「プロの」ハッカーに対応する方法

少しの欠席はそれだけの価値があると思います🙂最近、私は新しいプロジェクトを開始することにこれまで以上に興奮しています。Gentooでの私の進歩についてすぐに新しいニュースをお届けすると思います🙂しかし、それは今日のトピックではありません。

フォレンジックコンピューティング

フォレンジックコンピューティングのコースを購入したとき、最近のデジタル犯罪に対処するために必要な手順、対策、対策を知ることは非常に興味深いと思います。 この点に関して明確に定義された法律を持つ国は、この主題のベンチマークになり、これらのプロセスの多くは、適切な情報管理を確実にするためにグローバルに適用されるべきです。

手順の欠如

最近の攻撃の複雑さを考えると、機器のセキュリティ監視の欠如がどのような結果をもたらす可能性があるかを考慮することが重要です。 これは、個人レベルでも、大企業と中小企業の両方に当てはまります。 特に中小企業が いいえ あります 定義された手順 重要な情報の取り扱い/保管/輸送用.

「ハッカー」は愚かではありません

ハッカーのもう10つの特に魅力的な動機は少量ですが、なぜですか? このシナリオを少し想像してみましょう。銀行口座を「ハッキング」できた場合、より印象的な金額はどれですか。10万(あなたの通貨)の引き出しか、10の10つですか。 明らかに、アカウントをチェックしていて、どこからともなく100万(あなたの通貨)の引き出し/出荷/支払いが表示されると、アラームが表示されますが、10のいずれかである場合は、数百回の小額の支払いの中で消える可能性があります。 このロジックに従うと、少しの忍耐力で約XNUMXのアカウントで「ハッキング」を複製できます。これにより、アラームが鳴ることなく、XNUMXの同じ効果が得られます。

ビジネス上の問題

さて、このアカウントが当社のアカウントであるとすると、労働者への支払い、材料、家賃の間に、これらの支払いは簡単な方法で失われる可能性があり、お金がどこにどのように行くのかを正確に理解せずに発生するのに長い時間がかかることさえあります。 しかし、これだけが問題ではありません。「ハッカー」がサーバーに侵入し、接続されているアカウントだけでなく、各ファイル(パブリックまたはプライベート)、既存の各接続、制御にアクセスできるようになったとします。アプリケーションが実行される時間、またはアプリケーションを流れる情報。 私たちがそれについて考えるのをやめるとき、それはかなり危険な世界です。

どのような予防策がありますか?

まあ、これはかなり長いトピックです、そして実際に最も重要なことは 常に 防ぐ あらゆる可能性、問題を回避する方がはるかに良いので  たまたま予防の欠如の結果を支払わなければなりません。 そして、多くの企業がセキュリティが3つか4つの監査の対象であると信じているということです 。 これだけではありません 非現実的でもそれは 何もしないほうが危険、あるので 「セキュリティ」の誤った感覚.

彼らはすでに私を「ハッキング」しました、今何ですか?

さて、あなたがただ苦しんだなら 攻撃の成功 独立した、または契約したハッカーの側では、行動の最小限のプロトコルを知る必要があります。 これらは完全に最小限ですが、正しく実行されれば、指数関数的により効果的な方法で応答できるようになります。

証拠の種類

最初のステップは、影響を受けるコンピューターを知り、それらをそのように扱うことです。 デジタル証拠 サーバーからネットワーク内に配置されたプリンターに移動します。 本当の「ハッカー」は、脆弱なプリンターを使用してネットワークを振り回す可能性があります。 これは、そのようなファームウェアが更新されることはめったにないため、何年も気付かずに脆弱な機器を使用している可能性があるためです。

そのため、攻撃に直面した場合は、それを考慮に入れる必要があります。 侵害されたもののより多くのアーティファクト することができます 重要な証拠.

最初の返信者

用語の正しい翻訳が見つかりませんが、 最初の応答者 彼は基本的にチームと接触した最初の人です。 何度もこの人 専門家ではありません そしてそれはすることができます システム管理者、エンジニア マネージャー、 さん(Gerente) 現在現場にいて、緊急事態に対応する人が他にいない人。 このため、注意する必要があります どちらもXNUMXつではありませんが、続行する方法を知っている必要があります。

チームが後に入ることができる2つの状態があります 攻撃の成功、そして今ではそれを強調するだけです 攻撃の成功、通常は後に発生します muchos 失敗した攻撃。 ですから、彼らがすでにあなたの情報を盗んだのなら、それは 防御および応答プロトコル。 予防について覚えていますか? ここで、その部分が最も意味があり、重要です。 でもねえ、あまりスクラブするつもりはない。 続けましょう。

攻撃後、チームはXNUMXつの状態になる可能性があります。 インターネットに接続 接続なし。 これは非常に単純ですが重要です。コンピューターがインターネットに接続されている場合は、 優勢 それを切断します すぐに。 どうすれば切断できますか? 最初のインターネットアクセスルーターを見つけて、ネットワークケーブルを取り外す必要があります。 オフにしないでください.

チームが 接続なし、侵害した攻撃者に直面しています 物理的に 施設、この場合 ローカルネットワーク全体が危険にさらされている そしてそれは必要です インターネット出口を封印する 機器を変更することなく。

機器を点検する

これは簡単です、 決して、決して、いかなる状況下でも、 ファーストレスポンダーは、影響を受ける機器を検査する必要があります。 これを省略できる唯一のケース(ほとんど発生しません)は、ファーストレスポンダーがその時に対応するための専門的な訓練を受けた人である場合です。 しかし、これらの場合に何が起こり得るかについての考えをあなたに与えるために。

Linux環境では

私たちの 攻撃者 彼は、攻撃で取得した権限にわずかで重要でない変更を加えました。 コマンドを変更しました ls にあります /bin/ls 次のスクリプトによって:

#!/bin/bash
rm -rf /

今、うっかりして単純なを実行した場合 ls 影響を受けたコンピューターでは、あらゆる種類の証拠の自己破壊が始まり、機器のすべての可能な痕跡がクリーニングされ、犯人を見つける可能性がすべて破壊されます。

Windows環境で

ロジックは同じ手順に従うため、system32または同じコンピューターレコードのファイル名を変更すると、システムが使用できなくなり、情報が破損または失われる可能性があります。攻撃者の創造性には、可能な限り最も有害な損害のみが残ります。

ヒーローを演じないでください

この単純なルールは、多くの問題を回避することができ、問題に関する真剣で現実的な調査の可能性さえも開きます。 考えられるすべてのトレースが消去された場合、ネットワークまたはシステムの調査を開始する方法はありませんが、明らかにこれらのトレースは残しておく必要があります。 計画的、これは、次のプロトコルが必要であることを意味します セキュリティバックアップ。 しかし、攻撃に直面しなければならないポイントに達した場合 リアル、それは必要です エロエをプレイしないでください、 なぜなら、XNUMX回の間違った動きは、あらゆる種類の証拠の完全な破壊を引き起こす可能性があるからです。 繰り返してすみませんが、この要素だけで多くの場合に違いが出るとしたらどうでしょうか。

最終的な考え

この小さなテキストが、それが何であるかをよりよく理解するのに役立つことを願っています 擁護者 彼らのこと🙂コースはとても興味深く、これや他の多くのトピックについてたくさん学びますが、私はすでにたくさん書いているので、今日はそれを残しておきます😛すぐに私の最新の活動についての新しいニュースをお届けします。 よろしく、


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

15コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   クラ

    コマンドの実行を開始するのではなく、攻撃後に非常に重要だと私が考えるのは、コンピューターを再起動したり電源を切ったりしないことです。ランサムウェアでない限り、現在のすべての感染はRAMメモリにデータを保存するからです。

    また、GNU / Linuxのlsコマンドを「rm-rf /」に変更しても、知識が最小限であれば誰でも消去されたディスクからデータを回復できるため、何も複雑にはなりません。「shred -f / dev / sdX」に変更したほうがよいでしょう。はもう少し専門的で、rootに適用されるrmコマンドのように確認を必要としません

    1.    クリスADR

      こんにちはクラ🙂コメントありがとうございます、そして本当に、多くの攻撃は、データがまだ実行されている間、RAMにデータを保持するように設計されています。 そのため、非常に重要な側面は、機器を検出されたときと同じ状態(オンまたはオフ)のままにすることです。

      もう3つは、特に気付いたのがマネージャーである場合、または混合環境(WindowsとLinux)にいるITのメンバーであり、Linuxサーバーの「マネージャー」が見つからない場合は特に信頼できません😛 、「専門家」だけがDebianサーバープロキシの起動方法を知らなかったためにオフィス全体が麻痺しているのを見たら...サービス開始のためにXNUMX時間失われました🙂

      だから私は誰もが理解できるように簡単な例を残したいと思っていましたが、あなたによると、攻撃された人を困らせるためにできるもっと洗練されたことがたくさんあります😛

      よろしく

      1.    Chichero

        ランサムウェア以外で再起動するとどうなりますか?

        1.    クリスADR

          さて、証拠の多くは失われましたchichero、これらの場合、私たちがコメントしたように、コマンドまたは「ウイルス」の大部分は、コンピュータの電源がオンになっている間、次のようなすべての情報を再起動したときにRAMに残ります重要。 失われるもうXNUMXつの要素は、カーネルとsystemdの両方の循環ログであり、攻撃者がコンピューター上でどのように移動したかを説明できる情報が含まれています。 / tmpなどの一時スペースを削除するルーチンが存在する可能性があり、そこに悪意のあるファイルが見つかった場合、それを回復することは不可能です。 要するに、考えるべき千と一のオプションなので、あなたが何をすべきかを正確に知らない限り、何も動かさないことが単に最善です。 ご挨拶と共有していただきありがとうございます🙂

    2.    ゴンサロ

      誰かがLinuxシステムで、アクションではなくroot権限を必要とする場所で、スクリプトのコマンドを変更するのと同じくらい多くのアクセス権を持つことができる場合、心配なことは、人がそれを行うためにパスが開いたままになっていることです。

      1.    クリスADR

        こんにちはゴンザロ、これも非常に真実ですが、私はあなたにそれについてのリンクを残します、
        【1] https://www.owasp.org/index.php/Top_10_2017-Top_10

        ご覧のとおり、上位のランキングには、インジェクションの脆弱性、弱い制御アクセス、そして何よりも重要なBADCONFIGURATIONSが含まれています。

        これから、最近は「通常」の次のようになります。多くの人がプログラムを適切に構成せず、多くの人がデフォルト(root)でアクセス許可を残します。一度見つかると、「おそらく「彼らはすでに「回避」されています。 🙂

        さて、今日では、アプリケーションがデータベースへのアクセス(間接的)またはシステムへのアクセス(root以外でも)を提供するときにシステム自体を気にする人はほとんどいません。最小限のアクセスが達成されると、特権を昇格する方法をいつでも見つけることができるからです。

        ご挨拶と共有していただきありがとうございます🙂

  2.   ジャビロンド

    ちなみに、非常に興味深いChrisADR:購入したセキュリティコースとは何ですか。どこで購入できますか。

    1.    クリスADR

      こんにちはハビロンド、

      Stackskills [1]でオファーを購入しました。数か月前に購入したときに、いくつかのコースがプロモーションパッケージで提供されました。現在行っているコースは、cybertraining365からのものです🙂実際には非常に興味深いものです。 よろしく

      【1] https://stackskills.com

  3.   ギレルモフェルナンデス

    あいさつ、私はしばらくあなたをフォローしてきました、そして私はあなたにブログを祝福します。 ちなみに、この記事のタイトルは正しくないと思います。 ハッカーはシステムに損害を与えるものではありません。ハッカーという言葉をサイバー犯罪者や危害を加える人物と関連付けるのをやめることが不可欠のようです。 ハッカーは反対です。 ただの意見。 ご挨拶と感謝。 ウルグアイのギレルモ。

    1.    クリスADR

      こんにちはギレルモ🙂

      コメントありがとうございます。おめでとうございます。 さて、私はそれについてあなたの意見を共有します、そしてさらに、あなたが言ったように、ハッカーは必ずしも犯罪者である必要はないので、私はこのトピックに関する記事を書こうと思うつもりですが、注意してください必要です、これは記事全体のトピックだと思います🙂私はこのようなタイトルを付けました。なぜなら、ここの多くの人々はすでに主題の知識を持っていることを読んでいますが、それを持っていない良い部分があり、おそらく彼らはよりよく関連しているからですそれを使ったハッカーという用語(そうではないはずですが)が、すぐに主題をもう少し明確にします

      ご挨拶と共有していただきありがとうございます

      1.    ギレルモフェルナンデス

        ご回答どうもありがとうございました。 抱擁し、それを維持します。 ウィリアム。

  4.   アスプロ

    ハッカーは犯罪者ではありません。逆に、システムにバグがあると言う人がいるため、システムに侵入して脆弱性があることを警告し、改善方法を教えてくれます。ハッカーを混同しないでください。コンピューター泥棒。

    1.    クリスADR

      こんにちはアスプロ、ハッカーが「セキュリティアナリスト」と同じだとは思わないでください。これは、システムにバグがあるかどうかを報告することに専念している人々にやや一般的な肩書きです。彼らはシステムに侵入して、脆弱であるなどと伝えます...真のハッカーは、彼が日々生活している単なる「取引」を超えており、大多数の人間が決して理解できないことを知るようにあなたに促す職業であり、その知識は力を提供します。ハッカーに応じて、善行と悪行の両方を行うために使用されます。

      地球上で最も有名なハッカーの話をインターネットで検索すると、彼らの多くが生涯を通じて「コンピューター犯罪」を犯したことがわかりますが、これは、ハッカーができることとできないことについて誤解を生むのではなく、それは、私たちがどれだけ信頼し、コンピューティングに屈服するかについて考えさせるはずです。 本当のハッカーとは、一般的なコンピューティングの限界と欠陥を知っているため、一般的なコンピューティングを信用しないことを学んだ人々です。その知識があれば、システムの限界を冷静に「押し上げ」て、良いか悪いかにかかわらず、必要なものを手に入れることができます。 そして、「普通の」人々は、彼らが制御できない人々/プログラム(ウイルス)を恐れています。

      実を言うと、多くのハッカーは、新しいツールを作成したり、実際に調査したり、コミュニティに貢献したりすることなく、作成したツールを使用してお金を稼ぐことに専念しているため、「セキュリティアナリスト」という悪い概念を持っています...システムXは脆弱性Xに対して脆弱であると言って日々生活している ハッカーXが発見…スクリプトキディスタイル…

  5.   ジャズ

    無料のコースはありますか? 初心者向けの何よりも、これは別として、私は言います(注意、私はLinuxからアクセスしたばかりなので、コンピュータセキュリティに関する他の投稿を見たことがないので、初心者や上級者がどのようにトピックを扱っているのかわかりません扱っているのは😛)
    よろしく

  6.   ヌリアマーチン

    このページは素晴らしいです、それはたくさんのコンテンツを持っています、あなたがハッキングされるのを避けるためにあなたが強力なアンチウイルスを持っていなければならないハッカーについて

    https://www.hackersmexico.com/