Pregunta ¿Cómo buscar puertas traseras de la persona anterior de TI?


Todos sabemos que sucede. Un tipo de TI viejo y amargado deja un puerta trasera en el sistema y la red para divertirse con los nuevos y mostrar a la compañía lo mal que están las cosas sin él.

Nunca he experimentado personalmente esto. Lo más que he experimentado es alguien que rompió y robó cosas justo antes de irme. Aunque estoy seguro de que esto sucede.

Entonces, al tomar el control de una red en la que no se puede confiar, ¿qué pasos se deben tomar para garantizar que todo sea seguro?


355
2017-08-18 15:04


origen


+1, me gusta esta pregunta. Es mi cosa menos favorita cuando se trata de un nuevo cliente, especialmente si el último tipo se fue en malas condiciones. - DanBig
La mayoría de los lugares que he dejado, no estar allí diciendo "No hagas eso" es suficiente para que la red no funcione. No necesito dejar las puertas traseras. - Paul Tomblin
@Paul, eso sugiere que no documentaste correctamente. Esperemos que las nuevas personas hagan esa parte de su trabajo correctamente. - John Gardeniers
@John, ¿tus usuarios y compañeros de trabajo leen la documentación? ¿Dónde puedo conseguir algunos de esos? - Paul Tomblin
@Paul, usuarios - no, ¿por qué deberían hacerlo? Compañeros de trabajo (suponiendo que te refieres a personas de TI) - sí. Leer los documentos debe ser el primer paso para comenzar un nuevo trabajo. - John Gardeniers


Respuestas:


Es muy, muy, muy duro. Requiere una auditoría muy completa. Si está muy seguro de que la persona mayor dejó algo atrás que irá en auge, o requerirá su re-contratación porque son los únicos que pueden apagar un incendio, entonces es hora de asumir que ha sido erradicado por un fiesta hostil Trátalo como si un grupo de hackers entrara y robara cosas, y tienes que limpiar después de su desastre. Porque eso es lo que es.

  • Audite cada cuenta en cada sistema para asegurarse de que esté asociado con una entidad específica.
    • Se debe desconfiar de las cuentas que parecen asociadas a los sistemas pero que nadie puede explicar.
    • Las cuentas que no están asociadas con nada deben eliminarse (esto debe hacerse de todos modos, pero es especialmente importante en este caso)
  • Cambie todas y cada una de las contraseñas con las que puedan haber entrado en contacto.
    • Esto puede ser un problema real para las cuentas de servicios públicos, ya que esas contraseñas tienden a ser codificadas en cosas.
    • Si fueran un tipo de servicio de asistencia que respondiera a las llamadas de los usuarios finales, suponga que tienen la contraseña de cualquier persona a la que asistieron.
    • Si tenían Enterprise Admin o Domain Admin en Active Directory, asuma que tomaron una copia de los hashes de contraseña antes de irse. Se pueden descifrar tan rápido ahora que será necesario forzar un cambio de contraseña en toda la empresa en cuestión de días.
    • Si tenían acceso de root a cualquiera de los cuadros * nix, suponen que se fueron con los hashes de contraseña.
    • Revise todo el uso de la clave SSH de clave pública para asegurarse de que sus claves se eliminen, y audite si alguna clave privada estuvo expuesta mientras lo hace.
    • Si tuvieron acceso a cualquier equipo de telecomunicaciones, cambie las contraseñas de su enrutador / interruptor / puerta de enlace / PBX. Esto puede ser un dolor real, ya que esto puede implicar interrupciones significativas.
  • Auditoría completa de sus disposiciones de seguridad perimetral.
    • Asegúrese de que todos los orificios del cortafuegos rastrean los dispositivos y puertos autorizados.
    • Asegúrese de que todos los métodos de acceso remoto (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, lo que sea) no tengan una autenticación adicional, y verifíquelos completamente para los métodos de acceso no autorizados.
    • Asegúrese de que los enlaces WAN remotos rastrean a las personas totalmente empleadas y verifíquelas. Especialmente conexiones inalámbricas. No quiere que se vayan con un módem celular o un teléfono inteligente pagado por la empresa. Póngase en contacto con todos estos usuarios para asegurarse de que tienen el dispositivo correcto.
  • Auditar completamente los acuerdos internos de acceso privilegiado. Estas son cosas como el acceso SSH / VNC / RDP / DRAC / iLO / IMPI a los servidores que los usuarios generales no tienen, o cualquier acceso a sistemas sensibles como la nómina.
  • Trabaje con todos los proveedores externos y proveedores de servicios para asegurarse de que los contactos sean correctos.
    • Asegúrese de que sean eliminados de todas las listas de contactos y servicios. Esto debe hacerse de todos modos después de cualquier partida, pero es muy importante ahora.
    • Valide que todos los contactos son legítimos y tienen información de contacto correcta, esto es para encontrar fantasmas que se pueden suplantar.
  • Comience a buscar bombas lógicas.
    • Revise toda la automatización (programadores de tareas, trabajos cron, listas de llamadas de UPS, o cualquier cosa que se ejecute en un horario o se active por evento) para detectar signos de maldad. Por "todos" me refiero a todos. Compruebe cada crontab solo. Verifique cada acción automatizada en su sistema de monitoreo, incluidas las sondas en sí. Compruebe todos los Programadores de tareas de Windows; incluso estaciones de trabajo. A menos que trabaje para el gobierno en un área altamente sensible, no podrá pagar "todo", haga todo lo que pueda.
    • Valide los binarios clave del sistema en cada servidor para asegurarse de que sean lo que deberían ser. Esto es complicado, especialmente en Windows, y es casi imposible hacerlo de forma retroactiva en sistemas únicos.
    • Empieza a cazar rootkits. Por definición, son difíciles de encontrar, pero hay escáneres para esto.

No es fácil en lo más mínimo, ni siquiera remotamente cerca. Justificar el gasto de todo eso puede ser realmente difícil sin una prueba definitiva de que el administrador de now-ex en realidad era malvado. La totalidad de lo anterior ni siquiera es factible con los activos de la compañía, lo que requerirá la contratación de consultores de seguridad para realizar parte de este trabajo.

Si se detecta el mal real, especialmente si el mal está en algún tipo de software, los profesionales de seguridad capacitados son los mejores para determinar la amplitud del problema. Este es también el momento en que un caso criminal puede comenzar a construirse, y usted De Verdad quiere que las personas que están capacitadas en el manejo de la evidencia estén haciendo este análisis.


Pero, realmente, ¿hasta dónde tienes que ir? Aquí es donde gestión de riesgos entra en juego. De manera simplista, este es el método para equilibrar el riesgo esperado contra la pérdida. Los administradores de sistemas hacen esto cuando decidimos. cual ubicación fuera del sitio queremos poner copias de seguridad; Caja de seguridad bancaria frente a un centro de datos fuera de la región. Averiguar qué parte de esta lista debe seguirse es un ejercicio de gestión de riesgos.

En este caso, la evaluación comenzará con algunas cosas:

  • El nivel de habilidad esperado de los difuntos.
  • El acceso de los difuntos.
  • La expectativa de que se hizo el mal.
  • El daño potencial de cualquier mal.
  • Los requisitos reglamentarios para denunciar el mal perpetrado frente al mal encontrado preventivamente. Generalmente tienes que reportar lo primero, pero no lo último.

La decisión de qué tan abajo está la zambullida de conejo para bucear dependerá de las respuestas a estas preguntas. Para las salidas rutinarias de administración donde la expectativa del mal es muy leve, no se requiere el circo completo; probablemente sea suficiente cambiar las contraseñas de nivel de administrador y volver a teclear cualquier host SSH externo. Una vez más, la postura de seguridad de la gestión de riesgos corporativa determina esto.

Para los administradores que fueron despedidos por causa, o el mal surgido después de su partida normal, el circo se vuelve más necesario. El peor de los casos es un tipo BOFH paranoico que ha sido notificado de que su posición será redundante en 2 semanas, ya que eso les da suficiente tiempo para prepararse; en circunstancias como estas La idea de Kyle de un generoso paquete de despido. Puede mitigar todo tipo de problemas. Incluso los paranoicos pueden perdonar muchos pecados después de que llega un cheque que contiene 4 meses de pago. Ese cheque probablemente costará menos que el costo de los consultores de seguridad necesarios para descubrir su maldad.

Pero en última instancia, se reduce al costo de determinar si el mal se hizo frente al costo potencial de cualquier mal que realmente se haga.


329
2017-08-18 15:40



+1 - El estado de la técnica con respecto a auditar los binarios del sistema es bastante malo hoy. Las herramientas forenses informáticas pueden ayudarlo a verificar las firmas en binarios, pero con la proliferación de diferentes versiones binarias (particularmente en Windows, lo que sucede con todas las actualizaciones cada mes) es bastante difícil encontrar un escenario convincente en el que pueda acercarse al 100%. verificación binaria. (Le daría un total de 10 si pudiera, porque ha resumido bastante bien el problema completo. Es un problema difícil, especialmente si no hubo compartimentación y separación de tareas). - Evan Anderson
+++ Re: cambiar las contraseñas de la cuenta de servicio. Esto debería estar completamente documentado de todos modos, por lo que este proceso es doblemente importante si se espera que haga su trabajo. - Kara Marfia
@Joe H .: No olvide verificar el contenido de dicha copia de seguridad independientemente de la infraestructura de producción. El software de copia de seguridad podría estar trojanizado. (Uno de mis clientes tenía un tercero con una instalación independiente de su aplicación LOb que fue contratada para restaurar las copias de seguridad, cargarlas en la aplicación y verificar que los estados financieros generados a partir de la copia de seguridad coincidían con los generados por el sistema de producción. salvaje...) - Evan Anderson
Gran respuesta. Además, no olvide retirar al empleado fallecido como punto de contacto autorizado para los proveedores de servicios y proveedores. Registradores de dominio. Proveedores de servicio de Internet. Empresas de telecomunicaciones. Asegúrese de que todas estas partes externas reciban la noticia de que el empleado ya no está autorizado para realizar cambios o discutir las cuentas de la empresa. - Mox
"La totalidad de lo anterior puede que ni siquiera sea factible con los activos de la compañía, lo que requerirá la contratación de consultores de seguridad para realizar parte de este trabajo". - por supuesto que puede ser esta Exposición que lleva al compromiso. Este nivel de auditoría requiere un acceso al sistema de nivel extremadamente bajo, y por parte de personas que saber como esconder cosas - MightyE


Yo diría que es un balance de cuánta preocupación tiene frente al dinero que está dispuesto a pagar.

Muy preocupado:
Si está muy preocupado, es posible que desee contratar a un consultor de seguridad externo para que realice un análisis completo de todo desde una perspectiva externa e interna. Si esta persona era particularmente inteligente, podría estar en problemas, podría tener algo que estará inactivo por un tiempo. La otra opción es simplemente reconstruir todo. Esto puede parecer muy excesivo, pero aprenderá bien el entorno y también realizará un proyecto de recuperación de desastres.

Ligeramente preocupado
Si solo te preocupa un poco, quizás quieras hacer:

  • Un escaneo de un puerto desde el exterior.
  • Escaneo de virus / spyware. Rootkit Scan para máquinas Linux.
  • Revise la configuración del firewall para cualquier cosa que no entienda.
  • Cambie todas las contraseñas y busque cuentas desconocidas (asegúrese de que no hayan activado a alguien que ya no esté en la empresa para poder usar eso, etc.).
  • Este también puede ser un buen momento para instalar un sistema de detección de intrusos (IDS).
  • Mira los registros más de cerca de lo que normalmente lo haces.

Para el futuro:
Avanzar cuando un administrador se vaya, dale una buena fiesta y luego, cuando está borracho, solo ofrécele a casa y luego tíralo en el río, pantano o lago más cercano. Más seriamente, esta es una de las buenas razones para dar a los administradores una generosa indemnización por despido. Quieres que se sientan bien por dejar tanto como sea posible. Incluso si no deberían sentirse bien, ¿a quién le importa? Aspira y hazlos felices. Finge que es tu culpa y no la de ellos. El costo de un aumento en los costos del seguro de desempleo y el paquete de indemnización por despido no se compara con el daño que podrían hacer. Se trata del camino de menor resistencia y de crear el menor drama posible.


98
2017-08-18 15:18



Las respuestas que no incluyen el asesinato probablemente serían preferidas :-) - Jason Berg
+1 por la sugerencia de BOFH. - jscott
@Kyle: Se suponía que ese era nuestro pequeño secreto ... - GregD
El hombre muerto cambia, Kyle. Los colocamos allí en caso de que nos vayamos por un tiempo :) Por "nosotros", quiero decir, uh, ¿ellos? - Bill Weiss
+1 - Es una respuesta práctica, y me gusta la discusión basada en un análisis de riesgo / costo (porque eso es lo que es). La respuesta de Sysadmin1138 es un poco más completa en relación con: "el caucho se encuentra con el camino", pero no necesariamente incluye el análisis de riesgo / costo y el hecho de que, en la mayoría de los casos, hay que dejar de lado algunas suposiciones como "demasiado remoto". (Esa puede ser una decisión equivocada, pero nadie tiene tiempo / dinero infinitos). - Evan Anderson


No olvide los gustos de Teamviewer, LogmeIn, etc ... Sé que esto ya se mencionó, pero una auditoría de software (muchas aplicaciones) de cada servidor / estación de trabajo no se vería afectada, incluidos los escaneos de subredes con nmap NSE scripts.


19
2017-08-24 22:40





Lo primero es lo primero: obtenga una copia de seguridad de todo lo que haya en el almacenamiento externo (por ejemplo, cinta o disco duro que desconecte y guarde). De esa manera, si ocurre algo malicioso, es posible que pueda recuperarse un poco.

A continuación, peinar a través de sus reglas de firewall. Cualquier puerto abierto sospechoso debe estar cerrado. Si hay una puerta trasera, entonces prevenir el acceso a ella sería bueno.

Cuentas de usuario: busque a su usuario descontento y asegúrese de eliminar su acceso lo antes posible. Si hay claves SSH, o archivos / etc / passwd, o entradas LDAP, incluso archivos .htaccess, todos deberían ser escaneados.

En sus servidores importantes busque aplicaciones y puertos de escucha activos. Asegúrese de que los procesos en ejecución adjuntos a ellos parezcan sensatos.

En última instancia, un empleado descontento determinado puede hacer cualquier cosa; después de todo, tienen conocimiento de todos los sistemas internos. Uno espera que tengan la integridad de no tomar acciones negativas.


18
2017-08-18 15:25



las copias de seguridad también pueden ser importantes si algo sucede, y usted decide seguir la ruta de la fiscalía, por lo que puede querer averiguar cuáles son las reglas para el manejo de la evidencia y asegurarse de seguirlas, por si acaso. - Joe H.
Pero no olvide que lo que acaba de hacer una copia de seguridad puede incluir aplicaciones / config / data rooteadas, etc. - Shannon Nelson
Si tiene copias de seguridad de un sistema rooteado, entonces tiene evidencia. - XTL


Una infraestructura bien administrada tendrá las herramientas, el monitoreo y los controles para prevenir esto en gran medida. Éstos incluyen:

Si estas herramientas están en su lugar correctamente, tendrá un registro de auditoría. De lo contrario, vas a tener que realizar una completa prueba de penetración.

El primer paso sería auditar todos los accesos y cambiar todas las contraseñas. Concéntrese en el acceso externo y los posibles puntos de entrada: aquí es donde mejor se gasta su tiempo. Si la huella externa no está justificada, elimínela o redúzcala. Esto le permitirá tiempo para centrarse en más detalles internamente. También tenga en cuenta todo el tráfico saliente, ya que las soluciones programáticas podrían estar transfiriendo datos restringidos externamente.

En última instancia, ser administrador de sistemas y redes permitirá el acceso total a la mayoría, si no a todas las cosas. Con esto, viene un alto grado de responsabilidad. La contratación con este nivel de responsabilidad no debe tomarse a la ligera y deben tomarse medidas para minimizar el riesgo desde el principio. Si se contrata a un profesional, incluso si se sale en malas condiciones, no tomarían medidas que serían poco profesionales o ilegales.

Hay muchas publicaciones detalladas sobre Fallo del servidor que cubren la auditoría adecuada del sistema para la seguridad, así como qué hacer en caso de que alguien termine. Esta situación no es única de esas.


17
2017-08-18 15:31





Un BOFH inteligente podría hacer lo siguiente:

  1. Programa periódico que inicia una conexión de salida de netcat en un puerto bien conocido para recoger comandos. P.ej. Puerto 80. Si está bien hecho, el tráfico de ida y vuelta tendrá la apariencia de tráfico para ese puerto. Entonces, si en el puerto 80, tendría encabezados HTTP, y la carga útil sería fragmentos incrustados en las imágenes.

  2. Comando de Aperiodic que busca en lugares específicos los archivos para ejecutar. Los lugares pueden estar en las computadoras de los usuarios, las computadoras de la red, las tablas adicionales en las bases de datos, los directorios temporales de archivos de cola de impresión.

  3. Programas que verifican si una o más de las otras puertas traseras todavía están en su lugar. Si no lo está, se instala una variante y los detalles se envían por correo electrónico al BOFH.

  4. Dado que gran parte de las copias de seguridad se realizan ahora con el disco, modifique las copias de seguridad para que contengan al menos algunos de sus kits de raíz.

Maneras de protegerse de este tipo de cosas:

  1. Cuando un empleado de la clase BOFH se retire, instale una nueva caja en la DMZ. Obtiene una copia de todo el tráfico que pasa por el firewall. Busque anomalías en este tráfico. Este último no es trivial, especialmente si el BOFH es bueno imitando los patrones de tráfico normales.

  2. Rehaga sus servidores para que los archivos binarios críticos se almacenen en medios de solo lectura. Es decir, si desea modificar / bin / ps, debe ir a la máquina, mover físicamente un interruptor de RO a RW, reiniciar un solo usuario, volver a montar esa partición rw, instalar su nueva copia de ps, sincronizar, reiniciar, interruptor de palanca. Un sistema hecho de esta manera tiene al menos algunos programas confiables y un kernel confiable para hacer más trabajo.

Por supuesto, si estás usando ventanas, estás enjabonado.

  1. Compartimenta tu infraestructura. No es razonable con pequeñas y medianas empresas.

Maneras de prevenir este tipo de cosas.

  1. Vet los solicitantes con cuidado.

  2. Averigüe si estas personas están descontentas y solucione los problemas del personal con anticipación.

  3. Cuando despidas a un administrador con este tipo de poderes, endulza el pastel:

    a. Su salario o una fracción de su salario continúa por un período de tiempo o hasta que se produce un cambio importante en el comportamiento del sistema que no está explicado por el personal de TI. Esto podría estar en un decaimiento exponencial. P.ej. recibe la paga completa por 6 meses, 80% de eso por 6 meses, 80 por ciento de ese para los próximos 6 meses.

    segundo. Parte de su salario es en forma de opciones de compra de acciones que no surten efecto entre uno y cinco años después de su partida. Estas opciones no se eliminan cuando se va. Él tiene un incentivo para asegurarse de que la compañía funcionará bien en 5 años.


16
2017-08-25 15:37



WTF es un BOFH ?? - Chloe
Chloe, BOFH es sinónimo de Bastard Operator from Hell, el icónico sysadmin del sociópata meglomaníaco delirante paranoico, que hace que las personas que pasan demasiado tiempo recogiendo el ratón de alguien del piso sueñen en convertirse. Hay una serie de historias originalmente presentadas para alt.sysadmin.recovery en bofh.ntk.net/Bastard.html  es.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
Cuanto más alto sea tu puntaje de ServerFault, mayores serán tus posibilidades de ser un BOFH :-) - dunxd
"Por supuesto, si estás usando ventanas, estás enjabonado". Quiero esto en mi pared. - programmer5000


Me parece que el problema existe incluso antes de que el administrador se vaya. Es solo que uno nota el problema más en ese momento.

-> Uno necesita un proceso para auditar cada cambio, y parte del proceso es que los cambios solo se aplican a través de él.


13
2017-08-24 22:55



Tengo curiosidad acerca de cómo hacer cumplir este tipo de proceso? - Mr. Shiny and New 安宇
Esto es bastante difícil de hacer en una pequeña empresa (es decir, 1-2 personas de tipo administrador de sistemas) - Beep beep
Es un dolor hacer cumplir, pero es ejecutable. Una de las grandes reglas básicas es que nadie se registra en una caja y la administra, incluso a través de sudo. Los cambios deben ir a través de una herramienta de administración de la configuración, o deben ocurrir en el contexto de un evento de tipo firecall. Cada cambio de rutina a los sistemas debe ir a través de títeres, cfengine, chef o una herramienta similar, y todo el cuerpo de trabajo para sus administradores de sistemas debe existir como un repositorio de versiones controladas de estos scripts. - Stephanie


Asegúrese de avisar a todos en la compañía una vez que se hayan ido. Esto eliminará el vector de ataque de la ingeniería social. Si la compañía es grande, entonces asegúrese de que la gente que necesita saber, sepa.

Si el administrador también fue responsable del código escrito (sitio web corporativo, etc.), también tendrá que hacer una auditoría del código.


12
2017-08-25 02:51





Hay uno grande que todos han dejado de lado.

Recuerda que no solo hay sistemas.

  • ¿Los proveedores saben que esa persona no está en el personal y no se debe permitir el acceso (colo, telco)
  • ¿Hay algún servicio externo alojado que pueda tener contraseñas separadas (intercambio, crm)?
  • ¿Podrían tener material de chantaje de todos modos (bueno, esto está empezando a llegar un poco ...)

12
2017-08-25 11:08