Sono stati seguiti alcuni di questi consigli ed è stata rilevata un'intrusione? La prima cosa da fare è restare calmi. Azioni affrettate possono causare più danni dell'aggressore stesso.
Rilevare una compromissione in corso è una situazione di tensione. Il modo in cui si reagisce può avere grandi conseguenze.
Se la compromissione è fisica probabilmente è stato colto qualcuno che si è intrufolato in casa, in ufficio o nel laboratorio. Si dovrebbero avvisare le autorità competenti. In un laboratorio si potrebbe aver visto qualcuno che provava ad aprire un case o a riavviare una macchina. A seconda dell'autorità di cui si dispone e delle procedure, si potrebbe farli desistere o chiamare direttamente la sicurezza.
Se si è preso un utente locale che tentava di compromettere la sicurezza, la prima cosa da fare è confermare che sia davvero chi si pensa. Si controlli il posto da cui si connettono. È da dove si connettono normalmente? No? Allora si utilizzi un mezzo di comunicazione non elettronico. Per esempio, li si chiami al telefono o si vada nel loro ufficio/appartamento per parlarci. Se ammettono il fatto, chiedere spiegazioni su cosa stavano facendo, o gli si dica di smetterla. Se non c'entrano e non sanno di cosa si sta parlando, probabilmente si dovrà investigare ulteriormente. Lo si faccia e ci si procuri più informazioni possibili prima di accusare qualcuno.
Se è stato rilevato un attacco di rete la prima cosa da fare (se possibile) è disconnetterla. Se sono connessi via modem, si stacchi il doppino; se via Ethernet, il cavo Ethernet. Questo impedirà loro di fare altri danni e penseranno ad un problema di rete piuttosto che ad un rilevamento.
Se non si può staccare la rete (se si ha un sito trafficato o non si ha il controllo fisico sulle macchine), il prossimo miglior passo è usare qualcosa come i tcp_wrappers o ipfwadm per negare l'accesso dal sito dell'intruso.
Se non si possono rifiutare tutte le connessioni dal sito dell'intruso, ci si deve accontentare di disattivare l'account dell'utente. Farlo però non è semplice. Si devono tenere a mente i file .rhosts, l'accesso FTP e una montagna di possibili backdoor.
Una volta preso uno dei provvedimenti sopra (disconnessa la rete, negato l'accesso dal suo sito e/o disabilitato il suo account), si dovranno uccidere tutti i suoi processi ed espellerlo.
Si dovrà sorvegliare bene il sito nei minuti seguenti, perché l'aggressore tenterà di rientrare. Forse usando un account differente, o da un altro indirizzo di rete.
È stata trovata una manomissione già avvenuta o è stato rilevato e chiuso fuori (si spera) l'intruso. E ora?
Se si è capaci di determinare in che modo l'aggressore è entrato, si dovrebbe tentare di chiudere quel buco. Per esempio, forse si troveranno diverse voci FTP subito prima del login dell'utente. Si disabiliti il servizio FTP e si controlli se esiste una versione aggiornata o se qualche lista conosce un rimedio.
Si controllino tutti i log, e si vedano le liste di sicurezza per controllare se ci sono exploit che si possono riparare. Si possono trovare gli aggiornamenti di sicurezza di Caldera presso http://www.caldera.com/tech-ref/security/. Red Hat non ha ancora separato i propri aggiornamenti di sicurezza da quelli dei bug, ma l'errata corrige della loro distribuzione si trova presso http://www.redhat.com/errata
Debian ha ora una mailing list sulla sicurezza e una pagina web. Si veda: http://www.debian.org/security/ per altre informazioni.
È molto probabile che se un distributore Linux ha rilasciato un aggiornamento lo abbiano fatto anche gli altri.
Esiste un progetto di sondaggio della sicurezza di Linux. Passano metodicamente tutti programmi utente e cercano exploit e overflow. Dal loro annuncio:
"Stiamo tentando un sondaggio sistematico dei sorgenti di Linux con l'obiettivo di renderlo sicuro come OpenBSD. Abbiamo già scoperto (e riparato) alcuni problemi, ma altro aiuto è benvenuto. La lista non è moderata e rappresenta anche una buona fonte di discussioni generiche sulla sicurezza. L'indirizzo della lista è security-audit@fer ret.lmh.ox.ac.uk Per iscriversi, mandate una e-mail a: security-audit-subscribe@ferret.lmh.ox.ac.uk"
Se non si chiudono fuori gli aggressori, probabilmente torneranno. Non solo sulla stessa macchina ma forse da qualche parte nella rete. Se avessero eseguito uno sniffer, ci sono buone probabilità che abbiano accesso ad altre macchine locali.
La prima cosa è stimare il danno. Cosa è stato compromesso? Se si stava eseguendo un test di integrità come Tripwire, lo si può usare per eseguire un controllo; dovrebbe aiutare a capire cosa è stato compromesso. Altrimenti si dovranno controllare tutti i dati importanti.
Visto che i sistemi Linux diventano sempre più semplici da installare si potrebbe considerare di salvare i file di configurazione, vuotare i dischi, reinstallare e quindi ripristinare i file degli utenti e di configurazione dai backup. Questo assicura un sistema nuovo e pulito. Se si dovessero ripristinare dei file dal sistema compromesso si sia molto cauti con ogni binario che viene ripristinato, perché potrebbe essere un cavallo di Troia messo lì dall'intruso.
La reinstallazione dovrebbe essere considerata obbligatoria se un intruso ottenesse l'accesso di root. Inoltre, si potrebbero voler tenere le prove lasciate, quindi avere un disco vuoto a disposizione può essere sensato.
Ora ci si deve preoccupare di quanto tempo è passato dalla compromissione e della possibilità che i backup possano contenere lavoro danneggiato. Segue un approfondimento sui backup.
Avere backup regolari è una manna per i problemi di sicurezza. Se il sistema venisse compromesso, si potrebbero ripristinare i dati dai backup. Ovvio che alcuni dati hanno valore anche per l'aggressore e non solo li distruggerà ma li ruberà e si farà le sue copie; ma per lo meno li si avrà ancora.
Si dovrebbero controllare backup anche molto vecchi, prima di ripristinare un file che è stato manomesso. L'intruso potrebbe aver compromesso i file molto tempo fa e potrebbero essere stati fatti molti backup del file già compromesso!
Ovviamente, c'è una serie di problemi di sicurezza con i backup. Ci si assicuri di tenerli in un posto sicuro. Si sappia chi vi ha accesso. (Se l'aggressore ottiene i backup, ha accesso a tutti i dati senza che neanche lo si venga a sapere.)
Bene, è stato chiuso fuori l'intruso e ripristinato il sistema, ma non si è ancora finito. Anche se è improbabile che l'intruso venga preso, si dovrebbe notificare l'attacco.
Si dovrebbe notificarlo all'amministratore del sito da cui proveniva l'attacco. Si può trovare questo contatto con whois o sul database dell'Internic. Si potrebbe mandare una e-mail con tutte le voci, le date e le ore dei log inerenti. Se si è notato qualcosa di particolare nell'intruso lo si dovrebbe menzionare. Dopo aver mandato l'e-mail si dovrebbe, se si vuole, far seguire una telefonata. Se l'amministratore a sua volta vedesse l'aggressore potrebbe parlarne con l'amministratore del sito da cui proviene e via così.
I bravi cracker usano spesso diversi sistemi intermedi, alcuni (o molti) dei quali non sanno neanche di essere stati compromessi. Provare a inseguire un cracker fino al suo sistema base sarà difficile. Essere gentili con gli amministratori con cui si parla aiuta molto ad avere la loro collaborazione.
Si dovrebbe anche darne notizia ad ogni organizzazione di sicurezza di cui si fa parte (il CERT o simili), oltre al distributore del sistema Linux.