Windows 2000 biztonság a gyakorlatban Pusztai László vezető konzulens Microsoft Magyarország
Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés
A Duwamish Online Alkalmazás- logika (COM+) SQL Server IIS 5 Tűzfal
Hálózati diagram 20,80,443minden
Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés
Az eset Megváltozott a cég honlapja A rendszergazdák körbenéztek –Változott HTML fájlok –„Ismeretlen” fájlok a /scripts és a %temp% könyvtárakban A cégvezetés gyanítja, hogy adatok kerültek ki a háttérrendszerből
Feladatok A lehető legtöbb információt gyűjteni –Ki, mikor, honnan, hogyan változtatta meg a honlapot –Történtek-e a rendszerben egyéb változások (pl. trójai programok kerültek-e beágyazásra) –Az adatok alapján további intézkedések legyenek foganatosíthatók Információt szolgáltatni a vezetésnek arról, hogy a háttérrendszerből kerültek-e ki üzleti adatok Visszaállítani a rendszer normális működését Megfelelő biztonsági hotfix-eket és eszközöket telepíteni
Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés
A nyomozás Bizonyítékok (naplók, módosított lapok, végrehajtható állományok) archiválása –Gyorsan vissza kell állítani a normális működést, így nincs mód online vizsgálódni –Gyalu…...restore… Vagy image... Az esemény időpontjának lehető legpontosabb meghatározása –A naplók előfeldolgozása –Fájl-dátumok vizsgálata
Mit mesélnek a bizonyítékok? Naplófájlok részletes elemzése –Koordináltan történik az összes naplóra nézve –Az események menetét fel kell térképezni –Rögzíteni a fix pontokat, és hipotézist állítani fel rájuk –Ellenőrizni a hipotézist
Bizonyítékokat gyűjteni Naplók mentése (tűzfal, web, eventlog) dir /s /b – majd a frissiben odakerült, szokatlan fájlokról mentés (baseline alapján) tlist /t – majd az összes futtatott image-ről mentés (debugging toolkit) sfind – majd az eredmény fájlokról mentés (NTFS-re!, Foundstone) fport – majd rögzíteni a nyitott csatornák célcímeit (Foundstone)
Kirakósjáték Tűzfal naplók: port scan nyomai IIS naplók: a port scan napján készült log „felülíródott” az előző napival Fájlok: az ntvdm.exe nevesített adatfolyamában ül egy nc.com –Aki ráadásul kifelé egy ismeretlen gép 53-as portjával tart fenn TCP kapcsolatot –A cél IP cím pedig megegyezik a port scan- ban szereplő forráscímmel -- BINGO
Kirakósjáték Kérdés még: mi a helyzet az adatokkal? A következő jelek utalnak az SQL kompromittálódására: –isql.exe vagy osql.exe image a gépen (akár átnevezve is) –Routolt NBT kapcsolat kifelé (139-es port, fport vagy rinetd segítségével) –Sikertelen logon kérések az SQL felé ntllast -f (Foundstone) –Sikeres logon kérések az SQL felé kívülről routolva netstat -a
Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés
Konzekvenciák Elkéstünk – most a támadó volt gyorsabb A belülről kifelé irányuló forgalmat is szűrni és naplózni kell a tűzfalon A hacker célja: –azonosítani és megtámadni a hálózat csatlakozási pontjait Az üzemeltető célja: –azonosítani a biztonsági lyukakat és megszüntetni őket 20,80,443 minden
Felkészülés Aktuális security hotfixek telepítése Audit napló átkonfigurálása (ftp, tftp és cmd auditja), hogy leközelebb részletesebb adatokat kaphassunk Olvasni, olvasni, olvasni – – – – –
Kérdések és válaszok Mikor ellenőrzited utoljára a szervered ?