Myslím, že ta malá absence stála za to 🙂 V dnešní době jsem více než kdy jindy nadšený z zahájení nových projektů a předpokládám, že brzy vám dám nové zprávy o mém pokroku v Gentoo 🙂 Ale to není dnešní téma.
Forenzní výpočty
Před nějakou dobou jsem si koupil kurz Forensic Computing, považuji za velmi zajímavé znát požadované postupy, opatření a protiopatření, která byla vytvořena, aby se dnes dokázaly vypořádat s digitálními zločiny. Země, které mají v tomto ohledu dobře definované zákony, se staly měřítky v této oblasti a mnoho z těchto procesů by mělo být aplikováno globálně, aby byla zajištěna správná správa informací.
Nedostatek postupů
Vzhledem ke složitosti dnešních útoků je důležité zvážit, jaké důsledky může mít nedostatek bezpečnostního dohledu nad naším vybavením. To platí jak pro velké společnosti, tak pro malé nebo střední společnosti, a to i na osobní úrovni. Obzvláště malé a střední společnosti, kde Ne tam jsou definované postupy pro manipulaci / skladování / přepravu důležitých informací.
„Hacker“ není hloupý
Dalším obzvláště lákavým motivem „hackera“ jsou malé částky, ale proč? Představme si na chvíli tento scénář: Pokud se mi podaří hacknout bankovní účet, která částka je nápadnější: výběr 10 tisíc (vaše měna) nebo jeden z 10? Je zřejmé, že pokud kontroluji svůj účet a z ničeho nic se objeví výběr / odeslání / platba 10 tisíc (vaše měna), objeví se alarmy, ale pokud to byla jedna z 10, možná zmizí mezi stovkami provedených malých plateb. Podle této logiky lze s trochou trpělivosti replikovat „hack“ asi na 100 účtech, a díky tomu máme stejný účinek jako 10 XNUMX, bez alarmů, které by to mohly znít.
Obchodní problémy
Nyní předpokládejme, že tento účet je účet naší společnosti, mezi platbami pracovníkům, materiálem, nájemným, tyto platby mohou být ztraceny jednoduchým způsobem, může to trvat i dlouho, aniž by si přesně uvědomily, kam a jak peníze směřují . To však není jediný problém, předpokládejme, že na náš server vstoupil „hacker“ a nyní má nejen přístup k účtům, které jsou k němu připojeny, ale také ke každému souboru (veřejnému nebo soukromému), ke každému existujícímu připojení, kontrolu nad čas, kdy aplikace běží, nebo informace, které jimi procházejí. Když přestaneme o tom přemýšlet, je to docela nebezpečný svět.
Jaká preventivní opatření existují?
Toto je docela dlouhé téma a ve skutečnosti je to nejdůležitější vždy předcházet jakákoli možnost, protože je mnohem lepší se problému vyhnout před stane se, že bude muset platit důsledky nedostatečné prevence. A je to tak, že mnoho společností věří, že bezpečnost je předmětem 3 nebo 4 auditů rok. To není jen neskutečnýale je to dokonce nebezpečnější nic nedělat, protože existuje falešný pocit „bezpečí“.
Už mě „hackli“, co teď?
Pokud jste právě utrpěli úspěšný útok na straně hackera, nezávislého nebo smluvního, je nutné znát minimální protokol akcí. Jsou zcela minimální, ale pokud budete postupovat správně, umožní vám reagovat exponenciálně efektivnějším způsobem.
Druhy důkazů
Prvním krokem je znát postižené počítače a zacházet s nimi jako s tímto digitální důkazy jde od serverů k tiskárnám uspořádaným v síti. Skutečný 'hacker' se může otáčet ve vašich sítích pomocí zranitelných tiskáren, ano, čtete správně. Je to proto, že takový firmware je velmi zřídka aktualizován, takže můžete mít zranitelné zařízení, aniž byste si ho roky všimli.
Proto je nutné čelit útoku na to vzít v úvahu více artefaktů kompromitovaných mohou být důležitý důkaz.
První respondent
Nemohu najít správný překlad výrazu, ale první respondent je v podstatě prvním člověkem, který přišel do kontaktu s týmy. Mnohokrát tato osoba nebude to někdo specializovaný a může to být správce systémů, inženýr manažer, dokonce a gerente který je v tuto chvíli na místě a nemá někoho jiného, kdo by reagoval na mimořádnou událost. Z tohoto důvodu je nutné si to uvědomit žádný z nich není pro vás vhodný, ale musíte vědět, jak postupovat.
Existují 2 stavy, ve kterých může být tým po úspěšný útok, a nyní zbývá jen zdůraznit, že a úspěšný útok, obvykle nastává po mnoho neúspěšné útoky. Takže pokud již ukradli vaše informace, je to proto, že žádné neexistují obranný a reakční protokol. Pamatujete si na prevenci? Nyní je místo, kde tato část dává největší smysl a váhu. Ale hej, nebudu to moc drhnout. Pojďme dál.
Tým může být po útoku ve dvou státech, připojeno k internetu o Bez připojení. To je velmi jednoduché, ale zásadní, pokud je počítač připojen k internetu, je PŘEVLÁDAJÍCÍ odpojit IHNED. Jak jej odpojím? Je nutné najít první router pro přístup k internetu a odpojit síťový kabel, nevypínej to.
Pokud tým byl BEZ PŘIPOJENÍ, čelíme útočníkovi, který udělal kompromis fyzicky zařízení, v tomto případě celá místní síť je ohrožena a je to nutné těsnění východy z internetu bez úpravy jakéhokoli zařízení.
Zkontrolujte zařízení
To je jednoduché, NIKDY, NIKDY, ZA ŽÁDNÝCH OKOLNOSTÍ, První respondent musí zkontrolovat dotčené zařízení. Jediným případem, kdy to lze vynechat (téměř nikdy se to nestane), je to, že první respondent je osoba se specializovaným tréninkem reagovat v té době. Ale pro představu o tom, co se v těchto případech může stát.
V prostředí Linux
Předpokládejme naše útočník Udělal malou a nevýznamnou změnu oprávnění, která získal při svém útoku. Změněný příkaz ls se nachází v /bin/ls následujícím skriptem:
#!/bin/bash
rm -rf /
Nyní, pokud neúmyslně provedeme jednoduchý ls na postiženém počítači začne autodestrukce všech druhů důkazů, vyčistí všechny možné stopy zařízení a zničí všechny možnosti nalezení odpovědné strany.
V prostředí Windows
Protože logika postupuje podle stejných kroků, změna názvů souborů v systému32 nebo ve stejných počítačových záznamech může způsobit nepoužitelnost systému, což způsobí poškození nebo ztrátu informací, takže pro kreativitu útočníka zbývá jen nejnebezpečnější možné poškození.
Nehrajte na hrdinu
Toto jednoduché pravidlo může zabránit mnoha problémům a dokonce otevřít možnost seriózního a skutečného vyšetřování věci. Neexistuje způsob, jak začít vyšetřovat síť nebo systém, pokud byly vymazány všechny možné stopy, ale tyto stopy samozřejmě musí zůstat pozadu. předem promyšlený, to znamená, že musíme mít protokoly o zabezpečení y záloha. Ale pokud je dosaženo bodu, kde musíme čelit útoku skutečný, je to nutné NEHRAJTE HERO, protože jediný chybný krok může způsobit úplné zničení všech druhů důkazů. Omluvte mě, že to tolik opakuji, ale jak bych mohl, kdyby tento faktor sám o sobě mohl v mnoha případech změnit?
Závěrečné myšlenky
Doufám, že vám tento malý text pomůže lépe si představit, o co jde obránce jejich věci 🙂 Kurz je velmi zajímavý a hodně se o tomto a mnoha dalších tématech dozvídám, ale už toho hodně píšu, takže to necháme na dnes 😛 Brzy vám přinesu nové zprávy o mých nejnovějších aktivitách. Pozdravy,
To, co po útoku považuji za životně důležité, místo toho, abych začal vykonávat příkazy, není restartovat nebo vypnout počítač, protože pokud se nejedná o ransomware, všechny aktuální infekce ukládají data do paměti RAM,
A změna příkazu ls v GNU / Linux na „rm -rf /“ by nic nekomplikovala, protože kdokoli s minimální znalostí může obnovit data z vymazaného disku, raději bych jej změnil na „shred -f / dev / sdX“, který je trochu profesionálnější a nevyžaduje potvrzení jako příkaz rm aplikovaný na root
Ahoj Kra 🙂 moc děkuji za komentář a velmi pravdivé, mnoho útoků je navrženo tak, aby data zůstala v paměti RAM, zatímco je stále spuštěna. Proto je velmi důležitým aspektem ponechat zařízení ve stejném stavu, v jakém bylo nalezeno, ať už zapnuté nebo vypnuté.
Co se týče toho druhého, moc bych tomu nevěřil 😛 zejména pokud ten, kdo si toho všimne, je manažer, nebo dokonce nějaký člen IT, který je ve smíšeném prostředí (Windows a Linux) a „manažer“ linuxových serverů nejsou našel jsem, jakmile jsem viděl, jak byla celá kancelář paralyzována, protože nikdo kromě „experta“ nevěděl, jak spustit serverový server Debianu ... 3 hodiny ztracené kvůli spuštění služby 🙂
Doufal jsem tedy, že nechám příklad dostatečně jednoduchý na to, aby kdokoli pochopil, ale podle vás existuje mnoho sofistikovanějších věcí, kterými lze napadené lidi otravovat 😛
pozdravy
Co když se restartuje s jiným než ransomwarem?
Většina důkazů je ztracená, v těchto případech, jak jsme již uvedli, velká část příkazů nebo „virů“ zůstává v paměti RAM, když je počítač zapnutý, v době restartování všech informací, které se mohou stát vitální. Dalším ztraceným prvkem jsou kruhové protokoly jádra i systemd, které obsahují informace, které mohou vysvětlit, jak útočník provedl svůj tah v počítači. Mohou existovat rutiny, které vylučují dočasné mezery, například / tmp, a pokud tam byl umístěn škodlivý soubor, nebude možné jej obnovit. Stručně řečeno, tisíc a jedna možnost uvažovat, takže je prostě nejlepší nepohybovat ničím, pokud přesně nevíte, co dělat. Zdravím a děkuji za sdílení 🙂
Pokud někdo může mít v linuxovém systému tolik přístupu, že by mohl změnit příkaz pro skript, v místě, které vyžaduje oprávnění root, spíše než akci, znepokojující je, že pro něho byly ponechány otevřené cesty.
Ahoj Gonzalo, to je také velmi pravda, ale nechám ti o tom odkaz,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Jak vidíte, nejlepší hodnocení zahrnuje chyby zabezpečení injekcí, slabé přístupy k ovládání a nejdůležitější ze všech, ŠPATNÉ KONFIGURACE.
Z toho nyní vyplývá následující, což je v dnešní době „normální“, mnoho lidí si své programy nenakonfiguruje dobře, mnozí na nich nechávají ve výchozím nastavení oprávnění (root) a jakmile se zjistí, je celkem snadné zneužít věci, které „údajně „již jim bylo„ zabráněno “. 🙂
V dnešní době se jen velmi málo lidí zajímá o samotný systém, když vám aplikace poskytují přístup do databáze (nepřímo) nebo přístup do systému (dokonce i jiný než root), protože vždy můžete najít způsob, jak zvýšit oprávnění, jakmile je dosaženo minimálního přístupu.
Zdravím a děkuji za sdílení 🙂
Mimochodem velmi zajímavý ChrisADR: Co je to za bezpečnostní kurz, který jste si koupili a kde si ho můžete koupit?
Ahoj Javilondo,
Koupil jsem si nabídku na Stackskills [1], několik kurzů přišlo v balíčku propagace, když jsem si ji koupil před několika měsíci, mezi nimi ten, který teď dělám, je jeden z cybertraining365 🙂 Ve skutečnosti velmi zajímavé. pozdravy
[1] https://stackskills.com
Zdravím, nějakou dobu vás sleduji a blahopřeji vám k blogu. S úctou si myslím, že název tohoto článku není správný. Hackeři nejsou ti, kteří poškozují systémy, zdá se zásadní přestat spojovat slovo hacker s kybernetickým zločincem nebo s někým, kdo škodí. Hackeři jsou opakem. Jen názor. Zdravím a děkuji. Guillermo z Uruguaye.
Ahoj Guillermo 🙂
Moc děkuji za váš komentář a za gratulace. Sdílím váš názor na to, a co víc, myslím, že se pokusím napsat článek na toto téma, protože jak jste zmínil, hacker nemusí být nutně zločincem, ale buďte opatrní POTŘEBNÉ, myslím, že toto je téma pro celý článek 🙂 Nadpis jsem dal takto, protože i když zde mnoho lidí čte již s předchozími znalostmi tohoto předmětu, existuje dobrá část, která je nemá, a možná se lépe spojí termín hacker s tím (i když by to tak nemělo být), ale brzy to téma trochu vyjasníme 🙂
Zdravím a děkuji za sdílení
Děkuji moc za odpověď. Obejměte a držte to. William.
Hacker není zločinec, naopak jsou to lidé, kteří vám říkají, že vaše systémy mají chyby, a proto do vašich systémů vstupují, aby vás upozornily, že jsou zranitelné, a řekly vám, jak je můžete vylepšit. Nikdy si nezaměňujte hackera s počítačoví zloději.
Ahoj asprosi, nemysli si, že hacker je stejný jako „bezpečnostní analytik“, což je poněkud běžný název pro lidi, kteří se věnují hlášení, pokud mají systémy chyby. Vstupují do tvých systémů, aby ti řekli, že jsou zranitelní atd. Atd ... skutečný hacker jde nad rámec pouhého „obchodu“, ze kterého každodenně žije, je to spíše povolání, které vás nabádá, abyste věděli věci, kterým drtivá většina lidských bytostí nikdy nerozumí, a že znalosti poskytují sílu, a to bude být zvyklí dělat dobré i špatné skutky, v závislosti na hackerovi.
Pokud na internetu prohledáte příběhy nejznámějších hackerů na planetě, zjistíte, že mnozí z nich po celý život páchali „počítačové zločiny“, ale to je spíše než vytváření mylné představy o tom, co hacker může nebo nemůže být, mělo by nás to donutit zamyslet se nad tím, jak moc důvěřujeme a vzdáváme se výpočetní technice. Skuteční hackeři jsou lidé, kteří se naučili nedůvěřovat běžným počítačům, protože znají jejich limity a nedostatky, a díky těmto znalostem mohou klidně „posunout“ hranice systémů, aby získali to, co chtějí, dobré nebo špatné. A „normální“ lidé se bojí lidí / programů (virů), které nemohou ovládat.
A po pravdě řečeno, mnoho hackerů má špatný koncept „bezpečnostních analytiků“, protože se věnují používání nástrojů, které vytvářejí, k získávání peněz, aniž by vytvářeli nové nástroje nebo skutečně vyšetřovali nebo přispívali zpět do komunity ... prostě žít den co den a říkat, že systém X je zranitelný vůči zranitelnosti X Hacker X objevil… Skript-dětský styl…
Nějaký bezplatný kurz? Víc než cokoli pro začátečníky říkám, kromě tohoto (POZOR, teprve teď jsem se dostal DesdeLinux, takže jsem se nedíval na ostatní příspěvky o počítačové bezpečnosti, takže nevím, jak začátečníci nebo pokročilí jsou témata, která pokrývají 😛)
pozdravy
Tato stránka je skvělá, má spoustu obsahu, o hackerovi musíte mít silný antivirus, abyste se vyhnuli hackerství
https://www.hackersmexico.com/