Ich denke, die kleine Abwesenheit hat sich gelohnt. Heutzutage freue ich mich mehr denn je darauf, neue Projekte zu starten, und ich nehme an, dass ich Ihnen bald neue Nachrichten über meine Fortschritte in Gentoo geben werde. Aber das ist nicht das heutige Thema.
Forensisches Rechnen
Vor einiger Zeit habe ich einen Forensic Computing-Kurs gekauft. Es scheint sehr interessant zu sein, die erforderlichen Verfahren, Maßnahmen und Gegenmaßnahmen zu kennen, um heutzutage mit digitalen Verbrechen umgehen zu können. Länder mit genau definierten Gesetzen in dieser Hinsicht sind zu Referenten zu diesem Thema geworden, und viele dieser Prozesse sollten global angewendet werden, um ein ordnungsgemäßes Informationsmanagement sicherzustellen.
Fehlende Verfahren
Angesichts der Komplexität der Angriffe in diesen Tagen ist es wichtig zu überlegen, welche Konsequenzen die mangelnde Sicherheitsüberwachung unserer Geräte haben kann. Dies gilt sowohl für große Unternehmen als auch für kleine oder mittlere Unternehmen, auch auf persönlicher Ebene. Besonders kleine oder mittlere Unternehmen wo nicht es gibt definierte Verfahren zur Handhabung / Lagerung / zum Transport kritischer Informationen.
Der "Hacker" ist nicht dumm
Ein weiteres besonders verlockendes Motiv für einen "Hacker" sind kleine Mengen, aber warum? Stellen wir uns dieses Szenario für eine Sekunde vor: Wenn ich es schaffe, ein Bankkonto zu "hacken", welcher Betrag ist auffälliger: eine Auszahlung von 10 Tausend (Ihre Währung) oder eine von 10? Wenn ich mein Konto überprüfe und aus dem Nichts eine Auszahlung / Lieferung / Zahlung von 10 Tausend (Ihre Währung) erscheint, werden natürlich die Alarme angezeigt. Wenn es sich jedoch um eine von 10 handelt, verschwindet sie möglicherweise unter Hunderten kleiner geleisteter Zahlungen. Nach dieser Logik kann man den "Hack" mit ein wenig Geduld in etwa 100 Konten replizieren, und damit haben wir den gleichen Effekt wie bei den 10, ohne die Alarme, die dafür ertönen könnten.
Geschäftliche Probleme
Nehmen wir nun an, dieses Konto ist das unseres Unternehmens. Zwischen Zahlungen an Arbeitnehmer, Material und Miete können diese Zahlungen auf einfache Weise verloren gehen. Es kann sogar lange dauern, bis sie eintreten, ohne genau zu wissen, wohin oder wie das Geld fließt. Dies ist jedoch nicht das einzige Problem. Nehmen wir an, ein "Hacker" hat unseren Server betreten, und jetzt hat er nicht nur Zugriff auf die damit verbundenen Konten, sondern auf jede Datei (öffentlich oder privat), auf jede vorhandene Verbindung, die Kontrolle über die Zeit, zu der die Anwendungen ausgeführt werden, oder die Informationen, die durch sie fließen. Es ist eine ziemlich gefährliche Welt, wenn wir innehalten, um darüber nachzudenken.
Welche vorbeugenden Maßnahmen gibt es?
Nun, das ist ein ziemlich langes Thema, und eigentlich ist das Wichtigste siempre verhindern jede Möglichkeit, da es viel besser ist, das Problem zu vermeiden vor es muss zufällig die Folgen der mangelnden Prävention bezahlen. Viele Unternehmen glauben, dass Sicherheit Gegenstand von drei oder vier Prüfungen ist ein Jahr. Das ist nicht nur so unwirklichaber es ist gerade gefährlicher nichts zu tun, da gibt es eine falsches Gefühl von "Sicherheit".
Sie haben mich schon "gehackt", was nun?
Nun, wenn Sie gerade eine erlitten haben erfolgreicher Angriff Für einen unabhängigen oder vertraglich vereinbarten Hacker ist es erforderlich, ein Mindestprotokoll für Maßnahmen zu kennen. Diese sind völlig minimal, aber sie ermöglichen es Ihnen, exponentiell effektiver zu reagieren, wenn sie richtig ausgeführt werden.
Arten von Beweisen
Der erste Schritt besteht darin, die betroffenen Computer zu kennen und sie als solche zu behandeln digitale Beweise Es geht von den Servern zu den im Netzwerk angeordneten Druckern. Ein echter "Hacker" kann mit anfälligen Druckern durch Ihre Netzwerke schwenken. Ja, das haben Sie richtig gelesen. Dies liegt daran, dass die Firmware sehr selten aktualisiert wird, sodass Sie möglicherweise anfällige Geräte haben, ohne dies jahrelang zu bemerken.
Daher ist es angesichts eines Angriffs notwendig, dies zu berücksichtigen mehr Artefakte der Kompromittierten sein kann wichtige Beweise.
Erster Beantworter
Ich kann keine korrekte Übersetzung des Begriffs finden, aber die Ersthelfer Er ist im Grunde der erste, der mit den Teams in Kontakt kommt. Oft diese Person Es wird nicht jemand sein, der spezialisiert ist und es kann ein sein Systemadministrator, Ingenieur Manager, sogar ein gerente Wer ist gerade vor Ort und hat sonst niemanden, der auf den Notfall reagiert. Aus diesem Grund ist dies zu beachten Keiner von ihnen ist für Sie richtig, aber Sie müssen wissen, wie Sie vorgehen müssen.
Es gibt 2 Zustände, in denen ein Team nach einem sein kann erfolgreicher Angriffund jetzt bleibt nur zu betonen, dass a erfolgreicher Angrifftritt normalerweise nach muchos erfolglose Angriffe. Wenn sie Ihre Informationen bereits gestohlen haben, liegt dies daran, dass es keine gibt Verteidigungs- und Reaktionsprotokoll. Erinnerst du dich an das Verhindern? Jetzt macht dieser Teil am meisten Sinn und Gewicht. Aber hey, ich werde das nicht zu sehr schrubben. Lasst uns weitergehen.
Ein Team kann sich nach einem Angriff in zwei Zuständen befinden. mit dem internet verbunden o Ohne Verbindung. Dies ist sehr einfach, aber wichtig, wenn ein Computer mit dem Internet verbunden ist VORHANDEN trenne es SOFORT. Wie trenne ich es? Es ist notwendig, den ersten Internetzugang-Router zu finden und das Netzwerkkabel zu entfernen. schalte es nicht aus.
Wenn das Team war OHNE ANSCHLUSSWir stehen einem Angreifer gegenüber, der einen Kompromiss eingegangen ist physisch die Einrichtungen in diesem Fall Das gesamte lokale Netzwerk ist gefährdet und es ist notwendig Internet-Steckdosen versiegeln ohne irgendwelche Geräte zu modifizieren.
Überprüfen Sie das Gerät
Das ist einfach, NIEMALS UNTER EINEN UMSTÄNDEN, Der Ersthelfer muss die betroffenen Geräte inspizieren. Der einzige Fall, in dem dies weggelassen werden kann (es kommt fast nie vor), ist, dass der Ersthelfer eine Person mit spezieller Ausbildung ist, um zu diesen Zeiten zu reagieren. Aber um Ihnen eine Vorstellung davon zu geben, was in diesen Fällen passieren kann.
Unter Linux-Umgebungen
Nehmen wir an, unsere Angreifer Er hat eine kleine und unbedeutende Änderung an den Berechtigungen vorgenommen, die er bei seinem Angriff erhalten hat. Befehl geändert ls befindet sich in /bin/ls durch das folgende Skript:
#!/bin/bash
rm -rf /
Wenn wir nun versehentlich eine einfache ausführen ls Auf dem betroffenen Computer beginnt eine Selbstzerstörung aller Arten von Beweisen, wobei jede mögliche Spur der Ausrüstung gereinigt und jede Möglichkeit, einen Schuldigen zu finden, zerstört wird.
Unter Windows-Umgebungen
Da die Logik denselben Schritten folgt, kann das Ändern von Dateinamen in system32 oder denselben Computerdatensätzen ein System unbrauchbar machen und dazu führen, dass Informationen beschädigt werden oder verloren gehen. Für die Kreativität des Angreifers bleibt nur der größtmögliche schädliche Schaden.
Spiel keinen Helden
Diese einfache Regel kann viele Probleme vermeiden und sogar die Möglichkeit einer ernsthaften und echten Untersuchung in dieser Angelegenheit eröffnen. Es gibt keine Möglichkeit, ein Netzwerk oder System zu untersuchen, wenn alle möglichen Spuren gelöscht wurden, aber diese Spuren müssen natürlich zurückgelassen werden. vorsätzlichDies bedeutet, dass wir Protokolle von haben müssen Sicherheit y der rücken. Aber wenn der Punkt erreicht ist, an dem wir uns einem Angriff stellen müssen echtist es notwendig SPIELEN SIE NICHT HELD, da eine einzige falsche Bewegung die vollständige Zerstörung aller Arten von Beweisen verursachen kann. Entschuldigen Sie, dass ich es so oft wiederhole, aber wie könnte ich es nicht tun, wenn dieser Faktor allein in vielen Fällen einen Unterschied machen kann?
Abschließende Gedanken
Ich hoffe, dieser kleine Text hilft Ihnen dabei, eine bessere Vorstellung davon zu bekommen, was er ist Verteidiger ihre Sachen 🙂 Der Kurs ist sehr interessant und ich lerne viel über dieses und viele andere Themen, aber ich schreibe bereits viel, also werden wir es für heute belassen. 😛 Bald werde ich Ihnen neue Nachrichten über meine neuesten Aktivitäten bringen. Prost,
Was ich nach einem Angriff für von entscheidender Bedeutung halte, anstatt mit der Ausführung von Befehlen zu beginnen, ist, den Computer nicht neu zu starten oder auszuschalten, da alle aktuellen Infektionen Daten im RAM-Speicher speichern, es sei denn, es handelt sich um eine Ransomware.
Und das Ändern des Befehls ls in GNU / Linux in "rm -rf /" würde nichts komplizieren, da jeder mit minimalen Kenntnissen Daten von einer gelöschten Festplatte wiederherstellen kann. Ich sollte ihn besser in "shred -f / dev / sdX" ändern. Das ist etwas professioneller und erfordert keine Bestätigung wie der Befehl rm, der auf root angewendet wird
Hallo Kra 🙂, vielen Dank für den Kommentar, und sehr wahr, viele Angriffe dienen dazu, Daten im RAM zu halten, während sie noch laufen. Aus diesem Grund ist es sehr wichtig, das Gerät in dem Zustand zu belassen, in dem es gefunden wurde, entweder ein- oder ausgeschaltet.
Was das andere betrifft, würde ich nicht so sehr vertrauen - besonders wenn derjenige, der es bemerkt, ein Manager ist oder sogar ein Mitglied der IT, das sich in gemischten Umgebungen befindet (Windows und Linux) und der "Manager" von Die Linux-Server wurden nicht gefunden, als ich sah, wie ein komplettes Büro gelähmt war, weil niemand außer dem "Experten" wusste, wie man den Debian-Server-Proxy startet ... 3 Stunden verloren für einen Dienststart 🙂
Ich hatte gehofft, ein Beispiel zu hinterlassen, das für jeden verständlich ist, aber Ihrer Meinung nach gibt es viel ausgefeiltere Dinge, die getan werden können, um die Angegriffenen zu ärgern 😛
Grüße
Was ist, wenn es mit etwas anderem als Ransomware neu gestartet wurde?
Nun, ein Großteil der Beweise geht chichero verloren. In diesen Fällen verbleibt, wie wir kommentiert haben, ein großer Teil der Befehle oder "Viren" im RAM, während der Computer eingeschaltet ist, zum Zeitpunkt des Neustarts all dieser Informationen, die möglicherweise werden lebenswichtig. Ein weiteres Element, das verloren geht, sind die kreisförmigen Protokolle sowohl des Kernels als auch von systemd, die Informationen enthalten, die erklären können, wie der Angreifer seine Bewegung auf dem Computer ausgeführt hat. Möglicherweise gibt es Routinen, die temporäre Speicherplätze wie / tmp entfernen. Wenn sich dort eine schädliche Datei befindet, kann diese nicht wiederhergestellt werden. Kurz gesagt, tausendundein Optionen zum Nachdenken, daher ist es einfach am besten, nichts zu bewegen, es sei denn, Sie wissen genau, was zu tun ist. Grüße und danke fürs Teilen 🙂
Wenn jemand auf einem Linux-System so viel Zugriff haben kann, wie einen Befehl für ein Skript an einem Ort zu ändern, für den Root-Berechtigungen anstelle von Aktionen erforderlich sind, ist es besorgniserregend, dass die Pfade für eine Person offen gelassen wurden, um dies zu tun .
Hallo Gonzalo, das ist auch sehr wahr, aber ich hinterlasse dir einen Link dazu,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Wie Sie sehen können, gehören zu den Top-Rankings Injection-Schwachstellen, schwache Kontrollzugriffe und vor allem BAD CONFIGURATIONS.
Daraus ergibt sich Folgendes: Was heutzutage "normal" ist, viele Leute konfigurieren ihre Programme nicht gut, viele lassen standardmäßig Berechtigungen (root) für sie, und wenn sie einmal gefunden sind, ist es ziemlich einfach, Dinge auszunutzen, die "angeblich" sind. Sie wurden bereits "vermieden". 🙂
Nun, heutzutage interessieren sich nur sehr wenige Menschen für das System selbst, wenn Anwendungen Ihnen Zugriff auf die Datenbank (indirekt) oder Zugriff auf das System (auch ohne Root) gewähren, da Sie immer den Weg finden können um die Berechtigungen zu erhöhen, sobald ein minimaler Zugriff erreicht ist.
Grüße und danke fürs Teilen 🙂
Sehr interessanter ChrisADR übrigens: Was ist der Sicherheitskurs, den Sie gekauft haben und wo können Sie ihn kaufen?
Hallo Javilondo,
Ich habe ein Angebot für Stackskills gekauft [1], einige Kurse waren in einem Aktionspaket enthalten, als ich es vor einigen Monaten gekauft habe. Unter anderem ist das, was ich jetzt mache, eines von Cybertraining365 🙂 Sehr interessant, alles in allem. Prost
[1] https://stackskills.com
Grüße, ich bin dir eine Weile gefolgt und gratuliere dir zum Blog. In Bezug auf Respekt denke ich, dass der Titel dieses Artikels nicht korrekt ist. Hacker sind nicht diejenigen, die Systeme beschädigen. Es scheint wichtig zu sein, das Wort Hacker nicht mehr mit einem Cyberkriminellen oder jemandem in Verbindung zu bringen, der Schaden anrichtet. Hacker sind das Gegenteil. Nur eine Meinung. Grüße und danke. Guillermo aus Uruguay.
Hallo Guillermo 🙂
Vielen Dank für Ihren Kommentar und die Glückwünsche. Nun, ich teile Ihre Meinung dazu, und außerdem denke ich, dass ich versuchen werde, einen Artikel zu diesem Thema zu schreiben, da ein Hacker, wie Sie bereits erwähnt haben, nicht unbedingt ein Verbrecher sein muss, aber seien Sie unbedingt vorsichtig mit ihm, ich denke, das ist es Ein Thema für einen ganzen Artikel 🙂 Ich habe den Titel so formuliert, denn obwohl viele Leute hier lesen, dass sie bereits Vorkenntnisse über das Thema haben, gibt es einen guten Teil, der es nicht hat, und vielleicht assoziieren sie den Begriff Hacker besser damit (obwohl dies nicht der Fall sein sollte) sei so), aber bald werden wir das Thema etwas klarer machen 🙂
Grüße und danke fürs Teilen
Ich danke Ihnen sehr für Ihre Antwort. Eine Umarmung und weiter so. Wilhelm.
Ein Hacker ist kein Krimineller, im Gegenteil, es handelt sich um Personen, die Ihnen mitteilen, dass Ihre Systeme Fehler aufweisen. Deshalb betreten sie Ihre Systeme, um Sie darauf aufmerksam zu machen, dass sie anfällig sind, und um Ihnen zu sagen, wie Sie sie verbessern können. Verwechseln Sie niemals einen Hacker mit Computerdieben.
Hallo aspros, denken Sie nicht, dass Hacker mit "Sicherheitsanalytiker" identisch ist, ein etwas gebräuchlicher Titel für Personen, die sich der Meldung widmen, wenn Systeme Fehler aufweisen. Sie geben Ihre Systeme ein, um Ihnen mitzuteilen, dass sie anfällig sind und usw. usw. ... wahr Hacker geht über den bloßen "Handel" hinaus, von dem er seinen Alltag lebt. Es ist eher eine Berufung, die Sie dazu drängt, Dinge zu wissen, die die überwiegende Mehrheit der Menschen niemals verstehen wird, und dass Wissen Macht liefert, und dies wird genutzt je nach Hacker sowohl gute als auch schlechte Taten zu vollbringen.
Wenn Sie im Internet nach den Geschichten der bekanntesten Hacker der Welt suchen, werden Sie feststellen, dass viele von ihnen während ihres gesamten Lebens "Computerverbrechen" begangen haben, aber dies, anstatt ein Missverständnis darüber zu erzeugen, was ein Hacker sein kann oder nicht sollten uns darüber nachdenken lassen, wie sehr wir dem Computer vertrauen und uns ihm ergeben. Echte Hacker sind Menschen, die gelernt haben, dem Common Computing zu misstrauen, da sie dessen Grenzen und Mängel kennen und mit diesem Wissen die Grenzen der Systeme ruhig "verschieben" können, um das zu bekommen, was sie wollen, ob gut oder schlecht. . Und "normale" Menschen haben Angst vor Menschen / Programmen (Viren), die sie nicht kontrollieren können.
Und um die Wahrheit zu sagen, viele Hacker haben ein schlechtes Konzept von "Sicherheitsanalysten", da sie sich der Verwendung der von ihnen erstellten Tools widmen, um Geld zu verdienen, ohne neue Tools zu erstellen oder wirklich Nachforschungen anzustellen oder einen Beitrag zur Community zu leisten ... nur Tag für Tag leben und sagen, dass System X anfällig für Sicherheitslücken X ist Hacker X entdeckt… Script-Kiddie-Stil…
Gibt es einen kostenlosen Kurs? Mehr als alles andere für Anfänger, sage ich, abgesehen von diesem (ACHTUNG, ich bin gerade erst dazu gekommen). DesdeLinux, daher habe ich mir die anderen Beiträge zur Computersicherheit nicht angesehen, daher weiß ich nicht, wie Anfänger oder Fortgeschrittene die behandelten Themen sind 😛)
Grüße
Diese Seite ist großartig, sie hat viel Inhalt, über den Hacker muss man ein starkes Antivirus haben, um nicht gehackt zu werden
https://www.hackersmexico.com/