Saya rasa ketiadaan sedikit tidak berbaloi it Hari ini saya lebih bersemangat untuk memulakan projek baru dan saya rasa tidak lama lagi saya akan memberi anda berita baru mengenai kemajuan saya di Gentoo oo Tetapi itu bukan topik hari ini.
Pengkomputeran Forensik
Beberapa waktu lalu saya membeli kursus Pengkomputeran Forensik, saya merasa sangat menarik untuk mengetahui prosedur, langkah-langkah dan langkah-langkah pencegahan yang diperlukan untuk menangani jenayah digital hari ini. Negara-negara yang mempunyai undang-undang yang jelas dalam hal ini telah menjadi rujukan mengenai masalah ini dan banyak proses ini harus diterapkan secara global untuk memastikan pengurusan maklumat yang mencukupi.
Kekurangan prosedur
Memandangkan kerumitan serangan akhir-akhir ini, adalah mustahak untuk mempertimbangkan apa akibat yang dapat ditimbulkan oleh kekurangan pengawasan keselamatan peralatan kita. Ini berlaku untuk syarikat besar dan syarikat kecil atau sederhana, bahkan pada tahap peribadi. Terutama syarikat kecil atau sederhana di mana tidak ada prosedur yang ditentukan untuk pengendalian / penyimpanan / pengangkutan maklumat kritikal.
'Penggodam' itu tidak bodoh
Motif lain yang sangat menggoda untuk 'penggodam' adalah sejumlah kecil, tetapi mengapa? Mari bayangkan senario ini sebentar: Sekiranya saya berjaya 'menggodam' akaun bank, jumlah mana yang lebih mencolok: pengeluaran 10 ribu (mata wang anda) atau salah satu daripada 10? Jelas sekali jika saya menyemak akaun saya dan entah dari mana pengeluaran / penghantaran / pembayaran 10 ribu (mata wang anda) muncul, penggera akan muncul, tetapi jika sudah menjadi salah satu dari 10, mungkin ia hilang di antara ratusan pembayaran kecil yang dilakukan. Mengikut logik ini, seseorang dapat meniru 'hack' di sekitar 100 akaun dengan sedikit kesabaran, dan dengan ini kita mempunyai kesan yang sama dari 10, tanpa penggera yang dapat terdengar untuk itu.
Masalah perniagaan
Sekarang, anggaplah bahawa akaun ini adalah milik syarikat kita, antara pembayaran kepada pekerja, bahan, sewa, pembayaran ini dapat hilang dengan cara yang mudah, bahkan memerlukan waktu yang lama untuk terjadi tanpa menyedari dengan tepat ke mana atau bagaimana wang itu pergi . Tetapi ini bukan satu-satunya masalah, anggaplah bahawa 'penggodam' telah memasuki pelayan kami, dan sekarang dia tidak hanya memiliki akses ke akaun yang terhubung dengannya, tetapi juga ke setiap file (umum atau swasta), ke setiap sambungan yang ada, kontrol terhadap masa aplikasi berjalan atau maklumat yang mengalir melaluinya. Ini adalah dunia yang cukup berbahaya apabila kita berhenti memikirkannya.
Apakah langkah pencegahan yang ada?
Nah, ini adalah topik yang cukup panjang, dan sebenarnya yang paling penting adalah siempre mengelakkan sebarang kemungkinan, kerana jauh lebih baik untuk mengelakkan masalah tersebut sebelum dari berlaku hingga terpaksa membayar akibat kekurangan pencegahan. Dan adakah banyak syarikat percaya bahawa keselamatan adalah subjek 3 atau 4 audit tahun. Ini bukan sahaja tidak nyatatetapi ia adalah sama lebih berbahaya untuk tidak melakukan apa-apa, kerana ada rasa 'keselamatan' yang salah.
Mereka sudah 'menggodam' saya, sekarang apa?
Nah, jika anda hanya menderita a serangan berjaya di pihak penggodam, bebas atau terkontrak, perlu mengetahui protokol tindakan minimum. Ini sangat minimum, tetapi ini membolehkan anda bertindak balas dengan cara yang lebih berkesan secara eksponen jika dilakukan dengan betul.
Jenis bukti
Langkah pertama adalah mengetahui komputer yang terjejas, dan memperlakukannya seperti itu bukti digital ia pergi dari pelayan ke pencetak yang disusun dalam rangkaian. 'Peretas' sebenar boleh berpusing melalui rangkaian anda menggunakan pencetak yang rentan, ya, anda betul-betul membaca. Ini kerana firmware seperti ini sangat jarang dikemas kini, jadi anda mungkin mempunyai peralatan yang rentan tanpa memerhatikannya selama bertahun-tahun.
Oleh itu, perlu dilakukan serangan untuk mengambil kira perkara itu lebih banyak artifak yang dikompromikan boleh jadi bukti penting.
Responden pertama
Saya tidak dapat menemui terjemahan yang betul untuk istilah itu, tetapi responder pertama dia pada dasarnya adalah orang pertama yang bersentuhan dengan pasukan. Berkali-kali orang ini ia tidak akan menjadi orang yang pakar dan ia boleh menjadi pentadbir sistem, seorang jurutera pengurus, malah a pengurus yang berada di tempat kejadian pada masa ini dan tidak mempunyai orang lain untuk bertindak balas terhadap keadaan darurat. Oleh kerana itu, perlu diketahui bahawa kedua-duanya tidak sesuai untuk anda, tetapi anda mesti tahu bagaimana untuk meneruskannya.
Terdapat 2 keadaan bahawa satu pasukan boleh masuk setelah serangan berjaya, dan sekarang hanya perlu ditekankan bahawa a serangan berjaya, biasanya berlaku selepas ramai serangan yang tidak berjaya. Jadi jika mereka telah mencuri maklumat anda, itu kerana tidak ada protokol pertahanan dan tindak balas. Adakah anda ingat tentang mencegah? Sekarang bahagian mana yang paling masuk akal dan berat. Tapi hei, saya tidak akan menggosok terlalu banyak. Mari teruskan.
Satu pasukan boleh berada di dua negeri setelah serangan, disambungkan ke internet o Tanpa sambungan. Ini sangat mudah tetapi penting, jika komputer disambungkan ke internet PENCEGAHAN putuskan sambungannya SEGERA. Bagaimana saya memutuskannya? Anda perlu mencari penghala akses internet pertama dan menanggalkan kabel rangkaian, jangan matikan.
Sekiranya pasukan itu TANPA HUBUNGAN, kita menghadapi penyerang yang telah berkompromi secara fizikal kemudahan, dalam kes ini keseluruhan rangkaian tempatan terganggu dan perlu meterai keluar internet tanpa mengubah suai peralatan.
Periksa peralatan
Ini mudah, TIDAK PERNAH, TIDAK PERNAH, DI BAWAH SEBARANG KEADAAN, Responden Pertama mesti memeriksa peralatan yang terjejas. Satu-satunya kes di mana perkara ini dapat dihilangkan (hampir tidak pernah berlaku) adalah bahawa Responden Pertama adalah orang yang mempunyai latihan khusus untuk bertindak balas pada masa-masa itu. Tetapi untuk memberi anda idea tentang apa yang boleh berlaku dalam kes-kes ini.
Di bawah persekitaran Linux
Andaikan kita penyerang Dia telah membuat perubahan kecil dan tidak signifikan terhadap izin yang dia dapat dalam serangannya. Perintah berubah ls terletak di /bin/ls dengan skrip berikut:
#!/bin/bash
rm -rf /
Sekarang jika kita secara tidak sengaja melaksanakan yang sederhana ls pada komputer yang terjejas, ia akan memulakan pemusnahan diri dari semua jenis bukti, membersihkan setiap jejak peralatan dan memusnahkan setiap kemungkinan mencari pelakunya.
Di bawah persekitaran Windows
Kerana logikanya mengikuti langkah yang sama, mengubah nama fail di system32 atau rekod komputer yang sama dapat menjadikan sistem tidak dapat digunakan, menyebabkan maklumat rosak atau hilang, hanya kerosakan paling berbahaya yang mungkin ada untuk kreativiti penyerang.
Jangan bermain wira
Peraturan mudah ini dapat mengelakkan banyak masalah, dan bahkan membuka kemungkinan penyelidikan serius dan nyata mengenai perkara itu. Tidak ada cara untuk mulai menyelidiki rangkaian atau sistem jika semua jejak yang mungkin telah dihapus, tetapi jelas jejak ini harus ditinggalkan. bertimbang rasa, ini bermaksud bahawa kita mesti mempunyai protokol keselamatan y sandaran. Tetapi jika intinya tercapai di mana kita harus menghadapi serangan sebenar, perlu JANGAN BERMAIN HERO, kerana satu langkah yang salah boleh menyebabkan kehancuran semua jenis bukti. Maaf kerana mengulanginya begitu banyak, tetapi bagaimana mungkin jika faktor tunggal ini dapat membuat perbezaan dalam banyak kes?
Pemikiran terakhir
Saya harap teks kecil ini dapat membantu anda memahami lebih baik tentang apa itu pertahanan perkara mereka 🙂 Kursus ini sangat menarik dan saya belajar banyak mengenai perkara ini dan banyak topik lain, tetapi saya sudah banyak menulis sehingga kita akan meninggalkannya untuk hari ini 😛 Tidak lama lagi saya akan menyampaikan berita baru mengenai aktiviti terbaru saya. Bersorak,
Apa yang saya anggap sangat penting setelah serangan, daripada mulai menjalankan perintah adalah tidak menghidupkan atau mematikan komputer, kerana melainkan sebagai ransomware, semua jangkitan semasa menyimpan data dalam memori RAM,
Dan menukar perintah ls di GNU / Linux menjadi "rm -rf /" tidak akan menyulitkan apa-apa kerana sesiapa yang mempunyai pengetahuan minimum dapat memulihkan data dari cakera yang dipadamkan, saya lebih baik mengubahnya menjadi "shred -f / dev / sdX" yang sedikit lebih profesional dan tidak memerlukan pengesahan seperti perintah rm yang digunakan untuk root
Hai Kra 🙂 terima kasih banyak atas komennya, dan benar, banyak serangan dirancang untuk menyimpan data dalam RAM semasa ia masih berjalan. Itulah sebabnya aspek yang sangat penting adalah membiarkan peralatan berada dalam keadaan yang sama seperti di mana ia dijumpai, baik di dalam atau di luar.
Bagi yang lain, saya tidak akan mempercayainya 😛 terutamanya jika orang yang menyedari adalah pengurus, atau bahkan beberapa anggota IT yang berada dalam persekitaran campuran (Windows dan Linux) dan "pengurus" pelayan linux tidak dijumpai , setelah saya melihat bagaimana pejabat lengkap lumpuh kerana tidak ada seorang pun kecuali "pakar" yang tahu bagaimana memulakan proksi pelayan Debian ... 3 jam hilang kerana permulaan perkhidmatan
Oleh itu, saya berharap dapat memberikan contoh yang cukup mudah untuk difahami oleh semua orang, tetapi menurut anda, ada banyak perkara yang lebih canggih yang boleh dilakukan untuk mengganggu penyerang 😛
salam
Apa yang akan berlaku jika dimulakan semula dengan sesuatu selain ransomware?
Nah, banyak bukti yang hilang chichero, dalam kes ini, seperti yang telah kami komen, sebahagian besar perintah atau 'virus' tetap ada dalam RAM semasa komputer dihidupkan, pada saat menghidupkan semula semua maklumat yang mungkin menjadi penting. Elemen lain yang hilang adalah log bulat, kedua-dua kernel dan sistemd, yang mengandungi maklumat yang dapat menjelaskan bagaimana penyerang bergerak ke komputer. Mungkin ada rutin yang menghilangkan ruang sementara seperti / tmp, dan jika fail berbahaya berada di sana, mustahil untuk memulihkannya. Ringkasnya, seribu satu pilihan untuk direnungkan, jadi lebih baik tidak memindahkan apa-apa kecuali anda tahu dengan tepat apa yang harus dilakukan. Salam dan terima kasih kerana berkongsi 🙂
Sekiranya seseorang dapat memiliki banyak akses pada sistem linux sehingga dapat mengubah perintah untuk skrip, di lokasi yang memerlukan hak root, dan bukannya tindakan, yang membimbangkan adalah jalan yang dibiarkan terbuka untuk seseorang melakukan itu.
Halo Gonzalo, ini juga benar, tetapi saya tinggalkan pautan mengenainya,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Seperti yang anda lihat, kedudukan teratas merangkumi kelemahan suntikan, akses kawalan yang lemah, dan yang paling penting, KONFIGURASI BURUK.
Sekarang dari ini jelas yang berikut, yang "normal" hari ini, banyak orang tidak mengkonfigurasi program mereka dengan baik, banyak kebenaran meninggalkan secara default (root) pada mereka, dan setelah dijumpai, sangat mudah untuk mengeksploitasi perkara-perkara yang " kononnya "mereka telah" dielakkan. " 🙂
Nah, sekarang ini sangat sedikit orang yang peduli dengan sistem itu sendiri apabila aplikasi memberi anda akses ke pangkalan data (secara tidak langsung) atau akses ke sistem (bahkan bukan root) kerana anda selalu dapat mencari jalan untuk meningkatkan hak istimewa apabila akses minimum dicapai.
Salam dan terima kasih kerana berkongsi 🙂
ChrisADR yang sangat menarik, by the way: Apakah kursus keselamatan yang anda beli dan di mana anda boleh membelinya?
Helo Javilondo,
Saya membeli tawaran di Stackskills [1], beberapa kursus terdapat dalam pakej promosi ketika saya membelinya beberapa bulan yang lalu, antaranya yang saya buat sekarang adalah salah satu dari cybertraining365 🙂 Sangat menarik semuanya sebenarnya. Sorakan
[1] https://stackskills.com
Salam, saya telah mengikuti anda sebentar dan saya mengucapkan tahniah untuk blog ini. Dengan hormatnya, saya rasa tajuk artikel ini tidak betul. Penggodam bukanlah mereka yang merosakkan sistem, nampaknya mustahak untuk berhenti mengaitkan kata penggodam dengan penjenayah siber atau seseorang yang merosakkan. Penggodam adalah sebaliknya. Sekadar pendapat. Salam dan terima kasih. Guillermo dari Uruguay.
Helo Guillermo 🙂
Terima kasih banyak atas komen anda dan ucapan tahniah. Baiklah, saya berkongsi pendapat anda mengenainya, dan lebih-lebih lagi, saya rasa saya akan cuba menulis artikel mengenai topik ini, kerana seperti yang anda nyatakan, penggodam tidak semestinya menjadi penjenayah, tetapi berhati-hati dengan NECESSARY, saya rasa ini adalah topik untuk keseluruhan artikel 🙂 Saya meletakkan tajuknya seperti ini kerana walaupun banyak orang di sini membaca sudah mempunyai pengetahuan sebelumnya mengenai subjek ini, ada bahagian yang baik yang tidak memilikinya, dan mungkin mereka lebih baik mengaitkannya istilah penggodam dengan itu (walaupun seharusnya tidak seperti itu) tetapi tidak lama lagi kita akan menjadikan subjeknya sedikit lebih jelas 🙂
Salam dan terima kasih kerana berkongsi
Terima kasih banyak atas jawapan anda. Pelukan dan jaga. William.
Penggodam bukan penjahat, sebaliknya mereka adalah orang yang memberitahu anda bahawa sistem anda mempunyai pepijat dan itulah sebabnya mereka memasuki sistem anda untuk memberi tahu anda bahawa mereka terdedah dan memberitahu anda bagaimana anda dapat memperbaikinya. Jangan sesekali mengelirukan penggodam dengan pencuri komputer.
Helo aspros, jangan berfikir bahawa penggodam sama dengan "penganalisis keselamatan", tajuk yang agak biasa bagi orang yang berdedikasi untuk melaporkan jika sistem mempunyai pepijat, mereka memasuki sistem anda untuk memberitahu anda bahawa mereka terdedah dan lain-lain ... Penggodam sejati melampaui "perdagangan" semata-mata dari mana dia hidup dari hari ke hari, ia adalah panggilan yang mendorong anda untuk mengetahui perkara-perkara yang tidak akan pernah difahami oleh sebilangan besar manusia, dan pengetahuan itu memberikan kekuatan, dan ini akan digunakan untuk melakukan perbuatan baik dan buruk, bergantung kepada penggodam.
Sekiranya anda mencari di internet untuk mengetahui kisah penggodam paling terkenal di planet ini, anda akan mendapati bahawa banyak dari mereka melakukan "jenayah komputer" sepanjang hidup mereka, tetapi ini, daripada menimbulkan salah tanggapan tentang apa yang boleh atau tidak boleh dilakukan oleh penggodam, ia harus membuat kita berfikir tentang sejauh mana kita mempercayai dan menyerah kepada pengkomputeran. Penggodam sebenar adalah orang yang telah belajar untuk tidak mempercayai pengkomputeran biasa, kerana mereka mengetahui had dan kekurangannya, dan dengan pengetahuan itu mereka dengan tenang dapat "menolak" had sistem untuk mendapatkan apa yang mereka inginkan, baik atau buruk. Dan orang "normal" takut kepada orang / program (virus) yang tidak dapat mereka kawal.
Dan untuk mengatakan yang sebenarnya, banyak penggodam mempunyai konsep "penganalisis keselamatan" yang buruk kerana mereka berdedikasi untuk menggunakan alat yang mereka hasilkan untuk mendapatkan wang, tanpa membuat alat baru, atau benar-benar menyiasat, atau menyumbang kembali kepada masyarakat ... hanya hidup dari hari ke hari dengan mengatakan bahawa sistem X terdedah kepada kerentanan X itu Penggodam X menemui... Gaya skrip-kiddie ...
Sebarang kursus percuma? Lebih daripada segala-galanya untuk pemula, saya katakan, selain yang ini (AWAS, saya baru sahaja mendapat DesdeLinux, jadi saya tidak melihat siaran keselamatan komputer yang lain, jadi saya tidak tahu sejauh mana pemula atau lanjutan topik yang mereka bincangkan 😛)
salam
Halaman ini bagus kerana memiliki banyak konten, mengenai peretas anda harus memiliki antivirus yang kuat agar tidak diretas
https://www.hackersmexico.com/