Crec que la petita absència ha valgut la pena 🙂 Aquests dies estic amb més ànims que mai de començar nous projectes i suposo que ja dins de poc els donaré noves notícies sobre els meus avenços en Gentoo 🙂 Però aquest no és el tema d'avui.
computació Forense
Ja fa algun temps vaig comprar un curs de Computació Forense, em sembla super interessant conèixer els procediments requerits, mesures i contramesures creades per poder tractar crims de tipus digital en aquests dies. Països amb lleis ben definides a l'respecte s'han tornat referents del tema i molts d'aquests processos haurien d'aplicar de manera global per assegurar un adequat maneig de la informació.
Manca de procediments
Donada la complexitat dels atacs d'aquests dies, és important tenir en compte quines conseqüències pot portar la manca de supervisió de seguretat dels nostres equips. Això s'aplica tant per a grans corporacions com per a petites o mitjanes empreses, fins i tot a nivell personal. Especialment empreses petites o mitjanes on no existencial procediments definits per al maneig / emmagatzematge / transport d'informació crítica.
El 'hacker' no és tonto
Un altre motiu especialment temptador per a un 'hacker' són les petites quantitats, però això per què? Imaginem per un segon aquest escenari: Si jo amb si 'hackejar' un compte de banc, quina quantitat és més cridanera: un retir de 10 mil (la teva moneda) o un de 10 € Evidentment si jo estic revisant el meu compte i del no-res apareix un retir / enviament / pagament de 10 mil (la teva moneda) sorgeixen les alarmes, però si ha estat un 10, potser desapareix entre centenars de pagaments petits realitzats. Seguint aquesta lògica, un pot replicar el 'hackeig' en unes 100 comptes amb una mica de paciència, i amb això tenim el mateix efecte dels 10 mil, sense les alarmes que podrien sonar per això.
Els problemes empresarials
Ara, suposem que aquest compte és la de la nostra empresa, entre els pagaments als treballadors, materials, lloguer, aquests pagaments es poden perdre de manera senzilla, fins i tot poden portar força temps passant sense adonar-nos precisament on o com es van els diners. Però aquest no és l'únic problema, suposem que un 'hacker' ha entrat al nostre servidor, i ara no només té accés als comptes connectades a ell, sinó a cada arxiu (públic o privat), a cada connexió existent, control sobre el temps que corren les aplicacions o la informació que flueix per aquestes. És un món bastant perillós quan ens aturem a pensar en això.
Quines mesures preventives hi ha?
Bé, aquest és un tema bastant extens, i en realitat el més important és sempre evitar qualsevol possibilitat, Ja que és molt millor evitar el problema abans que succeeixi a haver de pagar les conseqüències de la manca de prevenció. I és que moltes empreses creuen que la seguretat és un tema de 3 o 4 auditories a l'any. Això no solament és irreal, Sinó que fins i tot és més perillós a no fer res, Ja que hi ha una falsa sensació de 'seguretat'.
Ja em 'hackearon', ara què?
Doncs si acabes de patir un atac reeixit per part d'un hacker, independent o contractat, cal conèixer un protocol mínim d'accions. Aquestes són completament mínimes, però et van a permetre respondre d'una manera exponencialment més efectiva si es fan de manera correcta.
Tipus d'evidència
El primer pas és conèixer els equips afectats, i tractar-los com a tal, la evidència digital va des dels servidors fins a les impressores disposades dins de la xarxa. Un 'hacker' real pot pivotar per les teves xarxes usant impressores vulnerables, sí, leiste bé. Això perquè dit firmware molt poques vegades és actualitzat, així que pot ser que tinguis equip vulnerable sense fins i tot haver-ho notat anys.
Com a tal, cal davant d'un atac de tenir en compte que més artefactes dels compromesos poden ser evidència important.
First respondre
No trobo una traducció correcta a terme, però el primer respon bàsicament és la primera persona que va a entrar en contacte amb els equips. Moltes vegades aquesta persona no va a ser algú especialitzat i pot ser un administrador de sistemes, un enginyer encarregat, fins fins i tot un gerent que es troba en el lloc en el moment i no compta amb algú més per respondre a l'emergència. A causa d'això, cal tenir en compte que cap d'ells és l'indicat, però ha de saber com procedir.
Existeixen 2 estats en què pot estar un equip després d'un atac reeixit, I ara només queda recalcar que un atac reeixit, Normalment ocorre després molts atacs infructuosos. Pel que si ja han arribat a robar la teva informació, és perquè no hi ha un protocol de defensa i resposta. Recorden el de prevenir? Ara és on més sentit i pes té aquesta part. Però bé, no vaig a refregar això més del compte. Seguim.
Un equip pot estar en dos estats després d'un atac, connectat a internet o sense connexió. Això és molt senzill però vital, si un equip està connectat a internet és IMPERANT desconnectar IMMEDIATAMENT. Com ho desconnecto? Cal trobar la primera router d'accés a internet i treure el cable de xarxa, no apagar.
Si l'equip es trobava SENSE CONNEXIÓ, Ens enfrontem a un ataquante que s'ha compromès físicament les instal·lacions, en aquest cas tota la xarxa local està compromesa i cal segellar les sortides a internet sense modificar cap equip.
Inspeccionar l'equip
Això és senzill, MAI, MAI, EN CAP CAS, el First Respondre ha d'inspeccionar el / s equip (s) afectats. L'únic cas en què això pot ometre (gairebé mai passa) és que el First Respondre sigui una persona amb instrucció especialitzada per reaccionar en aquests moments. Però perquè es facin una idea del que pot succeir en aquests casos.
Sota entorns Linux
Suposem que el nostre atacant ha fet un petit i insignificant canvi amb els permisos que va aconseguir en el seu atac. Va canviar la comanda ls ubicat a /bin/ls pel següent script:
#!/bin/bash
rm -rf /
Ara si per descuit executem un simple ls a l'ordinador afectada, començarà una autodestrucció de tot tipus d'evidència, netejant cada petjada possible de l'equip i destruint tot tipus de possibilitat de trobar un responsable.
Sota entorns Windows
Doncs la lògica sige els mateixos passos, canviar noms de fitxer en system32 o els mateixos registres de l'equip poden fer inutilitzable un sistema, fent que la informació es corrompi o perdi, només queda a la creativitat de l'atacant el dany més nociu possible.
No juguin a l'heroi
Aquesta simple regla pot evitar molts problemes, i fins i tot obrir la possibilitat d'una investigació seriosa i real a l'respecte. No hi ha manera de començar a investigar una xarxa o sistema si tot possible rastre ha estat esborrat, però evidentment aquests rastres han de deixar-se de manera premeditada, Això vol dir que hem de tenir protocols de seguretat y suport. Però si ja arriba el punt en el qual hem d'enfrontar un atac real, Cal NO JUGAR A L'HEROI, ja que un sol moviment en fals pot ocasionar la destrucció completa de tot tipus d'evidència. Disculpin que ho repeteixi tant, però com podria no fer-ho si aquest sol factor pot marcar la diferència en molts dels casos?
reflexions finals
Espero que aquest petit text els ajudi a tenir una millor noció del que és defensor les seves coses 🙂 El curs està molt interessant i aprenc bastant sobre aquest i molts temes més, però ja estic escrivint molt així que fins aquí el deixarem per avui 😛 Ja aviat els portaré noves notícies sobre les meves últimes activitats. Salutacions,
El que considero de vital importància després d'un atac, mes que posar-se a executar comandaments és no reiniciar o apagar l'equip, perquè amens que sigui un ransomware totes les infeccions actuals guarden dades a la memòria RAM,
I el de canviar la comanda ls en GNU / Linux per «rm -rf /» no complicaria res per que qualsevol persona amb coneixements mínims pot recuperar dades d'un disc esborrat, jo ho canviaria millor per «shred -f / dev / sdX» que queda una mica més professional i no exigeix confirmació com la comanda rm aplicat sobre root
Hola Kra 🙂 moltes gràcies pel comentari, i molt cert, molts atacs estan dissenyats per mantenir data en la RAM mentre segueix en execució. És per això que un aspecte molt important és deixar l'equip en el mateix estat que en el qual es va trobar, ja sigui pres o apagat.
Pel que fa a allò altre, doncs jo no em fiaria molt d'això 😛 especialment si el que s'adona és un gerent, o fins i tot algun membre de TI que es troba en entorns mixtos (Windows i Linux) i el «encarregat» de els servidors linux no es troba, un cop vaig veure com una oficina completa es paralitzava perquè ningú més que el «expert» sabia com iniciar el proxy de servidor Debian ... 3 hores perdudes per un inici de servei 🙂
Així que esperava deixar un exemple prou senzill com perquè qualsevol ho entengués, però d'acord amb tu, hi ha moltes coses més sofisticades que es poden fer per molestar els atacats 😛
Salutacions
Que passaria si es reinicia amb una altra cosa que no sigui un ransomware?
Doncs molta de l'evidència es perd chichero, en aquests casos, com hem comentat, gran part dels comandos o 'virus' es queden en RAM mentre està pres l'equip, a l'hora de reiniciar es perd tota aquesta informació que pot arribar a ser vital. Un altre elemeto que es perd és els logs circulars, tant de el nucli com de systemd, contenint informació que pot explicar com va fer l'atacant el seu moviment en l'equip. Poden existir rutines que eliminin espais temporals com / tmp, i si per algun arxiu maliciós es trobava situat aquí, serà impossible recuperar-lo. En fi, mil i un opcions de contemplar, de manera que simplement el millor és, no moure res a menys de saber què es fa exactament. Salutacions i gràcies per compartir 🙂
Si algú pot arribar a tenir tant accés a un sistema linux com per canviar una ordre per un script, en una ubicació que requereix privilegis de root, mes que l'acció, el preocupant és que camins es van deixar oberts perquè una persona pugui fer això .
Hola Gonzalo, això també és molt cert, però et deixo un link a l'respecte,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Com pots veure, els primers llocs inclouen vulnerabilitats d'injecció, accessos de control febles, i el més important de tots, MALES CONFIGURACIONS.
Ara d'això es desprèn el següent, que és «normal» en aquests dies, molta gent no configura bé els seus programes, molts deixen permisos per default (root) en ells, i un cop trobats, és bastant senzill explotar coses que «suposadament» ja van ser «evitades». 🙂
i bé, avui dia molt poca gent es preocupa pel sistema mateix quan les aplicacions et donen accés a la base de dades (de manera indirecta) o accés a sistema (encara que sigui no-root) ja que sempre es pot trobar la forma d'elevar privilegis un cop aconseguit un accés mínim.
Salutacions i gràcies per comaprtir 🙂
Molt interessant ChrisADR, per cert: ¿Quin és aquest curs de seguretat que vas comprar i on es pot adquirir?
Hola Javilondo,
Vaig comprar una oferta en Stackskills [1], van venir diversos cursos en un paquet de promición quan el vaig comprar fa uns mesos, entre ells el que estic fent ara és un cybertraining365 🙂 Molt interessants tots en realitat. Salutacions
[1] https://stackskills.com
Salutacions, els segueixo fa un temps i els felicito pel bloc. Amb respecte, crec que el títol d'aquest article no és l'adequat. Els hackers no són els que fan malbé els sistemes, em sembla fonamental deixar d'associar la paraula hacker amb ciber-delinqüent o algú que perjudica. Els hackers són tot el contrari. Només una opinió. Salutacions i gràcies. Guillermo des d'Uruguai.
Hola Guillem 🙂
Moltes gràcies pel teu comentari, i per les felicitacions. Doncs comparteixo la teva opinió a l'respecte, i és més, crec que vaig a tractar d'escriure un article sobre aquest tema, ja que com bé esmentes, un hacker no necessàriament ha de ser un delinqüent, però ull amb el NECESSÀRIAMENT, crec que aquest és un tema per tot un article 🙂 el títol ho vaig posar així perquè si bé molta gent aquí llegeix ja tenint coneixements previs del tema, hi ha una bona part que no els té, i potser ells associen millor el terme hacker a això (encara que no hauria ser així) però ja aviat deixarem una mica més clar el tema 🙂
Salutacions i gràcies per compartir
Moltes gràcies per la teva resposta. Una abraçada i segueixin així. Guillem.
Un Hacker no és un delinqüent, és a contra són persones que et diuen que els teus sistemes tenen bugs i per això entren en les teves sistemes per avisar-que són vulnerables i dir-te com pots mejorarlos.Jamas cal confondre a un Hacker amb lladres informàtics.
Hola ASPROS, tampoc cal pensar que hacker és el mateix que «analista de seguretat», un títol alguna cosa comú per a persones que es dediquen a informar si sistemes tenen bugs, entren als teus sistemes per dir-te que són vulnerables i etc etc ... un veritable hacker va més enllà de mer «ofici» de què viu el seu dia a dia, és més aviat una vocació que et insita a conèixer coses que la gran majoria d'éssers humans mai entendran, i aquest coneixement brinda poder, i aquest serà utilitzat per fer tant obres bones com dolentes, depenent de l'hacker.
Si busques a internet les històries dels hackers més coneguts de la planeta, trobaràs que molts d'ells van cometre «crims informàtics» al llarg de la seva vida, però això, abans de generar una mala concepció del que pot ser o no ser un hacker , ens ha de fer pensar en què tant confiem i vam lliurar a la informàtica. Els hackers de veritat són persones que han après a desconfiar de la informàtica comuna, ja que coneixen els seus límits i defectes, i amb aquest coneixement poden tranquil·lament «sobrepassar» els límits dels sistemes per així aconseguir el que desitgen, ja sigui bo o dolent . I la gent «normal» té por de persones / programes (virus) que no poden controlar.
I francament, molts hackers tenen un mal concepte dels «analistes de seguretat» ja que aquests es dediquen a utilitzar les eines que ells creen per aconseguir diners, sense crear noves eines, ni investigar realment, ni aportar de tornada a la comunitat ... només viure el dia a dia dient que el sistema X és vulnerable a la vulnerabilitat X que descobrir el hacker X... a l'estil script-kiddie ...
Algun curso gratuito? Mas que nada para principiantes, digo, aparte de este (OJO, apenas acabo de llegar a DesdeLinux, asi que los demas posts de seguridad informatica no los he mirado, asi que no se que tan principiante o avanzado son los temas que estan tratando 😛 )
Salutacions
aquesta pàgina és genial té molt contingut, sobre el hacker cal tenir un fort antivirus per evitar ser hacker
https://www.hackersmexico.com/