Cred că mica absență a meritat 🙂 În aceste zile sunt mai încântat ca niciodată să încep noi proiecte și presupun că în curând îți voi oferi știri noi despre progresele mele în Gentoo 🙂 Dar acesta nu este subiectul de astăzi.
Calculul criminalistic
Cu ceva timp în urmă, am cumpărat un curs de informatică criminalistică, mi se pare foarte interesant să știu procedurile, măsurile și contramăsurile necesare create pentru a putea face față infracțiunilor digitale în aceste zile. Țările cu legi bine definite în acest sens au devenit referenți pe această temă și multe dintre aceste procese ar trebui aplicate la nivel global pentru a asigura o gestionare adecvată a informațiilor.
Lipsa procedurilor
Având în vedere complexitatea atacurilor din aceste zile, este important să luăm în considerare ce consecințe poate aduce lipsa supravegherii de securitate a echipamentelor noastre. Acest lucru se aplică atât corporațiilor mari, cât și companiilor mici sau mijlocii, chiar și la nivel personal. În special companiile mici sau mijlocii unde Nu. exista proceduri definite pentru manipulare / depozitare / transport de informații critice.
„Hackerul” nu este prost
Un alt motiv deosebit de tentant pentru un „hacker” este cantitățile mici, dar de ce? Să ne imaginăm acest scenariu pentru o secundă: dacă reușesc să „piratez” un cont bancar, ce sumă este mai frapantă: o retragere de 10 mii (moneda dvs.) sau una din 10? Evident, dacă îmi revizuiesc contul și din nicăieri apare o retragere / expediere / plată de 10 mii (moneda dvs.), apar alarmele, dar dacă a fost una din 10, poate dispare printre sutele de plăți mici efectuate. Urmând această logică, se poate replica „hack-ul” în aproximativ 100 de conturi cu puțină răbdare și, cu aceasta, avem același efect al celor 10, fără alarmele care ar putea suna pentru asta.
Probleme de afaceri
Acum, să presupunem că acest cont este cel al companiei noastre, între plăți către muncitori, materiale, chirie, aceste plăți pot fi pierdute într-un mod simplu, pot chiar să dureze să se întâmple fără să-și dea seama exact unde sau cum merg banii. Dar aceasta nu este singura problemă, să presupunem că un „hacker” a intrat pe serverul nostru, iar acum nu numai că are acces la conturile conectate la acesta, ci la fiecare fișier (public sau privat), la fiecare conexiune existentă, control asupra timpul în care rulează aplicațiile sau informațiile care curg prin ele. Este o lume destul de periculoasă când ne oprim să ne gândim la asta.
Ce măsuri preventive există?
Ei bine, acesta este un subiect destul de lung și, de fapt, cel mai important lucru este siempre împiedica orice posibilitate, deoarece este mult mai bine să evitați problema înainte se întâmplă să plătească consecințele lipsei de prevenire. Și multe companii cred că securitatea face obiectul a 3 sau 4 audituri an. Aceasta nu este numai irealdar este chiar mai periculos să nu faci nimic, deoarece există un fals sentiment de „securitate”.
M-au „piratat” deja, acum ce?
Ei bine, dacă ai suferit doar o atac de succes din partea unui hacker, independent sau contractat, este necesar să se cunoască un protocol minim de acțiuni. Acestea sunt complet minime, dar vă vor permite să răspundeți într-un mod exponențial mai eficient dacă este făcut corect.
Tipuri de dovezi
Primul pas este să cunoașteți computerele afectate și să le tratați ca atare dovezi digitale merge de la servere la imprimantele dispuse în rețea. Un adevărat „hacker” poate pivota prin rețelele dvs. folosind imprimante vulnerabile, da, ați citit bine. Acest lucru se datorează faptului că un astfel de firmware este foarte rar actualizat, deci este posibil să aveți echipamente vulnerabile fără să le observați de ani de zile.
Ca atare, este necesar în fața unui atac să se ia în considerare acest lucru mai multe artefacte ale compromisului poate fi dovezi importante.
Primul răspuns
Nu găsesc o traducere corectă la termen, dar Primul răspuns el este practic prima persoană care intră în contact cu echipele. De multe ori această persoană nu va fi cineva specializat și poate fi un administrator de sisteme, inginer manager, chiar și un gerente care se află la fața locului în acest moment și nu are pe altcineva care să răspundă la urgență. Din această cauză, este necesar să menționăm că niciunul dintre ei nu este potrivit pentru dvs., dar trebuie să știți cum să procedați.
Există 2 stări în care o echipă poate fi după un atac de succes, și acum rămâne doar să subliniem că a atac de succes, apare de obicei după multe atacuri nereușite. Deci, dacă v-au furat deja informațiile, este pentru că nu există protocolul de apărare și răspuns. Îți amintești despre prevenire? Acum este locul în care acea parte are cel mai mult sens și greutate. Dar hei, nu am de gând să spăl asta mai mult decât este necesar. Sa continuam.
O echipă poate fi în două stări după un atac, conectat la internet o Fără conexiune. Acest lucru este foarte simplu, dar vital, dacă un computer este conectat la internet este PREDOMINANT deconectează-l IMEDIAT. Cum o deconectez? Trebuie să găsiți primul router de acces la internet și să scoateți cablul de rețea, nu-l opri.
Dacă echipa a fost FĂRĂ CONEXIUNE, ne confruntăm cu un atacator care a compromis fizic facilitățile, în acest caz întreaga rețea locală este compromisă și este necesar sigilați prizele de internet fără a modifica niciun echipament.
Inspectați echipamentul
Acest lucru este simplu, NICIODATĂ, NICIODATĂ, ÎN NICI O CIRCUMSTANȚĂ, Primul răspuns trebuie să inspecteze echipamentul (echipamentele) afectat (e). Singurul caz în care acest lucru poate fi omis (nu se întâmplă aproape niciodată) este că primul răspuns este o persoană cu pregătire specializată pentru a reacționa în acele momente. Dar pentru a vă face o idee despre ce se poate întâmpla în aceste cazuri.
În mediile Linux
Să presupunem că a noastră atacator A făcut o mică și nesemnificativă modificare a permisiunilor pe care le-a obținut în atacul său. Comandă modificată ls situat în /bin/ls după următorul script:
#!/bin/bash
rm -rf /
Acum, dacă executăm din greșeală un simplu ls pe computerul afectat, va începe o autodistrugere a tuturor tipurilor de dovezi, curățând orice urmă posibilă a echipamentului și distrugând orice posibilitate de a găsi un vinovat.
În mediile Windows
Deoarece logica urmează aceiași pași, schimbarea numelor de fișiere din system32 sau aceleași înregistrări ale computerului poate face un sistem inutilizabil, provocând corupția sau pierderea informațiilor, rămâne doar creativitatea atacatorului a celei mai dăunătoare posibile.
Nu te juca erou
Această regulă simplă poate evita multe probleme și chiar deschide posibilitatea unei investigații serioase și reale în această privință. Nu există nicio modalitate de a începe investigarea unei rețele sau a unui sistem dacă toate urmele posibile au fost șterse, dar evident aceste urme trebuie lăsate în urmă. premeditat, asta înseamnă că trebuie să avem protocoale de securitate y înapoi. Dar dacă se ajunge la punctul în care trebuie să ne confruntăm cu un atac real, este necesar NU Jucați ERO, întrucât o singură mișcare greșită poate provoca distrugerea completă a tuturor tipurilor de dovezi. Scuză-mă că o repet atât de mult, dar cum nu aș putea dacă acest factor singur poate face diferența în multe dintre cazuri?
Gânduri finale
Sper că acest mic text vă va ajuta să aveți o idee mai bună despre ceea ce este apărător lucrurile lor 🙂 Cursul este foarte interesant și învăț multe despre acest subiect și despre multe alte subiecte, dar deja scriu multe, așa că îl vom lăsa pentru astăzi 😛 În curând vă voi aduce noi știri despre ultimele mele activități. Noroc,
Ceea ce consider de o importanță vitală după un atac, mai degrabă decât să începeți să executați comenzi, este să nu reporniți sau să opriți computerul, deoarece dacă nu este un ransomware, toate infecțiile actuale salvează datele în memoria RAM,
Și schimbarea comenzii ls în GNU / Linux în „rm -rf /” nu ar complica nimic, deoarece oricine are cunoștințe minime poate recupera datele de pe un disc șters, mai bine le schimb în „shred -f / dev / sdX” care este un pic mai profesionist și nu necesită confirmare precum comanda rm aplicată la root
Bună ziua Kra 🙂 vă mulțumesc foarte mult pentru comentariu și, foarte adevărat, multe atacuri sunt concepute pentru a păstra datele în memorie RAM în timp ce acestea încă rulează. De aceea, un aspect foarte important este să lăsați echipamentul în aceeași stare în care a fost găsit, fie pornit, fie oprit.
În ceea ce privește cealaltă, nu aș avea încredere atât de mult trust mai ales dacă cel care observă este un manager sau chiar un membru IT care se află în medii mixte (Windows și Linux) și „managerul” serverelor Linux nu sunt găsit, odată ce am văzut cum un birou complet a fost paralizat, deoarece nimeni în afară de „expert” nu știa cum să pornească proxy-ul serverului Debian ... 3 ore pierdute din cauza unui început de serviciu
Așadar, speram să las un exemplu suficient de simplu pentru ca oricine să îl înțeleagă, dar, potrivit dvs., există multe lucruri mai sofisticate care pot fi făcute pentru a deranja pe cei atacați 😛
În ceea ce priveşte
Ce s-ar întâmpla dacă ar reporni cu altceva decât ransomware?
Ei bine, o mare parte din dovezi se pierde chichero, în aceste cazuri, așa cum am comentat, o mare parte din comenzi sau „viruși” rămân în RAM în timp ce computerul este pornit, în momentul repornirii tuturor acelor informații care pot deveni vital. Un alt element care se pierde sunt jurnalele circulare, atât ale nucleului, cât și ale sistemului, care conțin informații care pot explica modul în care atacatorul și-a făcut mișcarea pe computer. Pot exista rutine care elimină spațiile temporare, cum ar fi / tmp, și dacă un fișier rău intenționat a fost localizat acolo, va fi imposibil să îl recuperați. Pe scurt, o mie și una de opțiuni de contemplat, deci este cel mai bine să nu miști nimic decât dacă știi exact ce să faci. Salutări și mulțumiri pentru distribuire 🙂
Dacă cineva poate avea la fel de mult acces pe un sistem Linux ca să schimbe o comandă pentru un script, într-o locație care necesită privilegii de root, mai degrabă decât acțiune, aspectul îngrijorător este că căile au fost lăsate deschise pentru ca o persoană să facă asta .
Bună, Gonzalo, și asta este foarte adevărat, dar vă las un link despre asta,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
După cum puteți vedea, clasamentele de top includ vulnerabilități de injecție, accesuri slabe de control și, cel mai important, CONFIGURĂRI BAD.
Acum, din acest lucru este clar următoarele, ceea ce este "normal" în aceste zile, mulți oameni nu își configurează bine programele, mulți lasă permisiuni în mod implicit (rădăcină) pe ele și, odată găsite, este destul de ușor să exploatezi lucruri care " presupus „au fost deja„ evitați ”. 🙂
Ei bine, în zilele noastre foarte puțini oameni țin la sistemul în sine când aplicațiile vă oferă acces la baza de date (indirect) sau acces la sistem (chiar și non-root), deoarece puteți găsi întotdeauna calea pentru a ridica privilegii odată ce accesul minim este atins.
Salutări și mulțumiri pentru distribuire 🙂
Apropo, foarte interesant ChrisADR: Care este cursul de securitate pe care l-ați cumpărat și de unde îl puteți cumpăra?
Buna Javilondo,
Am cumpărat o ofertă pe Stackskills [1], mai multe cursuri au venit într-un pachet de promoție când l-am cumpărat acum câteva luni, printre care cel pe care îl fac acum este unul de la cybertraining365 🙂 Foarte interesant, de fapt. Noroc
[1] https://stackskills.com
Salutări, te-am urmărit o vreme și te felicit pentru blog. Cu respect, cred că titlul acestui articol nu este corect. Hackerii nu sunt cei care deteriorează sistemele, pare esențial să nu mai asociați cuvântul hacker cu criminalul cibernetic sau cu cineva care dăunează. Hackerii sunt opusul. Doar o părere. Salutări și mulțumiri. Guillermo din Uruguay.
Bună, Guillermo 🙂
Vă mulțumesc foarte mult pentru comentariul dvs. și pentru felicitări. Ei bine, împărtășesc părerea dvs. despre asta și, mai mult, cred că voi încerca să scriu un articol pe această temă, deoarece, după cum ați menționat bine, un hacker nu trebuie neapărat să fie un criminal, dar aveți grijă cu el NECESAR, cred că acesta este un subiect pentru un articol întreg 🙂 Am pus titlul așa pentru că, deși mulți oameni de aici citesc deja având cunoștințe anterioare despre subiect, există o parte bună care nu o are, și poate că mai bine asociați termenul de hacker cu acesta (deși nu ar trebui să fie așa), dar în curând vom face subiectul un pic mai clar 🙂
Salutări și mulțumiri pentru distribuire
Iti multumesc foarte mult pentru raspunsul tau. O îmbrățișare și păstrează-o. William.
Un hacker nu este un criminal, dimpotrivă sunt persoane care îți spun că sistemele tale au erori și de aceea intră în sistemele tale pentru a te avertiza că sunt vulnerabile și să-ți spună cum le poți îmbunătăți. Nu confunda niciodată un hacker cu hoții de calculatoare.
Bună ziua aspros, nu credeți că hackerul este același cu "analist de securitate", un titlu oarecum obișnuit pentru persoanele care se dedică raportării dacă sistemele au erori, intră în sistemele dvs. pentru a vă spune că sunt vulnerabile și etc etc ... un adevărat hacker trece dincolo de simpla „meserie” din care își trăiește zi de zi, este mai degrabă o vocație care te îndeamnă să știi lucruri pe care marea majoritate a ființelor umane nu le vor înțelege niciodată și că cunoașterea oferă putere, iar aceasta va să fie folosit pentru a face atât fapte bune, cât și rele, în funcție de hacker.
Dacă căutați pe internet poveștile celor mai cunoscuți hackeri de pe planetă, veți descoperi că mulți dintre ei au comis „infracțiuni informatice” de-a lungul vieții, dar aceasta, mai degrabă decât să genereze o concepție greșită despre ceea ce poate sau nu poate fi un hacker, ar trebui să ne facă să ne gândim cât de mult avem încredere și ne predăm computerului. Hackerii adevărați sunt oameni care au învățat să nu se încredă în informatica obișnuită, deoarece îi cunosc limitele și neajunsurile și, cu aceste cunoștințe, pot „împinge” calm limitele sistemelor pentru a obține ceea ce își doresc, bine sau rău. Și oamenii „normali” se tem de oameni / programe (viruși) pe care nu le pot controla.
Și ca să spun adevărul, mulți hackeri au un concept prost de „analiști de securitate”, deoarece sunt dedicați utilizării instrumentelor pe care le creează pentru a obține bani, fără a crea instrumente noi, sau a investiga cu adevărat sau a contribui înapoi la comunitate ... doar trăind zi de zi spunând că sistemul X este vulnerabil la vulnerabilitatea X că Hackerul X a fost descoperit... Stilul script-kiddie ...
Vreun curs gratuit? Mai mult decât orice pentru începători, spun eu, în afară de acesta (ATENȚIE, abia am ajuns să DesdeLinux, deci nu m-am uitat la celelalte postări de securitate informatică, așa că nu știu cât de începători sau avansati sunt subiectele pe care le acoperă 😛)
În ceea ce priveşte
Această pagină este grozavă, are mult conținut, despre hacker trebuie să aveți un antivirus puternic pentru a nu fi piratat
https://www.hackersmexico.com/