You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Lösen von Sicherheitsvorfällen

Der Alarm (fixme – titel)

Immer, wenn das ACOnet-CERT einen IT-Sicherheitsvorfall bei einem ACOnet-Teilnehmer erkennt, erhalten die jeweiligen Security-Ansprechpartner eine Verständigung per E-Mail. Darin steht:

  • wo der Vorfall passiert ist (die IP-Adresse, Webseite, ...),
  • worin das Problem besteht (Spamversand, DoS-Angriffe, ...),
  • anhand welcher Informationen (Logfiles, Blacklisteneinträge, ...) das CERT das Problem erkannt hat,
  • soweit möglich und sinnvoll auch Hintergrundinformationen, Erläuterungen, Empfehlungen,
  • eine Bitte um Rückmeldung,
  • eine elektronische Unterschrift.

fixme: screenshot

Was bedeutet das für die/den Betroffene/n?

Die meisten Nachrichten des CERT betreffen einen Computer, den auf irgendeine Weise ein Virus (bzw. Wurm, Trojaner, ...) befallen hat. Das bedeutet übrigens keineswegs, daß der Computer schlecht gewartet wäre oder daß er für zweifelhafte Zwecke mißbraucht worden wäre – wichtig ist allein, umgehend, besonnen und zielgerecht zu handeln. Oft reicht der Einsatz eines Virenscanners – hierbei hilft der Support des ACOnet-Teilehmers bzw. der jeweiligen Einrichtung.

Die selteneren Fälle sind die, wo z.B. in einen Server eingebrochen wurde und z.B. Phishing-Seiten auf einen Server gelangt sind. Dies ist stets eine Herausforderung für die/den Systemadministrator/in/n/en, denn es muß:

  • zunächst das offensichtiche Symptom (Phishing-Seite, ...) behoben werden,
  • die dafür verantwortliche Sicherheitslücke identifiziert und geschlossen werden,
  • genau untersucht werden, welche Manipulationen außerdem am Server vorgenommen wurden (z.B. Entwenden von Paßwörtern, Infektion von Dateien...)

Woher weiß das CERT das alles?

Die Informationsquellen des CERT umfassen neben Daten aus dem ACOnet-eigenen Betriebsbereich (z.B. Netzwerstatistiken, diverse Sensoren) auch Informationen von Dritten (z.B. einschlägige Websites, Blacklisten, etc...) und natürlich auch Beschwerden, die an das CERT herangetragen werden.

Obwohl diese Informationen vom CERT mit höchster Sorgfalt geprüft werden, sind Irrtümer und Fehldiagnosen bei den Benachrichtigungen nicht auszuschließen. Dabei gilt es abzuwägen:

  • das Risiko, vor einem Problem zu warnen, das es nicht gibt, gegen
  • das Risiko, vor einem tatsächlichen Problem vorsichtshalber nicht gewarnt zu haben.

Das CERT ist bemüht, möglichst transparent die ihm vorliegenden Informationen auch an die ACOnet-Teilnehmer weiterzugeben. Dazu gibt es in diesem Wiki eine Fülle von Material, das bei der Interpretation dieser Daten helfen soll.

Was bedeutet Incident Handling?

CERTs bezeichnen als Incident Handling1 den Prozeß, Verletzungen der (auch impliziten) Security Policy zu beheben und einen sicheren Zustand herbeizuführen.

Einfach gesagt: Immer, wenn ein Computer von einem Virus befallen, ein Server gehackt oder ein Passwort gestohlen wurde, kümmert sich das CERT darum, daß die Sache wieder in Ordnung gebracht wird.

Das bedeutet: Das Problem zu entdecken und zu lokalisieren, die Zuständigen – Systemadministratoren vor Ort oder Anwender/innen – zu verständigen und bei der Behebung zu unterstützen und sicherzugehen, daß das Problem erfolgreich gelöst wurde. In der Nachbearbeitungsphase werden die gewonnenen Erkenntnisse und Erfahrungen gesammelt, um bestmöglich für zukünftige Bedrohungen oder Vorfälle gerüstet zu sein.

1. Erkennen

Zu allererst muß ein Problem erkannt werden, und das ist zumal im sehr vielfältigen und freien akademischen Umfeld ausgesprochen schwierig.

Zum einen ist das CERT ist Anlaufstelle für Dritte, die Unregelmäßigkeiten im ACOnet melden wollen

(warning) Kontakt

. Vor einigen Jahren war es noch gang und gäbe, daß Systemadministratoren, die z.B. Spam oder Angriffsversuche auf ihr System bemerken, das dem verantwortlichen Netzbetreiber berichten. Mit dem massenhaften Aufkommen von Zombie-Rechnern in Botnets wurde das zu einem Kampf gegen Windmühlen, der nicht gewonnen werden kann. Benachrichtigungen langen heutzutage fast ausschließlich als automatische Meldungen von Sensoren und Detektoren anderer CERTs und Security-Teams ein. Individuelle Hinweise sind die seltene Ausnahme.

Um allem betreibt und entwickelt das ACOnet-CERT eigene Erkennungsmechanismen, die wegen der Positionierung des CERT als Serviceeinrichtung im Backbone komplementär zu den von den ACOnet-Teilnehmern eingesetzten Lösungen sind. Informationsquellen sind z.B.:

  • einschägige Webseiten, die etwa gehackte Webseiten oder Phishing-Sites verzeichnen
  • Blacklisten
  • Netflow-Daten
  • Logfiles der Server Uni Wien

Aus diesen Daten werden Hinweise auf mögliche Probleme herausgearbeitet, die mit einem Tag versehen und zur weiteren Bearbeitung in einer Datenbank gespeichert werden. Diese werden auf der Seite Incident Handling - Problemhinweise ausführlich dokumentiert.

Eine Möglichkeit, diese automatischen Meldungen den ACOnet-Teilnehmern direkt und online zur Verfügung zu stellen, wird zur Zeit erarbeitet.

2. Triage

Hinweise auf mögliche Sicherheitsvorfälle sind leider nur sehr selten eindeutig und umfassend. Sie müssen daher zunächst gesichtet und interpretiert werden:

  • Fehlalarme aussortieren
  • unvollständige Informationen ergänzen
  • zusätzliche Daten einholen
  • mögliche Diagnosen herausarbeiten

Da die Mehrzahl der Problemhinweise mittlerweile automatisch generiert wird, arbeitet das CERT daran, auch deren Verarbeitung zu automatisieren. Das hat mehrere Vorteile:
schneller
nachvollziehbarer

3. Problem lösen

Störungen wie z.B. Virenbefall können naturgemäß nur vor Ort von den zuständigen Systemadministratoren erledigt werden. Das Know How dazu ist bei den ACOnet-Teilnehmern erfahrungsgemäß sehr hoch. Daher übermittelt CERT den Security-Verantwortlichen Problemberichte mit den zuvor zusammengetragenen Informationen und beobachtet, ob das Problem gelöst werden kann. Bei Bedarf kann das CERT dabei auch entweder selbst behilflich sein oder versuchen, Spezialisten zu vermitteln.

(warning) Einbauen: Hinweise zum Ticket-System, Interaktion mit anderen Ticket-Systemen,

(warning) Einbauen: UIL

4. Was können wir daraus lernen?

Das CERT ersucht um Rückmeldungen, wenn und wie der Fall gelöst wurde:

  • das macht es möglich, frühzeitig zu erkennen, sollte die Problembehebung fehlgeschlagen sein
  • die Kenntnis entfernter Malware macht es möglich, gezielt im ACOnet nach möglichen weiteren ebenso betroffenen Rechnern zu suchen
  • können beteiligte Rechner – als Angreifer oder als Opfer – identifiziert werden, verständigt das CERT auf geeignete Weise die jeweils in Frage kommenden CERTs, Netzbetreiber, etc.
  • gesammelte Erfahrungen fließen in die Behandlung weiterer Fälle ein
_________________

1. Der Begriff des Incident Handling unterscheidet sich in diesem Zusammenhang von dem, der in ITIL gebraucht wird.

  • No labels