ID Forum IT-Sicherheitsvorfälle an der Universität Bern. Pascal Mainini Informatikdienste Universität Bern Securitygruppe

Transkript

1 ID Forum IT-Sicherheitsvorfälle an der Universität Bern Pascal Mainini Informatikdienste Universität Bern Securitygruppe

2 Agenda Sicherheitsvorfälle?!?!? - Übersicht - Wer? Was? Wieso? - Wie? Wann? - und was danach übrig bleibt... Incident Response! - Das CSIRT - Der IR-Prozess der Informatikdienste Aus der Praxis... - Vom Glutnest...: kleinere Episoden - zum Grossbrand: UBELIX 2009 Mithelfen! - Keine Panik! - Richtiges Verhalten und Vorgehen Fragen / Diskussion

3 Sicherheitsvorfälle?!?!?... gibt es überall... Was fällt Ihnen ein? (by )

4 Sicherheitsvorfälle?!?!? Übersicht Gestohlenes Passwort Vertrauliches Dokument beim Drucker liegen gelassen Phishing-Mail beantwortet In Server wurde eingebrochen Uni-Infrastruktur wird für Angriffe missbraucht Der Ex-Freund liest die Mails mit Alte Hardware mit vertraulichen Daten wird entsorgt...und noch viel mehr...

5 Sicherheitsvorfälle?!?!? Wer? der böse Hacker? Scriptkiddies Kriminelle (auch organisiert!) Angestellte Ex-Freunde Neider... Regierungen und Geheimdienste

6 Sicherheitsvorfälle?!?!? Was? Ziele Endbenutzer PC's / Workstations Server Netzwerkinfrastruktur (Switches/Router) Sonstiges Schliesssysteme, Fotokopierer, Webcams...

7 Sicherheitsvorfälle?!?!? Wieso? Neugier / Spieltrieb Ruhm / Ehre Resourcen (Botnets, Jumphost, scanning) Rache, Schaden anrichten Datensammlung (Accountdaten) Angriff auf Ebanking Identitätsdiebstahl (Industrie-)Spionage... und noch vieles mehr!

8 Sicherheitsvorfälle?!?!? Wie? Wann? Schier endlose Zahl von Angriffsformen Tägliche Neu-/Weiterentwicklung Im Moment am beliebtesten: - Phishing - Drive-by-Angriffe - SSH-Angriffe Angriffe werden komplexer und mehrstufig Rund um die Uhr mit Vorliebe wenn der Admin schläft

9 Sicherheitsvorfälle?!?!?... und was danach übrig bleibt... Schaden? - Wirtschaftlich? - Wissenschaftlich? - Persönlich? Kompromittierte Systeme Datenverlust Undefinierter Zustand Unklarheit über weitere Betroffene Ein ungutes Gefühl und viel Arbeit...

10 Incident Response! (by

11 Incident Response! Das CSIRT Computer Security Incident Response Team (auch bekannt als CERT) Teil der Security-Gruppe Breites Spektrum / Knowhow im *NIX/Netzwerksektor Für Notfälle ausgerüstet Primärer Ansprechpartner Vertraulichkeit gewährleistet security@unibe.ch /

12 Incident Response! Der IR-Prozess der Informatikdienste (1) Incidentmeldung / Feststellung Eröffnung eines Incidents Definieren des Incident-Leads Kategorisierung des Incidents Entsprechende Reaktion (First Response) Analyse der Daten Freigabe der Maschine(n) Abschluss des Incidents

13 Incident Response! Der IR-Prozess der Informatikdienste (2) First Response Spurensicherung laufendes System Disk-Imaging Sicherung zusätzlicher Beweise, z.b. Proxylogs Firewall-Logs Netzwerkdaten etc... Analyse / erstellen einer Timeline Ausweitung auf eventuell weitere System Freigabe Report / Abschluss

14 Aus der Praxis...

15 Aus der Praxis......Pornographie Teil 1 Fall 1: Poolraum Auf einem von der ID betreuten Share wird Platz knapp Nachforschungen ergeben ca. 41 GB Pornographie Inhalt nicht strafrechtlich relevant Übeltäter dank Login einfach ermittelbar Sanktionen durch Unileitung unbekannt Pornographie wurde nie abgeholt...

16 Aus der Praxis......Pornographie Teil 2 Fall 2: Die Uni als Hotel Unberechtigte Person in einem Institut Vor Ort übernachtet und Arbeitsstation benutzt Durch Studentin am Morgen gestört Nachforschungen ergaben: über 30GB Pornographie Kein strafrechtlich relevantes Material Keine weiteren Konsequenzen

17 Aus der Praxis... Website-Defacement Angriff auf ein System der exakten Wissenschaften Bekannte Sicherheitslücke in veralteter Joomla!-Version Klassisches Defacement kein weiterer Schaden

18 Aus der Praxis SSH-Scanning Benachrichtigung über SSH-Scan durch SWITCH Frisch aufgesetztes System Einfaches Passwort gewählt für Dauer der Installation Von aussen erreichbar Klassische Kompromittierung incl. Rootkit Maschine frisch aufgesetzt Keine Konsequenzen

19 Aus der Praxis Grossbrand: UBELIX Bisher grösstes Incident Mitte November 2009 Februar 2010 Zeitweise bis zu ca. 15 Maschinen in Untersuchung Riesige Datenmengen zur Analyse Beispiel: ca. 170'000 SSH-Logins auf 2 Monate Internationale Tragweite, ca Länder Gute Zusammenarbeit intern und mit anderen CERTS/CSIRTS 4 Maschinen definitiv kompromittiert Abgesehen von den Aufwänden keinen weiteren Schaden auf unserer Seite

20 Mithelfen!

21 Mithelfen! Keine Panik! Sie erfahren von einem Incident bei Ihnen Durch die ID / Dritte Durch eigene Beobachtung Grundsatz: Keine Panik! Wichtig ist Ruhe bewahren Die richtigen Schritte unternehmen

22 Mithelfen! Richtiges Verhalten und Vorgehen Eine erste Analyse vornehmen: Keine Panik ;-) Benutzer, Prozesse, Last/Netzwerkverkehr? Keine zusätzlichen Werkzeuge installieren System nicht upgraden oder neustarten So wenig wie nur möglich verändern Nichts löschen Erhärtet sich der Verdacht oder besteht Unsicherheit Security-Gruppe kontaktieren

23 Fragen / Diskussion Fragen? Antworten? (by )

24 Fragen / Diskussion Besten Dank!