Je pense que la petite absence en a valu la peine 🙂 Ces jours-ci, je suis plus excité que jamais de démarrer de nouveaux projets et je suppose que je vais bientôt vous donner de nouvelles nouvelles sur mes progrès dans Gentoo 🙂 Mais ce n'est pas le sujet d'aujourd'hui.
Informatique légale
Il y a quelque temps, j'ai acheté un cours d'informatique légale, je trouve super intéressant de connaître les procédures, mesures et contre-mesures nécessaires créées pour pouvoir faire face aux crimes numériques de nos jours. Les pays dotés de lois bien définies à cet égard sont devenus des référents sur le sujet et nombre de ces processus devraient être appliqués au niveau mondial pour assurer une bonne gestion de l'information.
Manque de procédures
Compte tenu de la complexité des attaques de nos jours, il est important de réfléchir aux conséquences que le manque de supervision sécuritaire de nos équipements peut entraîner. Cela vaut aussi bien pour les grandes entreprises que pour les petites et moyennes entreprises, même à un niveau personnel. Surtout les petites et moyennes entreprises où aucune là procédures définies pour la manipulation / le stockage / le transport d'informations critiques.
Le 'hacker' n'est pas stupide
Un autre motif particulièrement tentant pour un «hacker» est de petites quantités, mais pourquoi? Imaginons un instant ce scénario: si j'arrive à «pirater» un compte bancaire, quel montant est le plus frappant: un retrait de 10 mille (votre devise) ou un sur 10? Evidemment si je passe en revue mon compte et que de nulle part un retrait / expédition / paiement de 10 mille (votre devise) apparaît, les alarmes apparaissent, mais s'il s'agit de l'une des 10, peut-être qu'elle disparaît parmi les centaines de petits paiements effectués. En suivant cette logique, on peut reproduire le 'hack' dans environ 100 comptes avec un peu de patience, et avec cela on a le même effet des 10 XNUMX, sans les alarmes qui pourraient sonner pour ça.
Problèmes commerciaux
Maintenant, supposons que ce compte soit celui de notre entreprise, entre les paiements aux travailleurs, les matériaux, le loyer, ces paiements peuvent être perdus de manière simple, ils peuvent même prendre beaucoup de temps sans se rendre compte précisément où et comment l'argent va. . Mais ce n'est pas le seul problème, supposons qu'un `` hacker '' soit entré sur notre serveur, et maintenant il ait non seulement accès aux comptes qui lui sont connectés, mais à chaque fichier (public ou privé), à chaque connexion existante, contrôle sur l'heure à laquelle les applications s'exécutent ou les informations qui les traversent. C'est un monde assez dangereux quand on y pense.
Quelles sont les mesures préventives?
Eh bien, c'est un sujet assez long, et en fait la chose la plus importante est toujours empêcher toute possibilité, car il vaut mieux éviter le problème avant d’arriver à devoir payer les conséquences du manque de prévention. Et est-ce que de nombreuses entreprises pensent que la sécurité fait l'objet de 3 ou 4 audits par an. Ce n'est pas seulement irréelmais c'est même plus dangereux de ne rien faire, car il y a un faux sentiment de `` sécurité ''.
Ils m'ont déjà «piraté», et maintenant?
Eh bien, si vous venez de souffrir attaque réussie de la part d'un hacker, indépendant ou sous contrat, il est nécessaire de connaître un protocole minimum d'actions. Ceux-ci sont complètement minimes, mais ils vous permettront de répondre de manière exponentiellement plus efficace si cela est fait correctement.
Types de preuves
La première étape consiste à connaître les ordinateurs affectés et à les traiter comme tels, les preuve numérique il va des serveurs aux imprimantes disposées au sein du réseau. Un véritable «hacker» peut se balancer autour de vos réseaux en utilisant des imprimantes vulnérables, oui, vous avez bien lu. En effet, un tel firmware est très rarement mis à jour, vous pouvez donc avoir un équipement vulnérable sans même le remarquer pendant des années.
A ce titre, il est nécessaire face à une attaque de prendre en compte que plus d'artefacts du compromis peut être preuves importantes.
Premier intervenant
Je ne trouve pas de traduction correcte du terme, mais le premier répondant il est fondamentalement la première personne à entrer en contact avec les équipes. Plusieurs fois cette personne ce ne sera pas quelqu'un de spécialisé et ça peut être un administrateur système, ingénieur manager, même un manager qui est sur les lieux en ce moment et qui n'a personne d'autre pour répondre à l'urgence. Pour cette raison, il est nécessaire de noter que ni l'un ni l'autre ne vous convient, mais vous devez savoir comment procéder.
Il y a 2 états dans lesquels une équipe peut être après un attaque réussie, et maintenant il ne reste plus qu'à souligner qu'un attaque réussie, survient généralement après beaucoup attaques infructueuses. Donc, s'ils ont déjà volé vos informations, c'est parce qu'il n'y a pas protocole de défense et de réponse. Vous souvenez-vous de la prévention? C'est maintenant là que cette partie a le plus de sens et de poids. Mais bon, je ne vais pas trop frotter ça. Continuons.
Une équipe peut être dans deux états après une attaque, connecté à internet o sans connexion. C'est très simple mais vital, si un ordinateur est connecté à Internet, il est RÉGNANT le déconnecter IMMÉDIATEMENT. Comment le déconnecter? Il est nécessaire de trouver le premier routeur d'accès Internet et de retirer le câble réseau, ne l'éteint pas.
Si l'équipe était SANS CONNEXION, nous sommes face à un attaquant qui a compromis physiquement les installations, dans ce cas tout le réseau local est compromis et il faut sceller les sorties Internet sans modifier aucun équipement.
Inspecter l'équipement
C'est simple, JAMAIS, JAMAIS, EN TOUTES CIRCONSTANCES, Le premier intervenant doit inspecter le ou les équipements concernés. Le seul cas dans lequel cela peut être omis (cela n'arrive presque jamais) est que le premier répondant est une personne ayant une formation spécialisée pour réagir à ces moments-là. Mais pour vous donner une idée de ce qui peut arriver dans ces cas.
Sous les environnements Linux
Supposons que notre attaquant Il a apporté un petit et insignifiant changement aux autorisations qu'il a obtenues lors de son attaque. Commande modifiée ls situé au /bin/ls par le script suivant:
#!/bin/bash
rm -rf /
Maintenant, si nous exécutons par inadvertance un simple ls sur l'ordinateur affecté, il commencera une autodestruction de toutes sortes de preuves, nettoyant toutes les traces possibles de l'équipement et détruisant toute possibilité de trouver un coupable.
Sous les environnements Windows
Parce que la logique suit les mêmes étapes, changer les noms de fichiers dans system32 ou les mêmes enregistrements informatiques peut rendre un système inutilisable, provoquant la corruption ou la perte des informations, seuls les dommages les plus nuisibles possibles restent pour la créativité de l'attaquant.
Ne jouez pas au héros
Cette règle simple peut éviter de nombreux problèmes, et même ouvrir la possibilité d'une enquête sérieuse et réelle en la matière. Il n'y a aucun moyen de commencer à enquêter sur un réseau ou un système si toutes les traces possibles ont été effacées, mais ces traces doivent évidemment être laissées de côté. prémédité, cela signifie que nous devons avoir des protocoles de sécurité y dos. Mais si le point est atteint où nous devons faire face à une attaque réal, il faut NE JOUEZ PAS AU HÉROS, puisqu'un seul faux mouvement peut entraîner la destruction complète de toutes sortes de preuves. Excusez-moi de le répéter autant, mais comment pourrais-je pas si ce seul facteur peut faire une différence dans de nombreux cas?
Dernières pensées
J'espère que ce petit texte vous aidera à avoir une meilleure idée de ce que c'est défenseur leurs trucs 🙂 Le cours est très intéressant et j'apprends beaucoup à ce sujet et bien d'autres sujets, mais j'écris déjà beaucoup donc nous allons le laisser pour aujourd'hui 😛 Bientôt je vous apporterai de nouvelles nouvelles sur mes dernières activités. À votre santé,
Ce que je considère comme d'une importance vitale après une attaque, plutôt que de commencer à exécuter des commandes, ce n'est pas de redémarrer ou d'éteindre l'ordinateur, car à moins qu'il ne s'agisse d'un ransomware, toutes les infections actuelles enregistrent des données dans la mémoire RAM,
Et changer la commande ls dans GNU / Linux en "rm -rf /" ne compliquerait rien car n'importe qui avec un minimum de connaissances peut récupérer des données à partir d'un disque effacé, je ferais mieux de le changer en "shred -f / dev / sdX" qui est un peu plus professionnel et ne nécessite pas de confirmation comme la commande rm appliquée à root
Salut Kra 🙂 merci beaucoup pour le commentaire, et très vrai, de nombreuses attaques sont conçues pour conserver les données dans la RAM pendant qu'elle est toujours en cours d'exécution. C'est pourquoi un aspect très important est de laisser l'équipement dans le même état que celui dans lequel il a été trouvé, allumé ou éteint.
Quant à l'autre, je ne ferais pas trop confiance 😛 surtout si celui qui le remarque est un manager, voire un membre de l'informatique qui se trouve dans des environnements mixtes (Windows et Linux) et que le "manager" des serveurs linux n'est pas trouvé , une fois que j'ai vu comment un bureau complet était paralysé parce que personne d'autre que "l'expert" ne savait comment démarrer le proxy du serveur Debian ... 3 heures perdues à cause d'un démarrage de service
J'espérais donc laisser un exemple assez simple pour que tout le monde le comprenne, mais selon vous, il y a beaucoup de choses plus sophistiquées qui peuvent être faites pour ennuyer l'attaqué 😛
salutations
Et s'il redémarrait avec autre chose qu'un ransomware?
Eh bien, une grande partie des preuves est perdue chichero, dans ces cas, comme nous l'avons commenté, une grande partie des commandes ou `` virus '' restent dans la RAM pendant que l'ordinateur est allumé, au moment du redémarrage de toutes ces informations qui peuvent devenir vital. Un autre élément qui est perdu est les logs circulaires, à la fois du noyau et de systemd, contenant des informations qui peuvent expliquer comment l'attaquant a fait son déplacement sur l'ordinateur. Il peut y avoir des routines qui éliminent les espaces temporaires tels que / tmp, et si un fichier malveillant s'y trouvait, il sera impossible de le récupérer. Bref, mille et une options à envisager, il est donc préférable de ne rien bouger à moins de savoir exactement quoi faire. Salutations et merci pour le partage 🙂
Si quelqu'un peut avoir autant d'accès sur un système Linux que de modifier une commande pour un script, dans un emplacement qui nécessite des privilèges root, plutôt qu'une action, le plus inquiétant est que les chemins ont été laissés ouverts à une personne pour le faire.
Bonjour Gonzalo, c'est aussi très vrai, mais je vous laisse un lien à ce sujet,
https://www.owasp.org/index.php/Top_10_2017-Top_10
Comme vous pouvez le voir, les meilleurs classements incluent les vulnérabilités d'injection, les accès de contrôle faibles et, le plus important de tous, les MAUVAISES CONFIGURATIONS.
Maintenant, à partir de cela, il est clair que ce qui suit, qui est "normal" ces jours-ci, beaucoup de gens ne configurent pas bien leurs programmes, beaucoup laissent des autorisations par défaut (root) sur eux, et une fois trouvés, il est assez facile d'exploiter des choses qui " soi-disant «ils ont déjà été« évités ». 🙂
Eh bien, de nos jours, très peu de gens se soucient du système lui-même lorsque les applications vous donnent accès à la base de données (indirectement) ou l'accès au système (même non root), car vous pouvez toujours trouver le moyen d'élever les privilèges une fois que l'accès minimal est atteint.
Salutations et merci pour le partage 🙂
Très intéressant ChrisADR, au fait: quel est ce cours de sécurité que vous avez acheté et où pouvez-vous l'acheter?
Bonjour Javilondo,
J'ai acheté une offre sur Stackskills [1], plusieurs cours sont venus dans un package de promotion lorsque je l'ai acheté il y a quelques mois, parmi eux celui que je fais maintenant est celui de cybertraining365 🙂 Très intéressant en fait. À votre santé
https://stackskills.com
Salutations, je vous suis depuis un moment et je vous félicite pour le blog. Avec égards, je pense que le titre de cet article n'est pas correct. Les hackers ne sont pas ceux qui endommagent les systèmes, il semble essentiel de cesser d'associer le mot hacker à un cyber-criminel ou à quelqu'un qui fait du mal. Les hackers sont le contraire. Juste une opinion. Salutations et merci. Guillermo d'Uruguay.
Bonjour Guillermo 🙂
Merci beaucoup pour votre commentaire et pour les félicitations. Eh bien, je partage votre avis à ce sujet, et en plus, je pense que je vais essayer d'écrire un article sur ce sujet, car comme vous l'avez mentionné, un hacker ne doit pas forcément être un criminel, mais soyez prudent avec le NÉCESSAIRE, je pense que c'est un sujet pour un article entier 🙂 Je mets le titre comme ça car bien que beaucoup de gens ici lisent déjà avoir une connaissance préalable du sujet, il y a une bonne partie qui ne l'a pas, et peut-être qu'ils s'associent mieux le terme hacker avec ça (bien que ça ne devrait pas être comme ça) mais bientôt on clarifiera un peu le sujet 🙂
Salutations et merci pour le partage
Merci beaucoup pour votre réponse. Un câlin et continuez comme ça. William.
Un hacker n'est pas un criminel, au contraire ce sont des gens qui vous disent que vos systèmes ont des bogues et c'est pourquoi ils entrent dans vos systèmes pour vous alerter qu'ils sont vulnérables et vous dire comment vous pouvez les améliorer. Ne confondez jamais un hacker avec voleurs d'ordinateurs.
Bonjour aspros, ne pensez pas que hacker est le même que "analyste de sécurité", un titre un peu courant pour les personnes qui se consacrent à signaler si les systèmes ont des bugs, ils entrent dans vos systèmes pour vous dire qu'ils sont vulnérables et etc etc ... un vrai Hacker va au-delà du simple «métier» dont il vit son quotidien, c'est plutôt une vocation qui vous pousse à connaître des choses que la grande majorité des êtres humains ne comprendra jamais, et que la connaissance donne du pouvoir, et cela va être utilisé pour faire à la fois de bonnes et de mauvaises actions, selon le pirate informatique.
Si vous recherchez sur Internet les histoires des pirates les plus connus de la planète, vous constaterez que beaucoup d'entre eux ont commis des «crimes informatiques» tout au long de leur vie, mais ceci, plutôt que de générer une idée fausse de ce qu'un pirate peut ou ne peut pas être, cela devrait nous faire réfléchir à notre confiance et à notre abandon à l'informatique. Les vrais hackers sont des gens qui ont appris à se méfier de l'informatique commune, car ils connaissent ses limites et ses défauts, et avec cette connaissance, ils peuvent calmement «repousser» les limites des systèmes pour obtenir ce qu'ils veulent, bon ou mauvais. Et les gens «normaux» ont peur des personnes / programmes (virus) qu'ils ne peuvent pas contrôler.
Et pour dire la vérité, de nombreux hackers ont une mauvaise conception des «analystes de sécurité» car ils se consacrent à utiliser les outils qu'ils créent pour gagner de l'argent, sans créer de nouveaux outils, ni vraiment enquêter, ni contribuer à la communauté ... juste vivre au jour le jour en disant que le système X est vulnérable à la vulnérabilité X qui Hacker X découvert… Style script-kiddie…
Un cours gratuit ? Plus que tout pour les débutants, dis-je, à part celui-là (ATTENTION, je viens tout juste de commencer DesdeLinux, donc je n'ai pas regardé les autres articles sur la sécurité informatique, donc je ne sais pas à quel point les sujets qu'ils abordent sont débutants ou avancés 😛)
salutations
Cette page est géniale, elle a beaucoup de contenu, sur le pirate vous devez avoir un antivirus puissant pour éviter d'être piraté
https://www.hackersmexico.com/