שאלה איך אתה מחפש backdoors מן אדם IT הקודם?


כולנו יודעים שזה קורה. איש IT זקן ומר עוזב דלת אחורית לתוך המערכת ואת הרשת כדי ליהנות עם החבר 'ה החדשים ולהראות לחברה כמה דברים רעים בלעדיו.

מעולם לא חוויתי זאת אישית. הכי הרבה שאני חווה הוא מישהו ששבר וגנב דברים ממש לפני שעזב. ללא שם: אני בטוח שזה קורה, אם כי.

אז, כאשר לוקחים על הרשת כי לא ממש יכול להיות מהימן, מה הצעדים שיש לנקוט כדי להבטיח הכל בטוח ומאובטח?


355
2017-08-18 15:04




+1, אני אוהב את השאלה הזו. הדבר הכי פחות אהוב שלי כאשר מתמודדים עם לקוח חדש, במיוחד אם הבחור האחרון נותר רע. - DanBig
רוב המקומות שעזבתי, לא להיות שם אומר "אל תעשה את זה" זה מספיק כדי להביא את הרשת למטה. אני לא צריך להשאיר דלתות אחוריות. - Paul Tomblin
@ פול, זה אומר שלא תיעדת כראוי. נקווה שהאדם החדש יעשה את החלק הזה של תפקידו כראוי. - John Gardeniers
@John, המשתמשים והעמיתים שלך קוראים תיעוד? היכן אוכל לקבל חלק מאלה? - Paul Tomblin
@ פול, משתמשים - לא, למה הם צריכים? עמיתים לעבודה (בהנחה שאתה מתכוון אנשי IT) - כן. קריאת המסמכים צריכה להיות הצעד הראשון בהפעלת עבודה חדשה. - John Gardeniers


תשובות:


זה באמת, באמת, ממש קשה. זה דורש ביקורת מלאה מאוד. אם אתה בטוח מאוד שהאדם הישן השאיר משהו מאחורי זה ילך בום, או לדרוש שלהם מחדש לשכור כי הם רק אחד שיכול לשים את האש, אז הגיע הזמן להניח שאתה כבר מושרשת על ידי צד עוין. תטפל בו כמו קבוצה של האקרים נכנס וגנב דברים, ואתה צריך לנקות אחרי הבלגן שלהם. כי זה מה שזה.

  • ביקורת בכל חשבון על כל מערכת כדי להבטיח שהיא קשורה עם ישות מסוימת.
    • חשבונות שנראים קשורים למערכות, אבל אף אחד לא יכול להסביר הם לא אמון.
    • חשבונות שאינם קשורים למשהו צריך להיות מטוהרים (זה צריך להיעשות בכל זאת, אבל זה חשוב במיוחד במקרה זה)
  • שנה את כל הסיסמאות ואת כל הסיסמאות שהם עשויים לבוא במגע עם.
    • זה יכול להיות בעיה אמיתית עבור חשבונות השירות כמו סיסמאות אלה נוטים לקבל מקודדים לתוך דברים.
    • אם הם היו סוג של סוג התמיכה להגיב לשיחות משתמש הקצה, להניח שיש להם את הסיסמה של כל מי שהם סייעו.
    • אם היו להם Enterprise Admin או Domain Admin ל- Active Directory, נניח שהם תפסו עותק של hashes הסיסמה לפני שהם עזבו. אלה יכולים להיות סדוק כל כך מהר עכשיו שינוי סיסמת החברה כולה יהיה צורך נאלץ בתוך ימים.
    • אם היו להם גישה שורש לכל * תיבות ניקס להניח שהם הלכו עם hashes הסיסמה.
    • סקור את כל המפתח מפתח SSH מפתח לשימוש על מנת להבטיח את המפתחות שלהם הם טיהר, וביקורת אם כל המפתחות הפרטיים נחשפו בזמן שאתה על זה.
    • אם יש להם גישה לכל ציוד הטלקום, לשנות את כל הנתב / מתג / שער / סיסמאות PBX. זה יכול להיות כאב מלכותי באמת כמו זה יכול להיות הפסקות משמעותיות.
  • מלא ביקורת הסדרי הביטחון היקפי שלך.
    • ודא שכל חורי חומת האש עוקבים אחר התקנים ויציאות מאושרים.
    • ודא שכל שיטות הגישה מרחוק (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, מה שלא יהיה) אינן מאוששות אימות נוסף, ומציעות אותן באופן מלא לשיטות גישה לא מורשות.
    • ודא שקישורי WAN מרוחקים עוקבים אחרי אנשים העובדים במלואם, ואמת זאת. חיבורים אלחוטיים במיוחד. אתה לא רוצה אותם ללכת עם חברה בתשלום מודם סלולרי או טלפון חכם. צור קשר עם כל המשתמשים כדי לוודא שיש להם את המכשיר הנכון.
  • מלא ביקורת פנימית הסדרי גישה חסוי. אלה הם דברים כמו SSH / VNC / RDP / DRAC / iLO / IMPI גישה לשרתים כי משתמשים בכלל אין, או כל גישה למערכות רגישות כמו שכר.
  • עבוד עם כל הספקים החיצוניים וספקי השירותים כדי לוודא שאנשי הקשר נכונים.
    • ודא שהם מסולקים מכל רשימות אנשי קשר ושירות. זה צריך להיעשות בכל מקרה לאחר כל עזיבה, אבל הוא חשוב במיוחד עכשיו.
    • אמת את כל אנשי הקשר הם לגיטימיים ויש להם מידע ליצירת קשר נכון, זה למצוא רוחות שניתן לחקות.
  • להתחיל לחפש פצצות לוגיות.
    • בדוק את כל אוטומציה (מתזמן המשימות, עבודות cron, רשימות שיחת UPS, או כל דבר שפועל על לוח זמנים או מופעלות על ידי אירוע) עבור סימנים של רשע. על ידי "הכל" אני מתכוון הכל. בדוק כל crontab יחיד. בדוק כל פעולה אוטומטית אחת במערכת הניטור שלך, כולל בדיקות עצמם. בדוק כל אחד מתזמן המשימות של Windows; אפילו תחנות עבודה. אלא אם כן אתה עובד עבור הממשלה באזור רגיש מאוד לא תוכל להרשות לעצמך "כל", לעשות ככל שאתה יכול.
    • אמת את הקבצים הבינאריים של המערכת בכל שרת כדי לוודא שהם מה שהם צריכים להיות. זה מסובך, במיוחד ב- Windows, וכמעט בלתי אפשרי לעשות רטרואקטיבית על מערכות חד פעמי.
    • התחל לצוד rootkits. מעצם הגדרתם קשה למצוא, אבל יש סורקים בשביל זה.

לא קל בכלל, אפילו לא קרוב. הצדקת ההוצאות של כל זה יכול להיות ממש קשה ללא הוכחה ברורה כי מנהל לשעבר עכשיו היה למעשה רע. מכלול האמור לעיל לא ניתן אפילו לביצוע עם נכסי החברה, אשר יחייב גיוס יועצים ביטחוניים לעשות חלק מהעבודה הזאת.

אם הרע בפועל הוא זוהה, במיוחד אם הרע הוא איזה סוג של תוכנה, אנשי מקצוע מאומנים הם הטובים ביותר כדי לקבוע את רוחב הבעיה. זה גם הנקודה שבה יכול להיות מקרה פלילי להתחיל להיות בנוי, ואתה באמת רוצים שאנשים שהוכשרו בטיפול בראיות יעשו את הניתוח הזה.


אבל, באמת, כמה רחוק אתה צריך ללכת? זה איפה ניהול סיכונים נכנס לשחק. באופן פשטני, זוהי השיטה של ​​איזון הסיכון הצפוי מפני הפסד. Sysadmins לעשות את זה כאשר אנחנו מחליטים איזה מחוץ לאתר אנחנו רוצים לשים גיבויים; תיבת בנקאית לעומת מרכז נתונים מחוץ לאזור. להבין כמה רשימה זו הצרכים הבאים הוא תרגיל בניהול סיכונים.

במקרה זה ההערכה תתחיל בכמה דברים:

  • רמת המיומנות הצפויה של היוצאים
  • הגישה של היוצאים
  • הציפייה כי הרע נעשה
  • הנזק הפוטנציאלי של כל רע
  • הדרישות הרגולטוריות לדיווח בוצעו נגד הרוע. בדרך כלל אתה צריך לדווח על לשעבר, אבל לא מאוחר יותר.

ההחלטה עד כמה רחוק החור ארנב למטה לצלול יהיה תלוי בתשובות לשאלות אלה. עבור יציאות מנהליות שגרתיות שבהן הציפייה לרע קלה מאוד, הקרקס המלא אינו נדרש; שינוי סיסמאות ברמת מנהל מערכת ומפתוח מחדש את כל המארחים החיצוניים הפונים אל SSH הוא כנראה מספיק. שוב, עמדת ניהול סיכונים ארגונית קובעת זאת.

עבור מנהלי אשר הופסקו בגלל סיבה, או רשע צץ לאחר עזיבתו נורמלי אחרת שלהם, הקרקס הופך נחוץ יותר. התרחיש הגרוע ביותר הוא פרנואידי מסוג BFH אשר הודיע ​​כי עמדתם ייעשה מיותר ב 2 שבועות, כמו זה נותן להם מספיק זמן כדי להתכונן; בנסיבות כאלה הרעיון של קייל על חבילת ניתוק נדיבה יכול להקל על כל סוג של בעיות. אפילו פרנואידים יכולים לסלוח הרבה חטאים לאחר בדיקה המכילה 4 חודשים לשלם מגיע. בדיקה זו תהיה כנראה עלות פחות מאשר העלות של היועצים הביטחוניים צורך לחסל את הרוע שלהם.

אבל בסופו של דבר, זה מגיע עד עלות לקבוע אם הרע נעשה לעומת העלות הפוטנציאלית של כל הרוע בעצם נעשה.


329
2017-08-18 15:40



+1 - מצב האמנות לגבי ביקורת קבצים בינאריים הוא די רע היום. מחשב כלי זיהוי פלילי יכול לעזור לך לאמת חתימות על קבצים בינאריים, אבל עם התפשטות של גירסאות בינאריות שונות (במיוחד ב- Windows, מה w / כל העדכונים מתרחש בכל חודש) זה די קשה לבוא עם תרחיש משכנע שבו אתה יכול להתקרב 100% אימות בינארי. (אני הייתי יכול אילו הייתי יכול, כי סיכמת את כל הבעיה די טוב, זו בעיה קשה, במיוחד אם לא היה מחלקה והפרדת תפקידים). - Evan Anderson
+ + Re: שינוי סיסמאות חשבון שירות. זה צריך להיות מתועד היטב בכל מקרה, ולכן תהליך זה הוא חשוב כפליים אם אתה צפוי להיות עושה את העבודה שלך. - Kara Marfia
@Joe H: אל תשכח לאמת את תוכן הגיבוי האמור באופן עצמאי מתשתית הייצור. תוכנת גיבוי יכול להיות trojanized. (אחד הלקוחות שלי היה צד שלישי w / התקנה עצמאית של יישום LOB שלהם אשר היה חוזה לשחזר גיבויים, לטעון אותם לתוך היישום, ולוודא כי הדוחות הכספיים שנוצר מתוך גיבוי מתאימים אלה שנוצר על ידי מערכת הייצור. פראי ...) - Evan Anderson
תשובה טובה. כמו כן, אל תשכחו להסיר את העובד היוצא כנקודת קשר מורשית עבור ספקי שירות וספקים. רשם דומיינים. ספקי שירותי אינטרנט. חברות תקשורת. ודא שכל הצדדים החיצוניים מקבלים את העובדה שהעובד אינו מורשה עוד לבצע שינויים או לדון בחשבונות החברה. - Mox
"כל האמור לעיל לא יכול להיות אפילו אפשרי עם נכסי החברה, אשר יחייב שכירת יועצים ביטחוניים לעשות חלק מהעבודה הזאת." - כמובן זה יכול להיות זה חשיפה המביאה לפשרה. רמה זו של ביקורת דורשת גישה מערכתית ברמה נמוכה ביותר - ועל ידי אנשים אשר יודע איך להסתיר דברים. - MightyE


הייתי אומר שזה מאזן של כמה דאגה יש לך לעומת הכסף שאתה מוכן לשלם.

מודאג מאוד:
אם אתה מודאג מאוד אז אולי כדאי לך לשכור יועץ אבטחה חיצוני לעשות סריקה מלאה של כל דבר, הן מתוך פרספקטיבה חיצונית והן פנימית. אם אדם זה היה חכם במיוחד אתה יכול להיות בצרות, אולי יש להם משהו יהיה רדום במשך זמן מה. האפשרות השנייה היא פשוט לבנות מחדש את הכל. זה אולי נשמע מוגזם מאוד, אבל תלמד את הסביבה היטב ואתה עושה פרויקט התאוששות מאסון גם כן.

מודאג מעט:
אם אתה רק מודאג מעט אתה יכול רק רוצה לעשות:

  • יציאת סריקה מבחוץ.
  • סריקת וירוסים / תוכנות ריגול. רוטקיט סריקה עבור מכונות לינוקס.
  • חפש את תצורת חומת האש עבור כל דבר שאינך מבין.
  • לשנות את כל הסיסמאות ולחפש את כל החשבונות לא ידוע (ודא שהם לא להפעיל מישהו שהוא כבר לא עם החברה כדי שיוכלו להשתמש בו וכו ').
  • זה עשוי גם להיות זמן טוב להסתכל לתוך התקנת מערכת איתור חדירה (IDS).
  • צפה ביומנים באופן הדוק יותר ממה שאתה עושה בדרך כלל.

בשביל העתיד:
הולך קדימה כאשר מנהל משאיר לתת לו מסיבה יפה ולאחר מכן כאשר הוא שיכור רק להציע לו טרמפ הביתה - ואז להיפטר ממנו את הנהר הקרוב ביותר, ביצה, או אגם. יותר ברצינות, זו אחת הסיבות הטובות לתת למנהלים פיצויים נדיבים. אתה רוצה שהם ירגישו בסדר לגבי לעזוב כמה שיותר. גם אם הם לא צריכים להרגיש טוב, למי אכפת?, למצוץ אותו ולעשות אותם מאושרים. להעמיד פנים שזה באשמתך ולא שלהם. עלות העלאת עלויות ביטוח אבטלה וחבילת פיטורין אינה משתווה לנזק שהם יכולים לעשות. זה הכל על הנתיב של התנגדות לפחות ויצירת דרמה קטנה ככל האפשר.


98
2017-08-18 15:18



תשובות שאינן כוללות רצח היו מעדיפות כנראה :-) - Jason Berg
1+ עבור ההצעה BOFH. - jscott
@Kyle: זה היה אמור להיות הסוד הקטן שלנו ... - GregD
מתים מתים, קייל. שמנו אותם שם למקרה נלך משם במשך זמן מה :) על ידי "אנחנו", אני מתכוון, אה, הם? - Bill Weiss
+1 - זוהי תשובה מעשית, ואני אוהב את הדיון מבוסס על ניתוח סיכונים / עלות (כי זה מה שזה). התשובה של Sysadmin1138 היא חזרה קצת יותר מקיפה: "הגומי פוגש את הדרך", אבל לא בהכרח נכנס לתוך הסיכון / עלות ניתוח והעובדה, רוב הזמן, אתה צריך לקבוע כמה הנחות בצד להיות "מדי מרוחק ". (זו עשויה להיות החלטה שגויה, אבל לאף אחד אין זמן / כסף אינסופי.) - Evan Anderson


לא לשכוח את אוהב של Teamviewer, LogmeIn, וכו '... אני יודע שזה כבר הוזכר, אבל ביקורת תוכנה (יישומים רבים שם בחוץ) של כל שרת / תחנת עבודה לא יזיק, כולל סריקות המשנה (s) עם nmap של תסריטים NSE.


19
2017-08-24 22:40





ראשית, ראשית - קבל גיבוי של כל דבר באחסון מחוץ לאתר (למשל סרט, או כונן קשיח שאתה מנתק ומאחסן). בדרך זו, אם משהו זדוני מתרחש, ייתכן שתוכל לשחזר קצת.

לאחר מכן, מסרק דרך כללי חומת האש שלך. יש לסגור את כל היציאות הפתוחות החשודות. אם יש דלת אחורית ואז למנוע גישה אליו יהיה דבר טוב.

חשבונות משתמשים - חפש את המשתמש הממורמר שלך וודא שהגישה שלהם מוסרת בהקדם האפשרי. אם יש מפתחות SSH, או / etc / passwd קבצים, או ערכי LDAP, אפילו. קבצי htaccess, צריך להיות סרק.

על השרתים החשובים שלך לחפש יישומים יציאות האזנה פעילה. ודא את תהליכי ריצה המצורפת להם נראה הגיוני.

בסופו של דבר, עובד ממורמר נחוש יכול לעשות הכל - אחרי הכל, יש להם ידע על כל המערכות הפנימיות. אחד מקווה שיש להם את שלמות לא לנקוט פעולה שלילית.


18
2017-08-18 15:25



גיבויים עשויים להיות חשובים גם אם משהו קורה, ואתה מחליט ללכת עם התוואי התביעה, אז אולי כדאי לך לברר מה הכללים לטיפול הראיות הם, ולוודא שאתה עוקב אחריהם, רק במקרה. - Joe H.
אבל אל תשכח כי מה יש לך רק מגובה עשוי לכלול יישומים / config / נתונים מושרשת וכו ' - Shannon Nelson
אם יש לך גיבויים של מערכת מושרשת, אז יש לך ראיות. - XTL


תשתית מנוהלת היטב תהיה כלים, ניטור, ובקרות במקום כדי למנוע זאת. אלו כוללים:

אם כלים אלה נמצאים במקום כראוי, יהיה לך שביל ביקורת. אחרת, אתה הולך לעשות מלא בדיקה חדירה.

הצעד הראשון יהיה לבדוק את כל הגישה ולשנות את כל הסיסמאות. התמקד בגישה חיצונית ובנקודות כניסה פוטנציאליות - זה המקום שבו הזמן שלך הוא הטוב ביותר. אם טביעת הרגל החיצונית אינה מוצדקת, מחק אותה או כווץ אותה. זה יאפשר לך זמן להתמקד יותר של הפרטים פנימי. להיות מודעים לכל תעבורה יוצאת גם, כמו פתרונות תכנותי יכול להיות העברת נתונים מוגבלים חיצונית.

בסופו של דבר, להיות מערכות ומנהל הרשת יאפשר גישה מלאה לרוב אם לא כל הדברים. עם זאת, מגיע ברמה גבוהה של אחריות. שכירת רמת אחריות זו לא צריכה להיעשות בקלילות ויש לנקוט בצעדים כדי למזער את הסיכון מלכתחילה. אם הוא שכיר מקצועי, אפילו לעזוב בתנאים רעים, הם לא ינקטו פעולות זה יהיה מקצועי או לא חוקי.

ישנן הודעות מפורטות רבות על שגיאת שרת המכסים ביקורת מערכת נאותה עבור אבטחה, כמו גם מה לעשות במקרה של סיום של מישהו. מצב זה אינו ייחודי מאלה.


17
2017-08-18 15:31





BOPH חכם יכול לעשות כל אחד מהבאים:

  1. תוכנית תקופתיים המפעילה חיבור יוצא Netcat על נמל ידוע להרים פקודות. למשל נמל 80. אם נעשה היטב את התנועה הלוך ושוב יהיה את המראה של התנועה עבור הנמל. אז אם על יציאה 80, זה יהיה כותרות HTTP, ואת המטען יהיה גושים מוטבע בתמונות.

  2. הפקודה Aperiodic זה נראה במקומות ספציפיים עבור קבצים לבצע. מקומות יכולים להיות במחשבים משתמשים, מחשבים ברשת, טבלאות נוספות במסדי נתונים, ספריות קבצים זמניים.

  3. תוכניות לבדוק אם אחד או יותר של backdoors אחרים עדיין במקום. אם זה לא, אז גרסה על זה מותקן, ואת הפרטים שנשלחו אל BOFH

  4. מאז הרבה בדרך של גיבויים נעשה עכשיו עם הדיסק, לשנות את הגיבויים להכיל לפחות כמה ערכות השורש שלך.

דרכים להגן על עצמך מפני דברים כאלה:

  1. כאשר עובד בכיתה BOFH משאיר, להתקין תיבה חדשה DMZ. זה מקבל עותק של כל תנועה חולפת חומת האש. חפש חריגות בתנועה זו. האחרון הוא לא טריוויאלי, במיוחד אם ה- BOFH טוב בחיקוי דפוסי תנועה נורמליים.

  2. בצע שוב את השרתים כך שקבצים בינאריים קריטיים יישמרו באמצעי קריאה בלבד. כלומר, אם אתה רוצה לשנות / bin / ps, אתה צריך ללכת אל המכונה, להעביר פיזית לעבור מ RO ל RW, לאתחל מחדש משתמש יחיד, remount כי RW מחיצה, להתקין את העותק החדש של PS, סינכרון, אתחול מחדש, מתג. מערכת שנעשתה בדרך זו יש לפחות כמה תוכניות מהימן קרנל אמין לעשות עבודה נוספת.

כמובן, אם אתה משתמש בחלונות, אתה hosed.

  1. למדוד את מבנה האינפרה שלך. לא סביר עם חברות קטנות עד בינוניות.

דרכים למנוע דברים כאלה.

  1. מועמדים הווטרינר בזהירות.

  2. גלה אם אנשים אלה ממורמרים ולתקן את בעיות כוח אדם מראש.

  3. כאשר אתה פוטר מנהל עם סוגים אלה של כוחות להמתיק את העוגה:

    א. משכורתו או חלק קטן משכרו ממשיכים לתקופה של זמן או עד שיש שינוי משמעותי בהתנהגות המערכת שאינה מוסברת על ידי צוות ה- IT. זה יכול להיות על ריקבון מעריכי. למשל הוא מקבל תשלום מלא עבור 6 חודשים, 80% מזה 6 חודשים, 80 אחוזים כי עבור 6 החודשים הקרובים.

    .ב חלק משכרו הוא בצורה של אופציות שלא ייכנסו לתוקף למשך שנה עד חמש שנים אחרי שיצא. אפשרויות אלה אינן מוסרות כאשר הוא עוזב. יש לו תמריץ לוודא שהחברה תפעל היטב בעוד 5 שנים.


16
2017-08-25 15:37



WTF הוא BOFH ?? - Chloe
קלואי, בופה מייצג את הממזר המפענח מהגיהינום, הסנופטיסט הפרנואידי-הזוי של הסוציופט הסוציופטי, שאנשי IT שמבלים יותר מדי זמן בהרים עכבר של מישהו מחלום הרצפה. יש סדרה של סיפורים שהוצגו במקור alt.sysadmin.recovery ב bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
ככל שרמת ה- ServerFault שלך גבוהה יותר הסיכוי שלך להיות BOFH :-) - dunxd
"כמובן אם אתה משתמש בחלונות, אתה hosed." אני רוצה את זה על הקיר שלי. - programmer5000


זה נראה לי כי הבעיה קיימת עוד לפני מנהל משאיר. זה רק כי אחד מבחין בבעיה יותר באותו זמן.

- אחד צריך תהליך לביקורת כל שינוי, וחלק מהתהליך הוא כי השינויים מיושמים רק באמצעות זה.


13
2017-08-24 22:55



אני סקרן לדעת איך אתה אוכף את התהליך הזה? - Mr. Shiny and New 安宇
זה די קשה לעשות בחברה קטנה (כלומר, 1-2 אנשים Sys Admin) - Beep beep
זה כאב לאכוף, אבל זה אכיפה. אחד הכללים הקרקע גדול הוא שאף אחד לא פשוט נכנס לקופסה ומנהלת אותו, אפילו דרך sudo. השינויים צריכים לעבור דרך כלי ניהול תצורה, או להתרחש בהקשר של אירוע מסוג firecall. כל שינוי שגרתי אחד במערכות צריך לעבור בובות, cfengine, שף, או כלי דומה, ואת כל הגוף של העבודה שלך sysadmins צריך להתקיים כמו גירסה מבוקרת גירסה של סקריפטים אלה. - Stephanie