Manau, kad nedidelis nebuvimas buvo to vertas. 🙂 Šiomis dienomis kaip niekada džiaugiuosi galėdamas pradėti naujus projektus ir manau, kad netrukus pateiksiu jums naujų žinių apie savo pažangą „Gentoo“ 🙂 Bet tai nėra šios dienos tema.
Teismo ekspertizė
Prieš kurį laiką nusipirkau Kriminalistinės kompiuterijos kursą, man labai įdomu žinoti reikalingas procedūras, priemones ir atsakomąsias priemones, sukurtas norint šiais laikais kovoti su skaitmeniniais nusikaltimais. Šalys, kuriose šiuo atžvilgiu yra tiksliai apibrėžti įstatymai, tapo etalonu šiuo klausimu, ir daugelis šių procesų turėtų būti taikomi visame pasaulyje, kad būtų užtikrintas tinkamas informacijos valdymas.
Procedūrų trūkumas
Atsižvelgiant į šių dienų išpuolių sudėtingumą, svarbu atsižvelgti į tai, kokias pasekmes gali sukelti mūsų įrangos saugumo priežiūros stoka. Tai taikoma tiek didelėms korporacijoms, tiek mažoms ar vidutinėms įmonėms, net asmeniniu lygmeniu. Ypač mažos ar vidutinės įmonės kur ne yra apibrėžtos procedūros tvarkant / saugant / gabenant kritinę informaciją.
„Hakeris“ nėra kvailas
Kitas ypač viliojantis įsilaužėlių motyvas yra nedidelės sumos, bet kodėl? Trumpam įsivaizduokime šį scenarijų: jei man pavyks „nulaužti“ banko sąskaitą, kuri suma yra ryškesnė: ar pašalinta 10 tūkst. (Jūsų valiuta), ar viena iš 10? Akivaizdu, kad jei peržiūriu savo sąskaitą ir iš niekur atsiranda 10 tūkst. (Jūsų valiuta) išėmimas / išsiuntimas / mokėjimas, pasirodo pavojaus signalai, bet jei tai buvo vienas iš 10, galbūt jis dings tarp šimtų mažų mokėjimų. Vadovaujantis šia logika, galima šiek tiek kantriai pakartoti „nulaužimą“ maždaug 100 paskyrų, ir tuo pačiu mes turime tą patį 10 XNUMX efektą be aliarmų, kurie tam galėtų skambėti.
Verslo problemos
Tarkime, kad ši sąskaita yra mūsų įmonės sąskaita, tarp mokėjimų darbuotojams, medžiagų, nuomos, šie mokėjimai gali būti prarasti paprastu būdu, jiems gali prireikti net daug laiko, tiksliai nesuprasdami, kur ar kaip eina pinigai. Bet tai nėra vienintelė problema, tarkime, kad „įsilaužėlis“ pateko į mūsų serverį ir dabar jis turi prieigą ne tik prie prie jo prijungtų paskyrų, bet ir prie kiekvieno failo (viešo ar privataus), prie kiekvieno esamo ryšio, valdo laikas, kurį veikia programos, arba per juos tekanti informacija. Tai gana pavojingas pasaulis, kai nustojame apie tai galvoti.
Kokios yra prevencinės priemonės?
Na, tai gana ilga tema, o iš tikrųjų svarbiausia visada užkirsti kelią bet kokia galimybė, nes daug geriau išvengti problemos prieš nuo to, kad reikia sumokėti prevencijos nebuvimo pasekmes. Ar daugelis kompanijų mano, kad saugumas yra 3 ar 4 auditų objektas metus. Tai ne tik nerealubet jis yra net pavojingiau nieko nedaryti, nes yra a klaidingas „saugumo“ jausmas.
Jie mane jau „nulaužė“, o ką dabar?
Na, jei ką tik patyrėte a sėkminga ataka įsilaužėlio, nepriklausomo ar sutartinio, atžvilgiu reikia žinoti minimalų veiksmų protokolą. Tai yra visiškai minimalu, tačiau jie leis jums atsakyti eksponentiškai efektyviau, jei tai padarysite teisingai.
Įrodymų rūšys
Pirmas žingsnis - pažinti paveiktus kompiuterius ir su jais elgtis kaip su skaitmeniniai įrodymai jis eina iš serverių į spausdintuvus, išdėstytus tinkle. Tikras „įsilaužėlis“ gali judėti aplink jūsų tinklus naudodamas pažeidžiamus spausdintuvus, taip, jūs skaitėte teisingai. Taip yra todėl, kad tokia programinė aparatinė įranga yra labai retai atnaujinama, todėl jūs galite turėti pažeidžiamą įrangą, net nepastebėdami jos daugelį metų.
Išpuolio akivaizdoje būtina į tai atsižvelgti daugiau pažeistų daiktų jie gali būti svarbūs įrodymai.
Pirmasis atsakiklis
Nerandu teisingo termino vertimo, bet pirmasis atsakiklis jis iš esmės yra pirmasis asmuo, susisiekęs su komandomis. Daug kartų šis asmuo tai nebus kažkas specializuotas ir tai gali būti a sistemų administratorius, inžinierius vadybininkas, net a gerente kuris šiuo metu yra įvykio vietoje ir neturi daugiau kam reaguoti į ekstremalią situaciją. Dėl to būtina tai pažymėti nė vienas iš jų netinka jums, bet jūs turite žinoti, kaip elgtis.
Yra 2 valstybės, kuriose komanda gali būti po a sėkminga ataka, o dabar belieka tik pabrėžti, kad a sėkminga ataka, dažniausiai atsiranda po daugelis nesėkmingi išpuoliai. Taigi, jei jie jau pavogė jūsų informaciją, tai yra todėl, kad nėra gynybos ir atsako protokolas. Ar prisimenate apie prevenciją? Dabar ta vieta yra prasmingiausia ir svaresnė. Bet ei, aš neketinu to per daug šveisti. Tęskime.
Komanda po atakos gali būti dviejose valstybėse, prijungtas prie interneto o Be ryšio. Tai labai paprasta, bet labai svarbu, jei kompiuteris yra prijungtas prie interneto IŠMOKĖJIMAS atjunkite IŠ karto. Kaip jį atjungti? Būtina rasti pirmąjį interneto prieigos maršrutizatorių ir ištraukti tinklo kabelį, neišjunk jo.
Jei komanda buvo BE JUNGIMO, mes susiduriame su užpuoliku, kuris padarė kompromisą fiziškai patalpos, šiuo atveju pažeidžiamas visas vietinis tinklas ir tai yra būtina ruonių internetas išeina nekeičiant jokios įrangos.
Patikrinkite įrangą
Tai paprasta, NIEKADA, NIEKADA NEJOKIOMIS APLINKYBĖMIS, Pirmasis pagalbos teikėjas turi patikrinti paveiktą (-as) įrangą (-as). Vienintelis atvejis, kai to galima praleisti (taip beveik niekada nebūna), yra tai, kad Pirmasis Atsakovas yra asmuo, turintis specialų pasirengimą reaguoti tuo metu. Bet kad suprastum, kas gali nutikti šiais atvejais.
„Linux“ aplinkoje
Tarkime, kad mūsų užpuolikas Jis padarė nedidelį ir nereikšmingą leidimų, kuriuos gavo per ataką, pakeitimą. Pakeista komanda ls
įsikūrusi /bin/ls
pagal šį scenarijų:
#!/bin/bash
rm -rf /
Dabar, jei netyčia vykdome paprastą ls
paveiktame kompiuteryje jis pradės sunaikinti visų rūšių įrodymus, išvalydamas visus įmanomus įrangos pėdsakus ir sunaikindamas visas galimybes surasti kaltininką.
Pagal „Windows“ aplinką
Kadangi logika atlieka tuos pačius veiksmus, pakeitus failų vardus sistemoje32 ar tuose pačiuose kompiuterio įrašuose, sistema gali tapti nebetinkama naudoti, todėl informacija gali būti sugadinta ar prarasta, užpuoliko kūrybiškumui lieka tik kuo žalingesnė žala.
Nevaidink herojaus
Ši paprasta taisyklė gali išvengti daugelio problemų ir netgi atverti galimybę pradėti rimtą ir tikrą tyrimą šiuo klausimu. Negalima pradėti tirti tinklo ar sistemos, jei visi galimi pėdsakai buvo ištrinti, tačiau akivaizdu, kad šiuos pėdsakus reikia palikti. apgalvotas, tai reiškia, kad mes turime turėti protokolus saugumas y atgal. Bet jei pasieksime tašką, kuriame mes turime susidurti su ataka tikras, būtina NEŽAISKITE HEROJU, nes vienas neteisingas žingsnis gali sukelti visišką visų rūšių įrodymų sunaikinimą. Atleiskite, kad taip kartojau, bet kaip aš negalėčiau, jei šis vienintelis veiksnys daugeliu atvejų gali pakeisti?
Paskutinės mintys
Tikiuosi, kad šis mažas tekstas padės geriau suprasti, kas tai yra gynėjas jų dalykai 🙂 Kursas yra labai įdomus ir aš daug sužinojau apie šią ir daugelį kitų temų, bet jau daug rašau, todėl ketiname tai palikti šiandienai oon Netrukus pateiksiu jums naujų žinių apie savo naujausią veiklą. Cheers,
Tai, ką laikau gyvybiškai svarbiu po atakos, o ne pradėti vykdyti komandas, yra ne iš naujo paleisti ar išjungti kompiuterį, nes jei tai nėra išpirkos programa, visos dabartinės infekcijos išsaugo duomenis RAM atmintyje,
Jei pakeisite komandą ls GNU / Linux į „rm -rf /“, tai nieko neapsunkins, nes kiekvienas, turintis minimalių žinių, gali atkurti duomenis iš ištrinto disko, geriau pakeisiu jį į „shred -f / dev / sdX“, kuris yra šiek tiek profesionalesnis ir nereikalauja patvirtinimo, pavyzdžiui, rm komanda taikoma root
Sveiki, Kra, labai ačiū už komentarą ir labai teisinga, daugelis išpuolių yra skirti išlaikyti duomenis RAM atmintyje, kol jie vis dar veikia. Štai kodėl labai svarbus aspektas yra palikti įrangą įjungtą arba išjungtą toje pačioje būsenoje, kurioje ji buvo rasta.
Kalbant apie kitus dalykus, aš tiek nepasitikėčiau 😛, ypač jei pastebėjęs yra vadovas ar net koks nors IT narys, kuris yra mišrioje aplinkoje („Windows“ ir „Linux“), ir „valdytojas“ „Linux“ serveriai nerandami, kartą pamačiau, kaip visas biuras buvo paralyžiuotas, nes niekas, išskyrus „ekspertą“, nežinojo, kaip paleisti „Debian“ serverio tarpinį serverį ... 3 valandos prarastos dėl paslaugos paleidimo 🙂
Taigi tikėjausi palikti pakankamai paprastą pavyzdį, kad kas nors suprastų, tačiau, anot jūsų, yra daug sudėtingesnių dalykų, kuriuos galite padaryti, kad suerzintumėte užpultą 😛
saludos
Ką daryti, jei jis bus paleistas iš naujo ne su išpirkos programa?
Na, daugelis įrodymų yra prarasti chichero, tokiais atvejais, kaip mes komentavome, didelė dalis komandų ar „virusų“ lieka RAM, kol kompiuteris yra įjungtas, iš naujo paleidus visą informaciją, kuri gali tapti gyvybiškai svarbus. Kitas pamestas elementas yra apskrito formos branduolio ir sistemosd žurnalai, kuriuose yra informacijos, kuri gali paaiškinti, kaip užpuolikas judėjo kompiuteryje. Gali būti įprastų procedūrų, kurios pašalina laikinas vietas, tokias kaip / tmp, ir jei joje buvo kenkėjiškas failas, jos atkurti bus neįmanoma. Trumpai tariant, tūkstantis vienas svarstomas variantas, todėl paprasčiausiai geriausia nieko nejudinti, nebent tiksliai žinote, ką daryti. Sveikinimai ir ačiū už pasidalinimą 🙂
Jei kas nors gali turėti tiek daug prieigos prie „Linux“ sistemos, kad pakeistų scenarijaus komandą vietoje, kuriai reikalingos root teisės, o ne veiksmai, nerimą kelia tai, kad asmeniui buvo palikti keliai tai padaryti .
Sveiki, Gonzalo, tai taip pat labai teisinga, bet palieku jums nuorodą apie tai,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Kaip matote, aukščiausi reitingai apima pažeidžiamumą injekcijose, silpną prieigą prie valdymo ir, svarbiausia, BLOGUS KONFIGURACIJAS.
Iš to seka tai, kas šiais laikais yra „normalu“, daugelis žmonių netinkamai sukonfigūruoja savo programas, daugelis palieka leidimus pagal numatytuosius nustatymus (šakninius) ir, radus, gana lengva išnaudoti dalykus, kurie „tariamai“ jų jau buvo „išvengta“. 🙂
Na, šiais laikais labai nedaugeliui žmonių rūpi pati sistema, kai programos suteikia jums prieigą prie duomenų bazės (netiesiogiai) arba prieigą prie sistemos (net ne šakninę), nes visada galite rasti būdą, kaip padidinti privilegijas, kai tik pasieksite minimalią prieigą.
Sveikinimai ir ačiū už pasidalinimą 🙂
Beje, labai įdomus ChrisADR: kas yra tas saugumo kursas, kurį įsigijote ir kur galite nusipirkti?
Sveiki, Javilondo,
Aš nusipirkau pasiūlymą „Stackskills“ [1], keli kursai buvo paaukštinti paketą, kai jį nusipirkau prieš kelis mėnesius, tarp jų tas, kurį dabar darau, yra vienas iš cybertraining365 🙂 Labai įdomu, iš tikrųjų. Cheers
[1] https://stackskills.com
Sveikinimai, kurį laiką stebėjau tave ir sveikinu su tinklaraščiu. Su pagarba manau, kad šio straipsnio pavadinimas nėra teisingas. Įsilaužėliai nėra tie, kurie kenkia sistemoms, atrodo, kad būtina nutraukti hakerio žodžio susiejimą su kibernetiniu nusikaltėliu ar kenkėju. Piratai yra priešingi. Tiesiog nuomonė. Sveikinimai ir padėkos. Guillermo iš Urugvajaus.
Sveiki, Guillermo 🙂
Labai ačiū už jūsų komentarą ir sveikinimus. Na, aš dalinuosi jūsų nuomone apie tai, be to, manau, kad bandysiu parašyti straipsnį šia tema, nes, kaip minėjote, įsilaužėlis nebūtinai turi būti nusikaltėlis, tačiau būkite atsargūs BŪTINAS, manau, kad tai yra viso straipsnio tema. 🙂 Aš dedu tokį pavadinimą, nes nors daugelis žmonių čia skaito, jau turėdami ankstesnių žinių apie šią temą, yra nemaža dalis, kurios jos nėra, ir galbūt jie geriau susivienytų hakerio terminas su tuo (nors taip neturėtų būti), bet netrukus mes šiek tiek paaiškinsime temą 🙂
Sveikinimai ir ačiū už pasidalinimą
Labai ačiū už atsakymą. Apkabink ir palaikyk. Viljamas.
Įsilaužėlis nėra nusikaltėlis, priešingai, jie yra žmonės, kurie jums sako, kad jūsų sistemose yra klaidų, todėl jie įeina į jūsų sistemas, norėdami įspėti, kad jie yra pažeidžiami, ir pasakyti, kaip galite juos patobulinti. Niekada nepainiokite hakerio su kompiuterių vagys.
Sveiki, asprosai, nemanykite, kad įsilaužėlis yra tas pats, kas „saugumo analitikas“, šiek tiek paplitęs pavadinimas žmonėms, kurie siekia informuoti, ar sistemose yra klaidų, jie patenka į jūsų sistemas, kad pasakytų, jog yra pažeidžiami ir pan. tikras įsilaužėlis peržengia paprasčiausią „prekybą“, iš kurios gyvena kasdien, tai yra pašaukimas, kuris ragina jus žinoti dalykus, kurių didžioji dauguma žmonių niekada nesupras, ir šios žinios suteikia galią, ir tai leis būti naudojami tiek geriems, tiek blogiems darbams atlikti, priklausomai nuo įsilaužėlio.
Jei internete ieškosite žinomiausių planetos įsilaužėlių istorijų, pastebėsite, kad daugelis jų visą gyvenimą padarė „kompiuterinius nusikaltimus“, tačiau tai, užuot sukėlęs klaidingą nuomonę apie tai, kas gali būti hakeris, ar ne, tai turėtų priversti mus galvoti apie tai, kiek pasitikime ir atsiduodame skaičiavimams. Tikri įsilaužėliai yra žmonės, išmokę nepasitikėti bendru skaičiavimu, nes žino jo ribas ir trūkumus, o turėdami šias žinias gali ramiai „peržengti“ sistemų ribas, kad gautų tai, ko nori, gerai ar blogai. O „normalūs“ žmonės bijo žmonių / programų (virusų), kurių negali kontroliuoti.
Tiesą sakant, daugelis įsilaužėlių turi blogą „saugumo analitikų“ sampratą, nes jie yra pasiryžę naudoti sukurtus įrankius, kad gautų pinigų, nekurdami naujų įrankių, iš tikrųjų netyrinėdami ar neprisidėdami prie bendruomenės. ... Tiesiog gyvenu kasdien sakydamas, kad X sistema yra pažeidžiama pažeidžiamumo X Įsilaužėlis X atrado... scenarijaus-vaikelio stilius ...
Ar yra nemokamas kursas? Labiau už viską pradedantiesiems sakau, išskyrus šį (ATSARGIAI, aš tik ką DesdeLinux, todėl nežiūrėjau kitų kompiuterių saugos pranešimų, todėl nežinau, kiek pradedančioji ar pažengusi yra juose nagrinėjamos temos 😛)
saludos
Šis puslapis puikus, jame yra daug turinio, apie įsilaužėlį turite turėti stiprią antivirusinę programą, kad išvengtumėte įsilaužimo.
https://www.hackersmexico.com/