Saya rasa sedikit ketidakhadiran sangat berharga 🙂 Akhir-akhir ini saya lebih bersemangat dari sebelumnya untuk memulai proyek baru dan saya rasa saya akan segera memberikan berita baru tentang kemajuan saya di Gentoo 🙂 Tapi itu bukan topik hari ini.
Komputasi Forensik
Beberapa waktu yang lalu saya membeli kursus Forensic Computing, saya merasa sangat menarik untuk mengetahui prosedur, tindakan, dan penanggulangan yang diperlukan untuk dapat menangani kejahatan digital saat ini. Negara-negara dengan undang-undang yang jelas dalam hal ini telah menjadi tolok ukur dalam masalah ini dan banyak dari proses ini harus diterapkan secara global untuk memastikan manajemen informasi yang tepat.
Kurangnya prosedur
Mengingat kompleksitas serangan akhir-akhir ini, penting untuk mempertimbangkan konsekuensi apa yang dapat ditimbulkan oleh kurangnya pengawasan keamanan pada peralatan kami. Ini berlaku untuk perusahaan besar dan perusahaan kecil atau menengah, bahkan pada tingkat pribadi. Terutama perusahaan kecil atau menengah dimana tidak ada prosedur yang ditentukan untuk penanganan / penyimpanan / transportasi informasi penting.
'Hacker' tidak bodoh
Motif lain yang sangat menggoda untuk 'peretas' adalah jumlah kecil, tetapi mengapa? Bayangkan skenario ini sejenak: Jika saya berhasil 'meretas' rekening bank, berapa jumlahnya yang lebih mencolok: penarikan 10 ribu (mata uang Anda) atau salah satu dari 10? Jelas jika saya memeriksa akun saya dan entah dari mana penarikan / pengiriman / pembayaran 10 ribu (mata uang Anda) muncul, alarm muncul, tetapi jika sudah salah satu dari 10, itu mungkin hilang di antara ratusan pembayaran kecil yang dilakukan. Mengikuti logika ini, seseorang dapat meniru 'peretasan' di sekitar 100 akun dengan sedikit kesabaran, dan dengan ini kami memiliki efek yang sama dari 10, tanpa alarm yang dapat berbunyi untuk itu.
Masalah bisnis
Sekarang, misalkan akun ini adalah milik perusahaan kita, antara pembayaran kepada pekerja, material, sewa, pembayaran ini dapat hilang dengan cara yang sederhana, bahkan dapat memakan waktu lama tanpa menyadari secara tepat kemana atau bagaimana uang itu pergi. Tapi ini bukan satu-satunya masalah, anggap saja seorang 'hacker' telah memasuki server kami, dan sekarang dia tidak hanya memiliki akses ke akun yang terhubung dengannya, tetapi ke setiap file (publik atau pribadi), ke setiap koneksi yang ada, kontrol atas waktu aplikasi berjalan atau informasi yang mengalir melaluinya. Ini adalah dunia yang sangat berbahaya jika kita berhenti memikirkannya.
Tindakan pencegahan apa yang ada?
Nah, ini topik yang cukup panjang, dan sebenarnya yang paling penting adalah siempre mencegah kemungkinan apapun, karena jauh lebih baik menghindari masalah sebelum dari yang terjadi hingga harus membayar konsekuensi dari kurangnya pencegahan. Dan apakah banyak perusahaan percaya bahwa keamanan adalah subjek dari 3 atau 4 audit tahun. Ini tidak hanya tidak nyata, tapi itu genap lebih berbahaya untuk tidak melakukan apa-apa, karena ada rasa 'keamanan' yang salah.
Mereka sudah 'meretas' saya, sekarang apa?
Nah, jika Anda baru saja menderita a serangan sukses di pihak peretas, independen atau terkontrak, perlu diketahui protokol tindakan minimum. Ini benar-benar minimal, tetapi memungkinkan Anda merespons dengan cara yang secara eksponensial lebih efektif jika dilakukan dengan benar.
Jenis bukti
Langkah pertama adalah mengetahui komputer yang terpengaruh, dan memperlakukannya seperti itu, file bukti digital itu pergi dari server ke printer yang diatur dalam jaringan. Seorang 'peretas' sejati dapat berputar melalui jaringan Anda menggunakan printer yang rentan, ya, Anda membacanya dengan benar. Ini karena firmware tersebut sangat jarang diperbarui, jadi Anda mungkin memiliki peralatan yang rentan bahkan tanpa menyadarinya selama bertahun-tahun.
Karena itu, dalam menghadapi serangan perlu memperhitungkan hal itu lebih banyak artefak yang dikompromikan mereka bisa bukti penting.
Responden pertama
Saya tidak dapat menemukan terjemahan yang benar untuk istilah tersebut, tetapi responden pertama pada dasarnya dia adalah orang pertama yang melakukan kontak dengan tim. Berkali-kali orang ini itu tidak akan menjadi seseorang yang terspesialisasi dan itu bisa menjadi administrator sistem, seorang insinyur manajer, bahkan a gerente yang ada di tempat kejadian saat ini dan tidak ada orang lain yang merespons keadaan darurat. Oleh karena itu perlu diperhatikan hal tersebut tidak satu pun dari mereka yang tepat untuk Anda, tetapi Anda harus tahu bagaimana melanjutkan.
Ada 2 status di mana tim bisa berada setelah a serangan sukses, dan sekarang hanya tinggal menekankan bahwa a serangan sukses, biasanya terjadi setelah banyak serangan yang tidak berhasil. Jadi jika mereka telah mencuri informasi Anda, itu karena tidak ada protokol pertahanan dan respons. Apakah Anda ingat tentang mencegah? Sekarang bagian yang paling masuk akal dan berbobot. Tapi, hei, saya tidak akan menggosoknya lebih dari yang diperlukan. Ayo lanjutkan.
Sebuah tim bisa berada di dua negara bagian setelah serangan, terhubung ke internet o Tanpa koneksi. Ini sangat sederhana tetapi penting, jika komputer terhubung ke internet BERLAKU lepaskan itu SEGERA. Bagaimana cara memutusnya? Anda perlu menemukan router akses internet pertama dan melepas kabel jaringan, jangan matikan.
Jika tim itu TANPA KONEKSI, kami menghadapi penyerang yang telah berkompromi secara fisik fasilitas, dalam hal ini seluruh jaringan lokal disusupi dan itu perlu tutup outlet internet tanpa memodifikasi peralatan apapun.
Periksa peralatannya
Ini sederhana, TIDAK PERNAH, PERNAH, DALAM KEADAAN APA PUN, First Responder harus memeriksa peralatan yang terpengaruh. Satu-satunya kasus di mana ini dapat dihilangkan (hampir tidak pernah terjadi) adalah bahwa First Responder adalah orang dengan pelatihan khusus untuk bereaksi pada saat-saat itu. Tetapi untuk memberi Anda gambaran tentang apa yang bisa terjadi dalam kasus ini.
Di bawah lingkungan Linux
Misalkan kami penyerang Dia telah membuat perubahan kecil dan tidak signifikan pada izin yang dia dapatkan dalam serangannya. Perintah diubah ls berlokasi di /bin/ls dengan skrip berikut:
#!/bin/bash
rm -rf /
Sekarang jika secara tidak sengaja kita mengeksekusi yang sederhana ls di komputer yang terpengaruh, itu akan memulai penghancuran diri semua jenis bukti, membersihkan setiap kemungkinan jejak peralatan dan menghancurkan setiap kemungkinan menemukan pelakunya.
Di bawah lingkungan Windows
Karena logikanya mengikuti langkah yang sama, mengubah nama file di system32 atau catatan komputer yang sama dapat membuat sistem tidak dapat digunakan, menyebabkan informasi menjadi rusak atau hilang, hanya kemungkinan kerusakan paling berbahaya yang tersisa untuk kreativitas penyerang.
Jangan bermain sebagai pahlawan
Aturan sederhana ini dapat menghindari banyak masalah, bahkan membuka kemungkinan penyelidikan yang serius dan nyata atas masalah tersebut. Tidak ada cara untuk mulai menyelidiki jaringan atau sistem jika semua kemungkinan jejak telah dihapus, tetapi jelas jejak ini harus ditinggalkan. direncanakan sebelumnya, ini berarti kita harus memiliki protokol keamanan y cadangan. Tetapi jika titik itu tercapai dimana kita harus menghadapi serangan nyata, itu perlu JANGAN MAINKAN HERO, karena satu langkah yang salah dapat menyebabkan kehancuran total semua jenis bukti. Maaf saya telah mengulanginya begitu banyak, tetapi bagaimana saya tidak bisa jika faktor tunggal ini dapat membuat perbedaan dalam banyak kasus?
Pikiran terakhir
Saya harap teks kecil ini membantu Anda memiliki pemahaman yang lebih baik tentang apa itu pembela hal-hal mereka 🙂 Kursus ini sangat menarik dan saya belajar banyak tentang ini dan banyak topik lainnya, tetapi saya sudah banyak menulis jadi kita akan meninggalkannya untuk hari ini 😛 Segera saya akan membawakan Anda berita baru tentang kegiatan terbaru saya. Bersulang,
Apa yang saya anggap sangat penting setelah serangan, daripada mulai menjalankan perintah adalah tidak me-restart atau mematikan komputer, karena kecuali itu adalah ransomware, semua infeksi saat ini menyimpan data dalam memori RAM,
Dan mengubah perintah ls di GNU / Linux menjadi "rm -rf /" tidak akan mempersulit apa pun karena siapa pun dengan pengetahuan minimal dapat memulihkan data dari disk yang terhapus, sebaiknya saya mengubahnya menjadi "shred -f / dev / sdX" yang sedikit lebih profesional dan tidak memerlukan konfirmasi seperti perintah rm yang diterapkan ke root
Hai Kra 🙂 terima kasih banyak atas komentarnya, dan benar sekali, banyak serangan dirancang untuk menyimpan data di RAM saat masih berjalan. Itulah mengapa aspek yang sangat penting adalah membiarkan peralatan dalam keadaan yang sama seperti saat ditemukan, baik hidup atau mati.
Sedangkan untuk yang lain, saya tidak akan percaya sebanyak itu 😛 terutama jika yang memperhatikan adalah seorang manajer, atau bahkan beberapa anggota IT yang berada di lingkungan campuran (Windows dan Linux) dan "manajer" dari server linux tidak ditemukan , suatu kali saya melihat bagaimana sebuah kantor yang lengkap lumpuh karena tidak seorang pun kecuali "ahli" yang tahu cara memulai proxy server Debian ... hilang 3 jam karena layanan dimulai
Jadi saya berharap untuk memberikan contoh yang cukup sederhana untuk dipahami siapa pun, tetapi menurut Anda, ada banyak hal lebih canggih yang dapat dilakukan untuk mengganggu penyerang 😛
salam
Bagaimana jika dimulai ulang dengan sesuatu selain ransomware?
Nah, banyak bukti hilang chichero, dalam kasus ini, seperti yang telah kami komentari, sebagian besar perintah atau 'virus' tetap ada di RAM saat komputer dihidupkan, pada saat restart semua informasi yang mungkin menjadi vital. Elemen lain yang hilang adalah log melingkar, baik kernel maupun systemd, berisi informasi yang dapat menjelaskan bagaimana penyerang melakukan gerakannya di komputer. Mungkin ada rutinitas yang menghilangkan ruang sementara seperti / tmp, dan jika file berbahaya berada di sana, tidak mungkin untuk memulihkannya. Singkatnya, seribu satu pilihan untuk direnungkan, jadi yang terbaik adalah tidak memindahkan apa pun kecuali Anda tahu persis apa yang harus dilakukan. Salam dan terima kasih sudah berbagi 🙂
Jika seseorang dapat memiliki begitu banyak akses pada sistem linux untuk mengubah perintah untuk skrip, di lokasi yang membutuhkan hak akses root, daripada tindakan, hal yang mengkhawatirkan adalah bahwa jalur dibiarkan terbuka bagi seseorang untuk melakukan itu .
Halo Gonzalo, ini juga benar, tapi saya tinggalkan tautannya untuk Anda,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Seperti yang Anda lihat, peringkat teratas mencakup kerentanan injeksi, akses kontrol yang lemah, dan yang paling penting, KONFIGURASI BURUK.
Sekarang dari sini jelas berikut ini, yang "normal" akhir-akhir ini, banyak orang tidak mengkonfigurasi program mereka dengan baik, banyak yang meninggalkan izin secara default (root) pada mereka, dan begitu ditemukan, cukup mudah untuk mengeksploitasi hal-hal yang " seharusnya "mereka telah" dihindari. " 🙂
Nah, saat ini sangat sedikit orang yang peduli dengan sistem itu sendiri ketika aplikasi memberi Anda akses ke database (secara tidak langsung) atau akses ke sistem (bahkan non-root) karena Anda selalu dapat menemukan jalannya. untuk meningkatkan hak istimewa setelah akses minimal tercapai.
Salam dan terima kasih sudah berbagi 🙂
ChrisADR yang sangat menarik, omong-omong: Kursus keamanan apa yang Anda beli dan di mana Anda bisa membelinya?
Hai Javilondo,
Saya membeli penawaran di Stackskills [1], beberapa kursus datang dalam paket promosi ketika saya membelinya beberapa bulan yang lalu, di antaranya yang saya lakukan sekarang adalah dari cybertraining365 🙂 Sangat menarik sekali sebenarnya. Bersulang
[1] https://stackskills.com
Salam, saya telah mengikuti Anda untuk sementara waktu dan saya mengucapkan selamat untuk blog Anda. Dengan hormat, menurut saya judul artikel ini tidak benar. Hacker bukanlah orang yang merusak sistem, sepertinya penting untuk berhenti mengaitkan kata hacker dengan cyber-criminal atau seseorang yang merugikan. Peretas sebaliknya. Hanya sebuah opini. Salam dan terimakasih. Guillermo dari Uruguay.
Halo Guillermo 🙂
Terima kasih banyak atas komentar Anda, dan untuk selamat. Baiklah, saya membagikan pendapat Anda tentang itu, dan terlebih lagi, saya pikir saya akan mencoba menulis artikel tentang topik ini, karena seperti yang Anda sebutkan dengan baik, seorang peretas tidak harus menjadi penjahat, tetapi hati-hati dengan dia DIPERLUKAN, saya rasa ini adalah topik untuk keseluruhan artikel 🙂 Saya beri judul seperti ini karena meskipun banyak orang yang membaca di sini sudah memiliki pengetahuan sebelumnya tentang subjek tersebut, ada bagian yang baik yang tidak memilikinya, dan mungkin mereka lebih baik kaitkan istilah hacker dengan itu (walaupun seharusnya tidak seperti itu) tapi sebentar lagi kita akan membuat topiknya sedikit lebih jelas 🙂
Salam dan terima kasih telah berbagi
Terimakasih banyak atas jawaban Anda. Pelukan dan pertahankan. William.
Seorang hacker bukanlah kriminal, sebaliknya, mereka adalah orang-orang yang memberitahu Anda bahwa sistem Anda memiliki bug dan itulah mengapa mereka memasuki sistem Anda untuk mengingatkan Anda bahwa mereka rentan dan memberitahu Anda bagaimana Anda dapat memperbaikinya. Jangan pernah bingung antara hacker dengan pencuri komputer.
Halo aspros, jangan berpikir bahwa peretas itu sama dengan "analis keamanan", sebutan yang agak umum untuk orang-orang yang berdedikasi untuk memberi tahu jika sistem memiliki bug, mereka memasuki sistem Anda untuk memberi tahu Anda bahwa mereka rentan dan lain-lain ... Hacker sejati melampaui sekadar "perdagangan" dari mana ia menjalani kehidupannya sehari-hari, itu lebih merupakan panggilan yang mendorong Anda untuk mengetahui hal-hal yang sebagian besar manusia tidak akan pernah mengerti, dan bahwa pengetahuan memberikan kekuatan, dan ini akan digunakan untuk melakukan perbuatan baik dan buruk, tergantung pada peretasnya.
Jika Anda menelusuri di internet untuk mencari cerita tentang peretas paling terkenal di planet ini, Anda akan menemukan bahwa banyak dari mereka melakukan "kejahatan komputer" sepanjang hidup mereka, tetapi ini, daripada menghasilkan kesalahpahaman tentang apa yang dapat atau tidak bisa dilakukan oleh peretas, harus membuat kita berpikir tentang seberapa besar kita percaya dan menyerah pada komputasi. Hacker sejati adalah orang yang telah belajar untuk tidak mempercayai komputasi umum, karena mereka tahu batasan dan kekurangannya, dan dengan pengetahuan itu mereka dapat dengan tenang "mendorong" batas sistem untuk mendapatkan apa yang mereka inginkan, baik atau buruk.. Dan orang "normal" takut pada orang / program (virus) yang tidak bisa mereka kendalikan.
Dan sejujurnya, banyak peretas memiliki konsep buruk "analis keamanan" karena mereka berdedikasi untuk menggunakan alat yang mereka buat untuk mendapatkan uang, tanpa membuat alat baru, atau benar-benar menyelidiki, atau berkontribusi kembali ke komunitas ... hanya hidup sehari-hari mengatakan bahwa sistem X rentan terhadap kerentanan X itu Hacker X ditemukan… Gaya skrip-kiddie…
Ada kursus gratis? Lebih dari apa pun untuk pemula, kataku, selain yang ini (HATI-HATILAH, saya baru saja melakukannya DesdeLinux, jadi saya belum melihat postingan keamanan komputer lainnya, jadi saya tidak tahu seberapa pemula atau mahir topik yang dibahasnya 😛)
salam
Halaman ini bagus karena memiliki banyak konten, tentang peretas Anda harus memiliki antivirus yang kuat untuk menghindari peretasan
https://www.hackersmexico.com/