Como responder a un hacker "profesional"

Creo que a pouca ausencia pagou a pena 🙂 Estes días estou máis ilusionado que nunca por iniciar novos proxectos e supoño que en breve dareilles novas novas sobre o meu progreso en Gentoo 🙂 Pero ese non é o tema de hoxe.

Informática Forense

Hai un tempo merquei un curso de Computación Forense, paréceme súper interesante coñecer os procedementos, medidas e contramedidas necesarios creados para poder facer fronte aos delitos dixitais nestes días. Os países con leis ben definidas ao respecto convertéronse en referentes sobre o tema e moitos destes procesos deberían aplicarse a nivel mundial para garantir unha correcta xestión da información.

Falta de procedementos

Dada a complexidade dos ataques destes días, é importante considerar que consecuencias pode provocar a falta de supervisión de seguridade do noso equipo. Isto aplícase tanto ás grandes corporacións como ás pequenas ou medianas empresas, incluso a nivel persoal. Especialmente pequenas ou medianas empresas onde non hai procedementos definidos para manipulación / almacenamento / transporte de información crítica.

O 'hacker' non é parvo

Outro motivo especialmente tentador para un "hacker" son as pequenas cantidades, pero por que? Imaxinemos este escenario por un segundo: se consigo "piratear" unha conta bancaria, que cantidade é máis rechamante: unha retirada de 10 mil (a súa moeda) ou unha de 10? Obviamente, se estou revisando a miña conta e da nada aparece unha retirada / envío / pago de 10 mil (a súa moeda), aparecen as alarmas, pero se foi unha das 10, quizais desapareza entre centos de pequenos pagos realizados. Seguindo esta lóxica, pódese reproducir o "hack" en preto de 100 contas cun pouco de paciencia, e con isto temos o mesmo efecto dos 10, sen as alarmas que poderían soar para iso.

Problemas comerciais

Agora, supoñamos que esta conta é a da nosa empresa, entre pagos a traballadores, materiais, aluguer, estes pagos pódense perder dun xeito sinxelo, incluso poden levar moito tempo sen darse conta exactamente cara a onde ou como vai o diñeiro . Pero este non é o único problema, supoña que un "hacker" entrou no noso servidor e agora non só ten acceso ás contas conectadas a el, senón a cada ficheiro (público ou privado), a cada conexión existente, control sobre o tempo que executan as aplicacións ou a información que flúe a través delas. É un mundo bastante perigoso cando nos paramos a pensalo.

Que medidas preventivas hai?

Ben, este é un tema bastante longo e, en realidade, o máis importante é sempre evitar calquera posibilidade, xa que é moito mellor evitar o problema antes pasa por ter que pagar as consecuencias da falta de prevención. E é que moitas empresas cren que a seguridade é un tema de 3 ou 4 auditorías ano. Isto non é só irreal, pero é parello máis perigoso non facer nada, xa que hai un falsa sensación de "seguridade".

Xa me "piratearon", agora que?

Ben, se acaba de sufrir un ataque exitoso Por parte dun hacker, independente ou contratado, é necesario coñecer un protocolo mínimo de accións. Son completamente mínimos, pero permitirán responder dun xeito exponencialmente máis efectivo se se fai correctamente.

Tipos de probas

O primeiro paso é coñecer os ordenadores afectados e tratalos como tales, o evidencia dixital vai dos servidores ás impresoras dispostas dentro da rede. Un auténtico "hacker" pode xirar a través das súas redes empregando impresoras vulnerables, si, leu ben. Isto débese a que este firmware se rara vez se actualiza, polo que é posible que teñas equipos vulnerables sen sequera notalo durante anos.

Como tal, é necesario ter en conta ante un ataque máis artefactos dos comprometidos poden ser evidencia importante.

Primeiro respondedor

Non atopo unha tradución correcta do termo, pero o primeiro respondedor basicamente é a primeira persoa en entrar en contacto cos equipos. Moitas veces esta persoa non será alguén especializado e pode ser un administrador de sistemas, enxeñeiro xerente, incluso un director que está neste momento no lugar e non ten a ninguén máis para responder á emerxencia. Debido a isto, é necesario ter en conta que ningún deles é adecuado para ti, pero debes saber como proceder.

Hai 2 estados nos que un equipo pode estar despois dun ataque exitoso, e agora só queda enfatizar que a ataque exitoso, normalmente prodúcese despois moitos ataques sen éxito. Entón, se xa roubaron a túa información, é porque non a hai protocolo de defensa e resposta. Lembras de previr? Agora é onde esa parte ten máis sentido e peso. Pero bueno, non vou fregar máis do necesario. Seguamos adiante.

Un equipo pode estar en dous estados despois dun ataque, Conectado a internet Sen conexión. Isto é moi sinxelo pero vital, se un ordenador está conectado a Internet, é así PREVALORIZACIÓN desconéctao INMEDIATAMENTE. Como desconectalo? Debe atopar o primeiro enrutador de acceso a Internet e eliminar o cable de rede, non o apagas.

Se o equipo o fose SEN CONEXIÓN, estamos ante un atacante que se comprometeu físicamente as instalacións, neste caso toda a rede local está comprometida e é necesario selar as saídas de internet sen modificar ningún equipo.

Inspeccione o equipo

Isto é sinxelo, NUNCA, NUNCA, EN CASO DE CIRCUNSTANCIAS, O primeiro respondedor debe inspeccionar os equipos afectados. O único caso no que isto pode omitirse (case nunca ocorre) é que o primeiro respondedor é unha persoa con formación especializada para reaccionar neses momentos. Pero para facerche unha idea do que pode ocorrer nestes casos.

Baixo ambientes Linux

Supoñamos que o noso atacante Fixo un pequeno e insignificante cambio nos permisos que obtivo no seu ataque. Comando cambiado ls situado en /bin/ls polo seguinte guión:

#!/bin/bash
rm -rf /

Agora, sen querer, executamos un sinxelo ls no ordenador afectado, comezará a autodestruírse de todo tipo de probas, limpando todos os posibles rastros do equipo e destruíndo todas as posibilidades de atopar un culpable.

Baixo ambientes Windows

Debido a que a lóxica segue os mesmos pasos, o cambio de nomes de ficheiros en system32 ou nos mesmos rexistros informáticos pode facer un sistema inutilizable, provocando que a información se corrompa ou se perda, só queda o dano máis prexudicial posible para a creatividade do atacante.

Non xogues a heroe

Esta sinxela regra pode evitar moitos problemas e incluso abrir a posibilidade dunha investigación seria e real sobre o asunto. Non hai ningunha forma de comezar a investigar unha rede ou sistema se se eliminaron todos os rastros posibles, pero obviamente estes rastros teñen que deixarse ​​atrás. premeditado, isto significa que temos que ter protocolos de seguridadeatrás. Pero se se chega ao punto onde temos que enfrontarnos a un ataque real, é necesario NON XOGAS A HERO, xa que un único movemento incorrecto pode causar a destrución completa de todo tipo de probas. Perdón por repetilo tanto, pero como non se este factor só pode cambiar a diferenza en moitos dos casos?

Pensamentos finais

Espero que este pequeno texto che axude a ter unha mellor idea do que é defensor as súas cousas 🙂 O curso é moi interesante e aprendo moito sobre este e moitos outros temas, pero xa estou escribindo moito polo que o deixaremos para hoxe 😛 Pronto traereiche novas novas sobre as miñas últimas actividades. Graciñas,


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

15 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   Kra dixo

    O que considero de vital importancia despois dun ataque, en vez de comezar a executar comandos non é reiniciar ou apagar o ordenador, porque a menos que sexa un ransomware todas as infeccións actuais gardan datos na memoria RAM,

    E cambiar o comando ls en GNU / Linux a "rm -rf /" non complicaría nada porque calquera persoa con coñecementos mínimos pode recuperar datos dun disco borrado, mellor cambialo por "shred -f / dev / sdX" que é un pouco máis profesional e non precisa confirmación como o comando rm aplicado ao root

    1.    ChrisADR dixo

      Ola Kra, moitas grazas polo comentario e, de verdade, moitos ataques están deseñados para manter os datos na memoria RAM aínda estando en execución. É por iso que un aspecto moi importante é deixar o equipo no mesmo estado no que se atopou, acendido ou apagado.

      En canto ao outro, non me fiaría tanto, especialmente se o que se decata é un xestor, ou incluso algún membro de TI en ambientes mixtos (Windows e Linux) e o "xestor" dos servidores Linux non o son atopei, unha vez que vin como unha oficina completa estaba paralizada porque ninguén máis que o "experto" sabía como iniciar o proxy do servidor Debian ... 3 horas perdidas debido a un inicio do servizo

      Entón, eu esperaba deixar un exemplo o suficientemente sinxelo para que calquera o entendese, pero segundo vostede, hai moitas cousas máis sofisticadas que se poden facer para molestar aos atacados 😛

      lembranzas

      1.    Chichero dixo

        E se se reinicia con algo diferente ao ransomware?

        1.    ChrisADR dixo

          Ben, boa parte das probas perdeuse como un heroe, nestes casos, como xa comentamos, gran parte dos comandos ou "virus" permanecen na memoria RAM mentres o ordenador está acendido, no momento de reiniciar toda esa información que pode converterse fundamental. Outro elemento que se perde son os rexistros circulares, tanto do núcleo como do systemd, que conteñen información que pode explicar como o atacante fixo o seu movemento no ordenador. Pode haber rutinas que eliminen espazos temporais como / tmp e, se se atopou un ficheiro malicioso, será imposible recuperalo. En resumo, mil e unha opcións para contemplar, polo que o mellor é non mover nada a menos que saiba exactamente que facer. Saúdos e grazas por compartir 🙂

    2.    Gonzalo dixo

      Se alguén pode ter tanto acceso nun sistema Linux como para cambiar un comando por un script, nunha situación que require privilexios de root, en lugar de acción, o preocupante é que se deixaron camiños abertos para que unha persoa fixese iso.

      1.    ChrisADR dixo

        Ola Gonzalo, isto tamén é moi certo, pero déixoche unha ligazón ao respecto,
        [1] https://www.owasp.org/index.php/Top_10_2017-Top_10

        Como podes ver, as primeiras clasificacións inclúen vulnerabilidades de inxección, accesos de control febles e, o máis importante de todo, malas configuracións.

        Agora disto queda claro o seguinte, o que é "normal" nestes días, moita xente non configura ben os seus programas, moitos deixan permisos por defecto (root) e, unha vez atopados, é bastante sinxelo explotar cousas que " supostamente "xa foron" evitados ". 🙂

        Ben, hoxe en día moi pouca xente se preocupa polo propio sistema cando as aplicacións lle dan acceso á base de datos (indirectamente) ou acceso ao sistema (incluso non root) xa que sempre se pode atopar o xeito de elevar os privilexios unha vez que se consegue un acceso mínimo.

        Saúdos e grazas por compartir 🙂

  2.   Javierondo dixo

    ChrisADR moi interesante, por certo: ¿Cal é ese curso de seguridade que compraches e onde podes mercalo?

    1.    ChrisADR dixo

      Ola Javilondo,

      Merquei unha oferta en Stackskills [1], varios cursos incluíron un paquete de promoción cando o comprei hai uns meses, entre eles o que estou a facer agora é o de cyberraining365 🙂 Moi interesante. Graciñas

      [1] https://stackskills.com

  3.   Guillermo Fernández dixo

    Un saúdo, levo un tempo seguíndoche e felicítote polo blog. Con respecto, creo que o título deste artigo non é correcto. Os piratas informáticos non son os que danan os sistemas, parece fundamental deixar de asociar a palabra pirata informático cun ciberdelincuente ou alguén que prexudica. Os hackers son o contrario. Só unha opinión. Saúdos e grazas. Guillermo de Uruguai.

    1.    ChrisADR dixo

      Ola Guillermo 🙂

      Moitas grazas polo teu comentario e polos parabéns. Ben, comparto a túa opinión ao respecto e, ademais, creo que vou intentar escribir un artigo sobre este tema, xa que como ben mencionaches, un hacker non ten por que ser criminal, pero ten coidado con el NECESARIAMENTE, creo que este é un tema para todo un artigo 🙂 Poño o título así porque aínda que aquí moita xente le xa con coñecementos previos sobre o tema, hai unha boa parte que non o ten, e quizais mellor asocia o termo hacker con iso (aínda que non debería ser así) pero en breve deixaremos o tema un pouco máis claro 🙂

      Un saúdo e grazas por compartir

      1.    Guillermo Fernández dixo

        Moitas grazas pola túa resposta. Unha aperta e seguide así. William.

  4.   aspros dixo

    Un hacker non é un delincuente, pola contra, son persoas que che din que os teus sistemas teñen erros e por iso entran nos teus sistemas para avisarte de que son vulnerables e dicirche como podes melloralos. Nunca deberías confundir un hacker con ladróns de computadores.

    1.    ChrisADR dixo

      Ola aspros, non penses que o pirata informático é o mesmo que "analista de seguridade", un título algo común para as persoas que se dedican a informar se os sistemas teñen erros, entran nos teus sistemas para dicirche que son vulnerables e etc etc ... un verdadeiro hacker vai máis alá do mero "oficio" do que vive o seu día a día, é máis ben unha vocación que che insta a coñecer cousas que a gran maioría dos seres humanos nunca entenderán e que o coñecemento proporciona poder, e isto úsase para facer boas e malas accións, dependendo do hacker.

      Se buscas en internet as historias dos piratas informáticos máis coñecidos do planeta, descubrirás que moitos deles cometeron "delitos informáticos" ao longo da súa vida, pero isto, en lugar de xerar unha idea errónea do que un pirata informático pode ou non pode ser, debería facernos pensar en canto confiamos e entregámonos á informática. Os auténticos hackers son persoas que aprenderon a desconfiar da informática común, xa que coñecen os seus límites e deficiencias, e con ese coñecemento poden "empurrar" tranquilamente os límites dos sistemas para conseguir o que queren, bo ou malo. E a xente "normal" ten medo de persoas / programas (virus) que non poden controlar.

      E para dicir a verdade, moitos hackers teñen un mal concepto de "analistas de seguridade" xa que se dedican a usar as ferramentas que crean para obter cartos, sen crear novas ferramentas, nin investigar realmente, nin contribuír á comunidade ... Só vivindo o día dicindo hoxe que o sistema X é vulnerable á vulnerabilidade X que Hacker X descuberto... Estilo de guión infantil ...

  5.   jazz dixo

    Algún curso gratuíto? Digo máis que nada para principiantes, aparte disto (EYE, acabo de chegar a De Linux, polo que non mirei as outras publicacións sobre seguridade informática, polo que non sei como os principiantes ou os avanzados son os temas que tratan con 😛)
    lembranzas

  6.   nuria martines dixo

    Esta páxina é xenial, ten moito contido, sobre o hacker tes que ter un antivirus forte para evitar ser pirateado

    https://www.hackersmexico.com/