Форматирование и переустановка системы после инцидента

Введение

Каждый системный администратор или специалист по безопасности на какой-то стадии своей карьеры обязательно сталкивался с дилемой: что лучше - пытаться устранить ущерб, или же просто переустановить поврежденную систему «с нуля»? В этой ситуации не существует однозначно правильного ответа и путь, какой бы вы не выбрали, будет иметь свои недостатки. В данной статье мы рассмотрим процесс перенастройки, и более подробно переустановку «с нуля» в результате инцидента нарушения безопасности системы. Мы сконцентрируемся на этапах, необходимых для предотвращения повторного вторжения, вернём вашу систему «к жизни» и предотвратим подобные инциденты в будущем. Наверное, не стоит говорить, что все эти меры должны быть приняты и спланированы заранее, а не после инцидента, а также должны быть включены в организационный процесс ответных мер.

Почему именно я?

Потерянные файлы, повреждённые данные, неправильные настройки, неработающие программы – любая из этих неприятных вещей может указывать на имевшую место брешь в вашей сетевой защите. Но вот брешь вами обнаружена и устранена, и начинается длинный и неприятный процесс восстановления и перенастройки системы. В процессе восстановления обязательно существует момент (иначе грош вам цена как специалисту), когда после короткого анализа и обдумывания вы понимаете, что именно было сделано не так, когда вы приходите к причине всей проблемы.

Прежде чем вдаваться в подробности, давайте считать, что с нами уже произошёл этот неприятный момент. Очевидно, произошёл инцидент или нарушение сетевой безопасности. Злоумышленник, наверное, повредил или изменил данные на вашем компьютере в той или иной степени. Казалось бы – что может быть проще? Почему бы ни исправить проблему - залатать систему, убрать изменения и вернуть всё в норму. В реальности же для каждой уязвимости, даже если имеется в наличии вся необходимая документации по ней, сложно гарантировать, что не было произведено каких-либо новых изменений извне. Черви и вирусы могут вызвать непредвиденные повреждения и хаос в любой системе. Они часто повреждают системные файлы, внедряются в систему или же, наоборот, маскируют свое присутствие. Или же вам встретилось что-то ещё неизвестное и наверняка опасное для системы. Справочная информация по уязвимостям устаревает крайне быстро, и часто к моменту атаки она уже безнадежно устарела.

Кроме того, обнаружить все произведённые взломщиком изменения в атакованной системе очень трудно. Иногда внутри системы атакующий может использовать некоторые лазейки, изменять стандартные системные операции (такие как вход в систему) и прятать файлы. Даже использование такого надёжного системного проверщика, как Tripwire не может гарантировать целости системы. И нет ничего хуже, чем проводить часы с повреждённой системой, восстанавливая её, чтобы вскоре после увидеть, что она взломана повторно.

Я являюсь сторонником восстановления атакованной системы «с нуля», так как восстановление поврежденной атакованной системы является одним из самых сложных и неприятных аспектов работы специалиста по безопасности. И хотя может показаться, что это самый быстрый и простой выход из положения, но часто именно форматирование дисков и установка свежих версий ПО может быть более разумным выбором.

Подготовка

Прежде чем приступать к восстановлению системы, следует выполнить несколько шагов, которые облегчат этот процесс. Прежде всего, давайте рассмотрим ответственность за повреждение системы. Очевидно, ваши срочные и успешные меры скоро вернут систему к норме. Однако, в ближайшем будущем вам может понадобиться дальнейшее расследование имевшего место инцидента, подробное изучение того, как взломщик проник в систему, или даже вы решите отправить дело на расследование в правоохранительные органы. Принимая всё это во внимание, вам стоит воспользоваться программой копирования дисков или программой создания дубликатов дисков, чтобы перенести всю информацию на запасной жёсткий диск, либо на другой накопитель информации. Имея резервную копию диска, вы можете немедленно приступать к работе по восстановлению системы, не боясь повредить расследованию, а сконцентрироваться на деталях инцидента позже. Точная копия диска атакованной машины требуется при любом дальнейшем расследовании атаки, так что этот важный шаг рекомендуется сделать всем. Если вы восстанавливаете или проверяете атакованную машину, не сделав этого, данные будут считаться непригодными для расследования и тем более не будут приниматься в качестве доказательства в суде. Как и любое другое преступление, информационное преступление нуждается в документации, фиксации и сохранении материалов и доказательств. ПО для копированию дисков, такое как Ghost, предоставляет полную картину случившегося экспертам по безопасности или же следователям для начала расследования.

Далее вам следует проверить систему. Обратите внимание на работающие сервисы, важные конфигурационные файлы, патчи, пользователей и т.д. Особенно уделяйте внимание сохранению системных файлов, будьте готовы к тому, что они были повреждены или модифицированы. Конечно, вам не хочется сталкиваться с повреждениями или вандализмом в системе, но вы должны быть способны отобрать самые важные изменения для составления общего отчёта. Далее, соберите все установочные диски, серийные номера, телефоны служб технической поддержки в одно место. Лучше собрать всё это до того, как начнётся установочный процесс, чтобы вам не пришлось копаться вокруг в поисках нужного документа. В добавление можно посоветовать вести журнал всех ваших действий по восстановлению системы. Эти записи помогут в дальнейшем проследить процесс восстановления. Также это может послужить доказательством правоты вашего решения при переустановке системы

Форматирование дисков

Критическим шагом, после которого не будет дороги назад, является форматирование или очистка всех дисков. После него вся информация на дисках будет уничтожена, и появится возможность установки нового системного ПО.

Вы можете поинтересоваться, ведь можно же починить или обновить систему - доступный выбор для многих операционных систем. Если говорить о починке системы – то это процесс, требующий аварийного или системного диска; операционная система сама себя подчистит и восстановит, путём переустановки системных файлов или утерянных приложений. Но проблема этого метода заключена в том, что некоторые переустанавливаемые важные файлы или библиотеки, могут быть модифицированы, а ОС не определит добавления или изменения важных файлов. Поэтому некоторые опасные «дыры» или изменённые коды программ останутся незамеченными. Так, что полная переустановка, включая форматирование дисков, является самым безопасным методом, когда речь идёт об атакованной машине.

Форматирование диска сегодня не является сложным процессом. Большинство современных операционных систем просто требуют вставки аварийного или системного диска. Вскоре после загрузки вам будет предоставлен список дисков и ОС. Вам, скорее всего, придётся форматировать все диски. Дисковое пространство может быть установлено автоматически, но если у вас есть какие-либо специфические требования, то оставьте предыдущею конфигурацию. В прошлом форматирование диска было чем-то утомительным и загадочным, и от него отказывались многие пользователи. Форматирование требовало загрузочного диска и такой программы, как fdisk. Если вам приходится пользоваться данным методом, то произведите загрузку с необходимого диска и используйте утилиты, чтобы очистить диск.

Ещё один способ следует использовать, если вы хотите лучше контролировать и управлять процессом. Этот третий способ – использование таких утилит, как Partition Magic. Такое ПО позволяет с лёгкостью разбить существующее дисковое пространство на необходимые разделы и форматировать диски в самых различных форматах. Примите во внимание эти простые утилиты, если столкнётесь с проблемами ОС при форматировании, описанными выше.

Восстановление системы

Когда перед вами находится пустой жесткий диск, следующим шагом восстановления является переустановка операционной системы. Этот процесс будет напрямую зависеть от вашего ПО. Следуйте инструкциям программы установки, продолжая восстановление. После установки ОС переходите к установке различных приложений, необходимых вам. Конечно, процесс установки любого ПО уникален, но, в общем, там не должно быть ничего необычного. Вы можете перекопировать к себе системные или конфигурационные файлы повреждённой машины, но только в том случае, если вы твёрдо уверены, что они не были повреждены или модифицированы злоумышленником. Ну, или же просто разберитесь в их настройке и аналогично сконфигурируйте новые файлы.

К этому моменту у вас наверняка появится система, напоминающая предыдущею, но помните - вы ведь ещё не подсоединены к сети. Однако, прежде чем выходить в сеть, вам следует хорошенько проверить безопасность и защищённость вашей системы, иначе мы вернемся туда, откуда начинали. Начинайте с закрытия лишних или ненужных открытых портов или сетевых сервисов. Используйте сканнеры портов, такие, как Nmap, чтобы определить рабочие сервисы. Отключите все работающие сервисы и программы, даже самые необходимые. Далее просмотрите работающие приложения. Если что-то покажется лишним – безжалостно отключайте их. Нам надо абсолютно очистить систему – любое из работающих приложений может иметь потенциальную уязвимость. На все программы и саму ОС следует скачать нужные патчи обновления. Все эти патчи, обычно более безопасные, можно скачать с сайтов фирм-производителей. Хорошо иметь все эти патчи на диске до восстановления системы. Иначе вам придется выходить в сеть за ними, пока система ещё не окончательно безопасна. Будет полезно иметь каждый патч для будущего применения.

Сканнер уязвимостей, такой, как обновленный xSpider, послужит неплохим помощником в процессе обеспечения защиты. Такие сканнеры проверяют систему на наличие известных уязвимостей и дают отчёт о потенциальных угрозах. Убедитесь в том, что все аспекты отчёта просмотрены, прежде чем окончательно восстанавливать систему.

Рекомендуется также установить утилиту проверки целостности системы, типа Tripwire. Вы будете немедленно проинформированы о повторяющемся инциденте. Если вы упустили какую-то уязвимость при восстановлении системы, то при новой атаке на систему Tripwire вам немедленно сообщит об изменениях. Это отнимет довольно много времени, но принесёт существенную пользу. Если машина будет атакована снова, то будет доступен список недавних изменений. Система обнаружения вторжений, например Snort, может также помочь вам контролировать сеть, если возобновятся попытки атаки. Наблюдение за сетью – одна из важнейших деталей, когда ваша система снова в сети, и многие из этих утилит могут оказать вам огромную помощь.

Один важный момент, на котором следует остановиться – это то, что во время всего процесса инсталляции системы машина должна быть отключена от всех сетей, если это возможно. Это значит, что вам необходимо собрать всё необходимое ПО заранее: операционную систему, специфические приложения и патчи. Восстановление машины без сетевого соединения может быть произведено на некоторых ОС, но сложно осуществимо на других. Если обстоятельства вынуждают вас подключится к сети, то осторожно продолжайте работу. Удостоверьтесь, что все прослушиваемые сервисы отключены до выхода в сеть. К тому машина должна быть расположена за файрволом, который оградит её от внешнего вторжения. Наконец, это должна быть просто машина в отдельном сегменте сети, чтобы избежать внутреннего распространения вируса или червя по всей сети. Незащищённая машина является очень уязвимой перед множеством угроз (известны множество случаев, когда «свежая» машина успевала нахвататься вирусов, атаковалась по несколько раз в первые десять минут работы в сети), так, что убедитесь, что все необходимые меры безопасности приняты, прежде чем выводить машину в сеть для обновлений.

Возвращение в сеть

Прежде чем восстановить систему, вам необходимо создать backup системы. С тех пор, как вы восстановили систему после атаки, нельзя быть уверенным, что это восстановление не повлечёт очередных атак. Восстановление системы к предыдущему состоянию - это один из самых важных аспектов администрирования и безопасности. На каком-то этапе они понадобятся. В добавление к полному восстановлению системы, вам необходимы вести записи этих восстановлений. Они помогут быть уверенными, что частые модификации файлов были безопасными.

И вот, наконец, мы можем снова выходить в сеть. Свежая система, добавленные патчи и улучшенная безопасность должны помешать злоумышленнику повторно проникнуть в систему. Если же система была атакована снова – можно с уверенностью сказать, что вы упустили какую-то важную уязвимость или же не обнаружили внутреннею атаку.

На какое-то время вам придётся отслеживать систему с высокой частотой. Контролирование журналов регистраций, систем безопасности и систем определения вторжениями – это основы должны производиться часто и регулярно. Вам надо быть уверенными, что машина перестала быть уязвимой. К сожалению, это процесс постоянный и довольно утомительный своим однообразием.

Заключение

Восстановление системы это всегда неприятное занятие. Однако это верный выбор, когда имеете дело с атакованными машинами. Иногда это даже быстрейший путь восстановления работоспособности. Этот процесс подтверждает необходимость регулярного обновления ПО и поддержания высокого уровня безопасности. В этой статье изложены основные этапы перенастройки системы, и они наверняка помогут вам быстро придать системе работоспособность и избежать подобных проблем в будущем.