Tietoturvaloukkaus - ohjeet

1. Älä hätäänny!

2. Ellei ole aivan välttämätöntä, ÄLÄ VIELÄ SULJE ALTISTUNUTTA PALVELINTA! 

Sulkeminen voi vaikeuttaa mahdollisia tutkimuksia. 
(Vaihtoehtona ehdotamme palvelimen verkkoyhteyden sulkemista. Tiedot avoinna olevista yhteyksistä tulee kerätä ennen tätä.)

3. Pyri selvittämään:
- Mitä on tapahtunut?
- Milloin tämä tapahtui?
- Missä tämä tapahtui? (Missä tietokoneet sijaitsevat?)
- Miten tapaus huomattiin? Kuka huomasi?

4. Kerää:
- Lokitiedot palomuureista, IDS:tä ja altistuneista palvelimista. 
- Listaa palvelimilla pyörivät prosessit
- Listaa palvelimilla olevat avoimet yhteydet
- Ositus sekä RAID array -kokoonpanojen tiedot serveriltä

HUOMAA! PALVELIMELLA AJETTAVAT KOMENNOT TULISI SUORITTAA TURVALLISEKSI TIEDETYLTÄ LÄHTEELTÄ KUTEN CD:ltä. AJA NIIN VÄHÄN KOMENTOJA KUIN MAHDOLLISTA, KOSKA TÄMÄ VOI MYÖS VAIKUTTAA TODISTEIDEN SAATAVUUTEEN PALVELIMILTA.

5. Ota yhteyttä henkilöihin, jotka ovat vastuussa palvelimesta. 
(Järjestelmän ylläpitäjät jne.)

6. Ole yhteydessä henkilöihin, joilla on valta päättää palvelimen sulkemisesta aiheutuvista taloudellisista menetyksistä.

7. Ota yhteyttä tarvittaessa osaavaan tietoturvaloukkausten käsittelijäryhmään (CIRT)

Mikäli palvelin täytyy sulkea välittömästi, tulee seuraavat asiat ottaa huomioon ylläolevien lisäksi:

Palvelimen muisti tulee siirtää toisella tietokoneella sijaitsevaan tiedostoon käyttäen dd- ja netcat-komentoja.

Palvelimen swap drive -sisältö tulee siirtää toisella tietokoneella sijaitsevaan tiedostoon käyttäen dd- ja netcat-komentoja.

Sulje palvelin sammuttamalla siitä virrat. 
(Ei normaaleja sulkemistoimenpiteitä!)

Lähde: www.nixu.fi