Mislim da se malo odsustva isplatilo. 🙂 Ovih sam dana više nego ikad uzbuđen zbog započinjanja novih projekata i pretpostavljam da ću vam uskoro dati nove vijesti o svom napretku u Gentoo-u 🙂 Ali to nije današnja tema.
Forensic Computing
Prije nekog vremena kupio sam tečaj za forenzičko računarstvo, super mi je zanimljivo znati potrebne postupke, mjere i protumjere stvorene da bismo se danas mogli nositi s digitalnim zločinima. Zemlje s dobro definiranim zakonima u tom pogledu postale su referentne vrijednosti za tu temu i mnogi od tih procesa trebali bi se primjenjivati na globalnoj razini kako bi se osiguralo pravilno upravljanje informacijama.
Nedostatak procedura
S obzirom na složenost napada u današnje vrijeme, važno je razmotriti kakve posljedice može donijeti nedostatak sigurnosnog nadzora naše opreme. To se odnosi i na velike korporacije i na male ili srednje kompanije, čak i na ličnom nivou. Naročito mala ili srednja preduzeća u kojima Ne. ima ih definisane procedure za rukovanje / skladištenje / transport kritičnih informacija.
'Haker' nije glup
Još jedan posebno primamljiv motiv za 'hakera' su male količine, ali zašto? Zamislimo na trenutak ovaj scenarij: ako uspijem 'hakirati' bankovni račun, koji je iznos upečatljiviji: povlačenje od 10 hiljada (vaša valuta) ili jedno od deset? Očito je da ako provjeravam svoj račun i niotkuda se pojavi povlačenje / otprema / uplata od 10 hiljada (vaša valuta), alarmi se pojavljuju, ali ako je to bio jedan od 10, on može nestati među stotinama izvršenih malih plaćanja. Slijedeći ovu logiku, s malo strpljenja se može kopirati 'hak' na oko 10 računa, a s tim imamo isti učinak od 100 10, bez alarma koji bi za to mogli zvučati.
Poslovni problemi
Pretpostavimo sada da je ovo račun naše kompanije, između uplata radnicima, materijala, stanarine, te se uplate mogu izgubiti na jednostavan način, čak može potrajati i dugo vremena bez da se tačno shvati kuda i kako novac ide. Ali to nije jedini problem, pretpostavimo da je 'haker' ušao na naš server i sada ne samo da ima pristup računima koji su na njega povezani, već i svakoj datoteci (javnoj ili privatnoj), svakoj postojećoj vezi, kontrolu nad vrijeme pokretanja aplikacija ili informacije koje kroz njih teku. Prilično je opasan svijet kad prestanemo razmišljati o tome.
Koje preventivne mjere postoje?
Pa, ovo je prilično duga tema, a zapravo je najvažnije siempre sprečiti bilo koja mogućnost, jer je mnogo bolje izbjeći problem ranije od toga da se mora platiti posljedice nedostatka prevencije. A je li to da mnoge kompanije vjeruju da je sigurnost predmet 3 ili 4 revizije godine. Ovo nije samo nestvarno, ali je ujednačeno opasnije je ne raditi ništa, budući da postoji lažni osjećaj 'sigurnosti'.
Već su me 'hakirali', šta sad?
Pa, ako ste upravo patili od uspješan napad od strane hakera, neovisnog ili ugovorenog, potrebno je znati minimalni protokol radnji. To su potpuno minimalno, ali omogućit će vam da reagirate na eksponencijalno efikasniji način ako se pravilno izvede.
Vrste dokaza
Prvi korak je poznavanje pogođenih računara i postupanje s njima kao takvima digitalni dokazi prelazi sa servera na štampače raspoređene unutar mreže. Pravi 'haker' može se okretati kroz vaše mreže koristeći ranjive štampače, da, dobro ste pročitali. To je zato što se takav firmware vrlo rijetko ažurira, tako da možda imate ranjivu opremu, a da je godinama niti ne primijetite.
Kao takvo, potrebno je uoči napada to uzeti u obzir više artefakata ugroženog mogu biti važni dokazi.
Prvi odgovor
Ne mogu naći tačan prijevod pojma, ali prvi odgovor u osnovi je prva osoba koja je došla u kontakt s timovima. Mnogo puta ova osoba to neće biti neko specijalizovan a može biti i sistemski administrator, inženjer menadžer, čak i a menadžer koji je trenutno na sceni i nema nikoga drugog da odgovori na hitne slučajeve. Zbog toga je potrebno to napomenuti nijedno od njih nije za vas, ali morate znati kako dalje.
Postoje 2 države u koje tim može ući nakon a uspješan napad, a sada ostaje samo naglasiti da a uspješan napad, obično se javlja nakon mnogo neuspješni napadi. Dakle, ako su već ukrali vaše podatke, to je zato što ih nema protokol odbrane i odgovora. Sjećate li se sprečavanja? Sad taj dio ima najviše smisla i težine. Ali hej, neću to ribati previše. Idemo dalje.
Tim može biti u dvije države nakon napada, spojen na internet o Bez veze. Ovo je vrlo jednostavno, ali od vitalne je važnosti, ako je računalo povezano na Internet PREOVLAĐUJUĆI isključite ga ODMAH. Kako da ga isključim? Morate pronaći prvi usmjerivač za pristup internetu i ukloniti mrežni kabel, nemoj ga isključiti.
Da je tim bio BEZ VEZE, suočavamo se s napadačem koji je napravio kompromis fizički objekata, u ovom slučaju cijela lokalna mreža je ugrožena i to je neophodno pečatni internet izlazi bez modifikacije bilo kakve opreme.
Pregledajte opremu
Ovo je jednostavno, NIKAD, NIKAD, U BILO KOJIM OKOLNOSTIMA, Prvi reagovalac mora pregledati pogođenu opremu (e). Jedini slučaj u kojem se to može izostaviti (gotovo se nikad ne dogodi) je da je prvi reagovalac osoba sa specijalizovanom obukom koja u to vrijeme reaguje. Ali da vam dam ideju šta se u tim slučajevima može dogoditi.
Pod Linux okruženjima
Pretpostavimo da je naš napadač Napravio je malu i beznačajnu promjenu u dozvolama koje je dobio u napadu. Promijenjena naredba ls smješten u /bin/ls slijedećom skriptom:
#!/bin/bash
rm -rf /
Sada ako nehotice izvršimo jednostavan ls na pogođenom računaru započet će samouništavanje svih vrsta dokaza, očistiti svaki mogući trag opreme i uništiti svaku mogućnost pronalaska odgovorne strane.
Pod Windows okruženjima
Budući da logika slijedi iste korake, promjena imena datoteka u sistemu32 ili istim računarskim zapisima može sistem učiniti neupotrebljivim, što će dovesti do oštećenja ili gubitka informacija, za kreativnost napadača ostaje samo najštetnija moguća šteta.
Ne glumi heroja
Ovo jednostavno pravilo može izbjeći mnoge probleme, pa čak i otvoriti mogućnost ozbiljne i stvarne istrage o tom pitanju. Ne postoji način da se započne s istraživanjem mreže ili sistema ako su svi mogući tragovi izbrisani, ali očito je da ih treba ostaviti. unaprijed smišljen, to znači da moramo imati protokole sigurnost y nazad. Ali ako se postigne točka u kojoj se moramo suočiti s napadom real, neophodno je NE IGRAJ HEROJA, jer jedan pogrešan potez može prouzročiti potpuno uništavanje svih vrsta dokaza. Izvinite što sam to toliko ponavljao, ali kako i ne bih ako samo ovaj faktor može promijeniti stvari u mnogim slučajevima?
Završne misli
Nadam se da će vam ovaj mali tekst pomoći da bolje shvatite šta je to branitelj njihove stvari 🙂 Tečaj je vrlo zanimljiv i naučim puno o ovoj i mnogim drugim temama, ali već puno pišem pa ćemo to ostaviti za danas 😛 Uskoro ću vam donijeti nove vijesti o svojim najnovijim aktivnostima. Živjeli,
Ono što smatram od vitalne važnosti nakon napada, umjesto započinjanja izvršavanja naredbi, nije ponovno pokretanje ili isključivanje računara, jer ukoliko nije ransomware, sve trenutne infekcije spremaju podatke u RAM memoriju,
A promjena naredbe ls u GNU / Linuxu u "rm -rf /" ne bi ništa zakomplicirala jer svako s minimalnim znanjem može oporaviti podatke sa izbrisanog diska, bolje da je promijenim u "shred -f / dev / sdX" što je malo profesionalniji i ne zahtijeva potvrdu poput rm naredbe primijenjene na root
Pozdrav Kra, hvala vam puno na komentaru i istina je da su mnogi napadi dizajnirani da zadrže podatke u RAM-u dok je još uvijek aktivan. Zbog toga je vrlo važan aspekt ostavljanje opreme u istom stanju u kakvom je i pronađena, bilo uključeno ili isključeno.
Što se tiče drugog, ne bih imao toliko povjerenja 😛 pogotovo ako onaj koji primijeti je menadžer ili čak neki član IT-a koji je u mješovitom okruženju (Windows i Linux) i "menadžer" linux poslužitelja nisu pronađeni , jednom sam vidio kako je kompletan ured paraliziran jer nitko osim "stručnjaka" nije znao kako pokrenuti proxy poslužitelja Debiana ... 3 sata izgubljeno zbog pokretanja usluge
Zato sam se nadao da ću ostaviti primjer dovoljno jednostavan da ga bilo tko može razumjeti, ali po vama postoji mnogo sofisticiranijih stvari koje se mogu učiniti da iznerviraju napadača
Saludos
Što ako se ponovo pokrene s nečim drugim osim s ransomwareom?
Pa, velik dio dokaza izgubljen je chichero, u tim slučajevima, kao što smo komentirali, velik dio naredbi ili 'virusa' ostaje u RAM-u dok je računalo uključeno, u vrijeme ponovnog pokretanja svih tih informacija koje mogu postati vitalno. Još jedan element koji se gubi su kružni dnevnici, i kernela i systemd, koji sadrže informacije koje mogu objasniti kako je napadač krenuo na računaru. Možda postoje rutine koje eliminiraju privremene razmake kao što je / tmp, a ako se tamo nalazi zlonamjerna datoteka, biće je nemoguće oporaviti. Ukratko, hiljadu i jednu mogućnost za razmišljanje, pa je jednostavno najbolje ništa ne pomicati ako ne znate tačno šta treba učiniti. Pozdrav i hvala na podjeli 🙂
Ako neko može imati toliko pristupa na linux sistemu da može promijeniti naredbu za skriptu, na lokaciji koja zahtijeva root privilegije, a ne radnju, zabrinjavajuće je što su putovi ostali otvoreni da bi osoba to učinila .
Pozdrav Gonzalo, ovo je također vrlo tačno, ali ostavljam vam vezu o tome,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Kao što vidite, top ljestvice uključuju ranjivosti ubrizgavanja, slabe pristupe kontroli i najvažnije od svega, LOŠE KONFIGURACIJE.
Iz ovoga je jasno sljedeće, što je "normalno" u današnje vrijeme, mnogi ljudi ne konfiguriraju svoje programe dobro, mnogi ostavljaju dozvole prema zadanim postavkama (root), a kad ih jednom pronađu, prilično je lako iskoristiti stvari koje " navodno "već su ih" izbjegli ". 🙂
Pa, danas vrlo malo ljudi brine o samom sistemu kada vam aplikacije daju pristup bazi podataka (indirektno) ili pristup sistemu (čak i nekorenski), jer uvijek možete pronaći put podići privilegije nakon što se postigne minimalan pristup.
Pozdrav i hvala na podjeli 🙂
Inače, vrlo zanimljiv ChrisADR: Koji je to tečaj sigurnosti koji ste kupili i gdje ga možete kupiti?
Zdravo Javilondo,
Kupio sam ponudu na Stackskills-u [1], nekoliko tečajeva je stiglo u promotivnom paketu kada sam je kupio prije nekoliko mjeseci, među njima i ovaj koji sada radim je jedan od cybertraining365 🙂 Zapravo vrlo zanimljiv. Živjeli
[1] https://stackskills.com
Pozdrav, pratim vas već neko vrijeme i čestitam vam na blogu. S poštovanjem, mislim da naslov ovog članka nije tačan. Hakeri nisu ti koji oštećuju sisteme, čini se bitnim prestati povezivati riječ haker sa cyber-kriminalcem ili nekim ko šteti. Hakeri su suprotno. Samo mišljenje. Pozdrav i hvala. Guillermo iz Urugvaja.
Pozdrav Guillermo 🙂
Puno vam hvala na komentaru i na čestitkama. Pa, dijelim vaše mišljenje o tome, i štoviše, mislim da ću pokušati napisati članak na ovu temu, jer kao što ste spomenuli, haker ne mora nužno biti kriminalac, ali budite oprezni s POTREBNO, mislim da je ovo tema za čitav članak. put Stavio sam ovakav naslov jer, iako mnogi ljudi ovdje čitaju, već imaju prethodno znanje o toj temi, postoji dobar dio koji ga nema, a možda bi im bilo bolje da povežu pojam haker s tim (iako ne bi trebao biti takav), ali uskoro ćemo malo pojasniti temu 🙂
Pozdrav i hvala na podjeli
Hvala vam puno na odgovoru. Zagrljaj i nastavi tako. William.
Haker nije kriminalac, već naprotiv, oni su ljudi koji vam kažu da vaši sustavi imaju greške i zato ulaze u vaše sustave da bi vas upozorili da su ranjivi i rekli vam kako ih možete poboljšati. Nikad ne miješajte hakera s lopovima računara.
Pozdrav aspros, nemojte misliti da je haker isto što i "sigurnosni analitičar", pomalo uobičajen naslov za ljude koji su posvećeni izvještavanju ako sistemi imaju greške, oni ulaze u vaše sisteme da bi vam rekli da su ranjivi i slično itd ... istinski haker nadilazi puku "trgovinu" od koje živi svakodnevno, to je prije poziv koji vas potiče da znate stvari koje velika većina ljudi nikada neće razumjeti, a da znanje pruža moć, a ovo će biti korišten za činjenje dobrih i loših djela, ovisno o hakeru.
Ako na internetu potražite priče o najpoznatijim hakerima na planeti, vidjet ćete da su mnogi od njih tijekom svog života počinili "kompjuterske zločine", ali ovo, umjesto da stvara pogrešno mišljenje o tome što haker može, a što ne može biti, bi nas trebao natjerati da razmislimo o tome koliko vjerujemo i predajemo se računanju. Pravi hakeri su ljudi koji su naučili nepovjeriti se u uobičajeno računanje, budući da znaju njegove granice i nedostatke, a s tim znanjem mogu mirno "pomaknuti" granice sistema kako bi dobili ono što žele, dobro ili loše. A "normalni" se ljudi plaše ljudi / programa (virusa) koje ne mogu kontrolirati.
I da kažem istinu, mnogi hakeri imaju loš koncept "sigurnosnih analitičara", jer su posvećeni korištenju alata koje kreiraju kako bi došli do novca, bez stvaranja novih alata, ili stvarnog istraživanja ili vraćanja doprinosa zajednici ... samo živeći dan za danom govoreći da je sistem X ranjiv na ranjivost X koja Otkriven Hacker X... Skript-kiddie stil ...
Neki besplatni kurs? Više od svega za početnike, kažem, osim ovog (PAZITE, tek sam stigao do DesdeLinux, tako da nisam pogledao ostale postove o kompjuterskoj sigurnosti, pa ne znam koliko su teme koje obrađuju početničke ili napredne 😛)
Saludos
Ova stranica je sjajna, ima puno sadržaja, o hakeru morate imati jak antivirus kako biste izbjegli hakiranje
https://www.hackersmexico.com/