Comment rechercher les backdoors de l'informaticien précédent ?

Un BOFH intelligent pourrait faire l'une des choses suivantes :

1. Programme périodique qui initie une connexion sortante netcat sur un port bien connu pour récupérer des commandes. Par exemple, le port 80. Si cela est bien fait, le trafic aller-retour aura l'apparence du trafic de ce port. Donc, sur le port 80, il y aurait des en-têtes HTTP, et la charge utile serait constituée de morceaux intégrés dans des images.

2. Commande apériodique qui recherche à des endroits spécifiques des fichiers à exécuter. Ces endroits peuvent se trouver sur les ordinateurs des utilisateurs, les ordinateurs du réseau, des tables supplémentaires dans les bases de données, des répertoires de fichiers spool temporaires.

3. Des programmes qui vérifient si une ou plusieurs des autres portes dérobées sont toujours en place. Si ce n'est pas le cas, une variante est installée et les détails sont envoyés par e-mail au BOFH.

4. Puisque la plupart des sauvegardes se font maintenant sur disque, modifiez les sauvegardes pour qu'elles contiennent au moins une partie de vos kits racine.

Les moyens de se protéger de ce genre de choses :

1. Quand un employé de la classe BOFH part, installez une nouvelle boîte dans la DMZ. Il reçoit une copie de tout le trafic passant par le pare-feu. Recherchez les anomalies dans ce trafic. Ce dernier point n'est pas trivial, surtout si le BOFH est bon pour imiter les modèles de trafic normaux.

2. Refaites vos serveurs pour que les binaires critiques soient stockés sur des supports en lecture seule. C'est-à-dire que si vous voulez modifier /bin/ps, vous devez aller sur la machine, déplacer physiquement un commutateur de RO à RW, redémarrer l'utilisateur unique, remonter cette partition rw, installer votre nouvelle copie de ps, synchroniser, redémarrer, basculer le commutateur. Un système réalisé de cette manière a au moins quelques programmes de confiance et un noyau de confiance pour effectuer d'autres travaux.

Bien sûr, si vous utilisez Windows, vous êtes fichu.

3. Compartimentez votre infra-structure. Pas raisonnable pour les petites et moyennes entreprises.

Des moyens d'éviter ce genre de choses.

1. Examinez soigneusement les candidats.

2. Déterminez si ces personnes sont mécontentes et réglez les problèmes de personnel à l'avance.

3. Quand vous renvoyez un administrateur avec ce genre de pouvoirs, sucrez la tarte :

   a. Son salaire ou une fraction de son salaire continue pendant un certain temps ou jusqu'à ce qu'il y ait un changement majeur dans le comportement du système qui n'est pas expliqué par le personnel informatique. Il peut s'agir d'une décroissance exponentielle. Par exemple, il reçoit son salaire complet pendant 6 mois, 80 % de ce salaire pendant 6 mois, 80 % de ce salaire pendant 6 mois, 80 % de ce salaire pendant 6 mois. que pour les 6 prochains mois.

   b. Une partie de sa rémunération est versée sous forme d'options d'achat d'actions qui ne prennent effet qu'un à cinq ans après son départ. Ces options ne sont pas supprimées lors de son départ. Il a intérêt à s'assurer que l'entreprise fonctionnera bien dans 5 ans.

Il me semble que le problème existe avant même le départ de l'administrateur. C'est juste qu'on le remarque davantage à ce moment-là.

-> One a besoin d'un processus pour vérifier chaque changement, et une partie du processus est que les changements ne sont appliqués que par son intermédiaire.

Il y en a un gros que tout le monde a laissé de côté.

N'oubliez pas qu'il n'y a pas que des systèmes.

• Les fournisseurs savent-ils que cette personne ne fait pas partie du personnel et ne devrait pas être autorisée à y accéder (colo, telco) ?
• Y a-t-il des services externes hébergés qui peuvent avoir des mots de passe séparés (exchange, crm) ?
• Pourraient-ils avoir du matériel de chantage sur eux de toute façon (d'accord, ça commence à être un peu fort...).

Veillez à informer tous les membres de l'entreprise de leur départ. Cela éliminera le vecteur d'attaque de l'ingénierie sociale. Si l'entreprise est grande, assurez-vous que les personnes qui doivent être informées le soient.

Si l'administrateur était également responsable du code écrit (site Web d'entreprise, etc.), vous devrez également procéder à un audit du code.

À moins que vous ne soyez vraiment très paranoïaque, je vous suggère simplement de lancer plusieurs outils d'analyse TCP/IP (tcpview, wireshark, etc.) pour voir si quelque chose de suspect tente de contacter le monde extérieur.

Changez les mots de passe des administrateurs et assurez-vous qu'il n'y a pas de comptes administrateurs "supplémentaires" qui n'ont pas lieu d'être.

N'oubliez pas non plus de changer les mots de passe des accès sans fil et de vérifier les paramètres de vos logiciels de sécurité (AV et pare-feu en particulier).