¿Cómo busca puertas traseras de la persona de TI anterior?

Todos sabemos que sucede. Un viejo informático amargo deja una puerta trasera en el sistema y la red para divertirse con los nuevos y mostrarle a la compañía lo mal que están las cosas sin él.

Nunca he experimentado esto personalmente. Lo más que he experimentado es alguien que rompió y robó cosas justo antes de irse. Sin embargo, estoy seguro de que esto sucede.

Entonces, cuando se hace cargo de una red en la que no se puede confiar, ¿qué pasos se deben tomar para garantizar que todo esté seguro y protegido?

Es muy, muy, muy difícil. Requiere una auditoría muy completa. Si está muy seguro de que la persona mayor dejó algo atrás que se disparará, o requerirá que lo vuelvan a contratar porque son los únicos que pueden apagar un incendio, entonces es hora de asumir que ha sido enraizado fiesta hostil Trátelo como si un grupo de hackers entrara y robara cosas, y tiene que limpiar después de su desorden. Porque eso es lo que es.

• Audite cada cuenta en cada sistema para asegurarse de que esté asociada con una entidad específica.
  • Las cuentas que parecen asociadas a los sistemas pero que nadie puede dar cuenta deben desconfiarse.
  • Las cuentas que no están asociadas con nada deben purgarse (esto debe hacerse de todos modos, pero es especialmente importante en este caso)
• Cambie todas las contraseñas con las que posiblemente hayan entrado en contacto.
  • Esto puede ser un problema real para las cuentas de servicios públicos, ya que esas contraseñas tienden a codificarse en las cosas.
  • Si eran un tipo de servicio de asistencia que respondía a las llamadas de los usuarios finales, suponga que tienen la contraseña de cualquier persona a la que ayudaron.
  • Si tenían Enterprise Admin o Domain Admin para Active Directory, suponga que tomaron una copia de los hashes de contraseña antes de irse. Estos se pueden descifrar tan rápido ahora que será necesario forzar un cambio de contraseña en toda la empresa en cuestión de días.
  • Si tenían acceso raíz a cualquiera de los cuadros * nix, suponga que se fueron con los hashes de contraseña.
  • Revise todo el uso de la clave SSH de clave pública para asegurarse de que sus claves estén depuradas, y audite si alguna clave privada estuvo expuesta mientras lo hace.
  • Si tenían acceso a cualquier equipo de telecomunicaciones, cambie las contraseñas de enrutador / conmutador / puerta de enlace / PBX. Esto puede ser un dolor real, ya que puede implicar interrupciones significativas.
• Audite completamente sus disposiciones de seguridad perimetral.
  • Asegúrese de que todos los agujeros de firewall sigan los dispositivos y puertos autorizados conocidos.
  • Asegúrese de que todos los métodos de acceso remoto (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, lo que sea) no tengan una autenticación adicional añadida y examínelos completamente para métodos de acceso no autorizados.
  • Asegúrese de que los enlaces WAN remotos rastreen a personas totalmente empleadas y verifíquelo. Especialmente conexiones inalámbricas. No querrás que se vayan con un módem celular o teléfono inteligente pagado por la compañía. Póngase en contacto con todos los usuarios para asegurarse de que tienen el dispositivo correcto.
• Auditar completamente los arreglos internos de acceso privilegiado. Estas son cosas como el acceso SSH / VNC / RDP / DRAC / iLO / IMPI a servidores que los usuarios generales no tienen, o cualquier acceso a sistemas sensibles como la nómina.
• Trabaje con todos los proveedores externos y proveedores de servicios para garantizar que los contactos sean correctos.
  • Asegúrese de que se eliminen de todas las listas de contactos y servicios. Esto debe hacerse de todos modos después de cualquier partida, pero ahora es muy importante.
  • Valide que todos los contactos sean legítimos y tengan la información de contacto correcta, esto es para encontrar fantasmas que puedan suplantarse.
• Comienza a buscar bombas lógicas.
  • Verifique todas las automatizaciones (programadores de tareas, trabajos cron, listas de llamadas de UPS o cualquier cosa que se ejecute según un cronograma o que se active por eventos) para detectar signos de maldad. Por "todo" quiero decir todo. Verifique cada crontab. Verifique cada acción automatizada en su sistema de monitoreo, incluidas las propias sondas. Verifique cada Programador de tareas de Windows; incluso estaciones de trabajo. A menos que trabaje para el gobierno en un área altamente sensible que no podrá pagar "todos", haga todo lo que pueda.
  • Valide los binarios clave del sistema en cada servidor para asegurarse de que sean lo que deberían ser. Esto es complicado, especialmente en Windows, y casi imposible de hacer de forma retroactiva en sistemas únicos.
  • Comienza a buscar rootkits. Por definición, son difíciles de encontrar, pero hay escáneres para esto.

No es fácil en lo más mínimo, ni remotamente cerca. Justificar el gasto de todo eso puede ser realmente difícil sin una prueba definitiva de que el ahora ex administrador era realmente malvado. La totalidad de lo anterior ni siquiera es factible con los activos de la compañía, lo que requerirá contratar consultores de seguridad para realizar parte de este trabajo.

Si se detecta el mal real, especialmente si el mal está en algún tipo de software, los profesionales de seguridad capacitados son los mejores para determinar la amplitud del problema. Este es también el punto en el que se puede comenzar a construir un caso penal, y realmente desea que las personas capacitadas en el manejo de evidencia realicen este análisis.

Pero, realmente, ¿hasta dónde tienes que ir? Aquí es donde entra en juego la gestión de riesgos . Simplísticamente, este es el método para equilibrar el riesgo esperado con la pérdida. Los administradores de sistemas hacen esto cuando decidimos en qué ubicación fuera del sitio queremos colocar copias de seguridad; caja de seguridad bancaria frente a un centro de datos fuera de la región. Averiguar cuánto necesita seguir esta lista es un ejercicio de gestión de riesgos.

En este caso, la evaluación comenzará con algunas cosas:

• El nivel de habilidad esperado de los difuntos
• El acceso de los difuntos.
• La expectativa de que el mal fue hecho
• El daño potencial de cualquier maldad.
• Requisitos reglamentarios para denunciar el mal perpetrado frente al mal encontrado preventivamente. Por lo general, debe informar el primero, pero no el segundo.

La decisión de qué tan lejos del hoyo de conejo para bucear dependerá de las respuestas a estas preguntas. Para salidas administrativas rutinarias donde la expectativa del mal es muy leve, no se requiere el circo completo; cambiar las contraseñas de nivel de administrador y volver a escribir cualquier host SSH externo probablemente sea suficiente. Una vez más, la postura de seguridad de la gestión de riesgos corporativos determina esto.

Para los administradores que fueron despedidos por causa o por maldad que surgió después de su partida normal, el circo se vuelve más necesario. El peor de los casos es un tipo BOFH paranoico al que se le ha notificado que su posición será redundante en 2 semanas, ya que eso les da mucho tiempo para prepararse; En circunstancias como estas, la idea de Kyle de un paquete de indemnización generoso puede mitigar todo tipo de problemas. Incluso los paranoicos pueden perdonar muchos pecados después de que llega un cheque que contiene 4 meses de pago. Esa verificación probablemente costará menos que el costo de los consultores de seguridad necesarios para descubrir su maldad.

Pero en última instancia, todo se reduce al costo de determinar si se hizo el mal versus el costo potencial de cualquier mal que realmente se está haciendo.

Yo diría que es un balance de la cantidad de preocupación que tiene frente al dinero que está dispuesto a pagar.

Muy preocupado:
si está muy preocupado, es posible que desee contratar a un consultor de seguridad externo para que realice un análisis completo de todo desde una perspectiva externa e interna. Si esta persona fuera particularmente inteligente, podría estar en problemas, podría tener algo que estará inactivo por un tiempo. La otra opción es simplemente reconstruir todo. Esto puede sonar muy excesivo, pero aprenderá bien el entorno y también realizará un proyecto de recuperación ante desastres.

Levemente preocupado:
si solo está ligeramente preocupado, es posible que solo desee hacer:

• Un escaneo de puertos desde el exterior.
• Análisis de virus / spyware. Rootkit Scan para máquinas Linux.
• Revise la configuración del firewall en busca de cualquier cosa que no entienda.
• Cambie todas las contraseñas y busque cuentas desconocidas (asegúrese de que no activaron a alguien que ya no está en la compañía para que puedan usar eso, etc.).
• Este también podría ser un buen momento para considerar la instalación de un Sistema de detección de intrusiones (IDS).
• Observe los registros más de cerca de lo que normalmente lo hace.

Para el futuro:
Avanzar cuando un administrador se vaya, le dará una buena fiesta y luego, cuando esté borracho, solo ofrézcale que lo lleve a casa, luego deséchelo en el río, pantano o lago más cercano. Más en serio, esta es una de las buenas razones para darles a los administradores una generosa indemnización por despido. Desea que se sientan bien al irse lo más posible. Incluso si no deberían sentirse bien, ¿a quién le importa ?, aguanta y hazlos felices. Finge que es tu culpa y no la de ellos. El costo de un aumento en los costos del seguro de desempleo y el paquete de indemnización no se comparan con el daño que podrían causar. Se trata del camino de menor resistencia y de crear el menor drama posible.

No olvide los gustos de Teamviewer, LogmeIn, etc. Sé que esto ya se mencionó, pero una auditoría de software (muchas aplicaciones disponibles) de cada servidor / estación de trabajo no afectaría, incluidos los escaneos de subred (s) con nmap NSE scripts.

Lo primero es lo primero: obtenga una copia de seguridad de todo en el almacenamiento fuera del sitio (por ejemplo, cinta o HDD que desconecte y guarde). De esa manera, si ocurre algo malicioso, es posible que pueda recuperarse un poco.

A continuación, revise las reglas de su firewall. Cualquier puerto abierto sospechoso debe cerrarse. Si hay una puerta trasera, entonces impedir el acceso a ella sería algo bueno.

Cuentas de usuario: busque a su usuario descontento y asegúrese de eliminar su acceso lo antes posible. Si hay claves SSH, o archivos / etc / passwd, o entradas LDAP, incluso los archivos .htaccess, deberían ser escaneados.

En sus servidores importantes, busque aplicaciones y puertos de escucha activos. Asegúrese de que los procesos en ejecución adjuntos a ellos parezcan razonables.

En última instancia, un determinado empleado descontento puede hacer cualquier cosa; después de todo, tienen conocimiento de todos los sistemas internos. Uno espera que tengan la integridad de no tomar medidas negativas.

Una infraestructura bien administrada contará con las herramientas, el monitoreo y los controles para evitar esto en gran medida. Éstos incluyen:

• Segmentación de red y cortafuegos adecuados
• IDS basados ​​en host
• IDS basados ​​en red
• Registro central
• Control de acceso
• Cambio de control

Si estas herramientas están instaladas correctamente, tendrá una pista de auditoría. De lo contrario, tendrá que realizar una prueba de penetración completa .

El primer paso sería auditar todos los accesos y cambiar todas las contraseñas. Concéntrese en el acceso externo y los posibles puntos de entrada: aquí es donde se dedica mejor su tiempo. Si la huella externa no está justificada, elimínela o reduzca su tamaño. Esto le dará tiempo para concentrarse en más detalles internamente. Tenga en cuenta también todo el tráfico saliente, ya que las soluciones programáticas podrían transferir datos restringidos externamente.

En última instancia, ser administrador de sistemas y redes permitirá un acceso completo a la mayoría, si no a todas las cosas. Con esto, viene un alto grado de responsabilidad. La contratación con este nivel de responsabilidad no debe tomarse a la ligera y deben tomarse medidas para minimizar el riesgo desde el principio. Si se contrata a un profesional, incluso si se va en malas condiciones, no tomaría medidas que serían poco profesionales o ilegales.

Hay muchas publicaciones detalladas sobre la falla del servidor que cubren la auditoría adecuada del sistema por seguridad, así como qué hacer en caso de terminación de alguien. Esta situación no es única de esas.

Un BOFH inteligente podría hacer lo siguiente:

1. Programa periódico que inicia una conexión de salida netcat en un puerto conocido para recoger comandos. Por ejemplo, el puerto 80. Si se hace bien, el tráfico de ida y vuelta tendría la apariencia de tráfico para ese puerto. Entonces, si en el puerto 80, tendría encabezados HTTP, y la carga útil sería fragmentos incrustados en las imágenes.

2. Comando aperiódico que busca en lugares específicos archivos para ejecutar. Los lugares pueden estar en las computadoras de los usuarios, computadoras de la red, tablas adicionales en las bases de datos, directorios temporales de archivos de spool.

3. Programas que verifican si una o más de las otras puertas traseras todavía están en su lugar. Si no es así, se instala una variante y los detalles se envían por correo electrónico al BOFH

4. Dado que muchas de las copias de seguridad ahora se realizan con el disco, modifique las copias de seguridad para que contengan al menos algunos de sus kits raíz.

Formas de protegerse de este tipo de cosas:

1. Cuando un empleado de la clase BOFH se vaya, instale una nueva caja en la DMZ. Obtiene una copia de todo el tráfico que pasa por el firewall. Busque anomalías en este tráfico. Este último no es trivial, especialmente si el BOFH es bueno para imitar patrones de tráfico normales.

2. Rehaga sus servidores para que los archivos binarios críticos se almacenen en medios de solo lectura. Es decir, si desea modificar / bin / ps, debe ir a la máquina, mover físicamente un interruptor de RO a RW, reiniciar un solo usuario, volver a montar esa partición rw, instalar su nueva copia de ps, sincronizar, reiniciar, interruptor de palanca. Un sistema hecho de esta manera tiene al menos algunos programas confiables y un núcleo confiable para realizar más trabajo.

Por supuesto, si está utilizando Windows, tiene manguera.

3. Compartimentar su infraestructura. No es razonable con pequeñas y medianas empresas.

Formas de prevenir este tipo de cosas.

1. Revise los solicitantes con cuidado.

2. Averigüe si estas personas están descontentas y solucione los problemas del personal con anticipación.

3. Cuando descarta a un administrador con este tipo de poderes, endulza el pastel:

   a. Su salario o una fracción de su salario continúa por un período de tiempo o hasta que haya un cambio importante en el comportamiento del sistema que el personal de TI no explica. Esto podría estar en una decadencia exponencial. Por ejemplo, recibe el pago completo durante 6 meses, el 80% de eso durante 6 meses, el 80 por ciento de eso durante los próximos 6 meses.

   si. Parte de su paga está en forma de opciones sobre acciones que no entran en vigencia durante uno a cinco años después de que se va. Estas opciones no se eliminan cuando se va. Tiene un incentivo para asegurarse de que la empresa funcione bien en 5 años.

Me parece que el problema existe incluso antes de que el administrador se vaya. Es solo que uno nota el problema más en ese momento.

-> Uno necesita un proceso para auditar cada cambio, y parte del proceso es que los cambios solo se aplican a través de él.

Asegúrese de decirles a todos en la compañía una vez que se hayan ido. Esto eliminará el vector de ataque de ingeniería social. Si la empresa es grande, asegúrese de que las personas que necesitan saber, lo sepan.

Si el administrador también fue responsable del código escrito (sitio web corporativo, etc.), también deberá realizar una auditoría de código.

Hay uno grande que todos quedaron fuera.

Recuerde que no hay solo sistemas.

• ¿Los proveedores saben que esa persona no está en el personal y que no se les debe permitir el acceso (colo, telco)
• ¿Hay algún servicio alojado externo que pueda tener contraseñas separadas (intercambio, crm)
• ¿Podrían tener material de chantaje de todos modos?

A menos que sea realmente paranoico, mi sugerencia sería simplemente ejecutar varias herramientas de escaneo TCP / IP (tcpview, wireshark, etc.) para ver si hay algo sospechoso al intentar contactar con el mundo exterior.

Cambie las contraseñas de administrador y asegúrese de que no haya cuentas de administrador 'adicionales' que no necesiten estar allí.

Además, no olvide cambiar las contraseñas de acceso inalámbrico y verificar la configuración del software de seguridad (AV y Firewall en particular)

Verifique los registros en sus servidores (y en las computadoras en las que trabajan directamente). Busque no solo su cuenta, sino también cuentas que no sean administradores conocidos. Busca agujeros en tus troncos. Si recientemente se borró un registro de eventos en un servidor, es sospechoso.

Verifique la fecha de modificación en los archivos en sus servidores web. Ejecute un script rápido para enumerar todos los archivos modificados recientemente y revisarlos.

Verifique la última fecha actualizada en todas sus políticas de grupo y objetos de usuario en AD.

Verifique que todas sus copias de seguridad estén funcionando y que las copias de seguridad existentes aún existan.

Compruebe los servidores donde está ejecutando los servicios de instantáneas de volumen para ver si falta el historial anterior.

Ya veo muchas cosas buenas en la lista y solo quería agregar estas otras cosas que puede verificar rápidamente. Valdría la pena hacer una revisión completa de todo. Pero comience con los lugares con los cambios más recientes. Algunas de estas cosas pueden verificarse rápidamente y pueden levantar algunas banderas rojas tempranas para ayudarlo.

Básicamente, diría que si tienes un BOFH competente, estás condenado ... hay muchas maneras de instalar bombas que pasarían desapercibidas. Y si su empresa se utiliza para expulsar a los "militares" de los que son despedidos, ¡asegúrese de que la bomba se coloque bien antes del despido!

La mejor manera es minimizar los riesgos de tener un administrador enojado ... Evite el "despido por reducción de costos" (si es un BOFH competente y vicioso, las pérdidas en las que pueda incurrir probablemente serán mucho mayores de lo que obtendrá el despido) ... Si cometió un error inaceptable, es mejor que lo arregle (sin pagar) como alternativa al despido ... Será más prudente la próxima vez que no repita el error (lo que será un aumento en su valor) ... Pero asegúrese de alcanzar el buen objetivo (es común que las personas incompetentes con buen carisma rechacen su propia culpa ante la competente pero menos social).

Y si se enfrenta a un verdadero BOFH en el peor sentido (y ese comportamiento es la razón del despido), será mejor que esté preparado para reinstalar desde cero todo el sistema con el que ha estado en contacto (lo que probablemente significará cada computadora)

No olvide que un solo cambio de bit puede hacer que todo el sistema se convierta en un caos ... (bit setuid, Jump if Carry to Jump if No Carry, ...) y que incluso las herramientas de compilación pueden haberse visto comprometidas.

Buena suerte si realmente sabe algo y establece algo por adelantado. Incluso un imbécil puede llamar / enviar por correo electrónico / fax a la compañía telefónica con desconexiones o incluso pedirles que ejecuten patrones de prueba completos en los circuitos durante el día.

En serio, mostrar un poco de amor y algunos grandes a la salida realmente disminuye el riesgo.

Ah, sí, en caso de que llamen para "obtener una contraseña o algo", recuérdeles su tarifa de 1099 y los 1 hora min y 100 gastos de viaje por llamada, independientemente de si tiene que estar en algún lugar ...

¡Oye, eso es lo mismo que mi equipaje! 1,2,3,4!

Sugiero que comience en el perímetro. Verifique las configuraciones de su firewall y asegúrese de no tener puntos de entrada inesperados en la red. Asegúrese de que la red esté físicamente segura contra el reingreso y acceso a cualquier computadora.

Verifique que tenga copias de seguridad totalmente funcionales y restaurables. Las buenas copias de seguridad evitarán que pierda datos si hace algo destructivo.

Verifique los servicios que están permitidos a través del perímetro y asegúrese de que se le haya denegado el acceso. Asegúrese de que esos sistemas tengan buenos mecanismos de registro de trabajo.

Eliminar todo, comenzar de nuevo;)

Quémalo ... quémalo todo.

Es la única forma de estar seguro.

Luego, queme todos sus intereses externos, registradores de dominios, proveedores de pago con tarjeta de crédito.

Pensándolo bien, quizás sea más fácil pedirle a cualquier compañero de Bikie que convenza al individuo de que es más saludable para ellos no molestarlo.

Presumiblemente, un administrador competente en algún lugar del camino hizo lo que se llama una COPIA DE SEGURIDAD de la configuración del sistema base. También sería seguro asumir que hay copias de seguridad realizadas con un nivel razonable de frecuencia que permite restaurar una copia de seguridad segura conocida.

Teniendo en cuenta que algunas cosas no cambian, es una buena idea para ejecutar desde la copia de seguridad virtualizada si es posible hasta que pueda garantizar la instalación principal no se vea comprometida.

Asumiendo que lo peor se hace evidente, fusionas lo que eres capaz e ingresas a mano el resto.

Estoy sorprendido de que nadie haya mencionado el uso de una copia de seguridad segura, antes que yo. ¿Eso significa que debo enviar mi currículum a sus departamentos de recursos humanos?

Intenta tomar su punto de vista.

Conoces tu sistema y lo que hace. Así que podrías tratar de imaginar lo que se podría inventar para conectar desde el exterior, incluso cuando ya no seas un administrador de sistemas ...

Dependiendo de cómo es la infraestructura de red y cómo funciona todo esto, usted es la mejor persona que puede saber qué hacer y dónde podría ubicarse.

Pero como pareces hablar desde un bofh experimentado , tienes que buscar cerca de todas partes ...

Seguimiento de red

Como el objetivo principal es tomar el control remoto de su sistema, a través de su conexión a Internet, puede mirar (¡incluso reemplazar porque también podría estar dañado!) El firewall e intentar identificar cada conexión activa.

La sustitución del cortafuegos no garantizará una protección completa, pero garantizará que nada quede oculto. Entonces, si observa el paquete reenviado por el firewall, debe ver todo, incluido el tráfico no deseado.

Puede usarlo tcpdumppara rastrear todo (como lo hace el paranoico de EE. UU.) Y examinar el archivo de volcado con una herramienta avanzada como wireshark. Tómese un tiempo para ver qué significa este comando (necesita 100 GB de espacio libre en el disco):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

No confíes en todo

¡Incluso si encuentras algo, no estarás seguro de que te han encontrado cosas completamente malas!

Finalmente, no estarás realmente tranquilo antes de que hayas reinstalado todo (de fuentes confiables)

Si no puede rehacer el servidor, lo mejor que puede hacer es bloquear sus firewalls tanto como pueda. Siga todas las conexiones entrantes posibles y asegúrese de que se reduzca al mínimo absoluto.

Cambia todas las contraseñas.

Reemplace todas las claves ssh.

En general es bastante difícil ...

pero si es un sitio web, eche un vistazo al código justo detrás del botón Iniciar sesión.

Encontramos una cosa de tipo "if username = 'admin'" una vez ...

En esencia, hacer que el conocimiento de las personas de TI anteriores sea inútil.

Cambie todo lo que pueda cambiar sin afectar la infraestructura de TI.

Cambiar o diversificar proveedores es otra buena práctica.