Overwegingen voor als je misschien gehacked bent.

By On · Add Comment

Waarom hebben we dit document geschreven?

Op veel mailinglijsten waar ik op geabonneerd ben lees ik regelmatig onderwerpen
over machines die misschien gehacked zijn of op een andere manier niet
meer betrouwbaar zijn. Mensen geven advies, en ook al bedoelen ze het
goed, het is niet altijd de beste oplossing.

Ik heb een SANS cursus gehad (Incident Handling) welke mijn mening ondersteund over hoe je
moet reageren op een mogelijkerwijs misbruikte machine. De leraar daar
was Arrigo Triulzi, een geweldige italiaanse kerel, een IDS expert.

Ik zal hun verhaal niet opnieuw vertellen, maar als je de informatie
net zo goed wilt leren als ik heb gedaan zou je moeten kijken op de
website van SANS. Deze geeft je cursus overzichten etc.

Nu terug naar het originele doel van dit document; Ik wil een duidelijk
en makkelijk document creeeren welke iemand kan volgen als een machine
niet meer betrouwbaar is.

Nog een extra notitie: Dit document is voornamelijk gericht op een Unix
omgeving. Het zou ook gebruikt kunnen worden voor Windows of andere OS
omgevingen maar daar ben ik niet zeker van. Ik weet niet genoeg van die
besturingssystemen om daar een correcte uitspraak over te doen. Als jij
dat wel kan, neem dan contact met me op en ik pas de documentatie aan.

Laatst bijgewerkt op: 17 oktober 2004 door Remko Lodder


Ik denk dat mijn server gehacked is, wat moet ik doen?

Je hebt meerdere opties, omdat mensen thuis meestal minder interesse hebben in data etc. dan een bedrijf. Daarom zullen we het volgende in meerdere secties opdelen.

Bedrijven:

Als je voor een bedrijf werkt en data is essentieel voor je bedrijf, zou je eerst contact moeten opnemen met de lokale politie. Deze kunnen helpen en assisteren in wat je zou moeten doen. Over het algemeen zullen ze de volgende dingen van je vragen:

Haal de machine offline. Haal alle kabels eruit beginnende met de stroomkabel! Op deze manier kunnen we zeker zijn dat de data niet meer aangepast wordt. Waarom doen we dat? Nou de geinstalleerde software zou zo geprogrammeerd kunnen zijn om naar buiten te bellen wanneer er een kabel verwijderd wordt. Of hij verstuurd een email naar de andere persoon, die je machine onbetrouwbaar heeft gemaakt. Als je de stroom eraf haalt kan het apparaat niet veel meer he? (Vergeet de UPS niet!).

Maak een directe copy van de huidige disk, bijvoorbeeld, start met een Live-CD (zodat de originele disk niet gestart wordt en informatie gaat versturen naar de persoon die je machine onbetrouwbaar heeft gemaakt). Doe daarna iets wat dd=/dev/ad0 of/dev/ad1 representateert. Dit kopieert elke bit op de harddisk naar een andere harddisk (evenals vrije ruimte). De originele harddisk zou bewaard moeten blijven op een veilige plek en niet meer aangeraakt moeten worden. Gebruik de eerste backup disk om meerdere backups te creeeren indien nodig. Gebruik daarna hulpmiddelen om te zien wat er op de harddisk staat. De hulpprogramma’s die je kan gebruiken volgen later.

De politie wilt mogelijk de originele disk meenemen, persoonlijk denk ik dat dat niet echt een p robleem is. Zorg er wel voor dat men tekent (Een Non Disclosure Agreement en misschien iets als ‘De politie heeft de disk meegenomen en gaat hem onderzoeken’). Je hebt de backups nog die je zelf kan onderzoeken.

Thuis-gebruikers:

Als je een thuis-gebruiker bent kan het voorkomen dat de data op de disk niet zo belangrijk is als bij een bedrijf. Als je toch belangrijke data op je disk had staan, volg dan dezelfde acties als ware het een bedrijf. Persoonlijk zou ik aanraden dat je een backup-disk gebruikt waarmee je bijna hetzelfde doet als hierboven. Alleen meestal heeft een Personal Computer niet zoveel vitale informatie dus dan kan het bellen van de politie overbodige moeite zijn.

Start opnieuw met een Live-CD en doe forensisch onderzoek met de programma’s die later beschreven worden.

Ok, nu hebben we onze kritieke systemen gebackupped, met welke software kunnen we zien wat er gebeurd is?

Als eerste zou je evoor moeten zorgen dat je een aantal lege CD’s hebt die gebrand mogen worden. Deze mogen alleen gebrand worden op een machine die totaal geen toegang heeft tot de mogelijkerwijs gehackte machine. Waarom? Zo kunnen we ‘zeker’ zijn dat de data die we op de CD branden geldig is en niet veranderd door wie dan ook.

Behalve bovenstaand argument is de CD eenmalig te beschrijven. Dus in het geval dat er iets misgaat is de CD nog intact en de data daarop ook.

We zullen een aantal verschillende programma’s noemen, de bedoeling van het programma noemen en waar je ze kan downloaden. Natuurlijk ontbreekt een linkje waar je meer informatie kan vinden (als de download locatie verschilt) over het programma. Let op, we hebben een aantal uitgebreide ISO’s gevonden die Live-CD mogelijkheden bieden voor je machine, die alle security programma’s hebben die je nodig hebt ( Knoppix, zie hieronder ). Om die redenen zullen we niet al te veel programma’s op deze pagina plaatsen.

Hieronder is een korte samenvatting van enkele applicaties. Voor een volledige lijst van allround applicaties zie http://www.forensics.nl/toolkits/ , en voor een complete lijst van hulpprogramma’s
die goede services leveren maar standalone zijn zie http://www.forensics.nl/tools/

Die machine wordt onderhouden door Jacco Tunnissen, en dat doet hij perfect!

    * The coroners toolkit, TCT, is een veelgebruikt programma om disken te onderzoeken die mogelijk te maken hebben gehad met een vijandig persoon. Het kan data lezen ook al is de disk geformateerd (tot de disk een aantal keer geformateerd is zodat de actieve bits overschreven zijn). Het heeft tot doel om forensisch onderzoek te doen op je computer. Echter het is een oudere versie, hieronder zie je 2 alternatieven die nieuwer zijn dan dit programma. Je kan het hier vinden.
    * Helix, is gebaseerd op Knoppix, welke geweldige hardware detectie levert etc. Het is ontworpen om de machine zelf NIET aan te raken zodat je correct forensisch onderzoek kan plegen. Je kan het hier vinden.
    * The Sleuth Kit, is gebaseerd op de TCT commandline programma’s. Het is nieuwer dan TCT. Momenteel analyseert het NTFS, FAT, UFS, EXT2FS en EXT3FS. Je kan het hier vinden.
    * Seekerkit, een Live ISO CD die verschillende securitymogelijkheden naar je computer brengt. Het heeft LSOF bij zich welke je in staat stelt om te zien welke processen er draaien en luisteren. Dit werkt echter alleen op de machine zelf, dus dat is niet echt een geweldige oplossing. Je kan het hier vinden.
    * Knoppix-std, nog een Live ISO CD die je volledige security mogelijkheden geeft voor je machine. Het heeft een aantal security programma’s bij zich die je echt nodig hebt om forensisch onderzoek te doen. Zie hier voor meer informatie.

Buiten de bovenstaande software is er een project die onderzoek doet naar dit soort activiteiten. Ze heten "The Honeynet Project" en hebben een goede set aan documentatie bij zich. In 2001 had het project een wedstrijd over forensisch onderzoek welke je hier kan vinden.

Ik denk dat je met dit document een complete set van ideeen hebt met wat je kan doen in het geval dat je denkt dat je server of personal computer mogelijkerwijs gehacked is en je zeker wilt weten dat alles nog correct is. Natuurlijk kan je de PC zelf opstarten en proberen wat backdoors te verwijderen of andere dingen. Maar het probleem blijft dat de machine misschien meerdere backdoors heeft waardoor hij onbetrouwbaar blijft. Ook weet je nooit zeker of men wat met je data heeft gedaan dus, in een bedrijfsituatie, misschien doet men transacties van klanten naar hen eigen geheime bankrekening.

Als je denkt dat ik iets kleins of groots gemist heb, neem dan contact met me op! :-)

Dit document is vertaald naar het nederlands door Remko Lodder, tevens de originele auteur van het door DSINet.org geleverde artikel.

Share →

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>