Risques
- Destruction d'éléments qui permettent de mener correctement l'analyse technique mettant en évidence le mode opératoire d'un intrus, ce qui peut souvent conduire à de nouvelles intrusions (risque technique)
- Difficulté de prouver sa bonne foi vis-à-vis d'actions commises par l'intrus au moyen des systèmes compromis (risque légal)
Systèmes affectés
Tout système compromis, en particulier les sites WEB faisant l'objet d'une défiguration.
Description
La « défiguration » d'un site WEB, est une intrusion menée sur un site WEB ayant pour effet d'en modifier le contenu.
Une société a automatisé un procédé qui prévient les administrateurs des sites WEB défigurés. Le message d'alerte contient des « explications » et une référence à un site WEB qui donne des « recommandations » sur la marche à suivre :
« What is the next step?
The remediation process can be broken down into this high-level set of procedures:
1) Replace the defaced message with a 'temporarily unavailable' message to retain reputation.
2) Restore the original website (recommended: reload server and website in the event backdoors were installed).
3) Install all appropriate security bug fixes and patches.
4) Perform external security assessment to ensure all security holes and vulnerabilities are resolved.
Remote Assessment [remoteassessment.com] can guide, assist and perform all of the steps listed above. Contact Remote Assessment immediately to begin the remediation process. » ^1^
Ces conseils semblent être de bon sens. En pratique, ils posent de nombreux problèmes.
Le premier est qu'un tel traitement « amateur » de l'incident échappe aux équipes qui en ont officiellement la mission, qui savent adapter leur réponse au contexte de la victime bien mieux qu'un message envoyé automatiquement par un inconnu.
Le deuxième problème vient de ce que les « recommandations », si on les suit à la lettre, conduisent à :
- écraser la page posée par l'intrus ainsi que les divers traces et indices associés ; l'annonce de la défiguration de votre site est déjà publiée, avec un miroir de la page concernée, sur un site consacré à cet effet ; il est donc naïf de croire qu'on protège sa réputation en mettant une page de substitution qui ne trompera personne ;
- écraser les éléments permettant de comprendre ce qui a été fait par l'intrus sur le serveur ; en effet la défiguration n'est que l'aspect visible, le vrai problème comprend aussi et surtout l'intrusion dans votre système (déterminer ce que l'intrus a fait une fois dans la place : installation de rootkits ou autre moyens de masquer son activité, installation de porte dérobée, installation de serveurs, lecture ou modification de documents, attaques commises avec votre adresse IP, ... et toute action pouvant engager à priori votre responsabilité) ;
- écraser les logiciels en place, si bien qu'on ne pourra plus affirmer lequel était vulnérable ; sans analyse approfondie qui met en évidence la vulnérabilité exploitée par l'intrus, le site risque d'être à nouveau compromis ; l'expérience montre en effet qu'une défiguration est souvent suivie de nombreuses tentatives d'intrusions ;
- polluer les journaux d'événements de sécurité avec des traces qui n'ont rien à voir avec l'incident, au risque d'effacer des indices intéressants.
Sous l'apparence d'une aide qui vous est apportée, ce type de message d'alerte prodigue de mauvais conseils. Il conduit à compromettre considérablement les chances de mener à bien l'analyse qui permettra de comprendre l'intrusion dans le système de traitement automatisé de données.
Solution
Lorsque vous recevez un message de ce type, il convient de suivre les conseils dispensés dans la note d'information CERTA-2002-INF-002. Avant toute action sur la machine compromise, prenez contact avec votre CERT de rattachement (le CERTA pour l'administration) et/ou votre chaîne fonctionnelle de sécurité des système d'information.