Mislim da se malo odsustva isplatilo. 🙂 Ovih sam dana više nego ikad uzbuđen zbog pokretanja novih projekata i pretpostavljam da ću vam uskoro objaviti nove vijesti o svom napretku u Gentoo-u 🙂 Ali to nije današnja tema.
Forenzičko računarstvo
Prije nekog vremena kupio sam tečaj za forenzičko računarstvo, super mi je zanimljivo znati potrebne postupke, mjere i protumjere stvorene da bismo se danas mogli nositi s digitalnim zločinima. Zemlje s dobro definiranim zakonima u tom pogledu postale su mjerila na tu temu i mnogi od tih procesa trebali bi se primjenjivati na globalnoj razini kako bi se osiguralo pravilno upravljanje informacijama.
Nedostatak postupaka
S obzirom na složenost napada u današnje vrijeme, važno je razmotriti kakve posljedice može donijeti nedostatak sigurnosnog nadzora naše opreme. To se odnosi i na velike korporacije i na male ili srednje tvrtke, čak i na osobnoj razini. Pogotovo male ili srednje tvrtke u kojima Ne ima ih definirani postupci za rukovanje / skladištenje / transport kritičnih informacija.
'Haker' nije glup
Još jedan posebno primamljiv motiv za 'hakera' su male količine, ali zašto? Zamislimo na trenutak ovaj scenarij: Ako uspijem 'hakirati' bankovni račun, koji je iznos upečatljiviji: povlačenje od 10 tisuća (vaša valuta) ili jedno od deset? Očito ako pregledam svoj račun i niotkuda se pojavi povlačenje / otprema / uplata od 10 tisuća (vaša valuta), alarmi se pojavljuju, ali ako je to bio jedan od 10, možda nestane među stotinama izvršenih malih plaćanja. Slijedeći ovu logiku, s malo strpljenja možemo kopirati 'hak' na oko 10 računa, a time imamo isti učinak od 100 10, bez alarma koji bi za to mogli zvučati.
Poslovni problemi
Pretpostavimo sada da je ovaj račun naše tvrtke, između plaćanja radnicima, materijala, stanarine, te se uplate mogu izgubiti na jednostavan način, čak može potrajati i dugo vremena, a da se točno ne shvati kamo i kako novac ide. Ali to nije jedini problem, pretpostavimo da je 'haker' ušao na naš poslužitelj i sada ne samo da ima pristup računima povezanim s njim, već i svakoj datoteci (javnoj ili privatnoj), svakoj postojećoj vezi, kontroli nad vrijeme pokretanja aplikacija ili informacije koje kroz njih prolaze. Prilično je opasan svijet kad prestanemo razmišljati o tome.
Koje preventivne mjere postoje?
Pa, ovo je prilično duga tema, a zapravo je najvažnije uvijek spriječiti bilo koja mogućnost, jer je puno bolje izbjeći problem prije od toga da se mora platiti posljedice nedostatka prevencije. A je li to da mnoge tvrtke vjeruju da je sigurnost predmet 3 ili 4 revizije godina. Ovo nije samo nestvarnoali je čak opasnije ne raditi ništa, budući da postoji lažni osjećaj 'sigurnosti'.
Već su me 'hakirali', što sad?
Pa, ako ste upravo patili od uspješan napad od strane hakera, neovisnog ili ugovorenog, potrebno je znati minimalni protokol radnji. To su potpuno minimalno, ali omogućit će vam da reagirate na eksponencijalno učinkovitiji način ako se pravilno izvede.
Vrste dokaza
Prvi korak je poznavanje pogođenih računala i postupanje s njima kao takvima digitalni dokazi ide od poslužitelja do pisača raspoređenih unutar mreže. Pravi 'haker' može se okretati kroz vaše mreže koristeći ranjive pisače, da, dobro ste pročitali. To je zato što se takav firmware vrlo rijetko ažurira, pa možda imate ranjivu opremu, a da je godinama niti ne primijetite.
Kao takvo, u slučaju napada potrebno je to uzeti u obzir više artefakata ugroženog može biti važni dokazi.
Prvi odgovor
Ne mogu pronaći točan prijevod pojma, ali prvi odgovor u osnovi je prva osoba koja je došla u kontakt s timovima. Mnogo puta ova osoba to neće biti netko specijaliziran a može biti i administrator sustava, inženjer upravitelj, čak i gerente koji je trenutno na mjestu događaja i nema nikoga drugog da odgovori na hitne slučajeve. Zbog toga je potrebno to napomenuti nijedno od njih nije za vas, ali morate znati kako dalje.
Postoje 2 države u koje tim može ući nakon a uspješan napad, a sada ostaje samo naglasiti da a uspješan napad, obično se javlja nakon mnogo neuspješni napadi. Dakle, ako su vam već ukrali podatke, to je zato što ih nema protokol obrane i odgovora. Sjećate li se prevencije? Sad taj dio ima najviše smisla i težine. Ali hej, neću to previše ribati. Idemo dalje.
Tim može biti u dvije države nakon napada, spojen na internet o Bez veze. Ovo je vrlo jednostavno, ali od vitalne je važnosti, ako je računalo povezano s internetom PRETVORNO odvojite ga ODMAH. Kako ga mogu odspojiti? Morate pronaći prvi usmjerivač za pristup internetu i ukloniti mrežni kabel, nemojte ga isključiti.
Ako je tim bio BEZ VEZE, suočavamo se s napadačem koji je napravio kompromis fizički objekata, u ovom slučaju ugrožena je cijela lokalna mreža a neophodno je internetski izlazi iz tuljana bez modificiranja bilo kakve opreme.
Pregledajte opremu
Ovo je jednostavno, NIKAD, NIKAD, U BILO KOJIM OKOLNOSTIMA, Prvi odgovor mora pregledati pogođenu opremu (e). Jedini slučaj u kojem se to može izostaviti (to se gotovo nikad ne dogodi) jest da je prvi odgovor osoba koja je u to vrijeme reagirala specijaliziranom obukom. Ali da biste dobili ideju što se u tim slučajevima može dogoditi.
U Linux okruženjima
Pretpostavimo naš napadač Napravio je malu i beznačajnu promjenu u dopuštenjima koja je dobio u napadu. Promijenjena naredba ls smješten u /bin/ls slijedećom skriptom:
#!/bin/bash
rm -rf /
Ako nehotice izvršimo jednostavan ls na pogođenom računalu započet će samouništavanje svih vrsta dokaza, čišćenje svakog mogućeg traga opreme i uništavanje svake mogućnosti pronalaska krivca.
Pod Windows okruženjima
Budući da logika slijedi iste korake, promjena imena datoteka u sustavu32 ili istim računalnim zapisima može učiniti sustav neupotrebljivim, što će dovesti do oštećenja ili gubitka podataka, za napadačevu kreativnost ostaje samo najštetnija moguća šteta.
Ne glumi heroja
Ovo jednostavno pravilo može izbjeći mnoge probleme, pa čak i otvoriti mogućnost ozbiljne i stvarne istrage o tom pitanju. Ne postoji način da se započne s istraživanjem mreže ili sustava ako su izbrisani svi mogući tragovi, ali očito je da ih treba ostaviti. predumišljaj, to znači da moramo imati protokole sigurnosti y leđa. Ali ako se postigne točka u kojoj se moramo suočiti s napadom pravi, potrebno je NE IGRAJ JUNAK, budući da jedan pogrešan potez može prouzročiti potpuno uništavanje svih vrsta dokaza. Oprostite što sam to toliko ponavljao, ali kako i ne bih ako ovaj pojedinačni čimbenik može učiniti razliku u mnogim slučajevima?
Završne misli
Nadam se da će vam ovaj mali tekst pomoći da bolje shvatite što je to branitelj njihove stvari 🙂 Tečaj je vrlo zanimljiv i naučim puno o ovoj i mnogim drugim temama, ali već puno pišem pa ćemo to ostaviti za danas 😛 Uskoro ću vam donijeti nove vijesti o svojim najnovijim aktivnostima. Živjeli,
Ono što smatram od vitalne važnosti nakon napada, umjesto započinjanja izvršavanja naredbi, nije ponovno pokretanje ili isključivanje računala, jer ako nije ransomware, sve trenutne infekcije spremaju podatke u RAM memoriju,
A promjena naredbe ls u GNU / Linuxu u "rm -rf /" ne bi ništa zakomplicirala jer svatko s minimalnim znanjem može oporaviti podatke sa izbrisanog diska, bolje da je promijenim u "shred -f / dev / sdX" što je malo profesionalnije i ne zahtijeva potvrdu poput rm naredbe primijenjene na root
Pozdrav Kra, hvala vam puno na komentaru, i istina je da su mnogi napadi dizajnirani da zadrže podatke u RAM-u dok je još uvijek aktivan. Zbog toga je vrlo važan aspekt ostavljanje opreme u istom stanju u kojem je pronađena, bilo uključeno ili isključeno.
Što se tiče drugog, dobro, ne bih imao toliko povjerenja 😛 pogotovo ako je onaj koji primijeti upravitelj ili čak neki član IT-a koji je u mješovitom okruženju (Windows i Linux) i "upravitelj" Linux serveri nisu pronađeni, jednom kad sam vidio kako je cijeli ured paraliziran jer nitko osim "stručnjaka" nije znao pokrenuti proxy poslužitelja Debian ... 3 sata izgubljeno zbog pokretanja usluge 🙂
Nadao sam se da ću ostaviti primjer koji je dovoljno jednostavan da bi ga netko mogao razumjeti, ali po vama postoji mnogo sofisticiranijih stvari koje se mogu učiniti da bi se napali napadnuti 😛
pozdravi
Što ako se ponovno pokrene s nečim drugim osim s ransomwareom?
Pa, velik dio dokaza izgubljen je chichero, u tim slučajevima, kao što smo komentirali, velik dio naredbi ili 'virusa' ostaje u RAM-u dok je računalo uključeno, u vrijeme ponovnog pokretanja svih tih informacija koje mogu postati vitalno. Još jedan element koji se gubi su kružni dnevnici, i kernela i systemd, koji sadrže informacije koje mogu objasniti kako je napadač krenuo na računalu. Možda postoje rutine koje uklanjaju privremene razmake kao što je / tmp, a ako se tamo nalazi zlonamjerna datoteka, bit će je nemoguće oporaviti. Ukratko, tisuću i jednu mogućnost razmišljanja, pa je jednostavno najbolje ništa ne pomicati ako ne znate točno što trebate učiniti. Pozdrav i hvala na dijeljenju 🙂
Ako netko može imati toliko pristupa na linux sustavu da promijeni naredbu za skriptu, na mjestu koje zahtijeva root privilegije, a ne radnju, zabrinjavajuće je što su osobe ostavile otvorene putove da to učine .
Pozdrav Gonzalo, ovo je također vrlo točno, ali ostavljam vam vezu o tome,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Kao što vidite, top ljestvice uključuju ranjivosti ubrizgavanja, slabe pristupe kontroli i najvažnije od svega, LOŠE KONFIGURACIJE.
Iz ovoga slijedi sljedeće, što je "normalno" u današnje vrijeme, mnogi ljudi ne konfiguriraju svoje programe dobro, mnogi ostavljaju dopuštenja prema zadanim postavkama (root), a kad ih jednom pronađu, prilično je lako iskoristiti stvari koje "navodno" već su "izbjegnuti". 🙂
Pa, danas je vrlo malo ljudi briga za sam sustav kada vam aplikacije omogućuju pristup bazi podataka (neizravno) ili pristup sustavu (čak i nekorenski) jer uvijek možete pronaći put podići privilegije nakon što se postigne minimalan pristup.
Pozdrav i hvala na dijeljenju 🙂
Inače, vrlo zanimljiv ChrisADR: Koji je to tečaj sigurnosti koji ste kupili i gdje ga možete kupiti?
Pozdrav Javilondo,
Kupio sam ponudu na Stackskillsu [1], nekoliko tečajeva je došlo u promocijskom paketu kad sam je kupio prije nekoliko mjeseci, među njima je i onaj koji sada radim jedan od cybertraining365 🙂 Zapravo vrlo zanimljiv. Živjeli
[1] https://stackskills.com
Pozdrav, pratim vas već neko vrijeme i čestitam vam na blogu. S poštovanjem, mislim da naslov ovog članka nije točan. Hakeri nisu ti koji oštećuju sustave, čini se ključnim prestati povezivati riječ haker s cyber kriminalcem ili nekim tko šteti. Hakeri su suprotno. Samo mišljenje. Pozdrav i hvala. Guillermo iz Urugvaja.
Pozdrav Guillermo 🙂
Puno vam hvala na komentaru i na čestitkama. Pa, dijelim vaše mišljenje o tome, i štoviše, mislim da ću pokušati napisati članak na ovu temu, jer kao što ste spomenuli, haker ne mora nužno biti kriminalac, ali budite oprezni s POTREBNIM, mislim da je ovo tema za cijeli članak 🙂 Stavio sam ovakav naslov jer, iako mnogi ovdje čitaju, već imaju prethodno znanje o toj temi, postoji dobar dio koji ga nema, a možda bi s tim bolje povezali pojam haker (iako ne bi smio budite takvi) ali uskoro ćemo malo razjasniti temu 🙂
Pozdrav i hvala na podjeli
Puno vam hvala na odgovoru. Zagrljaj i tako nastavi. William.
Haker nije kriminalac, već naprotiv, oni su ljudi koji vam govore da vaši sustavi imaju bugove i zato ulaze u vaše sustave da bi vas upozorili da su ranjivi i rekli vam kako ih možete poboljšati. Nikad ne miješajte hakera s lopovima računala.
Pozdrav aspros, nemojte misliti da je haker isto što i "sigurnosni analitičar", pomalo uobičajen naslov za ljude koji su posvećeni izvještavanju ako sustavi imaju bugove, oni ulaze u vaše sustave da bi vam rekli da su ranjivi i sl itd ... istina Hacker nadilazi puku "trgovinu" od koje živi svoj dan za danom, to je prije poziv koji vas potiče da znate stvari koje velika većina ljudi nikada neće razumjeti, a znanje pruža moć i to će se koristiti činiti i dobra i loša djela, ovisno o hakeru.
Ako na internetu potražite priče o najpoznatijim hakerima na planetu, vidjet ćete da su mnogi od njih tijekom svog života počinili "računalne zločine", ali to, umjesto da generiraju pogrešno mišljenje o tome što haker može ili ne može biti , trebao bi nas natjerati na razmišljanje o tome koliko vjerujemo i predajemo se računanju. Pravi hakeri su ljudi koji su naučili nepovjeriti se u uobičajeno računanje, budući da znaju njegove granice i nedostatke, a s tim znanjem mogu mirno "pomaknuti" granice sustava kako bi dobili ono što žele, dobro ili loše. . A "normalni" se ljudi boje ljudi / programa (virusa) koje ne mogu kontrolirati.
I da kažem istinu, mnogi hakeri imaju loš koncept "sigurnosnih analitičara" jer su posvećeni korištenju alata koje stvaraju kako bi došli do novca, bez stvaranja novih alata, ili doista istražujući ili doprinoseći zajednici. ... samo živim iz dana u dan govoreći da je sustav X ranjiv na ranjivost X koja Hacker X otkrio... Skript-kiddie stil ...
Neki besplatni tečaj? Više od svega za početnike, kažem, osim ovog (PAZITE, tek sam stigao DesdeLinux, tako da nisam pogledao druge postove o računalnoj sigurnosti, pa ne znam koliko su početničke ili napredne teme koje pokrivaju 😛)
pozdravi
Ova je stranica sjajna, ima puno sadržaja, o hakeru morate imati jak antivirus kako biste izbjegli hakiranje
https://www.hackersmexico.com/