1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

Transkript

1 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er hacket, og til at kunne fastslå omfanget. Det kræver, at der i organisationen er tilstrækkelig logning på plads, kapacitet til at analysere de indsamlede logs og et opdateret overblik over egen ITinfrastruktur. Erkende angrebet: Hvis man har mistanke om, at et eller flere af ens systemer er blevet kompromitteret, bør man først og fremmest undersøge egne logs for tegn på IT-angreb. Typisk handler det om at spore kommunikation fra et internetdomæne gennem egen firewall, routere til den PC eller server, der har kommunikeret. Det bør ligeledes undersøges, hvilken kommunikation PC'en eller serveren ellers har foretaget og hvordan, om der er oprettet / ændret filer, om antivirus er opdateret og aktivt, og om system- eller applikationsloggen viser tegn på unormal aktivitet. Det er vigtigt i denne situation at have de kritiske briller på og nøje vurdere, om det angreb der undersøges, er det eneste eller primære IT-angreb på organisationen, eller om der er andre og flere angreb i gang samtidigt. Denne vurdering er afgørende, når angrebets omfang og skadevirkning efterfølgende skal fastslås. GovCERT kan bistå statslige myndigheder med rådgivning i den konkrete situation. Kontakt GovCERT ved mistanke om hacking, og forsøg at have følgende oplysninger klar: Hvilke systemer er under angreb? (OS, IP-adresser, domæne) Hvilke konsekvenser vurderes angrebet at kunne have? (tyveri af følsomme oplysninger, nedetid, adgang til andre systemer) Hvordan blev angrebet opdaget? Er der særlige karakteristika ved angrebet? Hvilke foranstaltninger er blevet iværksat, og hvilke forventes at kunne have en effekt? Hvilken slags logs er tilgængelige, er der mulighed for at øge logning ved igangværende angreb? Er angrebet blevet politianmeldt? Kan relevante parter indrages? (Må GovCERT f.eks. tage kontakt til teleudbyder) Relevante kontaktpersoner og deres telefonnumre og -adresser Når angrebet er erkendt, og der er tilstrækkelig vished om omfanget af angrebet, bør man forsøge at

2 standse angrebet og isolere de berørte systemer så vidt som muligt. Herefter kan man igangsætte en undersøgelse af hændelsen uden at risikere yderligere kompromittering. IT-angreb bør hurtigst muligt anmeldes til Politiet, som vil vurdere, om der er behov for en egentlig efterforskning. GovCERT kan bistå med kontakten til Politiet. Det sidste (og ofte mest ressourcekrævende) skridt er derefter oprydningsarbejdet efter hændelsens afslutning. 1.1 Første fase: Akut-fasen Stands angrebet Stop adgang til/fra internettet inkl. Stop interne servere og/eller services, der kan viderebringe inficering via f.eks. file-shares Angrebets omfang For at kunne spore angrebets oprindelse, samt identificere omfanget af kompromitteringen, er det vigtigt, at man sørger for at sikre blandt andet logfiler. Afhængig af angrebstypen vil man muligvis kunne finde relevante oplysninger i forskellige typer logfiler: Netværkslogs: Firewall, DNS, IDS, proxy, NetFlow fra netværksenheder Serverlogs: Web server logs, applikationslogs, event logs, lokal IDS/firewall, scheduled tasks I tilfælde af, at der ikke logges, bør der hurtigst muligt slås relevant logning til, der sendes til et centralt samlingssted. I forbindelse med undersøgelsen af logfilerne er det vigtigt at identificere, hvordan det er lykkedes angriberne at tilegne sig adgang til systemerne. Drejer det sig f.eks. om en kendt sårbarhed, der har været udnyttet? Kontakt GovCERT Ring til GovCERT på vores vagtnummer og giv os så mange informationer om hændelsen som muligt. Vi vil først stille nogle spørgsmål for at hjælpe os til at forstå hændelsen bedre. Vi opretter derefter en sag, hvori al relevant information omkring hændelsen vil blive registreret, og som kan være til hjælp i sagens undersøgelse Anmeld sagen til Politiet Det Nationale IT-Efterforskningscenter (NITEC) bistår Politiet i sager vedrørende hacking samt andre typer af elektronisk kriminalitet. Vi råder normalt kunder til at anmelde sager vedr. hacking til NITEC de kan kontaktes telefonisk på eller via it-kriminalitet@politi.dk

3 1.2 Anden fase: Oprydning Identificer misbrugte brugerkonti Check filer og s, der er tilknyttet de kompromitterede brugerkonti Check andre servere, hvor de misbrugte konti benyttes Geninstallation af berørte systemer Geninstallation: Efter hændelsens afslutning bør alle berørte systemer geninstalleres for at sikre, at der ikke efterlades malware eller bagdøre på dem. Data, der skal genskabes, bør genindlæses fra en backup, der vides at være sikker. Opdateringer: Alle systemer bør så vidt muligt opdateres med de seneste sikkerhedspatches Ændring af passwords Som minimum bør passwords tilhørende alle kompromitterede konti ændres. Hvis muligt, bør alle administrative konti ligeledes ændres, herunder både dem, der er tilknyttet brugere og services, samt lokale konti og domæne-konti Best practice: Alle passwords i hele domænet bør om muligt ændres Check flytbare medier Undersøg flytbare medier, såsom USB-diske, CD'er, DVD'er og USB-nøgler, der kunne have været i kontakt med de inficerede systemer. Eventuelt inficerede medier bør formateres eller bortskaffes for at undgå geninficering via netværket.