Was tun nach einem Einbruch?
Automatisierte Angriffe, Scriptkiddies, Viren und Trojaner machen
die Netze unsicher.
Auch Linuxsysteme sind nicht davor gefeit, ihr Opfer zu werden.
Mit der immer weiter voranschreitenden Verbreitung werden auch sie
interessanter für Malware-Autoren.
Dieser Workshop beschreibt die Phasen eines Einbruches aus Sicht
des Administrators.
Phase 1 - vorbereitendene Arbeiten: Was ist vor einem Einbruch zu tun?
"Eine minimale sichere Konfiguration, eine durchdachte Firewalls und stets alle Sicherheitspatches einspielen."
Diese Grundregel kennen alle guten Administratoren. Dass dies nicht hundertprozentig vor einem Einbruch schützt, ist ebenso bekannt. Um für den Fall der Fälle gut gerüstet zu sein, sind einige Schritte notwendig, die wir Ihnen hier zeigen wollen.
Phase 2 - Einbruchserkennung: Alarm! Was muss ich tun?
Dies ist die kritischste aller Phasen. Wie man sich nach einem Einbruch verhalten sollte, wird am kontroversesten diskutiert. Wir zeigen Ihnen die Schritte und ihre Risiken und geben Ihnen einen Leitfaden an die Hand, der Ihnen helfen soll für Ihre spezielle Situation die optimale Entscheidung zu treffen.
Phase 3 - Analyse: Wer? Wie? Was?
Alle Daten sind gesichert und das kompromittierte System abgeschaltet. Nun geht es an die zeitaufwändigste und schwierigste Aufgabe. Die Klärung der Fragen:
- Wer hat mich angegriffen?
- Was hat er auf dem System getan?
- Wie hat er sich Zugriff verschafft?
Erwünschte Vorkenntnisse:
- gute Erfahrung im Umgang mit Linux
- solide Netzwerkkenntnisse
|
