Gestione incidenti
Da Security e-Book.
In questo libro si sono analizzati tutti i problemi relativi alle wireless LAN e sono stati forniti dei suggerimenti su come proteggere efficacemente la propria rete. Così come è importante proteggere la propria rete è importante anche capire cosa fare in caso di intrusione o di sospetta violazione di qualche sistema. Non si può rendere totalmente sicuro un sistema e bisogna tener presente che un aggressore piuttosto motivato potrebbe comunque violare il sistema. Molto spesso l'intruso non sfrutta solamente gli eventuali problemi di sicurezza di un applicativo, ma fa anche uso del social engineering, ovvero chiamare alcune persone che lavorano all'interno dell'azienda e usare la psicologia per ottenere informazioni preziose.
Un amministratore di sistema puo' insospettirsi di una intrusione da alcuni sintomi, quali ad esempio:
- Segnalazioni di attività sospette provenienti dalla sua macchina;
- La macchina si comporta in modo strano. Ad esempio: risulta molto lenta, ma il programma top non segnala nulla di particolare; uno o più filesystems sono pieni, ma non si riesce a scoprirne le cause;
- Il traffico in rete è molto elevato;
- Connessioni da locazioni insolite;
- I file di log sono incompleti o addirittura scomparsi;
- Alcune utility di sistema (o file di configurazione) sono state modificate
In questi casi potrebbe essere utile usare un rilevatore di root kit, quali ad esempio chkrootkit. È bene stare attenti perchè un eventuale intruso ben motivato potrebbe aver costruito il suo root kit, eludendo i rilevatori. Qualora si abbiano sospetti di intrusione è bene consultarsi con altri amministratori di sistema, di rete e di sicurezza per tentare di correlare tutti gli eventi sospetti.
In caso di incidente
Qualora si abbia avuto un intrusione, è bene non farsi prendere dal panico e razionalizzare nelle policy di sicurezza un eventuale processo di Gestione degli incidenti. Innanzi tutto è bene staccare la macchina dalla rete, procedere a raccogliere, a macchina accesa, prove che potrebbero rilevare tracce importanti dell'intruso. Alcune volte gli intrusi, per fretta o distrazione, dimenticano di cancellare le proprie traccie presenti nei log. Ad esempio è bene analizzare sempre il file di messages, xferlog, wtmp, maillog e per ogni utente guardare il contenuto del file di history della shell. Prima di spegnere la macchina è bene fare un backup completo che potrebbe servire ai fini legali. Una volta che si ha la conferma dell'intrusione può essere utile staccare il disco fisso e conservarlo per un'attività di analisi. Tale attività, detta Forensic Analisys, viene condotta da esperti di sicurezza e molto spesso è necessaria in caso di risvolti legali.
In caso di sospetta intrusione è buona norma notificare il fatto ai responsabili dei siti da cui è giunto l'attacco, il che dimostra inoltre una convivenza civile su Internet. Si riporta la seguente citazione dal RFC 1281 Guidelines for the Secure Operation of the Internet:
“The Internet is a cooperative venture. The culture and practice in the Internet is to render assistance in security matters to other sites and networks. Each site is expected to notify other sites if it detects a penetration in progress at the other sites, and all sites are expected to help one another respond to security violations. “
Qualora il tentativo di accesso risulti piuttosto grave, o si ha semplicemente il sospetto che l'intruso abbia usato la propria rete per attaccare qualche altro sito è bene sporgere denucia alla Polizia Postale, presentando anche copia dei backup e dei log come prova dell'intrusione.
Ripristinare il servizio
Così come è importante trovare un intruso, è importante ripristinare il prima possibile il servizio agli utenti per diminuire i tempi di downtime. In questo caso è bene non fidarsi dei backup periodici, in quanto non si è a conoscenza del momento in cui l'intruso è penetrato nel sistema. È pertanto necessario reinstallare completamente il sistema operativo, avendo cura di applicare tutte le patch di sicurezza consigliate dal proprio produttore. Ripristinare dall'ultimo backup solamente i dati e la configurazione, avendo cura di rivedere dettagliatamente la configurazione stessa in quanto l'intruso potrebbe averla modificata a proprio giovamento. Una volta ripristinato il sistema è consigliabile cambiare tutte le password ed eventualmente installare un Host-based IDS per tracciare ulteriori tentativi di accesso.
