Lösen von Sicherheitsvorfällen
Der Alarm (fixme – titel)
Wenn das ACOnet-CERT einen IT-Sicherheitsvorfall im ACOnet erkennt, erhalten die zuständigen Security-Ansprechpartner eine Verständigung per E-Mail. Darin steht:
- wo der Vorfall passiert ist (die IP-Adresse, Webseite, ...),
- worin das Problem besteht (Spamversand, DoS-Angriffe, ...),
- anhand welcher Hinweise (Logfiles, Blacklisteneinträge, ...) das CERT das Problem erkannt hat,
- soweit möglich und sinnvoll auch Hintergrundinformationen, Erläuterungen, Empfehlungen,
- eine Bitte um Rückmeldung,
- eine elektronische Unterschrift.
fixme: screenshot
Was ist zu tun?
Die meisten Nachrichten des CERT betreffen einen Computer, den auf irgendeine Weise ein Virus (bzw. Wurm, Trojaner, ...) befallen hat. Übrigens heißt das das keineswegs, daß der Computer schlecht gewartet wäre oder daß damit zweifelhafte Webseiten aufgerufen worden wären – wichtig ist allein, umgehend, besonnen und zielgerecht zu handeln. Oft reicht der Einsatz eines Virenscanners – hierbei hilft der Support der jeweiligen Einrichtung.
Seltener sind die Fälle, wo in einen Server eingebrochen wurde und z.B. Phishing-Seiten auf einen Server gelangt sind. Dies ist stets eine Herausforderung für die/den Systemadministrator/in/n/en, denn es muß:
- zunächst das offensichtiche Symptom (Phishing-Seite, ...) behoben werden,
- die dafür Sicherheitslücke identifiziert und geschlossen werden,
- genau untersucht werden, welche Manipulationen außerdem am Server vorgenommen wurden (z.B. Entwenden von Paßwörtern, Infektion von Dateien...)
Da es letztlich darauf ankommt, daß das Problem gelöst wird, wird es in der Regel so sein, daß der Security-Kontakt die/der zuständige Benutzer/in oder Systemadaministrator/in verständigt und darauf achtet, daß die notwendigen Maßnahmen tatsächlich getroffen werden.
Woher weiß das CERT von den Problemen?
Die Informationsquellen des CERT umfassen neben Daten aus dem ACOnet-eigenen Betriebsbereich (z.B. Netzwerstatistiken, diverse Sensoren) auch Informationen von Dritten (z.B. einschlägige Websites, Blacklisten, etc...) und natürlich auch Meldungen und Beschwerden, die an das CERT herangetragen werden.
Natürlich prüft das CERT diese Informationen mit höchstmöglicher Sorgfalt, aber Irrtümer und Fehldiagnosen sind nicht unvermeidlich. Dabei gilt es abzuwägen:
- das Risiko, vor einem Problem zu warnen, das es nicht gibt, gegen
- das Risiko, vor einem tatsächlichen Problem vorsichtshalber nicht gewarnt zu haben.
Das CERT ist bemüht, möglichst transparent die ihm vorliegenden Informationen auch an die ACOnet-Teilnehmer weiterzugeben. Dazu gibt es in diesem Wiki eine Fülle von Material, das bei der Interpretation dieser Daten helfen soll.
Weitere Unterstützung
Das ACOnet-CERT kann leider keine Unterstützung für Endanwender anbieten, für das Security-Management ist jeder ACOnet-Teilnehmer primär selbst verantwortlich.
Für die Security-Ansprechpartner der ACOnet-Teilnehmer versucht das CERT jedoch gerne, entweder selbst weiterzuhelfen, relevante Informationsquellen ausfindig zu machen oder den Kontakt zu hilfsbereiten Experten aus der Community zu vermitteln.
Bitte um Rückmeldungen
Das CERT ersucht um Rückmeldungen, wenn und wie der Fall gelöst wurde:
- das macht es möglich, frühzeitig zu warnen, sollte die Problembehebung fehlgeschlagen sein
- zu wissen, welche Malware oder Hackmethoden häufig auftreten, macht es dem CERT möglich, gezielt nach weiteren eventuell ebenso betroffenen Rechnern zu suchen
- können beteiligte Rechner – als Angreifer oder als Opfer – identifiziert werden, verständigt das CERT auf geeignete Weise die jeweils in Frage kommenden CERTs, Netzbetreiber, etc.
- gesammelte Erfahrungen fließen in die Behandlung weiterer Fälle ein
Das Kleingedruckte
Hinweise und Empfehlungen des CERT müssen von den ACOnet-Teilnehmern selbständig auf ihre Richtigkeit und Praktikabilität geprüft werden. Da die Tätigkeit des CERT regelmäßig darin besteht, vage, unvollständige, mehrdeutige Informationen, häufig sogar von Dritten, zu deuten, muß es zwangsläufig zu Fehlinterpretationen kommen. Das ACOnet bzw. ACOnet-CERT kann daher keine Haftung für im Rahmen des CERT-Service getroffene Aussagen übernehmen.
Das CERT empfiehlt ganz besonders, die Gültigkeit der elektronischen GPG-Signatur zu prüfen, um die Authentizität unserer Hinweise sicherzustellen.