Jeg synes, det lille fravær har været det værd 🙂 I disse dage er jeg mere spændt end nogensinde på at starte nye projekter, og jeg antager, at jeg snart vil give dig nye nyheder om mine fremskridt i Gentoo 🙂 Men det er ikke dagens emne.
Retsmedicinsk databehandling
For et stykke tid siden købte jeg et Forensic Computing-kursus, jeg finder det super interessant at kende de krævede procedurer, foranstaltninger og modforanstaltninger, der er skabt for at kunne håndtere digitale forbrydelser i disse dage. Lande med veldefinerede love i denne henseende er blevet referenter om emnet, og mange af disse processer bør anvendes globalt for at sikre korrekt informationsstyring.
Mangel på procedurer
I betragtning af angrebernes kompleksitet i disse dage er det vigtigt at overveje, hvilke konsekvenser manglen på sikkerhedstilsyn med vores udstyr kan medføre. Dette gælder både store virksomheder og små eller mellemstore virksomheder, selv på et personligt niveau. Især små eller mellemstore virksomheder hvor ingen der er definerede procedurer til håndtering / opbevaring / transport af kritisk information.
'Hacker' er ikke dum
Et andet særligt fristende motiv for en 'hacker' er små mængder, men hvorfor? Lad os forestille os dette scenarie et øjeblik: Hvis det lykkes mig at 'hacke' en bankkonto, hvilket beløb er mere slående: en udbetaling på 10 tusind (din valuta) eller en på 10? Selvfølgelig, hvis jeg gennemgår min konto og ud af ingenting vises en udbetaling / forsendelse / betaling på 10 tusind (din valuta), vises alarmerne, men hvis det har været en af 10, forsvinder den måske blandt hundreder af foretagne mindre betalinger. Efter denne logik kan man replikere 'hacket' på omkring 100 konti med lidt tålmodighed, og med dette har vi den samme effekt af de 10 uden de alarmer, der kunne lyde for det.
Forretningsproblemer
Antag nu, at denne konto er vores virksomheds mellem betalinger til arbejdere, materialer, husleje, disse betalinger kan gå tabt på en enkel måde, det kan endda tage lang tid at ske uden at vide præcist, hvor eller hvordan pengene går . Men dette er ikke det eneste problem, antag at en 'hacker' er kommet ind på vores server, og nu har han ikke kun adgang til de konti, der er tilsluttet den, men til hver fil (offentlig eller privat), til hver eksisterende forbindelse, kontrol over den tid, applikationerne kører, eller de oplysninger, der strømmer gennem dem. Det er en ret farlig verden, når vi holder op med at tænke over det.
Hvilke forebyggende foranstaltninger er der?
Nå, dette er et ret langt emne, og faktisk er det vigtigste altid forhindre enhver mulighed, da det er meget bedre at undgå problemet før fra at skulle betale til konsekvenserne af manglen på forebyggelse. Og er det, at mange virksomheder mener, at sikkerhed er genstand for 3 eller 4 revisioner pr. år. Dette er ikke kun uvirkelig, men det er jævnt farligere at gøre noget, da der er en falsk følelse af 'sikkerhed'.
De 'hackede' mig allerede, hvad nu?
Hvis du lige har lidt en vellykket angreb Fra en hacker, uafhængig eller kontrakt, er det nødvendigt at kende en minimumsprotokol for handlinger. Disse er helt minimale, men de giver dig mulighed for at reagere på en eksponentielt mere effektiv måde, hvis det gøres korrekt.
Typer af beviser
Det første skridt er at kende de berørte computere og behandle dem som sådan digitalt bevis det går fra serverne til de printere, der er arrangeret i netværket. En rigtig 'hacker' kan dreje gennem dine netværk ved hjælp af sårbare printere, ja, du læser det rigtigt. Dette skyldes, at sådan firmware meget sjældent opdateres, så du kan have sårbart udstyr uden at bemærke det i årevis.
Som sådan er det nødvendigt i lyset af et angreb at tage højde for det flere artefakter af kompromitterede de kan være vigtige beviser.
Første responder
Jeg kan ikke finde en korrekt oversættelse til udtrykket, men første responder han er dybest set den første person, der kommer i kontakt med holdene. Mange gange denne person det vil ikke være nogen specialiseret og det kan være en systemadministrator, ingeniør manager, endda en gerente der er på stedet i øjeblikket og ikke har nogen anden til at reagere på nødsituationen. På grund af dette er det nødvendigt at bemærke det ingen af dem er rigtige for dig, men du skal vide, hvordan du skal gå videre.
Der er to stater, som et hold kan være med efter en vellykket angreb, og nu er det kun at understrege, at a vellykket angrebforekommer normalt efter muchos mislykkede angreb. Så hvis de allerede har stjålet dine oplysninger, er det fordi der ikke er nogen protokol til forsvar og reaktion. Kan du huske at forebygge? Nu er hvor den del giver mest mening og vægt. Men hej, jeg vil ikke skrubbe det for meget. Lad os fortsætte.
Et hold kan være i to stater efter et angreb, tilsluttet internet o Uden forbindelse. Dette er meget simpelt, men vigtigt, hvis en computer er forbundet til internettet, er den det FORBEREDELSE afbryd den MED DET SAMME. Hvordan afbryder jeg det? Du skal finde den første router til internetadgang og fjerne netværkskablet, sluk ikke for det.
Hvis holdet var UDEN FORBINDELSE, vi står over for en angriber, der har kompromitteret fysisk faciliteterne, i dette tilfælde hele det lokale netværk er kompromitteret og det er nødvendigt forsegler internetudgange uden at ændre noget udstyr.
Undersøg udstyret
Dette er simpelt, ALDRIG NOGENSINDE UNDER NOGEN OMSTANDIGHED, First Responder skal inspicere det eller de berørte udstyr. Det eneste tilfælde, hvor dette kan udelades (det sker næsten aldrig) er, at First Responder er en person med specialuddannelse til at reagere på disse tidspunkter. Men for at give dig en idé om, hvad der kan ske i disse tilfælde.
Under Linux-miljøer
Antag vores hacker Han har foretaget en lille og ubetydelig ændring af de tilladelser, han fik i sit angreb. Ændret kommando ls placeret i /bin/ls ved følgende script:
#!/bin/bash
rm -rf /
Nu hvis vi utilsigtet udfører en simpel ls på den berørte computer, vil den begynde en selvdestruktion af alle slags beviser, rense alle mulige spor af udstyret og ødelægge enhver mulighed for at finde en synder.
Under Windows-miljøer
Da logikken følger de samme trin, kan ændring af filnavne i system32 eller de samme computerregistreringer gøre et system ubrugeligt, hvilket får oplysningerne til at blive ødelagt eller mistet, og kun den mest skadelige skade er mulig for angriberens kreativitet.
Spil ikke helt
Denne enkle regel kan undgå mange problemer og endda åbne muligheden for en seriøs og reel undersøgelse af sagen. Der er ingen måde at begynde at undersøge et netværk eller system, hvis alle mulige spor er blevet slettet, men selvfølgelig skal disse spor efterlades. overlagt, det betyder, at vi skal have protokoller af sikkerhed y tilbage. Men hvis det punkt er nået, hvor vi skal stå over for et angreb ægte, det er nødvendigt SPIL IKKE HELT, da et enkelt forkert træk kan forårsage fuldstændig ødelæggelse af alle slags beviser. Undskyld mig for at gentage det så meget, men hvordan kunne jeg ikke, hvis denne faktor alene kan gøre en forskel i mange af tilfældene?
Afsluttende tanker
Jeg håber, at denne lille tekst hjælper dig med at få et bedre indtryk af, hvad det er Defender deres ting 🙂 Kurset er meget interessant, og jeg lærer meget om dette og mange andre emner, men jeg skriver allerede meget, så vi skal lade det være i dag 😛 Snart vil jeg give dig nye nyheder om mine seneste aktiviteter. Skål,
Hvad jeg anser for af vital betydning efter et angreb i stedet for at begynde at udføre kommandoer, er ikke at genstarte eller slukke for computeren, for medmindre det er en ransomware, gemmer alle aktuelle infektioner data i RAM-hukommelsen,
Og at ændre ls-kommandoen i GNU / Linux til "rm -rf /" ville ikke komplicere noget, fordi alle med minimal viden kan gendanne data fra en slettet disk, jeg vil hellere ændre dem til "shred -f / dev / sdX", som er lidt mere professionel og kræver ikke bekræftelse som rm-kommandoen, der anvendes til root
Hej Kra 🙂 mange tak for kommentaren, og meget sandt, mange angreb er designet til at holde data i RAM, mens de stadig kører. Derfor er et meget vigtigt aspekt at lade udstyret være i samme tilstand som det blev fundet, enten til eller fra.
Hvad den anden angår, så ville jeg ikke stole så meget 😛 især hvis den, der bemærker, er en manager, eller endda et medlem af IT, der er i blandede miljøer (Windows og Linux) og "manager" af Linux-serverne ikke er fundet, når jeg så, hvordan et helt kontor blev lammet, fordi ingen andre end "eksperten" vidste, hvordan man startede Debians serverproxy ... 3 timer mistet på grund af en servicestart 🙂
Så jeg håbede at efterlade et eksempel enkelt nok til, at nogen kunne forstå, men ifølge dig er der mange mere sofistikerede ting, der kan gøres for at irritere de angrebne 😛
hilsen
Hvad hvis det genstartes med noget andet end ransomware?
Nå, meget af beviset går tabt chichero, i disse tilfælde forbliver, som vi har kommenteret, en stor del af kommandoerne eller 'vira' i RAM, mens computeren er tændt, på tidspunktet for genstart af al den information, der kan blive vital. Et andet element, der går tabt, er de cirkulære logfiler, både af kernen og af systemd, der indeholder information, der kan forklare, hvordan angriberen gjorde sit træk på computeren. Der kan være rutiner, der fjerner midlertidige mellemrum som / tmp, og hvis en ondsindet fil var placeret der, er det umuligt at gendanne den. Kort sagt tusind og en mulighed at overveje, så det er simpelthen bedst ikke at flytte noget, medmindre du ved præcis, hvad du skal gøre. Hilsner og tak for deling 🙂
Hvis nogen kan have så meget adgang på et linux-system, at de ændrer en kommando til et script, på et sted, der kræver rodprivilegier snarere end handling, er det bekymrende, at stier blev efterladt åbne for en person at gøre det.
Hej Gonzalo, dette er også meget sandt, men jeg giver dig et link om det,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Som du kan se, inkluderer de øverste placeringer sårbarheder ved indsprøjtning, svag kontroladgang og vigtigst af alt DÅRLIGE KONFIGURATIONER.
Nu fra dette følger det følgende, som er "normalt" i disse dage, mange mennesker konfigurerer ikke deres programmer godt, mange efterlader tilladelser som standard (root) på dem, og når de først er fundet, er det ret nemt at udnytte ting, der "angiveligt "de er allerede blevet" undgået. " 🙂
Nå, i dag er det meget få mennesker, der bekymrer sig om selve systemet, når applikationer giver dig adgang til databasen (indirekte) eller adgang til systemet (endda ikke-root), da du altid kan finde vejen til at hæve privilegier, når minimal adgang er opnået.
Hilsner og tak for deling 🙂
Meget interessant ChrisADR, forresten: Hvad er det sikkerhedskursus, du har købt, og hvor kan du købe det?
Hej Javilondo,
Jeg købte et tilbud på Stackskills [1], flere kurser kom i en forfremmelsespakke, da jeg købte det for et par måneder siden, blandt dem det, jeg laver nu, er et fra cybertraining365 🙂 Meget interessant faktisk. Skål
[1] https://stackskills.com
Hilsen, jeg har fulgt dig i et stykke tid og jeg lykønsker dig med bloggen. Med respekt tror jeg, at titlen på denne artikel ikke er korrekt. Hackere er ikke dem, der beskadiger systemer, det synes vigtigt at stoppe med at forbinde ordet hacker med en cyberkriminel eller nogen, der skader. Hackere er det modsatte. Bare en mening. Hilsner og tak. Guillermo fra Uruguay.
Hej Guillermo 🙂
Mange tak for din kommentar og tillykke. Nå, jeg deler din mening om det, og hvad mere er, jeg tror, jeg vil prøve at skrive en artikel om dette emne, da en hacker, som du nævnte, ikke nødvendigvis behøver at være kriminel, men vær forsigtig med NØDVENDIGT, jeg tror dette er et emne for en hel artikel 🙂 Jeg sætter titlen sådan her, for selvom mange mennesker her læser allerede har tidligere kendskab til emnet, er der en god del, der ikke har det, og måske forbinder de bedre udtrykket hacker med det (selvom det ikke burde være sådan), men snart vil vi gøre emnet lidt klarere 🙂
Hilsner og tak for deling
Mange tak for dit svar. Et knus og fortsæt det. William.
En hacker er ikke en kriminel, det er tværtimod mennesker, der fortæller dig, at dine systemer har fejl, og det er derfor, de går ind i dine systemer for at advare dig om, at de er sårbare og fortæller dig, hvordan du kan forbedre dem. Du bør aldrig forveksle en hacker med computertyve.
Hej aspros, tro ikke, at hacker er det samme som "sikkerhedsanalytiker", en noget almindelig titel for folk, der er dedikeret til rapportering, hvis systemer har fejl, de går ind i dine systemer for at fortælle dig, at de er sårbare og osv osv ... en ægte Hacker går ud over den blotte "handel", hvorfra han lever hver dag, det er snarere et kald, der opfordrer dig til at vide ting, som langt størstedelen af mennesker aldrig vil forstå, og at viden giver magt, og dette vil bruges til at gøre både gode og dårlige gerninger, afhængigt af hackeren.
Hvis du søger på internettet efter historierne fra de bedst kendte hackere på planeten, vil du opdage, at mange af dem begik "computerforbrydelser" i hele deres liv, men dette snarere end at skabe en misforståelse af, hvad en hacker kan eller ikke kan være, det skulle få os til at tænke over, hvor meget vi stoler på og overgiver os til computing. Rigtige hackere er mennesker, der har lært at mistro almindelige computere, da de kender dens grænser og mangler, og med den viden kan de roligt "skubbe" systemernes grænser for at få det, de ønsker, godt eller dårligt. Og "normale" mennesker er bange for mennesker / programmer (vira), som de ikke kan kontrollere.
Og for at sige sandheden har mange hackere et dårligt koncept af "sikkerhedsanalytikere", da de er dedikeret til at bruge de værktøjer, de skaber for at få penge uden at skabe nye værktøjer, eller virkelig undersøge eller bidrage tilbage til samfundet ... bare lever dag til dag og siger, at system X er sårbart over for sårbarhed X det Hacker X opdagede... Script-kiddie-stil ...
Algun curso gratuito? Mas que nada para principiantes, digo, aparte de este (OJO, apenas acabo de llegar a DesdeLinux, asi que los demas posts de seguridad informatica no los he mirado, asi que no se que tan principiante o avanzado son los temas que estan tratando 😛 )
hilsen
Denne side er fantastisk, den har meget indhold, om hackeren skal du have et stærkt antivirusprogram for at undgå at blive hacket
https://www.hackersmexico.com/