse 5 Eindämmung 6 Kontrolle gewinnen 7 Nachbearbeitung

3 Einleitung IT-Forensik Suche von Spuren in einem IT-System. Incident Response Koordinierte Sofortmassnahmen bei einem Hackerangriff.

4 Vorbereitung Kontaktliste mit allen Ansprechpartnern. Intern sowie extern, inkl. Behörden. Dokumentation der betreuten Systeme. Möglichst komplett und in Papierform. Pläne für verschiedene Szenarien.

5 Entdeckung Einleitung Spurensuche auf allen Systemen möglich Vorgehen überall das Selbe, Jedoch verschiedene Befehle

6 Entdeckung Laboraufbau

7 Entdeckung Vorgehen I Befehle der Routineuntersuchung aufzeichnen Aktive Benutzer prüfen, und letzte Logins anschauen Laufende Prozesse analysieren Netzwerkverbindungen abfragen Erst hier wurden bei den Laborversuchen erste Hinweise gefunden.

8 Entdeckung Vorgehen II

9 Entdeckung Vorgehen III Konfigurationsänderungen ermitteln Spuren im Dateisystem suchen Rootkits eruiren

10 Analyse Wann und wo ist der Vorfall passiert? Was genau ist passiert? Wer ist beteiligt und wer ist der Angreifer? Wie ging er vor? Welche Schwachstelle wurde ausgenutzt? Welcher Schaden ist bisher entstanden? Welcher weitere Schaden droht?

11 Eindämmung Lokale Massnahmen Netzwerkmassnahmen Entfernen gehosteter Daten, Sperren kompromittierter Accounts, Säubern des Systems, Entfernen erkannter Hintertüren Quarantänenetz, Sperren von Diensten oder Protokollen, Einsetzen eines Rate Limit, Sperren ausgewählter eigener IP-Adressen beim ISF

12 Kontrolle gewinnen In den meisten fällen hilft nur eine Neuinstallation der betroffenen Systemen. Dabei sollten folgende Punkte beachtet werden: Offline neuinstallieren, Keine Upgrade-Installation, Partitionen formatieren, Hardening des Systems durchführen, Passwörter sowie Zertifikate ändern und sperren lassen

13 Nachbearbeitung Geschehenes im ganzen Team besprechen. Was hat nicht funktioniert? Was kann verbessert werden? Was musste am System geändert werden? Welche Dokumentationen, Pläne müssen erneuert werden. Nach dem Vorfall ist vor dem Vorfall!

14 Fragen?

15 Literatur DFN CERT. (o. J.-a). Grundlegende Schritte zur Vorfallsbearbeitung. Zugriff am auf -informationen/grundlegende-schritt-zur-vorfallsbearbeitung.html DFN CERT. (o. J.-b). Hinweise auf Kompromitierung (UNIX / Linux). Zugriff am auf incident-response-informationen/nachsehen-linux.html DFN CERT. (o. J.-c). Hinweise auf Kompromittierung (Windows). Zugriff am auf incident-response-informationen/nachsehen-windows.html West-Brown, M. J., Stikvoort, D., Kossakowski, K.-P., Killcrece, G., Ruefle, R. & Zajicek, M. (2003). Handbook for Computer Security Incident Response Teams (CSIRTs) (2. Aufl.). Pittsburgh: Carnegie Mellon Software Engineering Institutes.