Después de leer esta pregunta sobre un compromiso del servidor , comencé a preguntarme por qué las personas continúan creyendo que pueden recuperar un sistema comprometido utilizando herramientas de detección / limpieza, o simplemente arreglando el agujero que se utilizó para comprometer el sistema.
Dadas todas las diversas tecnologías del kit raíz y otras cosas que un hacker puede hacer, la mayoría de los expertos sugieren que debe reinstalar el sistema operativo .
Espero tener una mejor idea de por qué más personas no solo despegan y atacan el sistema desde la órbita.
Aquí hay un par de puntos que me gustaría ver abordados.
- ¿Existen condiciones en las que un formato / reinstalación no limpiaría el sistema?
- ¿En qué tipo de condiciones cree que se puede limpiar un sistema y cuándo debe realizar una reinstalación completa?
- ¿Qué razonamiento tiene contra hacer una reinstalación completa?
- Si elige no volver a instalar, entonces, ¿qué método utiliza para estar razonablemente seguro de que ha limpiado y evitado que ocurran daños adicionales nuevamente?
Basado en una publicación que escribí hace mucho tiempo atrás, cuando todavía podía molestarme en blog.
Esta pregunta sigue siendo formulada repetidamente por las víctimas de los piratas informáticos que irrumpieron en su servidor web. Las respuestas rara vez cambian, pero la gente sigue haciendo la pregunta. No estoy seguro de por qué. Quizás a las personas simplemente no les gustan las respuestas que han visto al buscar ayuda, o no pueden encontrar a alguien en quien confíen para que les dé consejos. O tal vez las personas leen una respuesta a esta pregunta y se centran demasiado en el 5% de por qué su caso es especial y diferente de las respuestas que pueden encontrar en línea y pierden el 95% de la pregunta y responden cuando su caso es lo suficientemente similar como el que leen en línea.
Eso me lleva a la primera pepita importante de información. Realmente aprecio que seas un copo de nieve único y especial. Aprecio que su sitio web también lo sea, ya que es un reflejo de usted y su negocio o, al menos, su arduo trabajo en nombre de un empleador. Pero para alguien en el exterior que mira hacia adentro, ya sea una persona de seguridad informática que busca el problema para tratar de ayudarlo o incluso al atacante mismo, es muy probable que su problema sea al menos 95% idéntico a cualquier otro caso alguna vez mirado.
No tome el ataque personalmente, y no tome las recomendaciones que siguen aquí o que reciba personalmente de otras personas. Si está leyendo esto después de ser víctima de un hack de un sitio web, lo siento mucho y realmente espero que pueda encontrar algo útil aquí, pero este no es el momento para permitir que su ego se interponga en lo que necesita. hacer.
Acabas de descubrir que tus servidores fueron pirateados. ¿Ahora que?
No te asustes. Absolutamente no actúes apresuradamente, y absolutamente no intentes fingir que las cosas nunca sucedieron y no actúes en absoluto.
Primero: entienda que el desastre ya ha sucedido. Este no es el momento para la negación; Es el momento de aceptar lo que sucedió, de ser realista al respecto y de tomar medidas para manejar las consecuencias del impacto.
Algunos de estos pasos van a doler, y (a menos que su sitio web tenga una copia de mis datos) Realmente no me importa si ignora todos o algunos de estos pasos, pero hacerlo mejorará las cosas al final. El medicamento puede tener un sabor horrible, pero a veces tienes que pasarlo por alto si realmente quieres que funcione la cura.
Evite que el problema empeore de lo que ya es:
¿Todavía dudando en dar este último paso? Entiendo, lo hago. Pero míralo así:
En algunos lugares, es posible que tenga un requisito legal para informar a las autoridades y / o las víctimas de este tipo de violación de la privacidad. Por más molestos que estén tus clientes por que les cuentes un problema, estarán mucho más molestos si no les cuentas, y solo se enteran por sí mismos después de que alguien cobra $ 8,000 en bienes utilizando los datos de la tarjeta de crédito robado de su sitio.
¿Recuerdas lo que dije anteriormente? Lo malo ya ha sucedido . La única pregunta ahora es qué tan bien lo manejas.
Comprende el problema completamente:
Haga un plan de recuperación y vuelva a poner en línea su sitio web y sígalo:
Nadie quiere estar desconectado por más tiempo del que tiene que estar. Eso es un hecho. Si este sitio web es un mecanismo generador de ingresos, la presión para volver a ponerlo en línea rápidamente será intensa. Incluso si lo único que está en juego es la reputación de su empresa, esto generará mucha presión para que las cosas vuelvan a funcionar rápidamente.
Sin embargo, no cedas a la tentación de volver a conectarte demasiado rápido. En lugar de eso, muévase lo más rápido posible para comprender qué causó el problema y resolverlo antes de volver a conectarse o, de lo contrario, seguramente será víctima de una intrusión una vez más, y recuerde, "ser pirateado una vez puede clasificarse como una desgracia; ser pirateado nuevamente inmediatamente después parece descuido "(con disculpas a Oscar Wilde).
Reduciendo el riesgo en el futuro.
Lo primero que debe comprender es que la seguridad es un proceso que debe aplicar durante todo el ciclo de vida del diseño, la implementación y el mantenimiento de un sistema con conexión a Internet, no es algo que luego pueda aplicar algunas capas sobre su código como algo barato. pintar. Para que sea seguro, un servicio y una aplicación deben diseñarse desde el principio teniendo esto en cuenta como uno de los principales objetivos del proyecto. Me doy cuenta de que es aburrido y lo has escuchado todo antes y que "simplemente no me doy cuenta de la presión" de poner tu servicio beta web2.0 (beta) en estado beta en la web, pero el hecho es que esto mantiene repitiéndose porque era cierto la primera vez que se dijo y aún no se ha convertido en una mentira.
No puedes eliminar el riesgo. Ni siquiera deberías intentar hacer eso. Sin embargo, lo que debe hacer es comprender qué riesgos de seguridad son importantes para usted y comprender cómo administrar y reducir tanto el impacto del riesgo como la probabilidad de que ocurra.
¿Qué pasos puedes tomar para reducir la probabilidad de que un ataque sea exitoso?
Por ejemplo:
¿Qué pasos puedes tomar para reducir las consecuencias de un ataque exitoso?
Si decide que el "riesgo" de la inundación del piso inferior de su casa es alto, pero no lo suficientemente alto como para justificar el traslado, al menos debe trasladar las reliquias familiares insustituibles al piso de arriba. ¿Derecho?
... Y finalmente
Probablemente he dejado de lado un sinfín de cosas que otros consideran importantes, pero los pasos anteriores deberían al menos ayudarlo a comenzar a resolver las cosas si tiene la mala suerte de ser víctima de piratas informáticos.
Sobre todo: no se asuste. Piensa antes de actuar. Actúe con firmeza una vez que haya tomado una decisión y deje un comentario a continuación si tiene algo que agregar a mi lista de pasos.
fuente
Siempre atáquelo desde la órbita. Es la única forma de estar seguro.
(fuente: flickr.com )
La mayoría de los sistemas son entidades holísticas que tienen una confianza interna implícita. Confiar en un sistema comprometido es una declaración implícita en la que confías, quienquiera que haya cometido la violación de tu sistema. En otras palabras:
No puedes confiar en eso. No te molestes con la limpieza. Desconecte y aísle la máquina de inmediato. Comprenda la naturaleza de la violación antes de continuar, de lo contrario, invitará a lo mismo nuevamente. Intente, si es posible, obtener la fecha y hora de la infracción, de modo que tenga un marco de referencia. Necesita esto porque si restaura desde la copia de seguridad, debe asegurarse de que la copia de seguridad en sí no tenga una copia del compromiso. Limpie antes de restaurar, no tome atajos.
fuente
Hablando en términos prácticos, la mayoría de las personas no lo hacen porque piensan que tomará demasiado tiempo o será demasiado perjudicial. He informado a innumerables clientes sobre la probabilidad de que continúen los problemas, pero un tomador de decisiones a menudo derriba una reinstalación por una de esas razones.
Dicho esto, en los sistemas en los que estoy seguro de que conozco el método de entrada y el alcance total del daño (registros sólidos fuera de la máquina, generalmente con un IDS, tal vez SELinux o algo similar que limite el alcance de la intrusión), haber hecho una limpieza sin reinstalar sin sentirme demasiado culpable.
fuente
Lo más probable es que no tengan una rutina de recuperación de desastres que se haya probado lo suficiente como para sentirse seguros de hacer una reconstrucción, o no está claro cuánto tiempo tomaría o cuál sería el impacto ... o las copias de seguridad no son confiables o sus analistas de riesgo No entiendo el alcance de un sistema comprometido. Se me ocurren muchas razones.
Yo diría que es algo que está mal en las rutinas y políticas básicas y que no es algo que desearía admitir abiertamente, sino que adopta una postura defensiva. Al menos no puedo ver ni defender no borrar un sistema comprometido sin importar el ángulo que lo mires.
fuente
Anteriormente no he eliminado el sistema para poder hacer un análisis del vector en el que se encontraron y el posterior análisis del uso y ver dónde llegaron al interior.
Una vez que haya sido rooteado, tiene un honeypot en vivo y puede ofrecer mucho más que solo el truco. - Especialmente para la policía.
fuente