¿Cómo busca puertas traseras de la persona de TI anterior?

358

Todos sabemos que sucede. Un viejo informático amargo deja una puerta trasera en el sistema y la red para divertirse con los nuevos y mostrarle a la compañía lo mal que están las cosas sin él.

Nunca he experimentado esto personalmente. Lo más que he experimentado es alguien que rompió y robó cosas justo antes de irse. Sin embargo, estoy seguro de que esto sucede.

Entonces, cuando se hace cargo de una red en la que no se puede confiar, ¿qué pasos se deben tomar para garantizar que todo esté seguro y protegido?

Jason Berg
fuente
8
+1, me gusta esta pregunta. Es mi cosa menos favorita cuando trato con un nuevo cliente, especialmente si el último chico se fue en malos términos.
DanBig
95
La mayoría de los lugares que he dejado, mi no estar allí diciendo "No hagas eso" es suficiente para derribar la red. No necesito dejar puertas traseras.
Paul Tomblin
25
@Paul, eso sugiere que no documentaste correctamente. Esperemos que la (s) nueva (s) persona (s) hagan esa parte de su trabajo correctamente.
John Gardeniers
71
@John, ¿sus usuarios y compañeros de trabajo leen la documentación? ¿Dónde puedo conseguir algunos de esos?
Paul Tomblin
18
@Paul, usuarios: no, ¿por qué deberían hacerlo? Compañeros de trabajo (suponiendo que se refiere a personas de TI): sí. Leer los documentos debería ser el primer paso para comenzar un nuevo trabajo.
John Gardeniers

Respuestas:

332

Es muy, muy, muy difícil. Requiere una auditoría muy completa. Si está muy seguro de que la persona mayor dejó algo atrás que se disparará, o requerirá que lo vuelvan a contratar porque son los únicos que pueden apagar un incendio, entonces es hora de asumir que ha sido enraizado fiesta hostil Trátelo como si un grupo de hackers entrara y robara cosas, y tiene que limpiar después de su desorden. Porque eso es lo que es.

  • Audite cada cuenta en cada sistema para asegurarse de que esté asociada con una entidad específica.
    • Las cuentas que parecen asociadas a los sistemas pero que nadie puede dar cuenta deben desconfiarse.
    • Las cuentas que no están asociadas con nada deben purgarse (esto debe hacerse de todos modos, pero es especialmente importante en este caso)
  • Cambie todas las contraseñas con las que posiblemente hayan entrado en contacto.
    • Esto puede ser un problema real para las cuentas de servicios públicos, ya que esas contraseñas tienden a codificarse en las cosas.
    • Si eran un tipo de servicio de asistencia que respondía a las llamadas de los usuarios finales, suponga que tienen la contraseña de cualquier persona a la que ayudaron.
    • Si tenían Enterprise Admin o Domain Admin para Active Directory, suponga que tomaron una copia de los hashes de contraseña antes de irse. Estos se pueden descifrar tan rápido ahora que será necesario forzar un cambio de contraseña en toda la empresa en cuestión de días.
    • Si tenían acceso raíz a cualquiera de los cuadros * nix, suponga que se fueron con los hashes de contraseña.
    • Revise todo el uso de la clave SSH de clave pública para asegurarse de que sus claves estén depuradas, y audite si alguna clave privada estuvo expuesta mientras lo hace.
    • Si tenían acceso a cualquier equipo de telecomunicaciones, cambie las contraseñas de enrutador / conmutador / puerta de enlace / PBX. Esto puede ser un dolor real, ya que puede implicar interrupciones significativas.
  • Audite completamente sus disposiciones de seguridad perimetral.
    • Asegúrese de que todos los agujeros de firewall sigan los dispositivos y puertos autorizados conocidos.
    • Asegúrese de que todos los métodos de acceso remoto (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, lo que sea) no tengan una autenticación adicional añadida y examínelos completamente para métodos de acceso no autorizados.
    • Asegúrese de que los enlaces WAN remotos rastreen a personas totalmente empleadas y verifíquelo. Especialmente conexiones inalámbricas. No querrás que se vayan con un módem celular o teléfono inteligente pagado por la compañía. Póngase en contacto con todos los usuarios para asegurarse de que tienen el dispositivo correcto.
  • Auditar completamente los arreglos internos de acceso privilegiado. Estas son cosas como el acceso SSH / VNC / RDP / DRAC / iLO / IMPI a servidores que los usuarios generales no tienen, o cualquier acceso a sistemas sensibles como la nómina.
  • Trabaje con todos los proveedores externos y proveedores de servicios para garantizar que los contactos sean correctos.
    • Asegúrese de que se eliminen de todas las listas de contactos y servicios. Esto debe hacerse de todos modos después de cualquier partida, pero ahora es muy importante.
    • Valide que todos los contactos sean legítimos y tengan la información de contacto correcta, esto es para encontrar fantasmas que puedan suplantarse.
  • Comienza a buscar bombas lógicas.
    • Verifique todas las automatizaciones (programadores de tareas, trabajos cron, listas de llamadas de UPS o cualquier cosa que se ejecute según un cronograma o que se active por eventos) para detectar signos de maldad. Por "todo" quiero decir todo. Verifique cada crontab. Verifique cada acción automatizada en su sistema de monitoreo, incluidas las propias sondas. Verifique cada Programador de tareas de Windows; incluso estaciones de trabajo. A menos que trabaje para el gobierno en un área altamente sensible que no podrá pagar "todos", haga todo lo que pueda.
    • Valide los binarios clave del sistema en cada servidor para asegurarse de que sean lo que deberían ser. Esto es complicado, especialmente en Windows, y casi imposible de hacer de forma retroactiva en sistemas únicos.
    • Comienza a buscar rootkits. Por definición, son difíciles de encontrar, pero hay escáneres para esto.

No es fácil en lo más mínimo, ni remotamente cerca. Justificar el gasto de todo eso puede ser realmente difícil sin una prueba definitiva de que el ahora ex administrador era realmente malvado. La totalidad de lo anterior ni siquiera es factible con los activos de la compañía, lo que requerirá contratar consultores de seguridad para realizar parte de este trabajo.

Si se detecta el mal real, especialmente si el mal está en algún tipo de software, los profesionales de seguridad capacitados son los mejores para determinar la amplitud del problema. Este es también el punto en el que se puede comenzar a construir un caso penal, y realmente desea que las personas capacitadas en el manejo de evidencia realicen este análisis.


Pero, realmente, ¿hasta dónde tienes que ir? Aquí es donde entra en juego la gestión de riesgos . Simplísticamente, este es el método para equilibrar el riesgo esperado con la pérdida. Los administradores de sistemas hacen esto cuando decidimos en qué ubicación fuera del sitio queremos colocar copias de seguridad; caja de seguridad bancaria frente a un centro de datos fuera de la región. Averiguar cuánto necesita seguir esta lista es un ejercicio de gestión de riesgos.

En este caso, la evaluación comenzará con algunas cosas:

  • El nivel de habilidad esperado de los difuntos
  • El acceso de los difuntos.
  • La expectativa de que el mal fue hecho
  • El daño potencial de cualquier maldad.
  • Requisitos reglamentarios para denunciar el mal perpetrado frente al mal encontrado preventivamente. Por lo general, debe informar el primero, pero no el segundo.

La decisión de qué tan lejos del hoyo de conejo para bucear dependerá de las respuestas a estas preguntas. Para salidas administrativas rutinarias donde la expectativa del mal es muy leve, no se requiere el circo completo; cambiar las contraseñas de nivel de administrador y volver a escribir cualquier host SSH externo probablemente sea suficiente. Una vez más, la postura de seguridad de la gestión de riesgos corporativos determina esto.

Para los administradores que fueron despedidos por causa o por maldad que surgió después de su partida normal, el circo se vuelve más necesario. El peor de los casos es un tipo BOFH paranoico al que se le ha notificado que su posición será redundante en 2 semanas, ya que eso les da mucho tiempo para prepararse; En circunstancias como estas, la idea de Kyle de un paquete de indemnización generoso puede mitigar todo tipo de problemas. Incluso los paranoicos pueden perdonar muchos pecados después de que llega un cheque que contiene 4 meses de pago. Esa verificación probablemente costará menos que el costo de los consultores de seguridad necesarios para descubrir su maldad.

Pero en última instancia, todo se reduce al costo de determinar si se hizo el mal versus el costo potencial de cualquier mal que realmente se está haciendo.

sysadmin1138
fuente
22
+1 - El estado del arte con respecto a los binarios del sistema de auditoría es bastante malo hoy. Las herramientas informáticas forenses pueden ayudarlo a verificar las firmas en los archivos binarios, pero con la proliferación de diferentes versiones binarias (particularmente en Windows, qué ocurre con todas las actualizaciones cada mes) es bastante difícil encontrar un escenario convincente en el que pueda acercarse al 100% verificación binaria (Te podría +10 si pudiera, porque has resumido todo el problema bastante bien. Es un problema difícil, especialmente si no hubo compartimentación y separación de las tareas laborales).
Evan Anderson
2
+++ Re: cambio de contraseñas de cuentas de servicio. De todos modos, esto debe documentarse a fondo, por lo que este proceso es doblemente importante si se espera que haga su trabajo.
Kara Marfia
2
@ Joe H .: No olvide verificar el contenido de dicho respaldo independientemente de la infraestructura de producción. El software de respaldo podría ser troyano. (Uno de mis clientes tenía un tercero con una instalación independiente de su aplicación LOb que fue contratada para restaurar las copias de seguridad, cargarlas en la aplicación y verificar que los estados financieros generados a partir de la copia de seguridad coincidieran con los generados por el sistema de producción. salvaje ...)
Evan Anderson
46
Gran respuesta. Además, no olvide eliminar al empleado fallecido como punto de contacto autorizado para los proveedores y proveedores de servicios. Registradores de dominios. Proveedores de servicio de Internet. Empresas de telecomunicaciones. Asegúrese de que todas estas partes externas tengan la noticia de que el empleado ya no está autorizado para realizar cambios o discutir las cuentas de la empresa.
Mox
2
"La totalidad de lo anterior puede no ser factible con los activos de la compañía, lo que requerirá contratar consultores de seguridad para realizar parte de este trabajo". Por supuesto, puede ser esta exposición la que conduzca a un compromiso. Este nivel de auditoría requiere un acceso al sistema de nivel extremadamente bajo, y por parte de personas que saben cómo ocultar cosas.
MightyE
100

Yo diría que es un balance de la cantidad de preocupación que tiene frente al dinero que está dispuesto a pagar.

Muy preocupado:
si está muy preocupado, es posible que desee contratar a un consultor de seguridad externo para que realice un análisis completo de todo desde una perspectiva externa e interna. Si esta persona fuera particularmente inteligente, podría estar en problemas, podría tener algo que estará inactivo por un tiempo. La otra opción es simplemente reconstruir todo. Esto puede sonar muy excesivo, pero aprenderá bien el entorno y también realizará un proyecto de recuperación ante desastres.

Levemente preocupado:
si solo está ligeramente preocupado, es posible que solo desee hacer:

  • Un escaneo de puertos desde el exterior.
  • Análisis de virus / spyware. Rootkit Scan para máquinas Linux.
  • Revise la configuración del firewall en busca de cualquier cosa que no entienda.
  • Cambie todas las contraseñas y busque cuentas desconocidas (asegúrese de que no activaron a alguien que ya no está en la compañía para que puedan usar eso, etc.).
  • Este también podría ser un buen momento para considerar la instalación de un Sistema de detección de intrusiones (IDS).
  • Observe los registros más de cerca de lo que normalmente lo hace.

Para el futuro:
Avanzar cuando un administrador se vaya, le dará una buena fiesta y luego, cuando esté borracho, solo ofrézcale que lo lleve a casa, luego deséchelo en el río, pantano o lago más cercano. Más en serio, esta es una de las buenas razones para darles a los administradores una generosa indemnización por despido. Desea que se sientan bien al irse lo más posible. Incluso si no deberían sentirse bien, ¿a quién le importa ?, aguanta y hazlos felices. Finge que es tu culpa y no la de ellos. El costo de un aumento en los costos del seguro de desempleo y el paquete de indemnización no se comparan con el daño que podrían causar. Se trata del camino de menor resistencia y de crear el menor drama posible.

Kyle Brandt
fuente
1
Las respuestas que no incluyen asesinato probablemente serían preferidas :-)
Jason Berg
44
+1 para la sugerencia de BOFH.
jscott
55
@Kyle: Se suponía que ese era nuestro pequeño secreto ...
GregD
44
El hombre muerto cambia, Kyle. Los ponemos allí en caso de que nos vayamos por un tiempo :) Por "nosotros", quiero decir, ¿ellos?
Bill Weiss
12
+1: es una respuesta práctica, y me gusta la discusión basada en un análisis de riesgo / costo (porque eso es lo que es). La respuesta de Sysadmin1138 es un poco más completa: el "caucho se encuentra con el camino", pero no necesariamente entra en el análisis de riesgo / costo y el hecho de que, la mayor parte del tiempo, tiene que dejar de lado algunas suposiciones como "también" remoto". (Esa puede ser la decisión equivocada, pero nadie tiene tiempo / dinero infinito).
Evan Anderson
20

No olvide los gustos de Teamviewer, LogmeIn, etc. Sé que esto ya se mencionó, pero una auditoría de software (muchas aplicaciones disponibles) de cada servidor / estación de trabajo no afectaría, incluidos los escaneos de subred (s) con nmap NSE scripts.

Marte
fuente
18

Lo primero es lo primero: obtenga una copia de seguridad de todo en el almacenamiento fuera del sitio (por ejemplo, cinta o HDD que desconecte y guarde). De esa manera, si ocurre algo malicioso, es posible que pueda recuperarse un poco.

A continuación, revise las reglas de su firewall. Cualquier puerto abierto sospechoso debe cerrarse. Si hay una puerta trasera, entonces impedir el acceso a ella sería algo bueno.

Cuentas de usuario: busque a su usuario descontento y asegúrese de eliminar su acceso lo antes posible. Si hay claves SSH, o archivos / etc / passwd, o entradas LDAP, incluso los archivos .htaccess, deberían ser escaneados.

En sus servidores importantes, busque aplicaciones y puertos de escucha activos. Asegúrese de que los procesos en ejecución adjuntos a ellos parezcan razonables.

En última instancia, un determinado empleado descontento puede hacer cualquier cosa; después de todo, tienen conocimiento de todos los sistemas internos. Uno espera que tengan la integridad de no tomar medidas negativas.

PÁGINAS.
fuente
1
las copias de seguridad también pueden ser importantes si algo sucede, y usted decide seguir la ruta del enjuiciamiento, por lo que es posible que desee averiguar cuáles son las reglas para el manejo de pruebas y asegurarse de seguirlas, por si acaso.
Joe H.
3
Pero no olvide que lo que acaba de hacer una copia de seguridad puede incluir aplicaciones rooteadas / configuración / datos, etc.
Shannon Nelson
Si tiene copias de seguridad de un sistema rooteado, entonces tiene evidencia.
XTL
17

Una infraestructura bien administrada contará con las herramientas, el monitoreo y los controles para evitar esto en gran medida. Éstos incluyen:

Si estas herramientas están instaladas correctamente, tendrá una pista de auditoría. De lo contrario, tendrá que realizar una prueba de penetración completa .

El primer paso sería auditar todos los accesos y cambiar todas las contraseñas. Concéntrese en el acceso externo y los posibles puntos de entrada: aquí es donde se dedica mejor su tiempo. Si la huella externa no está justificada, elimínela o reduzca su tamaño. Esto le dará tiempo para concentrarse en más detalles internamente. Tenga en cuenta también todo el tráfico saliente, ya que las soluciones programáticas podrían transferir datos restringidos externamente.

En última instancia, ser administrador de sistemas y redes permitirá un acceso completo a la mayoría, si no a todas las cosas. Con esto, viene un alto grado de responsabilidad. La contratación con este nivel de responsabilidad no debe tomarse a la ligera y deben tomarse medidas para minimizar el riesgo desde el principio. Si se contrata a un profesional, incluso si se va en malas condiciones, no tomaría medidas que serían poco profesionales o ilegales.

Hay muchas publicaciones detalladas sobre la falla del servidor que cubren la auditoría adecuada del sistema por seguridad, así como qué hacer en caso de terminación de alguien. Esta situación no es única de esas.

Warner
fuente
16

Un BOFH inteligente podría hacer lo siguiente:

  1. Programa periódico que inicia una conexión de salida netcat en un puerto conocido para recoger comandos. Por ejemplo, el puerto 80. Si se hace bien, el tráfico de ida y vuelta tendría la apariencia de tráfico para ese puerto. Entonces, si en el puerto 80, tendría encabezados HTTP, y la carga útil sería fragmentos incrustados en las imágenes.

  2. Comando aperiódico que busca en lugares específicos archivos para ejecutar. Los lugares pueden estar en las computadoras de los usuarios, computadoras de la red, tablas adicionales en las bases de datos, directorios temporales de archivos de spool.

  3. Programas que verifican si una o más de las otras puertas traseras todavía están en su lugar. Si no es así, se instala una variante y los detalles se envían por correo electrónico al BOFH

  4. Dado que muchas de las copias de seguridad ahora se realizan con el disco, modifique las copias de seguridad para que contengan al menos algunos de sus kits raíz.

Formas de protegerse de este tipo de cosas:

  1. Cuando un empleado de la clase BOFH se vaya, instale una nueva caja en la DMZ. Obtiene una copia de todo el tráfico que pasa por el firewall. Busque anomalías en este tráfico. Este último no es trivial, especialmente si el BOFH es bueno para imitar patrones de tráfico normales.

  2. Rehaga sus servidores para que los archivos binarios críticos se almacenen en medios de solo lectura. Es decir, si desea modificar / bin / ps, debe ir a la máquina, mover físicamente un interruptor de RO a RW, reiniciar un solo usuario, volver a montar esa partición rw, instalar su nueva copia de ps, sincronizar, reiniciar, interruptor de palanca. Un sistema hecho de esta manera tiene al menos algunos programas confiables y un núcleo confiable para realizar más trabajo.

Por supuesto, si está utilizando Windows, tiene manguera.

  1. Compartimentar su infraestructura. No es razonable con pequeñas y medianas empresas.

Formas de prevenir este tipo de cosas.

  1. Revise los solicitantes con cuidado.

  2. Averigüe si estas personas están descontentas y solucione los problemas del personal con anticipación.

  3. Cuando descarta a un administrador con este tipo de poderes, endulza el pastel:

    a. Su salario o una fracción de su salario continúa por un período de tiempo o hasta que haya un cambio importante en el comportamiento del sistema que el personal de TI no explica. Esto podría estar en una decadencia exponencial. Por ejemplo, recibe el pago completo durante 6 meses, el 80% de eso durante 6 meses, el 80 por ciento de eso durante los próximos 6 meses.

    si. Parte de su paga está en forma de opciones sobre acciones que no entran en vigencia durante uno a cinco años después de que se va. Estas opciones no se eliminan cuando se va. Tiene un incentivo para asegurarse de que la empresa funcione bien en 5 años.

sysadmin1138
fuente
1
WTF es un BOFH?
Chloe
Chloe, BOFH, significa Operador Bastardo del Infierno, el icónico y sociable sociópata megalómano megalómano paranoico, que las personas de TI que pasan demasiado tiempo levantando el mouse de alguien sueñan con convertirse. Hay una serie de historias originalmente presentadas a alt.sysadmin.recovery en bofh.ntk.net/Bastard.html en.wikipedia.org/wiki/Bastard_Operator_From_Hell
Stephanie
1
Cuanto mayor sea su puntaje de ServerFault, mayores serán sus posibilidades de ser un BOFH :-)
dunxd
"Por supuesto que si estás usando Windows, estás manguera". Quiero esto en mi pared.
programador
13

Me parece que el problema existe incluso antes de que el administrador se vaya. Es solo que uno nota el problema más en ese momento.

-> Uno necesita un proceso para auditar cada cambio, y parte del proceso es que los cambios solo se aplican a través de él.

Stephan Wehner
fuente
55
Tengo curiosidad acerca de cómo hacer cumplir este tipo de proceso?
Mr. Shiny and New 安 宇
Esto es muy difícil de hacer en una empresa pequeña (es decir, 1-2 Administración de Sistemas gente tipo)
Bip bip
Es difícil hacer cumplir, pero es exigible. Una de las grandes reglas básicas es que nadie solo inicia sesión en una caja y la administra, incluso a través de sudo. Los cambios deben pasar por una herramienta de administración de configuración, o deben ocurrir en el contexto de un evento de tipo firecall. Cada cambio de rutina a los sistemas debe pasar por títeres, cfengine, chef o una herramienta similar, y todo el trabajo para sus administradores de sistemas debe existir como un depósito controlado de versiones de estos scripts.
Stephanie
12

Asegúrese de decirles a todos en la compañía una vez que se hayan ido. Esto eliminará el vector de ataque de ingeniería social. Si la empresa es grande, asegúrese de que las personas que necesitan saber, lo sepan.

Si el administrador también fue responsable del código escrito (sitio web corporativo, etc.), también deberá realizar una auditoría de código.


fuente
12

Hay uno grande que todos quedaron fuera.

Recuerde que no hay solo sistemas.

  • ¿Los proveedores saben que esa persona no está en el personal y que no se les debe permitir el acceso (colo, telco)
  • ¿Hay algún servicio alojado externo que pueda tener contraseñas separadas (intercambio, crm)
  • ¿Podrían tener material de chantaje de todos modos?
LapTop006
fuente
9

A menos que sea realmente paranoico, mi sugerencia sería simplemente ejecutar varias herramientas de escaneo TCP / IP (tcpview, wireshark, etc.) para ver si hay algo sospechoso al intentar contactar con el mundo exterior.

Cambie las contraseñas de administrador y asegúrese de que no haya cuentas de administrador 'adicionales' que no necesiten estar allí.

Además, no olvide cambiar las contraseñas de acceso inalámbrico y verificar la configuración del software de seguridad (AV y Firewall en particular)

emtunc
fuente
+1 para cambiar las contraseñas de administrador
PP.
55
Ok, pero ten cuidado de escuchar pasivamente cosas raras porque podrías estar parpadeando cuando TRUNCATE TABLE customerse ejecuta: P
Khai
Si hay un rootkit, podría estar escuchando los cambios de contraseña.
XTL
9

Verifique los registros en sus servidores (y en las computadoras en las que trabajan directamente). Busque no solo su cuenta, sino también cuentas que no sean administradores conocidos. Busca agujeros en tus troncos. Si recientemente se borró un registro de eventos en un servidor, es sospechoso.

Verifique la fecha de modificación en los archivos en sus servidores web. Ejecute un script rápido para enumerar todos los archivos modificados recientemente y revisarlos.

Verifique la última fecha actualizada en todas sus políticas de grupo y objetos de usuario en AD.

Verifique que todas sus copias de seguridad estén funcionando y que las copias de seguridad existentes aún existan.

Compruebe los servidores donde está ejecutando los servicios de instantáneas de volumen para ver si falta el historial anterior.

Ya veo muchas cosas buenas en la lista y solo quería agregar estas otras cosas que puede verificar rápidamente. Valdría la pena hacer una revisión completa de todo. Pero comience con los lugares con los cambios más recientes. Algunas de estas cosas pueden verificarse rápidamente y pueden levantar algunas banderas rojas tempranas para ayudarlo.


fuente
7

Básicamente, diría que si tienes un BOFH competente, estás condenado ... hay muchas maneras de instalar bombas que pasarían desapercibidas. Y si su empresa se utiliza para expulsar a los "militares" de los que son despedidos, ¡asegúrese de que la bomba se coloque bien antes del despido!

La mejor manera es minimizar los riesgos de tener un administrador enojado ... Evite el "despido por reducción de costos" (si es un BOFH competente y vicioso, las pérdidas en las que pueda incurrir probablemente serán mucho mayores de lo que obtendrá el despido) ... Si cometió un error inaceptable, es mejor que lo arregle (sin pagar) como alternativa al despido ... Será más prudente la próxima vez que no repita el error (lo que será un aumento en su valor) ... Pero asegúrese de alcanzar el buen objetivo (es común que las personas incompetentes con buen carisma rechacen su propia culpa ante la competente pero menos social).

Y si se enfrenta a un verdadero BOFH en el peor sentido (y ese comportamiento es la razón del despido), será mejor que esté preparado para reinstalar desde cero todo el sistema con el que ha estado en contacto (lo que probablemente significará cada computadora)

No olvide que un solo cambio de bit puede hacer que todo el sistema se convierta en un caos ... (bit setuid, Jump if Carry to Jump if No Carry, ...) y que incluso las herramientas de compilación pueden haberse visto comprometidas.


fuente
7

Buena suerte si realmente sabe algo y establece algo por adelantado. Incluso un imbécil puede llamar / enviar por correo electrónico / fax a la compañía telefónica con desconexiones o incluso pedirles que ejecuten patrones de prueba completos en los circuitos durante el día.

En serio, mostrar un poco de amor y algunos grandes a la salida realmente disminuye el riesgo.

Ah, sí, en caso de que llamen para "obtener una contraseña o algo", recuérdeles su tarifa de 1099 y los 1 hora min y 100 gastos de viaje por llamada, independientemente de si tiene que estar en algún lugar ...

¡Oye, eso es lo mismo que mi equipaje! 1,2,3,4!


fuente
7

Sugiero que comience en el perímetro. Verifique las configuraciones de su firewall y asegúrese de no tener puntos de entrada inesperados en la red. Asegúrese de que la red esté físicamente segura contra el reingreso y acceso a cualquier computadora.

Verifique que tenga copias de seguridad totalmente funcionales y restaurables. Las buenas copias de seguridad evitarán que pierda datos si hace algo destructivo.

Verifique los servicios que están permitidos a través del perímetro y asegúrese de que se le haya denegado el acceso. Asegúrese de que esos sistemas tengan buenos mecanismos de registro de trabajo.

Zoredache
fuente
5

Eliminar todo, comenzar de nuevo;)

dmp
fuente
1
+1: si un servidor está comprometido a nivel raíz, debe comenzar de nuevo desde cero. Si no se puede confiar en el último administrador, asuma un compromiso a nivel raíz.
James L
2
Bueno ... Sí ... La mejor solución ... También es un poco difícil convencer a la gerencia para que vuelva a hacer todo. Directorio Activo. Intercambiar. SQL Sharepoint Incluso para 50 usuarios, esta no es una tarea pequeña ... mucho menos cuando es para más de 300 usuarios.
Jason Berg
@danp: Diablos sí, PAGA EN TIEMPO EXTREMO Y SIN FINES DE SEMANA. :(
jscott
1
aww, los administradores de sistemas son miserables, quién podría haber predicho: p
dmp
2
aww, los administradores de sistemas son sensatos, quién podría haber predicho. Si bien su idea tiene mérito técnico, rara vez es práctica o factible.
John Gardeniers
5

Quémalo ... quémalo todo.

Es la única forma de estar seguro.

Luego, queme todos sus intereses externos, registradores de dominios, proveedores de pago con tarjeta de crédito.

Pensándolo bien, quizás sea más fácil pedirle a cualquier compañero de Bikie que convenza al individuo de que es más saludable para ellos no molestarlo.


fuente
1
Eh, genial Entonces, si se despide a un administrador, ¿acaba con la compañía por completo? Bien, déjenme explicarles eso a los accionistas.
Piskvor
2
la única forma de estar seguro es atacarlo desde la órbita
Hubert Kario
4

Presumiblemente, un administrador competente en algún lugar del camino hizo lo que se llama una COPIA DE SEGURIDAD de la configuración del sistema base. También sería seguro asumir que hay copias de seguridad realizadas con un nivel razonable de frecuencia que permite restaurar una copia de seguridad segura conocida.

Teniendo en cuenta que algunas cosas no cambian, es una buena idea para ejecutar desde la copia de seguridad virtualizada si es posible hasta que pueda garantizar la instalación principal no se vea comprometida.

Asumiendo que lo peor se hace evidente, fusionas lo que eres capaz e ingresas a mano el resto.

Estoy sorprendido de que nadie haya mencionado el uso de una copia de seguridad segura, antes que yo. ¿Eso significa que debo enviar mi currículum a sus departamentos de recursos humanos?


fuente
¿Qué respaldo seguro? Un administrador inteligente y malvado habrá instalado la puerta trasera hace dos años.
Jakob Borg el
Copia de seguridad de datos muertos e procedimiento de instalación para ejecutables de fuentes inmaculadas. Además, las copias de seguridad de una puerta trasera son evidencia.
XTL
3

Intenta tomar su punto de vista.

Conoces tu sistema y lo que hace. Así que podrías tratar de imaginar lo que se podría inventar para conectar desde el exterior, incluso cuando ya no seas un administrador de sistemas ...

Dependiendo de cómo es la infraestructura de red y cómo funciona todo esto, usted es la mejor persona que puede saber qué hacer y dónde podría ubicarse.

Pero como pareces hablar desde un bofh experimentado , tienes que buscar cerca de todas partes ...

Seguimiento de red

Como el objetivo principal es tomar el control remoto de su sistema, a través de su conexión a Internet, puede mirar (¡incluso reemplazar porque también podría estar dañado!) El firewall e intentar identificar cada conexión activa.

La sustitución del cortafuegos no garantizará una protección completa, pero garantizará que nada quede oculto. Entonces, si observa el paquete reenviado por el firewall, debe ver todo, incluido el tráfico no deseado.

Puede usarlo tcpdumppara rastrear todo (como lo hace el paranoico de EE. UU.) Y examinar el archivo de volcado con una herramienta avanzada como wireshark. Tómese un tiempo para ver qué significa este comando (necesita 100 GB de espacio libre en el disco):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

No confíes en todo

¡Incluso si encuentras algo, no estarás seguro de que te han encontrado cosas completamente malas!

Finalmente, no estarás realmente tranquilo antes de que hayas reinstalado todo (de fuentes confiables)

F. Hauri
fuente
2

Si no puede rehacer el servidor, lo mejor que puede hacer es bloquear sus firewalls tanto como pueda. Siga todas las conexiones entrantes posibles y asegúrese de que se reduzca al mínimo absoluto.

Cambia todas las contraseñas.

Reemplace todas las claves ssh.

wolfgangsz
fuente
1

En general es bastante difícil ...

pero si es un sitio web, eche un vistazo al código justo detrás del botón Iniciar sesión.

Encontramos una cosa de tipo "if username = 'admin'" una vez ...

Mark Redman
fuente
0

En esencia, hacer que el conocimiento de las personas de TI anteriores sea inútil.

Cambie todo lo que pueda cambiar sin afectar la infraestructura de TI.

Cambiar o diversificar proveedores es otra buena práctica.

lrosa
fuente
1
No puedo entender la relevancia de los proveedores para la pregunta.
John Gardeniers
Porque el proveedor podría ser un amigo o podría estar conectado con el equipo de TI anterior. Si mantiene el mismo proveedor y cambia todo lo demás, corre el riesgo de informar al antiguo equipo de TI y hacer que todo sea inútil. Escribí esto basado en la experiencia previa.
lrosa
Bueno, a menos que haya entregado sus claves privadas al proveedor, no está seguro de lo que el equipo de TI anterior puede ganar con esto: "Entonces, como usted dice, Bob, ¿generaron nuevas claves, nuevas contraseñas y cerraron todos los accesos desde el exterior? Hmm. [Abre una computadora portátil Mac, ejecuta nmap; escribe durante dos segundos] Ok, estoy dentro ". (CUT!)
Piskvor
No se trata solo de acceso perimetral, sino de infraestructura de TI interna. Digamos que quiere llevar a cabo un ataque basado en la ingeniería social: conocer la estructura interna es muy útil (reglas de Mitnick).
lrosa