IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

Intrång

Om en utomstående har fått tillgång till tjänster som han eller hon inte har rätt till, talar man om ett intrång. Hur allvarligt det är beror på vilka rättigheter inkräktaren har fått. Om intrånget exempelvis skett via en Buffer Overflow Attack beror mycket på med vilka rättigheter det utsatta programmet kördes som. Av den anledningen bör man undvika att låta programmen köras med root/administratörs-behörighet.

Har inkräktaren tagit sig in genom ett uppsnappat eller gissat lösenord beror det på vilken behörighet den rätta användaren har.

Mycket vanligt är att den komprometterade datorn antingen används som FTP-server för illegalt kopierad musik, programvara och film eller för att skicka ut skräppost. Ofta märks detta genom att datorn plötsligt börjar kännas långsam och att hårddisklampan blinkar frenetiskt. Inom kort brukar det också komma in anmälningar från filmbolag, spam-drabbade användare etc.

En hackad dator innebär stora problem då man inte riktigt vet vad som hänt den och vad man skall leta efter. Om ett s.k. rootkit installerats är det nästan omöjligt att hitta processer och filer som inkräktaren lagt in. I regel måste man rensa datorn fullständigt och installera om den på nytt. Det är då viktigt att man installerar alla säkerhetsuppdateringar så fort som möjligt innan den blir hackad igen. Förhoppningsvis har det tagits backup regelbundet på den drabbade datorn, men man måste tänka på att även backuperna kan vara smittade.

Om man har möjlighet bör man kopiera undan intressanta kataloger och filer, speciellt loggar och systemfiler, så man har något att gå efter när man vill analysera intrånget.

En vanlig arbetsstation kan oftast installeras om utan större olägenhet, men om en viktig mail-, fil- eller webbserver drabbats innebär det i regel dyrbart övertidsarbete och störningar i verksamheten. Dessutom kan myndigheten drabbas av dålig publicitet och badwill.


IT-säkerhetshandboken
http://www.susec.sunet.se