Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Saturday, July 31, 2010

Datenrettung ohne Datensicherungen

Source
Wir alle sind uns bewusst, dass es da draußen jede Menge krimineller Elemente gibt. Während der letzten Tech-Ed-Konferenz von Microsoft setzte eine kriminelle Bande beispielsweise eine "Belohnung" in Höhe von 50.000 $ für denjenigen aus, der in der Lage wäre, das Netzwerk der Konferenz lahm zu legen. Wie können wir also feststellen, ob diese Leute schon in das System eingedrungen sind? Wenn sie nicht wirklich gut sind, hinterlassen sie unweigerlich Spuren wie neue Konten, merkwürdige Dateien und potenziell instabile Systeme. Die Mehrheit der heutigen Angreifer dürfte in diese Kategorie fallen – so hoffe ich jedenfalls – aber dann gibt es noch die, die sich wirklich auskennen. Das sind diejenigen, die sofort im Betriebssystem abtauchen, sobald sie sich Zugriff auf ein System verschafft haben. Sie installieren ein Rootkit, welches dafür sorgt, dass das System nicht länger vertrauenswürdig ist. Windows Explorer und Befehlszeile zeigen nicht mehr die Dateien an, die sich tatsächlich auf dem System befinden, der Registrierungseditor wird zum Lügner abgestempelt, Kontenverwaltungstools zeigen nicht alle Benutzer an. In diesem Stadium eines Eindringens können Sie sich nicht mehr darauf verlassen, dass das System reale Fakten über sich selbst mitteilt. Das ist der Punkt, an dem nur noch ein Weg offen steht: Festplatte formatieren und System neu aufsetzen (es soll Leute geben, die diesen Vorgang als "Nuke and Pave" [übertragen etwa: "Hochjagen und Plattwalzen", A. d. Ü.] bezeichnen). Das System ist damit vollständig kompromittiert. Wie können Sie feststellen, dass dies geschehen ist und was genau passiert ist?
Es gibt ein paar Tricks, um diese Art des Eindringens zu erkennen. Einer besteht darin, ein netzwerkbasiertes System zur Eindringungserkennung (Intrusion Detection System – IDS) zu verwenden, mit dem der gesamte Verkehr in und aus dem Netzwerk überwacht wird. Ein netzwerkbasiertes IDS ist neutral und kann, sofern es nicht ebenfalls kompromittiert wurde, eine gute Vorstellung davon vermitteln, was aus einem verdächtigen System herausgeht und was hereinkommt. Eine eingehende Besprechung von IDS würde den Rahmen dieses Artikels sprengen, und für die meisten von uns liegt ein IDS sowieso jenseits der unmittelbaren Bedürfnisse. Und in vielen Fällen wäre es zudem sinnvoller, die Zeit in die eigentliche Sicherung des Netzwerkes anstatt in die Implementierung eines IDS zu investieren. Den meisten unserer Netzwerke würden zusätzliche Bemühungen im Sicherheitsbereich durchaus zustatten kommen, und wenn wir das nicht zuerst erledigen, stellen wir lediglich sicher, dass wir eine Menge interessanter IDS-Protokolle zu lesen bekommen.
Sie können auch erkennen, dass ein System erfolgreich angegriffen wurde, indem Sie das System selbst analysieren, was jedoch einige tief greifende forensische Maßnahmen erfordert. Beispielsweise müssen Sie, da Sie dem System selbst nicht mehr trauen können, von einem neutralen, vorzugsweise schreibgeschützten Medium booten. Eine Möglichkeit besteht darin, Windows PE zu starten, eine von CD bootfähige Version von Windows XP oder Windows Server 2003, die nur im Befehlszeilenmodus arbeitet. Windows PE ist allerdings nicht allgemein verfügbar. Eine weitere Möglichkeit eröffnet sich mit den Tools Winternals ERD Commander oder System Restore. Eine Kopie der Tools finden Sie unter (http://www.winternals.com). Beide Tools setzen auf WinPE auf. Bei ERD Commander handelt es sich im Wesentlichen um eine GUI, die auf WinPE aufsetzt und mit der eine großartige Sammlung an Tools bereitsteht, um ein zerstörtes System wieder aufleben zu lassen. Da es sich um eine neutrale Installation handelt, können Sie darauf vertrauen, dass Ihnen die Befehle auf diesem Datenträger wahrheitsgemäß Auskunft darüber geben, was auf dem verdächtigen Computer wirklich vorgeht. System Restore ist quasi eine Erweiterung von ERD Commander, die zudem die Fähigkeit umfasst, ein System anhand einer Basislinie zu prüfen. Gehen wir beispielsweise davon aus, dass Sie einen Webserver aufsetzen möchten. Nach Abschluss der Installation erstellen Sie eine Basislinie, die definiert, wie das System aufgebaut ist. Zu irgendeinem Zeitpunkt nach der offiziellen Inbetriebnahme des Systems erhärtet sich der Verdacht, dass Hacker in das System eingedrungen sind. Möglicherweise entdecken Sie merkwürdigen Netzwerkverkehr, der vom System ausgeht, und beschließen daher, das System zu analysieren. Sie können das System nun offline schalten, es von einer Wiederherstellungs-CD booten und einen Vergleich mit dem neuesten Snapshot durchführen. Auf diese Weise erfahren Sie exakt, was sich geändert hat. Ob diese Änderungen nun tatsächlich auf einen Eindringling zurückzuführen sind, ist damit natürlich nicht geklärt, aber Sie dürfen das keinesfalls auf die leichte Schulter nehmen.
Ein abschließender Hinweis zu forensischen Untersuchungen: Wenn Sie wirklich glauben, dass ein Angriff stattgefunden hat und rechtliche Schritte einleiten möchten, empfiehlt es sich, die forensischen Untersuchungen nicht selbst vorzunehmen. Nehmen Sie das System aus dem Netz, um eine weitere Ausbreitung des Schadens zu verhindern, aber ziehen Sie anschließend einen forensischen Experten zu Rate. Das Risiko, dass Beweise zerstört und damit vor Gericht nicht mehr anerkannt werden, ist einfach zu groß. Wenn Sie also die Notwendigkeit zum Sichern von Beweisen sehen, ziehen Sie unbedingt einen Experten hinzu.

No comments: