Question Comment recherchez-vous les backdoors de la personne précédente informatique?


Nous savons tous que cela se produit. Un vieux gars informatique amer laisse un porte de derrière dans le système et le réseau afin de s’amuser avec les nouveaux employés et de montrer à la société à quel point les choses vont mal sans lui.

Je n'ai jamais personnellement vécu cela. Le plus que j'ai connu est quelqu'un qui a cassé et volé des choses juste avant de partir. Je suis sûr que cela arrive, cependant.

Ainsi, lors de la prise en charge d'un réseau sur lequel on ne peut pas vraiment faire confiance, quelles étapes faut-il prendre pour s'assurer que tout est sécurisé?


355
2017-08-18 15:04


origine


+1, j'aime cette question. C'est ce que je préfère le moins lorsque je traite avec un nouveau client, surtout si le dernier type est parti en mauvais termes. - DanBig
La plupart des endroits où je suis parti, le fait que je ne sois pas là en train de dire «Ne fais pas ça» est suffisant pour détruire le réseau. Je n'ai pas besoin de quitter les portes arrière. - Paul Tomblin
@Paul, cela suggère que vous n'avez pas documenté correctement. Espérons que les nouvelles personnes fassent correctement cette partie de leur travail. - John Gardeniers
@ John, vos utilisateurs et vos collègues lisent-ils la documentation? Où puis-je en obtenir? - Paul Tomblin
@Paul, les utilisateurs - non, pourquoi le devraient-ils? Collègues de travail (en supposant que vous parliez des informaticiens) - oui. La lecture de la documentation devrait être la première étape pour commencer un nouvel emploi. - John Gardeniers


Réponses:


C'est vraiment, vraiment, vraiment difficile. Cela nécessite un audit très complet. Si vous êtes certain que la personne âgée a laissé derrière elle quelque chose qui va exploser, ou qu'elle a besoin d'être réembauchée parce qu'elle est la seule à pouvoir éteindre un incendie, il est temps de supposer que vous êtes enraciné fête hostile. Traitez-le comme si un groupe de pirates entraient et volaient des objets, et vous deviez nettoyer après leurs dégâts. Parce que c'est ce que c'est.

  • Auditez chaque compte sur chaque système pour vous assurer qu'il est associé à une entité spécifique.
    • Il faut se méfier des comptes qui semblent associés à des systèmes mais que personne ne peut comptabiliser.
    • Les comptes qui ne sont associés à rien doivent être purgés (cela doit être fait de toute façon, mais c'est particulièrement important dans ce cas)
  • Modifiez tous les mots de passe avec lesquels ils pourraient éventuellement avoir été en contact.
    • Cela peut être un réel problème pour les comptes de services publics, car ces mots de passe ont tendance à être codés en dur.
    • S'il s'agit d'un type de service d'assistance répondant aux appels des utilisateurs finaux, supposez qu'ils ont le mot de passe de toute personne qu'ils ont assistée.
    • S'ils avaient Enterprise Admin ou l'administrateur de domaine dans Active Directory, supposons qu'ils ont récupéré une copie des hachages de mots de passe avant de partir. Celles-ci peuvent être décomposées si rapidement maintenant qu'un changement de mot de passe à l'échelle de l'entreprise devra être forcé en quelques jours.
    • S'ils ont un accès root à toutes les boîtes * nix, supposons qu'ils sont partis avec les mots de passe hachés.
    • Examinez l'utilisation de toutes les clés SSH de clés publiques pour vous assurer que leurs clés sont purgées et vérifiez si des clés privées ont été exposées pendant que vous y êtes.
    • S'ils avaient accès à un équipement de télécommunication, modifiez les mots de passe routeur / commutateur / passerelle / PBX. Cela peut être une douleur vraiment royale car cela peut impliquer des pannes importantes.
  • Audit complet de vos arrangements de sécurité de périmètre.
    • Assurez-vous que tous les trous du pare-feu sont reliés aux périphériques et ports autorisés connus.
    • Assurez-vous qu'aucune authentification supplémentaire n'est ajoutée à toutes les méthodes d'accès à distance (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, etc.) et testez-les complètement pour les méthodes d'accès non autorisées.
    • Assurez-vous que les liens WAN distants sont bien liés aux personnes pleinement employées et le vérifier. Surtout les connexions sans fil. Vous ne voulez pas qu'ils partent avec un modem cellulaire ou un smartphone payé par l'entreprise. Contactez tous ces utilisateurs pour vous assurer qu'ils disposent du bon périphérique.
  • Auditer pleinement les accords internes d’accès privilégié. Ce sont des choses comme l'accès SSH / VNC / RDP / DRAC / iLO / IMPI aux serveurs que les utilisateurs généraux n'ont pas, ou tout accès à des systèmes sensibles tels que la paie.
  • Travaillez avec tous les fournisseurs et prestataires de services externes pour vous assurer que les contacts sont corrects.
    • Assurez-vous qu'ils sont éliminés de toutes les listes de contacts et de services. Cela devrait être fait de toute façon après tout départ, mais c'est extrêmement important maintenant.
    • Valider tous les contacts sont légitimes et ont des informations de contact correctes, ceci est pour trouver des fantômes qui peuvent être imités.
  • Commencez à chercher des bombes logiques.
    • Vérifiez toute l’automatisation (planificateurs de tâches, tâches Cron, listes d’appel UPS, ou tout ce qui se déroule selon un planning ou qui est déclenchée par un événement) à la recherche de signes de mal. Par "Tous" je veux dire tous. Vérifiez chaque crontab. Vérifiez chaque action automatisée de votre système de surveillance, y compris les sondes elles-mêmes. Vérifiez chaque planificateur de tâches Windows; même les postes de travail. Si vous ne travaillez pas pour le gouvernement dans un domaine extrêmement sensible, vous ne pourrez pas vous permettre "tout", faites-en autant que vous le pouvez.
    • Validez les binaires du système de clés sur chaque serveur pour vous assurer qu'ils correspondent à ce qu'ils devraient être. Ceci est délicat, en particulier sous Windows, et il est presque impossible de le faire rétroactivement sur des systèmes uniques.
    • Commencez à chercher des rootkits. Par définition, ils sont difficiles à trouver, mais il existe des scanners pour cela.

Pas facile du tout, pas même proche. Justifier la dépense de tout cela peut être très difficile sans preuve définitive que l'administrateur maintenant ex-ex était mauvais. La totalité de ce qui précède n’est même pas réalisable avec les actifs de la société, ce qui nécessitera l’embauche de consultants en sécurité pour effectuer une partie de ce travail.

Si le mal réel est détecté, en particulier si celui-ci se trouve dans un type de logiciel, ce sont les professionnels de la sécurité formés qui détermineront le mieux l'ampleur du problème. C’est aussi le moment où une affaire pénale peut commencer à être construite, et vous vraiment veulent que les personnes formées à la manipulation des preuves fassent cette analyse.


Mais vraiment, jusqu'où devez-vous aller? C'est ici que gestion des risques entre en jeu. De manière simpliste, il s’agit de la méthode permettant d’équilibrer le risque attendu contre la perte. Les administrateurs système le font quand nous décidons lequel emplacement hors site, nous voulons mettre des sauvegardes; un coffre-fort bancaire par rapport à un centre de données hors région. Déterminer à quel point cette liste doit être suivie est un exercice de gestion des risques.

Dans ce cas, l’évaluation commencera par quelques points:

  • Le niveau de compétence attendu du défunt
  • L'accès des défunts
  • L'attente que le mal soit fait
  • Les dommages potentiels de tout mal
  • Exigences réglementaires en matière de signalement du mal perpétré ou du mal trouvé de façon préventive. Généralement, vous devez signaler l'ancien, mais pas le dernier.

La décision de plonger dans le lièvre ci-dessus dépendra des réponses à ces questions. Pour les départs de routine d'administrateurs où l'attente du mal est très faible, le cirque complet n'est pas requis; changer les mots de passe de niveau administrateur et ressaisir tout hôte SSH externe est probablement suffisant. Là encore, la posture de sécurité en matière de gestion des risques de l'entreprise en est la cause.

Pour les administrateurs qui ont été congédiés pour un motif valable ou le mal surgi après leur départ, qui est normalement normal, le cirque devient plus nécessaire. Le cas le plus défavorable est un type de BOFH paranoïaque qui a été averti que son poste serait licencié dans deux semaines, ce qui lui laisse suffisamment de temps pour se préparer. dans de telles circonstances L'idée de Kyle d'une généreuse indemnité de départ peut atténuer toutes sortes de problèmes. Même les paranoïaques peuvent pardonner beaucoup de péchés après l’arrivée d’un chèque contenant 4 mois de salaire. Ce contrôle coûtera probablement moins que le coût des consultants en sécurité nécessaires pour dénicher leur mal.

Mais en fin de compte, cela revient à déterminer si le mal a été fait par rapport au coût potentiel de tout mal réellement fait.


329
2017-08-18 15:40



+1 - L'état actuel des techniques d'audit des fichiers binaires du système est plutôt mauvais aujourd'hui. Les outils d'investigation informatique peuvent vous aider à vérifier les signatures sur les fichiers binaires, mais avec la prolifération de différentes versions binaires (en particulier sous Windows, quelles que soient les mises à jour effectuées tous les mois), il est assez difficile de trouver un scénario convaincant où vous pourriez approcher à 100% vérification binaire. (Je vous ferais signe + 10 si je pouvais, parce que vous avez assez bien résumé le problème dans son ensemble. C'est un problème difficile, surtout s'il n'y avait pas de cloisonnement ni de séparation des tâches.) - Evan Anderson
+++ Re: changer les mots de passe du compte de service. Quoi qu'il en soit, cela doit être documenté de manière approfondie. Ce processus est donc d'autant plus important si vous êtes censé faire votre travail. - Kara Marfia
@ Joe H .: N'oubliez pas de vérifier le contenu de cette sauvegarde indépendamment de l'infrastructure de production. Le logiciel de sauvegarde pourrait être cloisonné. (L'un de mes clients disposait d'un tiers avec une installation indépendante de leur application LOb. Celui-ci était chargé de restaurer les sauvegardes, de les charger dans l'application et de vérifier que les états financiers générés à partir de la sauvegarde correspondaient à ceux générés par le système de production. sauvage...) - Evan Anderson
Très bonne réponse. En outre, n'oubliez pas de supprimer l'employé qui est parti en tant que point de contact autorisé pour les fournisseurs de services et les fournisseurs. Registres de domaine. Les fournisseurs de services internet. Entreprises de télécommunications. Assurez-vous que toutes ces parties externes reçoivent le message que l'employé n'est plus autorisé à apporter des modifications ni à discuter des comptes de l'entreprise. - Mox
"L'intégralité de ce qui précède peut même ne pas être réalisable avec les actifs de l'entreprise, ce qui nécessitera le recrutement de consultants en sécurité pour effectuer une partie de ce travail." - bien sûr que ça peut être ce exposition qui conduit à des compromis. Ce niveau d’audit nécessite un accès extrêmement faible au système - et aux personnes qui savoir comment cacher des choses. - MightyE


Je dirais que c'est un équilibre entre votre inquiétude et l'argent que vous êtes prêt à payer.

Très concerné:
Si vous êtes très préoccupé, vous pouvez faire appel à un consultant en sécurité externe pour effectuer une analyse complète de tout, du point de vue externe et interne. Si cette personne était particulièrement intelligente, vous pourriez avoir des problèmes, elle pourrait avoir quelque chose qui sera en sommeil pendant un moment. L'autre option consiste à tout reconstruire. Cela peut sembler excessif, mais vous apprendrez bien l’environnement et vous ferez également un projet de reprise après sinistre.

Légèrement concerné:
Si vous n'êtes que légèrement inquiet, vous voudrez peut-être simplement:

  • Un scan de port de l'extérieur.
  • Analyse de virus / logiciels espions. Analyse des rootkits pour les machines Linux.
  • Examinez la configuration du pare-feu pour tout ce que vous ne comprenez pas.
  • Modifiez tous les mots de passe et recherchez les comptes inconnus (assurez-vous qu'ils n'ont pas activé quelqu'un qui n'est plus avec la société afin qu'ils puissent l'utiliser, etc.).
  • Cela pourrait également être un bon moment pour envisager l’installation d’un système de détection d’intrusion (IDS).
  • Surveillez les journaux de plus près que d'habitude.

Pour le futur:
Aller de l'avant quand un administrateur part lui donne une belle fête, puis quand il est saoul, offrez-lui un retour à la maison - puis jetez-le dans la rivière, le marais ou le lac le plus proche. Plus sérieusement, c’est l’une des bonnes raisons de donner aux administrateurs une généreuse indemnité de départ. Vous voulez qu'ils se sentent d'accord pour quitter autant que possible. Même s'ils ne doivent pas se sentir bien, qui s'en soucie?, Absorbez-les et rendez-les heureux. Imaginez que c'est de votre faute et non de la leur. Le coût d'une augmentation des coûts de l'assurance-chômage et de l'indemnité de licenciement ne se compare pas aux dommages qu'ils pourraient causer. Il s’agit de la voie de la moindre résistance et de la création du moins de drame possible.


98
2017-08-18 15:18



Les réponses qui n'incluent pas le meurtre seraient probablement préférées :-) - Jason Berg
+1 pour la suggestion BOFH. - jscott
@ Kyle: C'était supposé être notre petit secret ... - GregD
Interrupteurs homme mort, Kyle. Nous les mettons là au cas où nous partons pendant un moment :) Par "nous", je veux dire, euh, ils? - Bill Weiss
+1 - C'est une réponse pratique, et j'aime la discussion basée sur une analyse risque / coût (parce que c'est ce que c'est). La réponse de Sysadmin1138 est un peu plus complète en ce qui concerne "le caoutchouc à la route", mais ne rentre pas nécessairement dans l'analyse risque / coût et dans le fait que, la plupart du temps, il est nécessaire de mettre certaines hypothèses de côté, éloigné". (C'est peut-être une mauvaise décision, mais personne n'a un temps / argent infini.) - Evan Anderson


N'oubliez pas les goûts de Teamviewer, LogmeIn, etc. Je sais que cela a déjà été mentionné, mais un audit de logiciel (de nombreuses applications existantes) de chaque serveur / poste de travail ne serait pas préjudiciable, y compris les analyses de sous-réseau avec nmap. Scripts NSE.


19
2017-08-24 22:40





Tout d'abord, commencez par obtenir une sauvegarde de tout le contenu du stockage hors site (par exemple, une bande ou un disque dur que vous avez déconnecté et mis en stockage). De cette façon, si quelque chose de malicieux se produit, vous pourrez peut-être en récupérer un peu.

Ensuite, parcourez les règles de votre pare-feu. Tous les ports ouverts suspects doivent être fermés. S'il y a une porte arrière, alors en empêcher l'accès serait une bonne chose.

Comptes d'utilisateurs - recherchez votre utilisateur mécontent et assurez-vous que son accès est supprimé le plus rapidement possible. S'il existe des clés SSH ou des fichiers / etc / passwd, ou des entrées LDAP, même des fichiers .htaccess, elles doivent toutes être analysées.

Sur vos serveurs importants, recherchez des applications et des ports d'écoute actifs. Assurez-vous que les processus en cours qui y sont attachés semblent raisonnables.

En fin de compte, un employé mécontent déterminé peut tout faire. Après tout, il connaît tous les systèmes internes. On espère qu’ils ont l’intégrité de ne pas prendre de mesures négatives.


18
2017-08-18 15:25



les sauvegardes peuvent également être importantes si quelque chose se produit, et que vous décidez de suivre la voie de la poursuite, alors vous voudrez peut-être connaître les règles de traitement des preuves et vous assurer de les suivre, juste au cas où. - Joe H.
Mais n'oubliez pas que ce que vous venez de sauvegarder peut inclure des applications / config / données enracinées, etc. - Shannon Nelson
Si vous avez des sauvegardes d'un système enraciné, vous avez des preuves. - XTL


Une infrastructure bien gérée aura les outils, la surveillance et les contrôles en place pour empêcher cela en grande partie. Ceux-ci inclus:

Si ces outils sont en place correctement, vous aurez une piste d'audit. Sinon, vous devrez effectuer une complète test de pénétration.

La première étape consisterait à vérifier tous les accès et à modifier tous les mots de passe. Concentrez-vous sur l'accès externe et les points d'entrée potentiels - c'est l'endroit où votre temps est le mieux utilisé. Si l'empreinte externe n'est pas justifiée, éliminez-la ou réduisez-la. Cela vous laissera du temps pour vous concentrer sur plus de détails en interne. Tenez également compte de tout le trafic sortant, car les solutions programmatiques pourraient transférer des données restreintes en externe.

En fin de compte, être administrateur de systèmes et de réseau permettra un accès complet à la plupart sinon à toutes les choses. Avec cela, vient un haut degré de responsabilité. Embaucher avec ce niveau de responsabilité ne doit pas être pris à la légère et des mesures doivent être prises pour minimiser les risques dès le début. Si un professionnel est embauché, même en partant dans de mauvaises conditions, il ne prendrait aucune mesure qui ne soit ni professionnelle ni illégale.

Server Fault contient de nombreux articles détaillés traitant de l'audit système correct pour des raisons de sécurité ainsi que des mesures à prendre en cas de résiliation. Cette situation n'est pas unique parmi celles-ci.


17
2017-08-18 15:31





Un BOFH intelligent pourrait effectuer l’une des tâches suivantes:

  1. Programme périodique qui initie une connexion sortante Netcat sur un port bien connu pour prendre les commandes. Par exemple. Port 80. Si le trafic aller et retour était bien effectué, il aurait l'apparence d'un trafic pour ce port. Donc, si sur le port 80, il aurait des en-têtes HTTP et les données utiles seraient des morceaux incorporés dans des images.

  2. Commande apériodique qui recherche dans des emplacements spécifiques les fichiers à exécuter. Les emplacements peuvent être situés sur des ordinateurs d'utilisateurs, des ordinateurs de réseau, des tables supplémentaires dans des bases de données, des répertoires de fichiers spool temporaires.

  3. Programmes qui vérifient si un ou plusieurs des autres portes dérobées sont toujours en place. Si ce n'est pas le cas, une variante est installée et les détails sont envoyés par courrier électronique à BOFH.

  4. Étant donné que les sauvegardes sont en grande partie effectuées avec le disque, modifiez-les pour qu'elles contiennent au moins une partie de vos root kits.

Façons de vous protéger de ce genre de chose:

  1. Lorsqu'un employé de la classe BOFH quitte son poste, installez une nouvelle boîte dans la zone démilitarisée. Il reçoit une copie de tout le trafic passant par le pare-feu. Rechercher des anomalies dans ce trafic. Ce dernier point n’est pas anodin, surtout si le BOFH imite bien les modèles de trafic normaux.

  2. Refaites vos serveurs afin que les fichiers binaires critiques soient stockés sur un support en lecture seule. Autrement dit, si vous souhaitez modifier / bin / ps, vous devez accéder à la machine, déplacer physiquement un commutateur de RO à RW, redémarrer un utilisateur unique, remonter cette partition rw, installer votre nouvelle copie de ps, sync, redémarrer, etc. interrupteur à bascule. Un système réalisé de cette manière a au moins quelques programmes approuvés et un noyau approuvé pour continuer le travail.

Bien sûr, si vous utilisez Windows, vous êtes fatigué.

  1. Compartimentez votre infrastructure. Pas raisonnable avec les petites et moyennes entreprises.

Moyens d'éviter ce genre de chose.

  1. Vet candidats avec soin.

  2. Déterminez si ces personnes sont mécontentes et résolvez les problèmes de personnel à l’avance.

  3. Lorsque vous renvoyez un administrateur avec ces types de pouvoirs, vous adoucissez la tarte:

    une. Son salaire, ou une fraction de son salaire, est maintenu pendant un certain temps ou jusqu'à ce que le comportement du système, inexpliqué par le personnel informatique, change considérablement. Cela pourrait être sur une décroissance exponentielle. Par exemple. il reçoit le plein salaire pendant 6 mois, dont 80% pendant 6 mois, 80% des cette pour les 6 prochains mois.

    b. Une partie de son salaire prend la forme d’options d’achat d’actions qui ne prennent effet que pendant un à cinq ans après son départ. Ces options ne sont pas supprimées lors de son départ. Il est incité à s'assurer que la société fonctionnera bien dans 5 ans.


16
2017-08-25 15:37



WTF est un BOFH ?? - Chloe
Chloe, BOFH signifie «Bastard Operator from Hell», le sysadmin emblématique sociopathe paranoïde-délirant meglomaniacal que les informaticiens qui passent trop de temps à ramasser la souris de quelqu'un rêvent de devenir. Il y a une série d'histoires posées à l'origine à alt.sysadmin.recovery à bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
Plus votre score ServerFault est élevé, plus vos chances de devenir BOFH sont grandes :-) - dunxd
"Bien sûr, si vous utilisez Windows, vous êtes fatigué." Je veux ça sur mon mur. - programmer5000


Il me semble que le problème existe même avant le départ de l'administrateur. C'est juste que l'on remarque le problème plus à ce moment-là.

-> Il faut un processus pour vérifier chaque changement, et une partie du processus est que les changements ne sont appliqués qu’au travers de celui-ci.


13
2017-08-24 22:55



Je suis curieux de savoir comment vous appliquez ce type de processus? - Mr. Shiny and New 安宇
C'est assez difficile à faire dans une petite entreprise (c'est-à-dire 1-2 personnes de type administrateur système) - Beep beep
C'est pénible à appliquer, mais c'est exécutoire. L'une des règles de base est que personne ne se connecte à une boîte et ne l'administre, même par le biais de sudo. Les modifications doivent passer par un outil de gestion de la configuration ou doivent avoir lieu dans le contexte d'un événement de type Firecall. Chaque modification de routine apportée aux systèmes doit passer par marionnette, cfengine, chef ou un outil similaire. L'ensemble du travail de vos administrateurs système doit exister en tant que référentiel de ces scripts contrôlé par la version. - Stephanie