Мисля, че малкото отсъствие си заслужава 🙂 Тези дни съм по-развълнуван от всякога да стартирам нови проекти и предполагам, че скоро ще ви съобщя нови новини за моя напредък в Gentoo 🙂 Но това не е днешната тема.
Съдебни изчисления
Преди време си купих курс за съдебни изчисления, намирам за изключително интересно да знам необходимите процедури, мерки и контрамерки, създадени, за да могат да се справят с цифровите престъпления в наши дни. Страните с добре дефинирани закони в това отношение са станали референтни по темата и много от тези процеси трябва да се прилагат в световен мащаб, за да се гарантира правилното управление на информацията.
Липса на процедури
Като се има предвид сложността на атаките в наши дни, е важно да се помисли какви последствия може да доведе до липсата на надзор на сигурността на нашето оборудване. Това се отнася както за големи корпорации, така и за малки или средни компании, дори на лично ниво. Особено малки или средни компании, където Не. има определени процедури за обработка / съхранение / транспортиране на критична информация.
„Хакерът“ не е глупав
Друг особено примамлив мотив за „хакер“ са малките суми, но защо? Нека си представим този сценарий за секунда: Ако успея да „хакна“ банкова сметка, коя сума е по-фрапираща: теглене от 10 хиляди (вашата валута) или една от 10? Очевидно, ако проверявам сметката си и от нищото се появява теглене / пратка / плащане от 10 хиляди (вашата валута), алармите се появяват, но ако е била една от 10, тя може да изчезне сред стотици малки плащания. Следвайки тази логика, човек може да възпроизведе „хакването“ в около 100 акаунта с малко търпение и с това имаме същия ефект от 10 XNUMX, без алармите, които биха могли да звучат за това.
Бизнес проблеми
Да предположим, че тази сметка е тази на нашата компания, между плащанията на работници, материали, наем, тези плащания могат да бъдат загубени по прост начин, дори може да отнеме много време, без да се осъзнава точно къде и как отиват парите . Но това не е единственият проблем, да предположим, че „хакер“ е влязъл в нашия сървър и сега той не само има достъп до свързаните с него акаунти, но и до всеки файл (публичен или частен), до всяка съществуваща връзка, контрол над времето, което приложенията изпълняват или информацията, която преминава през тях. Това е доста опасен свят, когато спрем да мислим за това.
Какви превантивни мерки има?
Е, това е доста дълга тема и всъщност най-важното е винаги prevenir всяка възможност, тъй като е много по-добре да избегнете проблема преди случва се да се наложи да плати последиците от липсата на превенция. И е, че много компании вярват, че сигурността е обект на 3 или 4 одита година. Това не е само нереално, но е равномерно по-опасно е да не правиш нищо, тъй като има фалшиво чувство за „сигурност“.
Вече ме „хакнаха“, какво сега?
Е, ако току-що сте страдали от успешна атака от страна на хакер, независим или сключен договор, е необходимо да се знае минимален протокол от действия. Те са напълно минимални, но ще ви позволят да реагирате по експоненциално по-ефективен начин, ако се направи правилно.
Видове доказателства
Първата стъпка е да познаете засегнатите компютри и да ги третирате като такива, цифрови доказателства той преминава от сървърите към принтерите, подредени в мрежата. Истински „хакер“ може да се върти във вашите мрежи, използвайки уязвими принтери, да, добре сте прочели. Това е така, защото такъв фърмуер се актуализира много рядко, така че може да имате уязвимо оборудване, без дори да го забележите от години.
Като такова е необходимо в лицето на атака да се вземе предвид това още артефакти на компрометирания те могат да бъдат важни доказателства.
Първи отговор
Не мога да намеря точен превод на термина, но първи отговорник той по същество е първият човек, който влиза в контакт с екипите. Много пъти този човек няма да е някой специализиран и може да бъде a системен администратор, инженер мениджър, дори a Gerente който е на място в момента и няма някой друг, който да реагира на извънредната ситуация. Поради това е необходимо да се отбележи, че нито един от тях не е подходящ за вас, но трябва да знаете как да постъпите.
Има 2 състояния, в които даден отбор може да участва след a успешна атака, и сега остава само да се подчертае, че a успешна атака, обикновено се случва след много неуспешни атаки. Така че, ако те вече са откраднали вашата информация, това е, защото няма протокол за защита и отговор. Помните ли за предотвратяването? Сега тази част има най-голямо значение и тежест. Но хей, няма да търкам това повече от необходимото. Да продължим.
Екипът може да бъде в две състояния след атака, свързан с интернет o Без връзка. Това е много просто, но жизненоважно, ако компютърът е свързан към интернет, той е такъв ПРЕДИМСТВО изключете го ВЕДНАГА. Как да го разкача? Необходимо е да се намери първият рутер за достъп до интернет и да се премахне мрежовият кабел, не го изключвайте.
Ако екипът беше БЕЗ ВРЪЗКА, изправени сме срещу нападател, който е направил компромис физически съоръженията, в този случай цялата локална мрежа е компрометирана и е необходимо печат интернет изходи без да модифицирате каквото и да е оборудване.
Огледайте оборудването
Това е просто, НИКОГА, НИКОГА, ПРИ НИКАКВИ ОБСТОЯТЕЛСТВА, Първият реагиращ трябва да инспектира засегнатото (ите) оборудване (а). Единственият случай, в който това може да се пропусне (почти никога не се случва), е, че първият реагиращ е човек със специализирано обучение, който да реагира в тези моменти. Но за да ви даде представа какво може да се случи в тези случаи.
Под Linux среди
Да предположим, че нашите хакер Той е направил малка и незначителна промяна в разрешенията, които е получил в атаката си. Променена команда ls
намира се в /bin/ls
от следния скрипт:
#!/bin/bash
rm -rf /
Сега, ако по невнимание изпълним прост ls
на засегнатия компютър, той ще започне самоунищожение на всякакви доказателства, почистване на всяка възможна следа от оборудването и унищожаване на всяка възможност за намиране на отговорна страна.
Под Windows среди
Тъй като логиката следва същите стъпки, промяната на имената на файлове в system32 или същите компютърни записи може да направи системата неизползваема, причинявайки информацията да бъде повредена или загубена, за творчеството на нападателя остават само най-вредните възможни щети.
Не играйте герой
Това просто правило може да избегне много проблеми и дори да отвори възможността за сериозно и реално разследване по въпроса. Няма начин да започнете да изследвате мрежа или система, ако всички възможни следи са изтрити, но очевидно тези следи трябва да бъдат оставени. преднамерено, това означава, че трябва да имаме протоколи от сигурност y подкрепа I. Но ако се стигне до точката, в която трябва да се изправим срещу атака реален, е необходимо НЕ ИГРАЙТЕ ХЕРОЙ, тъй като един грешен ход може да доведе до пълно унищожаване на всякакви доказателства. Извинете, че го повтарям толкова много, но как не бих могъл, ако този единствен фактор може да промени разликата в много случаи?
Финални мисли
Надявам се този малък текст да ви помогне да добиете по-добра представа за това какво представлява защитник техните неща 🙂 Курсът е много интересен и научавам много за тази и много други теми, но вече пиша много, така че ще го оставим за днес 😛 Скоро ще ви донеса нови новини за най-новите си дейности. Наздраве,
Това, което считам за жизненоважно след атака, вместо да започнем да изпълнявам команди, е да не рестартираме или изключваме компютъра, защото освен ако не е рансъмуер, всички текущи инфекции запазват данни в RAM паметта,
И промяната на командата ls в GNU / Linux на "rm -rf /" не би затруднило нищо, защото всеки с минимални познания може да възстанови данни от изтрит диск, по-добре да го променя на "shred -f / dev / sdX", което е малко по-професионален и не изисква потвърждение като командата rm, приложена към root
Здравейте Kra! Благодаря ви много за коментара и много вярно, много атаки са предназначени да запазят данните в RAM, докато тя все още работи. Ето защо много важен аспект е да оставите оборудването в същото състояние, в което е било намерено, включено или изключено.
Що се отнася до другото, не бих се доверил толкова много, особено ако този, който забелязва, е мениджър или дори някой член на ИТ, който е в смесена среда (Windows и Linux) и „мениджърът“ на Linux сървърите не са намерени , след като видях как цял офис беше парализиран, защото никой освен „експерта“ не знаеше как да стартира прокси сървъра на Debian ... 3 часа загубени поради стартиране на услуга 🙂
Така че се надявах да оставя пример, достатъчно прост, за да може някой да го разбере, но според вас има много по-сложни неща, които могат да бъдат направени, за да досаждат на атакуваните 😛
поздрави
Какво би се случило, ако се рестартира с нещо различно от рансъмуер?
Е, голяма част от доказателствата са загубени chichero, в тези случаи, както коментирахме, голяма част от командите или „вирусите“ остават в RAM, докато компютърът е включен, в момента на рестартиране на цялата тази информация, която може да стане жизненоважна . Друг елемент, който се губи, са кръговите дневници, както на ядрото, така и на systemd, съдържащи информация, която може да обясни как нападателят е направил своя ход на компютъра. Възможно е да има рутинни процедури, които премахват временни интервали като / tmp и ако там се е намирал злонамерен файл, ще бъде невъзможно да се възстанови. Накратко, хиляда и една опция за съзерцание, така че е най-добре да не мърдате нищо, освен ако не знаете точно какво да правите. Поздрави и благодарности за споделянето 🙂
Ако някой може да има толкова много достъп в Linux система, колкото да промени командата за скрипт, на място, което изисква привилегии на root, а не действие, тревожното е, че пътищата са оставени отворени, за да може човек да направи това.
Здравейте Гонсало, това също е много вярно, но ви оставям връзка за това,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Както можете да видите, най-добрите класации включват уязвимости при инжектиране, слаб достъп до контрола и най-важното от всичко, ЛОШИ КОНФИГУРАЦИИ.
Сега от това следва следното, което е "нормално" в наши дни, много хора не конфигурират добре програмите си, мнозина оставят разрешения по подразбиране (root) върху тях и след като бъдат намерени, е доста лесно да се използват неща, които "уж "те вече са" избягвани ". 🙂
Е, в днешно време много малко хора се интересуват от самата система, когато приложенията ви дават достъп до базата данни (косвено) или достъп до системата (дори некоренна), тъй като винаги можете да намерите начин за повишаване на привилегиите, след като бъде постигнат минимален достъп.
Поздрави и благодарности за споделянето 🙂
Между другото, много интересен ChrisADR: Какъв е този курс за сигурност, който сте купили и къде можете да го купите?
Здравей Javilondo,
Купих оферта за Stackskills [1], няколко курса дойдоха в промоционален пакет, когато го купих преди няколко месеца, сред които този, който правя сега, е този от cybertraining365 🙂 Много интересен всъщност. Наздраве
[1] https://stackskills.com
Поздрави, следя ви от известно време и ви поздравявам за блога. С уважение мисля, че заглавието на тази статия не е правилно. Хакерите не са тези, които увреждат системите, изглежда важно да спрете да свързвате думата хакер с кибер престъпник или някой, който вреди. Хакерите са обратното. Просто мнение. Поздрави и благодарности. Гилермо от Уругвай.
Здравей Гилермо 🙂
Благодаря ви много за вашия коментар и за поздравленията. Е, споделям мнението ви за това и нещо повече, мисля, че ще се опитам да напиша статия по тази тема, тъй като както споменахте, хакерът не е задължително да е престъпник, но бъдете внимателни с НЕОБХОДИМОТО, мисля, че това е тема за цяла статия 🙂 Поставям заглавието така, защото въпреки че много хора тук четат, като вече имат предишни познания по темата, има добра част, която го няма и може би е по-добре да ги свържат терминът хакер с това (макар и да не е така), но скоро ще направим темата малко по-ясна
Поздрави и благодарности за споделянето
Благодаря ви много за отговора. Прегръдка и продължавайте така. Уилям.
Хакерът не е престъпник, а напротив, те са хора, които ви казват, че вашите системи имат грешки и затова влизат във вашите системи, за да ви предупреждават, че са уязвими и да ви казват как можете да ги подобрите. Никога не трябва объркайте хакер с компютърни крадци.
Здравейте aspros, не мислете, че хакерът е същото като "анализатор на сигурността", малко често срещано заглавие за хората, които са посветени на отчитането, ако системите имат грешки, те влизат във вашите системи, за да ви кажат, че са уязвими и т.н. и т.н. ... истинският хакер надхвърля само "търговията", от която живее всеки ден, това е по-скоро призвание, което ви призовава да знаете неща, които по-голямата част от хората никога няма да разберат и че знанието осигурява сила и това ще да се използва както за добри, така и за лоши дела, в зависимост от хакера.
Ако потърсите в интернет историите на най-известните хакери на планетата, ще откриете, че много от тях са извършвали „компютърни престъпления“ през целия си живот, но това, вместо да генерира погрешно схващане за това какво може или не може да бъде хакерът, трябва да ни накара да се замислим колко много вярваме и се предаваме на изчисленията. Истинските хакери са хора, които са се научили да не се доверяват на общите изчисления, тъй като познават границите и недостатъците му и с това знание могат спокойно да "раздвижат" границите на системите, за да получат това, което искат, добро или лошо. А „нормалните“ хора се страхуват от хора / програми (вируси), които не могат да контролират.
И честно казано, много хакери имат лоша концепция за „анализатори на сигурността“, тъй като са посветени на използването на инструментите, които създават, за да получат пари, без да създават нови инструменти, или наистина да разследват, или да допринасят обратно за общността ... Просто живеят всеки ден казва, че система X е уязвима към уязвимост X, че Hacker X откри... Сценарий-детски стил ...
Някакъв безплатен курс? Повече от всичко за начинаещи, казвам, освен този (ЗАБЕЛЕЖКА, току-що стигнах до DesdeLinux, така че не съм разглеждал другите публикации за компютърна сигурност, така че не знам колко начинаещи или напреднали са темите, които покриват 😛)
поздрави
Тази страница е страхотна, има много съдържание, за хакера трябва да имате силен антивирус, за да избегнете хакване
https://www.hackersmexico.com/