Dakle, jeste li slijedili neke od ovih (ili drugih) savjeta i otkrili provalu? Najprije trebate ostati staloženi. Panični postupci mogu uzrokovati više štete od napadača.
Uočavanje narušavanja sigurnosti koje se upravo odvija može biti napeto. Vaša reakcija imat će velike posljedice.
Ako je narušavanje kojeg gledate fizičko, vjerojatno ste uočili nekoga tko je provalio u vaš dom, ured ili laboratorij. Trebate obavijestiti lokalne vlasti. U laboratoriju ste možda vidjeli kako netko pokušava otvoriti kućište ili resetirati stroj. Ovisno o vašem autoritetu i postupcima, možete ih zamoliti da prestanu ili pozvati svoje lokalno osiguranje.
Ako ste uočili lokalnog korisnika koji pokušava narušiti vašu sigurnost, prvo trebate potvrditi da je on stvarno onaj za kojeg mislite da je on. Provjerite odakle se logirao. Je li to računalo s kojeg se i normalno logiraju? Ne? Onda ga kontaktirajte neelektronskim sredstvima. Na primjer, pozovite ih telefonom ili odšetajte do njihovog ureda/doma i razgovarajte s njima. Ako kažu da su logirani, možete ih zatražiti da objasne što su radili ili da to prestanu raditi. Ako nisu i nemaju blage veze o čemu govorite, taj događaj vjerojatno zahtjeva dodatnu istragu. Pazite na takve događaje i skupite puno informacija prije nego nekoga optužite.
Ako ste otkrili mrežnom narušavanje, najprije (ako možete) isključite mrežu. Ako su spojeni modemom, isključite kabel modema, a ako su spojeni Ethernetom, isključite kabel Etherneta. To će ih spriječiti u daljnjem nanošenju štete, a vjerojatno će to shvatiti kao problem u mreži, a ne razotkrivanje.
Ako ne možete isključiti mrežu (imate vrlo zaposlen poslužitelj ili nemate fizičku kontrolu nad svojim računalima), slijedeći najbolji korak je onemogućavanje veza s uljezovog računala pomoću tcp_wrappera ili ipfwadma.
Ako ne možete isključiti sve ljude sa stroja na kojem je uljez, morat ćete
se zadovoljiti isključivanjem korisničkog računa. Primjetite da to nije
jednostavno. Morate paziti na .rhosts datoteke, FTP pristup i hrpu
stražnjih vrata).
Nakon što ste učinili nešto od navedenog (isključili mrežu, onemogućili pristup sa njegovog računala i/ili isključili njegov račun), morate mu ubiti sve procese i odlogirati ih.
Slijedećih nekoliko minuta morate pažljivo gledati na svoj stroj jer će napadač pokušati ući ponovno. Možda će koristiti drugi račun i/ili mrežnu adresu.
Uočili ste narušavanje koje se već dogodilo ili ste ga uočili i isključili (još bolje) napadača iz sustava. Što sad?
Ako možete otkriti način na koji je napadač ušao u vaš sustav, pokušajte zatvoriti rupu. Na primjer, možda vidite nekoliko zapisa o FTP-u baš prije nego što se korisnik logirao. Isključite FTP uslugu i provjerite da li postoji novija verzija ili neka od listi zna rješenje.
Provjerite sve svoje log datoteke i pogledajte da li na vašim listama i stranicama o sigurnosti ima novih rupa koje možete ispraviti. Calderine sigurnosne ispravke možete naći na http://www.caldera.com/tech-ref/security/. Red Hat još nije odvojio sigurnosne ispravke od ispravaka grešaka, no ispravci za njihovu distribuciju nalaze se na http://www.redhat.com/errata. Vrlo je vjerojatno da će, ako je jedna tvrtka izdala sigurnosnu ispravku, to ubrzo učiniti i ostale.
Ako ne izbacite napadača, vjerojatno će se vratiti. Ne samo na vaše računalo, nego negdje na vašu mrežu. Ako je pokrenuo snifer paketa, velike su šanse da ima pristup drugim lokalnim strojevima.
Najprije procjenite štetu. Što je narušeno? Ako imate provjeru cjelovitosti kao što je Tripwire, pokrenite ju i ona će vam reći. Ako ne, morat ćete sami pogledati sve svoje najvažnije podatke.
Pošto je Linux sustave sve lakše i lakše instalirati, možete svoje konfiguracijske snimiti na sigurno, obrisati svoj disk/ove i ponovno instalirati, a zatim vratiti korisničke datoteke iz backupa i konfiguracijske datoteke. To će osigurati nov, čist sustav. Ako morate spašavati datoteke s kompromitiranog sustava, budite posebno pažljivi s programima koje vratite jer to mogu biti trojanski konji koje je postavio uljez.
Redovit backup dar je s neba za sigurnosne probleme. Ako je vaš sustav kompromitiran, potrebne podatke možete vratiti s backupa. Naravno, neki podaci su vrijedni i napadaču, i on će ga ne samo uništiti, već i ukrasti i imati svoje kopije, ali barem ćete još uvijek imati podatke.
Provjerite nekoliko prošlih backupa prije nego vratite datoteku s kojom je petljano. Uljez je možda kompromitirao vaše datoteke prije puno vremena, a vi ste mogli napraviti mnogo uspješnih backupa kompromitirane datoteke!
Narvno, mnoštvo je sigurnosnih briga s backupima. Potrudite se da su na sigurnom mjestu. Budite svjesni tko im ima pristup. (Ako napadač može doći do vaših backupa, ima pristup do svih vaših podataka, a da vi toga niste ni svjesni.)
U redu, izbacili ste uljeza i sredili sustav, ali još niste gotovi. Iako će vjerojatno većina uljeza ostati neuhvaćena, trebate prijaviti napad.
Napad prijavite administratoru sustava s kojeg je napadač napao vaš sustav.
Možete ga naći pomoću whois ili internicove baze podataka. Možete mu
poslati e-mail sa svim primjenjivim zapisima u logu i datumima i vremenima.
Ako ste uočili još nešto posebno za svog uljeza, spomenite i to. Nakon što
ste poslali e-mail, trebali biste ga (ako ste toliko zapeli) i nazvati
telefonom. Ako taj administrator uoči vašeg napadača, onda on može
kontaktirati administratora sustava odakle je došao i tako dalje.
Dobri hakeri često koriste mnogo posrednih sustava. Neki (ili mnogi) od njih možda ni ne znaju da su napadnuti. Pokušati doći do krekerovog početnog sustava može biti teško. Ljubaznim ponašanjem prema administratorima od njih možete dobiti puno pomoći.
Također biste trebali obavijestiti sigurnosne organizacije kojih ste dio (CERT ili slično).