Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin
HTML
<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>
Table of Contents
maxLevel3
minLevel2
maxLevel3
typeflat

...

Bearbeiten von Sicherheitsvorfällen

...

Die Benachrichtigung

Wenn das ACOnet-CERT einen IT-Sicherheitsvorfall im ACOnet erkennt , erhalten die zuständigen Security-Ansprechpartner eine Verständigung per E-Mail. oder darüber informiert wird, sendet es eine E-Mail-Nachricht an den Security-Kontakt des jeweiligen ACOnet-Teilnehmers (z.B. Universität, Fachhochschule, Studentenheimträger, Museum, etc...). Darin steht:

  • wo der Vorfall passiert ist (die IP-Adresse, Webseite, ...),
  • worin das Problem besteht (Virus-Infektion, Spamversand, DoS-Angriffe, ...),
  • anhand welcher Informationen Hinweise (Logfiles, Blacklisteneinträge, ...) das CERT das Problem erkannt hat,
  • soweit möglich und sinnvoll auch Hintergrundinformationen, Erläuterungen, Empfehlungen,
  • eine Bitte um Rückmeldung,
  • eine elektronische Unterschrift.

fixme: screenshot

Was ist zu tun?

Was macht der Security-Kontakt?

Jede Organisation im ACOnet organisiert ihre Prozesse zur Behandlung von Sicherheitsvorfällen entsprechend ihren Möglichkeiten und Bedürfnissen selbst. Im Wesentlichen geht es darum, die zuständigen Personen (z.B. Systemadministratoren) zu ermitteln und zu veranlassen, daß das Problem behoben wird.

In den meisten Fällen ist ein Computer mit Schadsoftware infiziert worden. Oft reicht ein (aktualisierter) Virenscanner aus, um die Schädlinge loszuwerden, mitunter wird eine Boot-CD benötigt, um den Scan von einem sicheren Betriebssystem aus durchzuführen. Übrigens heißt ein Malwarebefall Die meisten Nachrichten des CERT betreffen einen Computer, den auf irgendeine Weise ein Virus (bzw. Wurm, Trojaner, ...) befallen hat. Übrigens heißt das das keineswegs, daß der Computer schlecht gewartet wäre oder daß damit zweifelhafte Webseiten aufgerufen worden wären – wichtig ist allein, umgehend, besonnen und zielgerecht zu handeln. Oft reicht der Einsatz eines Virenscanners – hierbei hilft der Support der jeweiligen Einrichtung.!

Seltener sind die Fälle, wo in einen Server eingebrochen wurde und z.B. Phishing-Seiten auf einen Server gelangt sind. Dies ist stets eine Herausforderung für die/den Systemadministrator/in/n/en, denn es muß:

  • zunächst das offensichtiche Symptom (Phishing-Seite, ...) behoben werden,
  • die dafür Sicherheitslücke identifiziert und geschlossen werden,
  • genau untersucht werden, welche Manipulationen außerdem am Server vorgenommen wurden (z.B. Entwenden von Paßwörtern, Infektion von Dateien, Installation von Backdoors, Rootkits...),

...

  • hilfreich wäre es

...

  • , gegebenenfalls im Zuge der Untersuchung weitere betroffene Systeme (z.B. Angreifer) zu identifizieren.

Wie erfährt

...

das CERT von den Problemen?

Die Informationsquellen des CERT umfassen neben Daten aus dem ACOnet-eigenen Betriebsbereich (z.B. Netzwerstatistiken, diverse Sensoren) auch Informationen von Dritten (z.B. einschlägige Websites, Blacklisten, etc...) und natürlich auch Meldungen und Beschwerden, die individuell an das CERT herangetragen werden.

Natürlich prüft das CERT Das CERT prüft und bewertet diese Informationen im Rahmen seiner Möglichkeiten und Erfahrungen mit höchstmöglicher Sorgfalt, aber Irrtümer und Fehldiagnosen sind nicht unvermeidlich. Dabei gilt es ist immer abzuwägen:

  • das Risiko, vor einem Problem zu warnen, das es nicht gibt, gegen
  • das Risiko, vor einem tatsächlichen Problem vorsichtshalber nicht gewarnt zu haben.

Das CERT ist bemüht, möglichst transparent die ihm vorliegenden Informationen auch an die ACOnet-Teilnehmer weiterzugeben. Dazu gibt es in diesem Wiki eine Fülle von Material, das bei der Interpretation dieser Daten helfen sollIn diesem Sinn werden die häufigsten Hinweise in den E-Mail-Benachrichtigungen des CERT mit einem Tag versehen, anhand dessen weitere Informationen dazu auf der Seite Incident Handling - Tags abgerufen werden können.

Weitere Unterstützung

Das ACOnet-CERT kann leider keine Unterstützung für Endanwender anbieten, für das Security-Management ist jeder ACOnet-Teilnehmer primär selbst verantwortlich.-Team unterstützt die Security-Kontaktpersonen der ACOnet-Teilnehmer bei Bedarf:

  • durch seine Kontakte zu Herstellern und Firmen
  • mit Informationen, die CERT-Kreisen vorbehalten sind
  • durch die gesammelten Erfahrungen aus dem ACOnet
  • indem es den Kontakt mit einschlägigen Experten in der Community herstellt.

Es versteht sich von selbst, daß das CERT dabei stets die nötige Diskretion walten läßt und auf allfällige Geheimhaltungsvereinbarungen Bedacht nimmt.

Das ACOnet-CERT-Team kann leider keine Unterstützung für Endanwender anbieten. Schon aus personellen Gründen ist das nicht denkbar, wäre aber auch nicht sinnvoll, da das CERT nicht über die lokalen Gegebenheiten bescheid weiß, wie z.B. Campus-Lizenzen, Organisation des Netzwerks, Zuständigkeiten, Services, Logfiles...

Anwender wenden sich bitte an ihre Netzwerkadministratoren oder den Helpdesk der eigenen InstitutionFür die Security-Ansprechpartner der ACOnet-Teilnehmer versucht das CERT jedoch gerne, entweder selbst weiterzuhelfen, relevante Informationsquellen ausfindig zu machen oder den Kontakt zu hilfsbereiten Experten aus der Community zu vermitteln.

Bitte um Rückmeldungen

Das CERT ersucht um Rückmeldungen, wenn und wie der ein Fall gelöst wurde:

  • für die oben erwähnte Bewertung der Problemhinweise ist die Erfahrung "im Feld" nötig
  • das macht es möglich, frühzeitig zu warnen, sollte die Problembehebung fehlgeschlagen sein
  • zu wissen, welche Malware oder Hackmethoden häufig auftreten, macht es dem CERT möglich, gezielt nach weiteren eventuell ebenso betroffenen Rechnern zu suchen
  • können beteiligte Rechner – als Angreifer oder als Opfer – identifiziert werden, verständigt das CERT auf geeignete Weise die jeweils in Frage kommenden CERTs, Netzbetreiber, etc.
  • gesammelte Erfahrungen fließen in die Behandlung weiterer Fälle ein

Routinemäßig beobachtet das CERT auch vorerst abgeschlossene Fälle noch mindestens eine weitere Woche. Das hat einerseits den Zweck, spät eintreffende Hinweise noch richtig zuordnen zu können, und andererseits sicherzugehen, daß das Problem tatsächlich gelöst werden konnte.

Das Kleingedruckte

Hinweise und Empfehlungen des CERT müssen von den ACOnet-Teilnehmern selbst auf ihre Richtigkeit und Anwendbarkeit geprüft werden! Da die Tätigkeit des CERT regelmäßig darin besteht, vage, unvollständige, mehrdeutige Informationen, häufig von Dritten, zu deuten, muß es zwangsläufig manchmal zu Fehlinterpretationen kommen. Das ACOnet bzw. ACOnet-CERT kann daher keine Haftung für im Rahmen des CERT-Service getroffene Aussagen übernehmen.

Das CERT empfiehlt ganz besonders, die Gültigkeit der elektronischen GPG-Signatur zu prüfen, um die Authentizität unserer Hinweise sicherzustellen.