Причины:
- Отсутствие или слабая криптостойкость алгоритмов (SHA1, MD5, статичные соли).
- Неправильная реализация: неверифицированные временные метки, повторное использование одноразовых кодов (nonce), отсутствие взаимной аутентификации.
- Недостатки хранения ключей/сертификатов (слабые пароли, публичные ключи на клиенте).
- Отсутствие многофакторной аутентификации (MFA) на критических узлах.
Решение:
1. Локализация и фиксация инцидента:
- Немедленно изолировать затронутые хосты (отключение от сети).
- Собрать форензик-образ памяти и диска (команды `dd if=/dev/sda | gzip > /mnt/luks/ramsuspect.dd`).
- Выгрузить логи: `journalctl --since "2025-04-01 00:00"` (systemd), `Get-WinEvent -LogName Security` (Windows).
2. Анализ уязвимости:
- Просмотреть следы атаки: повторяющиеся токены, невалидные nonce в логах аутентификации.
- Проверить сетевой дамп (tcpdump) на наличие replay-пакетов: `tcpdump -r capture.pcap -X | grep -i "auth|token"`.
- Идентифицировать тип протокола и версию (например, Kerberos 5, OAuth 2.0 – ошибки RFC 6749).
3. Устранение и защита:
- Заменить все скомпрометированные учётные данные: сбросить пароли, отозвать сертификаты и токены (`certutil -delstore MY `).
- Усилить криптографию:
- Обновить алгоритмы: SHA256 вместо SHA1, HMAC-SHA256 вместо статических подписей.
- Внедрить nonce и временные метки с проверкой времени (<> any 389 (content:"|04 00 00 00|"; sid:1000;)`.
4. Пример восстановления ключей (Kerberos):
bash
# Создать новый ключ kadmin.local
kadmin.local -q "addprinc -pw newpass user@REALM"
# Очистить тикеты
kdestroy -A
# Перезапустить KDC
systemctl restart krb5-kdc5. Отчётность в РФ:
При наличии утечки персональных данных (152-ФЗ) – уведомить Роскомнадзор в течение 24 часов.