9.1 Compromiso de seguridad en Curso.

Localizado un compromiso de seguridad en curso puede ser una tarea tensa. Según reaccione puede tener graves consecuencias.

Si el compromiso que está viendo es físico, ha pillado a alguien que ha entrado en su oficina o laboratorio, tendría que notificarlo a las autoridades. En un laboratorio puede estar intentado abrir la caja o reiniciar una máquina. Dependiendo de su autoridad y procedimientos, le podría decir que parara o llamar a un servicio de seguridad.

Si ha detectado a un usuario local intentando comprometer la seguridad lo primero que tiene que hacer es confirmar que realmente es quien parece ser. Compruebe el sitio si tiene registros de login. ¿Está en el sitio habitual? Entonces use un medio no electrónico para ponerse en contacto. Por ejemplo, llámelo por teléfono o vaya andando por el edificio/casa y hable con ellos/ellas. Si reconocen que están conectados, puede preguntarles la explicación qué están haciendo o decirles que dejen de hacerlo. Si no están conectados y no tienen ni idea de lo que les está hablando, este incidente requiere una mayor investigación. Busque en el incidente, y consiga un montón de información antes de hacer acusaciones.

Si ha detectado un compromiso de red, lo primero que tiene que hacer (si puede) es desconectar la red. Si están conectados mediante módem, desconecte el cable del módem. Si están conectados vía ethernet, desconecte el cable de ethernet. Esto prevendrá que hagan más daño, y ellos además lo verán más como un problema de red más que una detección.

Si no puede desconectar la red (si tiene un sitio ocupado, o no tiene control físico de la máquina), el mejor paso siguiente es usar algo como tcp_wrappers o ipfwadm para denegar accesos del sitio de donde se hace la intrusión.

Si no puede denegar a toda la gente del mismo sitio del intruso, cierre la cuenta del usuario. Observe que cerrar una cuenta no es una cosa simple. Tiene que tener en cuenta los ficheros .rhosts, el acceso FTP y otras puertas traseras.

Tras haber hecho lo anterior (desconectar la red, denegar el acceso de sitio y/o desactiva la cuenta), necesita matar todos sus procesos de usuario y desconectarlos.

Debería monitorizar su sitio bien durante los próximos minutos, ya queel atacante intentará regresar. Quizás usando un cuenta diferente y/o de diferente dirección de red.