[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]


Manuel de sécurisation de Debian
Chapitre 10 - Après la compromission (la réponse à l'incident)


10.1 Comportement général

Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions commerciales, votre première réaction devrait être de débrancher simplement la machine du réseau en débranchant la carte réseau. La désactivation du réseau à la première couche est le seul vrai moyen de garder un attaquant en dehors d'une machine compromise (conseil avisé de Phillip Hofmeister).

Cependant, certains outils installés à l'aide d'un rootkit, d'un cheval de Troie ou même d'un utilisateur malhonnête connecté via une porte dérobée (backdoor), pourraient être capables de détecter cet évènement et d'y réagir. Voir un rm -rf / s'exécuter au moment de débranchez le réseau du système n'est pas vraiment très drôle. Si vous ne désirez pas prendre ce risque et que vous êtes certain que le système est compromis, vous devriez débrancher le câble d'alimentation (voire tous, s'il y en a plusieurs) et croiser les doigts. Ceci peut sembler extrême, mais en fait cela désamorcera toute bombe à retardement que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis ne doit pas être redémarré. Soit le disque dur devrait être déplacé sur un autre système pour analyse, soit vous devriez utiliser un autre support (un CD-ROM) pour amorcer le système et pour l'analyser. Vous ne devriez pas utiliser les disquettes de récupération de Debian pour amorcer le système, mais vous pouvez utiliser le shell fourni par les disquettes d'installation (rappelez-vous que Alt+F2 vous y amènera) pour analyser[58] le système.

La méthode la plus recommandée pour récupérer un système compromis est d'utiliser un CD autonome avec tous les outils (et les modules du noyau) dont vous pouvez avoir besoin pour accéder au système compromis. Vous pouvez utiliser le paquet mkinitrd-cd pour construire un tel CD-ROM[59]. Vous pourriez également trouver que le CD-ROM FIRE (anciennement appelé Biatchux) est utile ici, car il s'agit aussi d'un CD-ROM autonome avec des outils d'analyse post mortem utiles dans ces situations. Il n'y a pas (encore) d'outil basé sur Debian comme celui-ci, ni de moyen simple de construire un CD-ROM en utilisant votre propre sélection de paquets Debian et mkinitrd-cd (vous devrez donc lire la documentation fournie avec celui-ci pour faire vos propres CD-ROM).

Si vous voulez colmater la brèche de sécurité vraiment rapidement, vous devriez retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment l'intrus a obtenu les droits du superutilisateur. Dans ce cas vous devez tout vérifier : pare-feu, intégrité des fichiers, les différents journaux de l'hôte de journalisation, etc. Pour plus d'informations sur quoi faire après une intrusion, reportez-vous aux documents SANS' Incident Handling white papers ou CERT's Steps for Recovering from a UNIX or NT System Compromise.

Certaines questions générales sur comment gérer un système Debian GNU/Linux compromis sont également disponibles dans Mon système est vulnérable ! (En êtes-vous certain ?), Section 11.2.


10.2 Copies de sauvegarde du système

Rappelez-vous que si vous êtes certain que le système a été compromis, vous ne pouvez pas faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient dissimuler un cheval de Troie, des modules pourraient être installés dans le noyau, etc.

La meilleure chose à faire est une sauvegarde complète du système de fichiers (en utilisant dd) après avoir démarré depuis un média sûr. Les cédéroms Debian GNU/Linux peuvent être utiles en cela, car une console en mode texte est disponible dans le deuxième terminal une fois l'installateur démarré (allez-y en pressant CTRL+ALT+F2 suivi de la touche « Entrée »). À partir de cette console, sauvegardez les informations vers un autre endroit si possible (possiblement sur un serveur de fichiers via NFS ou FTP). Par la suite, vous pourrez analyser l'information pendant que le système compromis est hors-ligne ou réinstallé.

Si vous êtes certain que la seule chose que vous ayez est un cheval de Troie dans l'un des modules du noyau, vous pouvez tenter d'exécuter le noyau à partir du CD-ROM en mode rescue. Assurez-vous aussi de démarrer en mode single user de façon à ce qu'aucun autre cheval de Troie ne s'exécute après le redémarrage.


10.3 Contacter votre CERT local

Le CERT (Computer and Emergency Response Team) est une organisation qui peut vous aider à récupérer un système compromis. Il y a des CERT partout dans le monde [60] et vous devriez contacter votre CERT local en cas d'incident de sécurité qui a conduit à une compromission système. Les personnes du CERT local peuvent vous aider à le récupérer.

Fournir à votre CERT (ou au centre de coordination CERT) des informations sur la compromission même si vous ne demandez pas d'aide peut également aider d'autres personnes car les informations agrégées des incidents reportés sont utilisées pour déterminer si une faille donnée est répandue, s'il y a un nouveau ver dans la nature, quels nouveaux outils d'attaque sont utilisés. Cette information est utilisé pour fournir à la communauté Internet des informations sur les activités actuelles des incidents de sécurité et pour publier des notes d'incident et même des alertes. Pour des informations plus détaillées sur la façon (et les raisons) de rendre compte d'un incident, veuillez lire les règles de compte-rendu d'incident du CERT.

Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin d'aide pour récupérer un système compromis ou si vous voulez discuter d'informations d'incident. Cela inclut la liste de diffusion des incidents et la liste de diffusion des intrusions.


10.4 Analyse post mortem

Si vous souhaitez rassembler plus d'informations, le paquet tct (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires qui effectuent une analyse post mortem d'un système. Tct permet à l'utilisateur de collecter des informations sur les fichiers effacés, les processus qui s'exécutent et plus. Consultez la documentation ci-incluse pour plus d'informations. Ces utilitaires, ainsi que quelques autres, peuvent être retrouvés dans les paquets Sleuthkit et Autopsy de Brian Carrier. Ils permettent l'analyse post mortem d'une image des disques via une interface Web. Dans Debian, vous trouverez les paquets sleuthkit (les outils) et autopsy (l'interface graphique).

N'oubliez pas que l'analyse post mortem devrait toujours être faite sur une copie des données et jamais sur les données elles-mêmes. Si ces dernières sont altérées par cette analyse, vous pourriez perdre des indices importants pour comprendre ce qui s'est passé exactement, en plus de rendre les preuves potentiellement non recevables en cour.

Vous trouverez plus d'informations sur les analyses post mortem dans le livre Forensic Discovery (disponible en ligne) de Dan Farmer's et Wietse Venema, ainsi que leur Computer Forensics Column et leur Computer Forensic Analysis Class handouts. Les bulletins de Brian Carrier The Sleuth Kit Informer est également une très bonne source de trucs pour les analyses post mortem, même s'il n'y a plus eu de bulletin depuis mai 2006. Finalement, le Honeynet Challenges est une excellente façon de peaufiner vos compétences en analyse post mortem puisqu'ils incluent des attaques réelles contre des honeypot et procurent des défis qui vont de l'analyse post mortem de disques durs à l'analyse des journaux des pare-feux et la capture de paquets.

FIXME: Ce paragraphe fournira, dans un avenir proche je l'espère, plus d'informations sur l'analyse post mortem d'un système Debian.

FIXME: Décrire comment utiliser debsums sur un système stable avec les md5sums sur un CD-ROM et le système de fichiers récupéré restauré sur une partition séparée.

FIXME: Ajouter des liens vers des articles d'analyse post mortem (tel que le défi inversé de Honeynet ou les articles de David Dittrich).


10.4.1 Analyse des programmes malveillants (malware)

D'autres outils pouvant être utilisés pour l'analyse post mortem sont disponibles pour la distribution Debian :

L'un de ces paquets peut être utilisé pour analyser des binaires dangereux (comme des portes dérobées) afin de déterminer comment ils fonctionnent et ce qu'ils font au système. Parmi les autres outils fréquemment utilisés, nous retrouvons ldd (dans libc6), strings et objdump (tous deux dans binutils).

Si vous essayez de faire l'autopsie de binaires suspects ou contenant des portes dérobées récupérés d'un système compromis, vous devriez le faire dans un environnement sécurisé (par exemple, dans une image bochs, xen ou un environnement chrooté en utilisant un compte ayant peu de privilèges[61]). Sinon, votre système pourrait être victime de la porte dérobée et compromis à son tour !

Si vous êtes intéressé par les programmes malveillants, alors vous devriez lire le chapitre Malware Analysis Basics du livre Forensic Discovery de Dan Farmer et Wietse Venema.


[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]


Manuel de sécurisation de Debian

Version: 3.4, Tue, 01 May 2012 03:23:38 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Auteurs, Section 1.1

Version française par Simon Valiquette (traducteur actuel)
Frédéric Bothamy, Pierre Machard et Arnaud Assad (anciens traducteurs)
et les membres de la liste debian-l10n-french@lists.debian.org