Weiteren Schaden verhüten
Vor dem Abschalten eines betroffenen Rechners bzw. noch während
ein Angriff gegen Ihren Rechner läuft, kann es sinnvoll sein, den
Netzwerkverkehr von und zu Ihrem Rechner zu protokollieren. Das
HHU-CERT kann - wenn
dies technisch möglich ist - eine solche Protokollierung durch spezielle
Umkonfiguration von Routern oder Switches im HHU-Netz veranlassen.
Wenn diese Protokollierung abgeschlossen (oder nicht durchführbar) ist,
sollte ein angegriffener Rechner abgeschaltet werden, falls
- auf dem System Aktivitäten unberechtigter Personen festgestellt
wurden oder
- Dateien ungeklärter, fremder Herkunft entdeckt wurden oder
- ein Virenscan- oder Rootkit-Erkennungs-Programm einen Einbruch
in das System erkannt hat.
In diesen Fällen muß angenommen werden, daß eine fremde, unberechtigte
Person die Kontrolle über das betroffene System erhalten hat. Damit sind
alle auf dem Rechner befindlichen Dateien und Programme als potentiell
gefährlich anzusehen: Sie könnten vom Angreifer verändert worden sein
und bei Benutzung Schaden verursachen!
Um den Schaden gering zu halten, sollte ein derart "beschädigtes"
System vom Netzwerk getrennt (Netzwerkkabel ausstöpseln) und ausgeschaltet
werden. Das Risiko, daß beim Abschalten ohne ordnungsgemäßes
Herunterfahren des Rechners Datenverluste entstehen, ist i.a. geringer
als das Risiko, daß beim Weiterbetrieb zusätzlicher Schaden entsteht.
(Beispielsweise könnte der Angreifer dafür gesorgt haben, daß beim
Herunterfahren des Systems die Festplatte gelöscht wird.)
|
