Lösen von Sicherheitsvorfällen
Die Benachrichtigung
Wenn das ACOnet-CERT einen IT-Sicherheitsvorfall im ACOnet erkennt, sendet es eine E-Mail-Nachricht an den Security-Kontakt des jeweiligen ACOnet-Teilnehmers (z.B. Universität, Fachhochschule, Studentenheimträger, Museum, etc...). Darin steht:
- wo der Vorfall passiert ist (die IP-Adresse, Webseite, ...),
- worin das Problem besteht (Spamversand, DoS-Angriffe, ...),
- anhand welcher Hinweise (Logfiles, Blacklisteneinträge, ...) das CERT das Problem erkannt hat,
- soweit möglich und sinnvoll auch Hintergrundinformationen, Erläuterungen, Empfehlungen,
- eine Bitte um Rückmeldung,
- eine elektronische Unterschrift.
Was macht der Security-Kontakt?
Jede Organisation im ACOnet organisiert ihre Prozesse zur Behandlung von Sicherheitsvorfällen entsprechend ihren Möglichkeiten und Bedürfnissen selbst. Im Wesentlichen geht es darum, die zuständigen Personen (z.B. Systemadministratoren) zu ermitteln und zu veranlassen, daß das Problem behoben wird.
In den meisten Fällen ist ein Computer mit Schadsoftware infiziert worden. Übrigens heißt das das keineswegs, daß der Computer schlecht gewartet wäre oder daß damit zweifelhafte Webseiten aufgerufen worden wären! Oft reicht ein (aktualisierter) Virenscanner aus, um die Schädlinge loszuwerden, mitunter wird eine Boot-CD benötigt, um den Scan von einem sicheren Betriebssystem aus durchzuführen.
Seltener sind die Fälle, wo in einen Server eingebrochen wurde und z.B. Phishing-Seiten auf einen Server gelangt sind. Dies ist stets eine Herausforderung für die/den Systemadministrator/in/n/en, denn es muß:
- zunächst das offensichtiche Symptom (Phishing-Seite, ...) behoben werden,
- die dafür Sicherheitslücke identifiziert und geschlossen werden,
- genau untersucht werden, welche Manipulationen außerdem am Server vorgenommen wurden (z.B. Entwenden von Paßwörtern, Infektion von Dateien, Installation von Backdoors, Rootkits...)
Wie erfährt das CERT von den Problemen?
Die Informationsquellen des CERT umfassen neben Daten aus dem ACOnet-eigenen Betriebsbereich (z.B. Netzwerstatistiken, diverse Sensoren) auch Informationen von Dritten (z.B. einschlägige Websites, Blacklisten, etc...) und natürlich auch Meldungen und Beschwerden, die an das CERT herangetragen werden.
Das CERT prüft und bewertet diese Informationen im Rahmen seiner Möglichkeiten und Erfahrungen mit höchstmöglicher Sorgfalt, aber Irrtümer und Fehldiagnosen sind unvermeidlich. Dabei ist immer abzuwägen:
- das Risiko, vor einem Problem zu warnen, das es nicht gibt, gegen
- das Risiko, vor einem tatsächlichen Problem vorsichtshalber nicht gewarnt zu haben.
Das CERT ist bemüht, möglichst transparent die ihm vorliegenden Informationen auch an die ACOnet-Teilnehmer weiterzugeben. In diesem Sinn werden die häufigsten Hinweise in den E-Mail-Benachrichtigungen des CERT mit einem Tag versehen, anhand dessen weitere Informationen dazu auf der Seite Incident Handling - Tags abgerufen werden können.
Weitere Unterstützung
Das ACOnet-CERT-Team unterstützt die Security-Kontaktpersonen der ACOnet-Teilnehmer bei Bedarf:
- durch seine Kontakte zu Herstellern und Firmen
- mit Informationen, die CERT-Kreisen vorbehalten sind
- durch die gesammelten Erfahrungen aus dem ACOnet
- indem es den Kontakt mit einschlägigen Experten in der Community herstellt
Es versteht sich von selbst, ist aber für die praktische Arbeit kaum hinderlich, daß das CERT dabei stets die nötige Diskretion walten läßt und auf allfällige Geheimhaltungsvereinbarungen Bedacht nimmt.
Das ACOnet-CERT-Team kann leider keine Unterstützung für Endanwender anbieten. Schon aus personellen Gründen ist das nicht denkbar, wäre aber auch nicht sinnvoll, da das CERT nicht über die lokalen Gegebenheiten bescheid weiß, wie z.B. Campus-Lizenzen, Organisation des Netzwerks, Zuständigkeiten, Services, Logfiles...
Anwender wenden sich bitte an ihre Netzwerkadministratoren oder den Helpdesk der Institution.
Bitte um Rückmeldungen
Das CERT ersucht um Rückmeldungen, wenn und wie der Fall gelöst wurde:
- für die oben erwähnte Bewertung der Problemhinweise ist die Erfahrung "im Feld" nötig
- das macht es möglich, frühzeitig zu warnen, sollte die Problembehebung fehlgeschlagen sein
- zu wissen, welche Malware oder Hackmethoden häufig auftreten, macht es dem CERT möglich, gezielt nach weiteren eventuell ebenso betroffenen Rechnern zu suchen
- können beteiligte Rechner – als Angreifer oder als Opfer – identifiziert werden, verständigt das CERT auf geeignete Weise die jeweils in Frage kommenden CERTs, Netzbetreiber, etc.
- gesammelte Erfahrungen fließen in die Behandlung weiterer Fälle ein
Das Kleingedruckte
Hinweise und Empfehlungen des CERT müssen von den ACOnet-Teilnehmern selbst auf ihre Richtigkeit und Praktikabilität geprüft werden. Da die Tätigkeit des CERT regelmäßig darin besteht, vage, unvollständige, mehrdeutige Informationen, häufig von Dritten, zu deuten, muß es zwangsläufig zu Fehlinterpretationen kommen. Das ACOnet bzw. ACOnet-CERT kann daher keine Haftung für im Rahmen des CERT-Service getroffene Aussagen übernehmen.
Das CERT empfiehlt ganz besonders, die Gültigkeit der elektronischen GPG-Signatur zu prüfen, um die Authentizität unserer Hinweise sicherzustellen.