前のIT担当者からのバックドアをどのように検索しますか？

私たちは皆それが起こることを知っています。苦い年配のIT担当者がバックドアをシステムとネットワークに残して、新しい担当者と楽しんで、会社が彼なしではいかに悪いことがあるかを示します。

これを個人的に経験したことはありません。私が経験したほとんどのことは、去る直前に物を壊して盗んだ人です。しかし、これは確実に起こります。

それで、完全に信頼できないネットワークを引き継ぐとき、すべてが安全で安全であることを保証するためにどんなステップが取られるべきですか？

本当に、本当に、本当に難しいです。非常に完全な監査が必要です。老人が何かを残したと確信しているなら、それはブームになります、または彼らが火を消すことができる唯一の人であるので彼らの再雇用を必要とするなら、それはあなたが敵対的なパーティー。ハッカーのグループが入って物を盗んだように扱ってください。それがそれだからです。

• すべてのシステムのすべてのアカウントを監査して、特定のエンティティに関連付けられていることを確認します。
  • システムに関連付けられているように見えるが、誰も説明できないアカウントは、信頼されません。
  • 何にも関連付けられていないアカウントはパージする必要があります（これはとにかく行う必要がありますが、この場合は特に重要です）
• おそらく接触した可能性のあるすべてのパスワードを変更します。
  • これらのパスワードは物事にハードコードされる傾向があるため、これはユーティリティアカウントにとって本当の問題になります。
  • エンドユーザーの呼び出しに応答するヘルプデスクタイプの場合は、支援した人のパスワードを持っていると想定します。
  • Active Directoryに対してエンタープライズ管理者またはドメイン管理者がいる場合、退出する前にパスワードハッシュのコピーを取得したと想定します。これらは非常に高速にクラックされる可能性があるため、全社的なパスワードの変更は数日以内に強制する必要があります。
  • * nixボックスへのルートアクセスがある場合、パスワードハッシュを持って立ち去ったと仮定します。
  • すべての公開キーSSHキーの使用を確認して、それらのキーがパージされていることを確認し、プライベートキーが公開されているかどうかを監査します。
  • 通信機器にアクセスできる場合は、ルーター/スイッチ/ゲートウェイ/ PBXのパスワードを変更します。これは重大な停止を伴う可能性があるため、これは本当に王室の痛みになる可能性があります。
• 境界セキュリティの手配を完全に監査します。
  • ファイアウォールのすべての穴が、既知の許可されたデバイスとポートにトレースされるようにします。
  • すべてのリモートアクセス方法（VPN、SSH、BlackBerry、ActiveSync、Citrix、SMTP、IMAP、WebMailなど）に追加の認証が追加されていないことを確認し、不正アクセス方法について十分に吟味します。
  • リモートWANリンクが完全に雇用されている人にトレースされていることを確認し、検証します。特にワイヤレス接続。会社の有料の携帯モデムやスマートフォンを持って出かけたくないのです。そのようなすべてのユーザーに連絡して、適切なデバイスがあることを確認してください。
• 内部特権アクセスの取り決めを完全に監査します。これらは、一般ユーザーにはないサーバーへのSSH / VNC / RDP / DRAC / iLO / IMPIアクセスや、給与計算などの機密システムへのアクセスなどです。
• すべての外部ベンダーおよびサービスプロバイダーと連携して、連絡先が正しいことを確認します。
  • すべての連絡先リストおよびサービスリストから削除されていることを確認してください。とにかくこれは出発後に行われるべきですが、今では非常に重要です。
  • すべての連絡先が正当であり、正しい連絡先情報を持っていることを検証します。これは、偽装できるゴーストを見つけるためです。
• 論理爆弾の狩りを開始します。
  • 悪の兆候がないか、すべての自動化（タスクスケジューラ、cronジョブ、UPSコールアウトリスト、またはスケジュールに沿って実行されるイベントトリガーなど）を確認します。「すべて」とは、すべてを意味します。すべてのcrontabを確認してください。プローブ自体を含む、監視システムのすべての自動化されたアクションを確認してください。すべてのWindowsタスクスケジューラを確認します。ワークステーションでも。あなたが非常に敏感な地域で政府のために働いていない限り、「すべて」を買う余裕はないでしょう、できる限りのことをしてください。
  • すべてのサーバーで主要なシステムバイナリを検証し、必要なものであることを確認します。これは、特にWindowsでは注意が必要であり、1回限りのシステムでさかのぼって実行することはほぼ不可能です。
  • ルートキットを探し始めます。定義上、見つけるのは難しいですが、これにはスキャナーがあります。

少なくとも簡単ではありませんし、遠く離れていません。そのすべての費用を正当化することは、現在の元管理者が実際に悪意を持っていたという明確な証拠なしでは本当に難しい場合があります。上記のすべてが会社の資産で実行可能でさえないため、この作業の一部を行うにはセキュリティコンサルタントを雇う必要があります。

実際の悪が検出された場合、特に悪が何らかのソフトウェアにある場合は、訓練されたセキュリティ専門家が問題の幅を判断するのに最適です。これは、刑事事件の構築を開始できるポイントでもあり、証拠を処理する訓練を受けた人々がこの分析を行うことを本当に望んでいます。

しかし、本当に、あなたはどこまで行かなければなりませんか？これは、リスク管理が機能する場所です。簡単に言えば、これは予想されるリスクと損失のバランスを取る方法です。システム管理者は、バックアップを配置するオフサイトの場所を決定するときにこれを行います。銀行のセーフティボックスと地域外のデータセンター。このリストのどれだけをフォローする必要があるかを把握することは、リスク管理の演習です。

この場合、評価はいくつかのことから始まります。

• 出発者の予想スキルレベル
• 出発者のアクセス
• 悪が行われたという期待
• 悪の潜在的な被害
• 実行された悪と先制的に発見された悪を報告するための規制要件。通常、前者を報告する必要がありますが、後者は報告しません。

上記のうさぎの穴をどれくらい下まで潜るかの決定は、これらの質問に対する答えに依存します。悪の期待がごくわずかである定期的な管理者の退去の場合、完全なサーカスは必要ありません。管理者レベルのパスワードを変更し、外部に面するSSHホストのキーを再設定するだけで十分でしょう。繰り返しになりますが、企業のリスク管理セキュリティ体制がこれを決定します。

原因のために終了した管理者、または通常の出発後に悪が発生した管理者にとって、サーカスはより必要になります。最悪のシナリオは偏執的なBOFHタイプであり、2週間以内にポジションが冗長になると通知されています。これらのような状況では、寛大な退職パッケージというカイルのアイデアは、あらゆる種類の問題を軽減できます。妄想者でさえ、4か月分の給与を含む小切手が届いた後、多くの罪を許すことができます。その小切手はおそらく、彼らの悪を退治するのに必要なセキュリティコンサルタントの費用よりも安いでしょう。

しかし、最終的には、悪が実行されたかどうかを判断するコストと、実際に実行された悪の潜在的なコストとに帰着します。

私はあなたがどれだけ心配しているか、あなたが喜んで支払うお金のバランスだと思います。

非常に懸念：非常に懸念がある
場合は、外部および内部の両方の観点からすべての完全なスキャンを行うために、外部のセキュリティコンサルタントを雇いたい場合があります。この人があなたが困っている可能性が特に賢いなら、彼らはしばらく休眠する何かを持っているかもしれません。他のオプションは、単純にすべてを再構築することです。これは非常に過度に聞こえるかもしれませんが、環境をよく学習し、災害復旧プロジェクトも作成します。

軽度の懸念：軽度の懸念がある
場合は、次のことを行うだけです。

• 外部からのポートスキャン。
• ウイルス/スパイウェアスキャン。Linuxマシンのルートキットスキャン。
• 理解していないことについては、ファイアウォールの設定を確認してください。
• すべてのパスワードを変更し、不明なアカウントを探します（そのアカウントを使用できるように、会社にいない人をアクティベートしていないことを確認してください）。
• これは、侵入検知システム（IDS）のインストールを検討する良い機会でもあります。
• 通常よりも詳細にログを監視してください。

未来のために：
管理者が去った後、彼に素敵なパーティーを与え、酔っ払ったら、彼に家への乗車を申し出ます-そして、彼を最も近い川、沼地、または湖に捨てます。さらに深刻なことに、これは管理者に多額の退職金を支払う正当な理由の1つです。あなたは彼らにできるだけ多く去ることについて大丈夫だと感じてほしい。たとえ気分が悪くても、誰が気にかけても、それを吸い上げて幸せにします。それはあなたのせいであり、彼らのせいではありません。失業保険と退職金の費用を引き上げる費用は、彼らが受ける可能性のある損害と比較しません。これは、抵抗が最も少なく、ドラマを可能な限り少なくすることです。

Teamviewer、LogmeInなどのようなものを忘れないでください...私はこれがすでに言及されたことを知っていますが、nmapのサブネットスキャンを含む、すべてのサーバー/ワークステーションのソフトウェア監査（そこにある多くのアプリ）は傷つきませんNSEスクリプト。

まず最初に-オフサイトストレージ上のすべてのバックアップを取得します（たとえば、テープや、切断してストレージに入れたHDD）。そうすれば、悪意のあることが発生した場合、少し回復できる可能性があります。

次に、ファイアウォールルールを調べます。疑わしいポートはすべて閉じてください。バックドアがある場合、それへのアクセスを防ぐことは良いことです。

ユーザーアカウント-不満を抱いているユーザーを探し、できるだけ早くアクセスが削除されるようにします。SSHキー、/ etc / passwdファイル、またはLDAPエントリがある場合は、.htaccessファイルもすべてスキャンする必要があります。

重要なサーバーで、アプリケーションとアクティブなリスニングポートを探します。それらに接続されている実行中のプロセスが適切に見えることを確認します。

最終的に不満を抱く従業員は何でもできます-結局のところ、彼らはすべての内部システムの知識を持っています。ネガティブな行動を起こさないように、彼らが誠実であることを望みます。

よく稼働しているインフラストラクチャには、これを大幅に防ぐためのツール、監視、および制御が用意されています。これらには以下が含まれます。

• 適切なネットワークセグメンテーションとファイアウォール
• ホストベースのIDS
• ネットワークベースのIDS
• 集中ログ
• アクセス制御
• 変更管理

これらのツールが適切に配置されていれば、監査証跡が得られます。それ以外の場合は、完全な侵入テストを実行する必要があります。

最初のステップは、すべてのアクセスを監査し、すべてのパスワードを変更することです。外部アクセスと潜在的なエントリポイントに焦点を当てます。これがあなたの時間を費やすのに最適な場所です。外部フットプリントが正当化されない場合、それを削除するか縮小します。これにより、より詳細に内部的に集中できるようになります。プログラムによるソリューションは制限されたデータを外部に転送する可能性があるため、すべての送信トラフィックにも注意してください。

最終的には、システムおよびネットワーク管理者になると、すべてではないにしてもほとんどの場合にフルアクセスが許可されます。これには、高い責任が伴います。このレベルの責任を持った雇用は軽視すべきではなく、最初からリスクを最小限に抑えるための措置を講じるべきです。専門家が雇われたとしても、悪条件で辞めたとしても、彼らは専門家でないか違法な行動をとらないでしょう。

サーバーフォールトには、セキュリティのための適切なシステム監査と、誰かが終了した場合の対処方法に関する詳細な記事が数多くあります。この状況は、それらに固有のものではありません。

賢いBOFHは次のいずれかを実行できます。

1. コマンドを取得するために、既知のポートでnetcatアウトバウンド接続を開始する定期的なプログラム。たとえば、ポート80。うまく行けば、往復トラフィックはそのポートのトラフィックのように見えます。したがって、ポート80の場合、HTTPヘッダーがあり、ペイロードは画像に埋め込まれたチャンクになります。

2. 実行するファイルを特定の場所で探す非周期的なコマンド。場所は、ユーザーのコンピューター、ネットワークコンピューター、データベース内の追加のテーブル、一時スプールファイルディレクトリに配置できます。

3. 他のバックドアが1つ以上存在するかどうかを確認するプログラム。そうでない場合は、そのバリアントがインストールされ、詳細がBOFHにメールで送信されます

4. バックアップの方法の多くはディスクを使用して行われるため、少なくとも一部のルートキットが含まれるようにバックアップを変更します。

この種のものから身を守る方法：

1. BOFHクラスの従業員が退職したら、DMZに新しいボックスをインストールします。ファイアウォールを通過するすべてのトラフィックのコピーを取得します。このトラフィックの異常を探します。後者は、特にBOFHが通常のトラフィックパターンを模倣するのが得意である場合、重要です。

2. 重要なバイナリが読み取り専用メディアに保存されるようにサーバーを再実行します。つまり、/ bin / psを変更する場合は、マシンに移動し、スイッチをROからRWに物理的に移動し、シングルユーザーを再起動し、そのパーティションrwを再マウントし、psの新しいコピーをインストールし、同期し、再起動する必要があります。トグルスイッチ。この方法で実行されるシステムには、少なくともいくつかの信頼できるプログラムと、さらに作業を行うための信頼できるカーネルがあります。

もちろん、Windowsを使用している場合は、うんざりしています。

3. インフラストラクチャを区画化します。中小企業では合理的ではありません。

この種のことを防ぐ方法。

1. 慎重に獣医の応募者。

2. これらの人々が不満を抱いているかどうかを調べ、事前に人事上の問題を解決します。

3. これらの種類の権限を持つ管理者を解任すると、パイが甘くなります。

   a。彼の給料または給料の一部は、一定期間、またはITスタッフが説明できないシステムの動作に大きな変化が生じるまで続きます。これは指数関数的な減衰である可能性があります。例えば、彼は6ヶ月、6ヶ月のそれの80％、80％をフル給与を取得している次の6ヶ月間。

   b。彼の給与の一部はストックオプションの形であり、彼が退職してから1〜5年間は効力を発揮しません。これらのオプションは、彼が去っても削除されません。彼は、会社が5年間で順調に運営されるようにするインセンティブを持っています。

この問題は、管理者が去る前から存在していると思います。その時点で問題にもっと気づくというだけです。

->すべての変更を監査するプロセスが必要です。プロセスの一部は、変更がそれを通してのみ適用されることです。

退社したら、必ず社内の全員に伝えてください。これにより、ソーシャルエンジニアリングの攻撃ベクトルが排除されます。会社が大規模な場合は、知っておく必要のある人を確認してください。

管理者が記述されたコード（企業のWebサイトなど）も担当している場合は、コード監査も行う必要があります。

誰もが除外している大きなものがあります。

システムだけではないことを忘れないでください。

• ベンダーは、その人がスタッフではなく、アクセスを許可されるべきではないことを知っていますか（colo、telco）
• 個別のパスワード（exchange、crm）を持つ可能性のある外部ホストサービスはありますか
• とにかく恐blackの資料を持っている可能性があります（さて、これは少しに達し始めています...）

あなたが本当に妄想的でない限り、私の提案は単にいくつかのTCP / IPスキャンツール（tcpview、wiresharkなど）を実行して、外部の世界に連絡しようとする疑わしいものがあるかどうかを確認することです。

管理者パスワードを変更し、そこにある必要のない「追加の」管理者アカウントがないことを確認します。

また、ワイヤレスアクセスパスワードを変更し、セキュリティソフトウェアの設定（特にAVとファイアウォール）を確認することを忘れないでください

サーバー（およびサーバーが直接動作するコンピューター）のログを確認します。アカウントだけでなく、既知の管理者ではないアカウントも探してください。ログの穴を探します。サーバーでイベントログが最近消去された場合、疑わしいです。

Webサーバー上のファイルの変更日を確認します。クイックスクリプトを実行して、最近変更されたすべてのファイルをリストし、それらを確認します。

ADのすべてのグループポリシーとユーザーオブジェクトの最終更新日を確認します。

すべてのバックアップが機能し、既存のバックアップがまだ存在することを確認します。

ボリュームシャドウコピーサービスを実行しているサーバーで、以前の履歴が欠落していないことを確認します。

すでに多くの良いものがリストされているので、すぐに確認できる他の物を追加したかっただけです。すべてを完全にレビューすることは価値があります。ただし、最新の変更がある場所から始めてください。これらのことのいくつかはすぐにチェックでき、いくつかの初期の危険信号を上げて支援することができます。

基本的に、有能なBOFHを持っているなら、あなたは運命にあると思います...気付かれない爆弾を設置する方法はたくさんあります。そして、あなたの会社が解雇された「軍隊」の人々を追い出すのに慣れているなら、レイオフの前に爆弾が十分に植えられることを確認してください!!!

最善の方法は、怒っている管理者のリスクを最小限に抑えることです...「コスト削減のためのレイオフ」を回避します（彼が有能で悪質なBOFHである場合、あなたが被る損失はおそらくあなたが得るものよりはるかに大きいでしょうレイオフ）...彼が容認できない間違いを犯した場合、レイオフの代替として彼にそれを修正する（無給）ことをお勧めします...彼は間違いを繰り返さないために次回より慎重になります（増加します）彼の価値で...）しかし、良い目標を達成するようにしてください（良いカリスマを持つ無能な人々は、有能であるが社会的ではない人への自分の過ちを拒否することが一般的です）。

そして、最悪の意味で真のBOFHに直面している場合（そしてその行動がレイオフの理由である場合）、彼が接触したすべてのシステムを最初から再インストールする準備をすることをお勧めします（おそらくすべてのコンピューター）。

1ビット変更するだけでシステム全体が混乱する可能性があることを忘れないでください（setuidビット、キャリーがない場合はジャンプしてキャリーにジャンプ、...）、コンパイルツールでさえ妥協している可能性があります。

彼が本当に何かを知っていて、事前に何かをセットアップしてくれたら幸運です。薄暗い人でも、電話会社に電話/メール/ファックスで接続を切断したり、日中に回線上で完全なテストパターンを実行するように依頼したりできます。

真剣に、少しの愛といくつかの壮大な出発を示すことは、本当にリスクを軽減します。

ええ、彼らが「パスワードまたは何かを得る」ために電話する場合、あなたがどこにいても関係なく、あなたの1099レートと通話あたり1時間分と100旅費を思い出させます...

ねえ、それは私の荷物と同じです！1,2,3,4！

境界から始めることをお勧めします。ファイアウォールの構成を確認して、ネットワークへの予期しないエントリポイントがないことを確認します。ネットワークに再入して、あらゆるコンピューターにアクセスできないように、ネットワークが物理的に安全であることを確認してください。

完全に機能する復元可能なバックアップがあることを確認します。適切なバックアップを行うと、破壊的な操作を行った場合にデータを失うことがなくなります。

周辺で許可されているサービスをチェックし、アクセスが拒否されていることを確認します。それらのシステムに、適切に機能する適切なロギングメカニズムがあることを確認してください。

すべてを削除して、もう一度やり直してください;）

それを燃やす....それをすべて燃やす。

これが確実な唯一の方法です。

次に、外部の関心事、ドメインレジストラ、クレジットカード決済プロバイダーをすべて焼き付けます。

考え直して、おそらく、Bikieの仲間に、あなたに迷惑をかけないほうが健康であると確信させるように依頼する方が簡単です。

おそらく、道の途中の有能な管理者が、基本システム構成のバックアップと呼ばれるものを作成したのでしょう。既知の安全なバックアップの復元を可能にする、ある程度の合理的な頻度で実行されたバックアップがあると想定することも安全です。

何らかの変更が行われることを考えると、プライマリインストールが危険にさらされないことを確認できるまで、可能であれば仮想化されたバックアップから実行することをお勧めします。

最悪の事態が明らかになると仮定して、できることをマージし、残りを手で入力します。

自分の前に誰も安全なバックアップの使用について言及していないことにショックを受けました。履歴書を人事部門に提出する必要があるということですか？

彼の視点をとってみてください。

システムとその機能を知っています。したがって、システム管理者ではなくなった場合でも、外部から接続するために発明できるものを想像することができます...

ネットワークインフラストラクチャの仕組みと、これがどのように機能するかに応じて、あなたは何をすべきか、これをどこに配置できるかを知っているかもしれません。

しかし、あなたは実験されたbofhから話しているように見えるので、どこでも近くで検索する必要があります...

ネットワーク追跡

主な目的は、インターネット接続を介してシステムをリモート制御することであるため、ファイアウォールを監視し（これも破損する可能性があるため交換してください!!）、各アクティブな接続を識別しようとします。

ファイアウォールを交換しても完全な保護は保証されませんが、何も隠されていないことが保証されます。したがって、ファイアウォールによって転送されたパケットを監視する場合、不要なトラフィックを含むすべてを確認する必要があります。

あなたはtcpdumpすべてを追跡するために使用することができます（米国の偏執病のように;）そしてのような高度なツールでダンプファイルを閲覧しますwireshark。このコマンドが何であるかを確認するには、少し時間を取ります（ディスクに100Gbの空き領域が必要です）：

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

すべてを信頼しないでください

何かを見つけたとしても、あなたはあなたがすべての悪いものを見つけられたと確信することはできません！

最後に、（信頼できるソースから）すべてを再インストールするまで、本当に静かになりません。

サーバーを再実行できない場合、次の最善策は、できる限りファイアウォールをロックダウンすることです。考えられるすべてのインバウンド接続に従い、それが絶対的な最小値に減少することを確認してください。

すべてのパスワードを変更します。

すべてのsshキーを置き換えます。

一般的に非常に難しい...

ただし、ウェブサイトの場合は、[ログイン]ボタンのすぐ後ろにあるコードをご覧ください。

「if username = 'admin'」タイプのものを1回見つけました...

本質的に、以前のIT担当者の知識を役に立たないものにします。

ITインフラストラクチャに影響を与えることなく、変更可能なすべてを変更します。

サプライヤの変更または多様化は、もう1つの良い習慣です。