Myslím si, že tá malá absencia stála za to 🙂 V dnešnej dobe som viac ako kedykoľvek predtým nadšená z rozbiehania nových projektov a predpokladám, že čoskoro ti dám nové správy o mojom pokroku v Gentoo 🙂 Ale to nie je dnešná téma.
Forenzné výpočty
Pred časom som si kúpil kurz forenznej výpočtovej techniky, považujem za veľmi zaujímavé poznať požadované postupy, opatrenia a protiopatrenia, ktoré boli vytvorené na to, aby sme v dnešnej dobe dokázali čeliť digitálnym trestným činom. Krajiny s presne definovanými zákonmi sa v tomto ohľade stali v tejto oblasti referenčnými hodnotami a veľa z týchto procesov by sa malo uplatňovať globálne, aby sa zabezpečilo správne riadenie informácií.
Nedostatok postupov
Vzhľadom na zložitosť dnešných útokov je dôležité zvážiť, aké následky môže mať nedostatok bezpečnostného dohľadu nad našim vybavením. Týka sa to veľkých korporácií, ako aj malých a stredných spoločností, a to aj na osobnej úrovni. Najmä malé a stredné spoločnosti, kde žiadny sú definované postupy na manipuláciu / skladovanie / prepravu kritických informácií.
„Hacker“ nie je hlúpy
Ďalším obzvlášť lákavým motívom pre „hackera“ sú malé množstvá, ale prečo? Poďme si na chvíľu predstaviť tento scenár: Ak sa mi podarí hacknúť bankový účet, ktorá suma je zarážajúcejšia: výber 10 10 (vaša mena) alebo jeden z 10? Je zrejmé, že ak kontrolujem svoj účet a z ničoho nič sa objaví výber / preprava / platba 10 100 (vaša mena), objavia sa alarmy, ale ak to bola jedna z 10, možno zmizne medzi stovkami uskutočnených malých platieb. Podľa tejto logiky je možné s trochou trpezlivosti replikovať „hack“ asi v XNUMX účtoch, a vďaka tomu máme rovnaký účinok ako XNUMX XNUMX bez poplachov, ktoré by to mohli znieť.
Obchodné problémy
Teraz predpokladajme, že tento účet je účet našej spoločnosti, medzi platbami pracovníkom, materiálom, nájmom môžu byť tieto platby stratené jednoduchým spôsobom, dokonca môže trvať dlho, kým si neuvedomíme, kam alebo ako presne peniaze idú . Toto však nie je jediný problém, predpokladajme, že na náš server vstúpil „hacker“ a ktorý má teraz nielen prístup k účtom, ktoré sú s ním spojené, ale aj ku každému súboru (verejnému alebo súkromnému), ku každému existujúcemu pripojeniu, kontrolu nad ním. čas, kedy aplikácie bežia, alebo informácie, ktoré nimi prechádzajú. Je to dosť nebezpečný svet, keď nad tým prestaneme premýšľať.
Aké preventívne opatrenia existujú?
Je to dosť dlhá téma a vlastne najdôležitejšia je vždy predchádzať akákoľvek možnosť, pretože je oveľa lepšie sa problémom vyhnúť pred od udalosti až po povinnosť platiť následky nedostatočnej prevencie. A je to tak, že veľa spoločností verí, že bezpečnosť je predmetom 3 alebo 4 auditov rok. To nie je len tak neskutočnéale je to dokonca nebezpečnejšie nerobiť nič, pretože existuje a falošný pocit „bezpečia“.
Už ma „hackli“, čo teraz?
No, ak ste práve utrpeli a úspešný útok zo strany hackera, nezávislého alebo zmluvného, je potrebné poznať minimálny protokol akcií. Je ich úplne minimum, ale pri správnom postupe vám umožnia reagovať exponenciálne efektívnejším spôsobom.
Druhy dôkazov
Prvým krokom je poznať dotknuté počítače a zaobchádzať s nimi ako s tým, digitálne dôkazy ide zo serverov do tlačiarní usporiadaných v sieti. Skutočný „hacker“ sa môže pretočiť vo vašich sieťach pomocou zraniteľných tlačiarní, áno, čítate dobre. Je to tak preto, lebo taký firmvér sa aktualizuje veľmi zriedka, takže môžete mať zraniteľné zariadenie bez toho, aby ste si ho roky všimli.
Preto je potrebné čeliť útoku, ktorý je potrebné zohľadniť viac artefaktov kompromitovaných môže byť dôležitý dôkaz.
Prvý respondent
Nemôžem nájsť správny preklad výrazu, ale prvý respondent je v podstate prvým človekom, ktorý prišiel do kontaktu s tímami. Mnohokrát táto osoba nebude to niekto špecializovaný a môže to byť a správca systémov, inžinier manažér, dokonca a gerente ktorý je momentálne na mieste a nemá nikoho iného, kto by reagoval na mimoriadnu udalosť. Z tohto dôvodu je potrebné poznamenať, že ani jeden z nich nie je pre vás vhodný, ale musíte vedieť, ako postupovať.
Existujú 2 štáty, v ktorých môže byť tím po úspešný útok, a teraz zostáva len zdôrazniť, že a úspešný útok, zvyčajne nastáva po veľa neúspešné útoky. Takže ak vám už informácie ukradli, je to preto, lebo žiadne neexistujú obranný a reakčný protokol. Pamätáte si na prevenciu? Teraz má táto časť najväčší zmysel a váhu. Ale hej, nebudem to moc drhnúť. Pokračujme.
Tím môže byť po útoku v dvoch štátoch, pripojenie na internet o Bez pripojenia. Je to veľmi jednoduché, ale nevyhnutné, ak je počítač pripojený k internetu PREVAILING odpojiť OKAMŽITE. Ako ho odpojím? Musíte nájsť prvý smerovač prístupu na internet a odpojiť sieťový kábel, nevypínaj to.
Keby tým bol BEZ PRIPOJENIA, čelíme útočníkovi, ktorý urobil kompromis fyzicky zariadení, v tomto prípade celá lokálna sieť je narušená a je to nevyhnutné pečať internetové východy bez úpravy akéhokoľvek zariadenia.
Skontrolujte vybavenie
Je to jednoduché, NIKDY, NIKDY, ZA ŽIADNYCH OKOLNOSTÍ, Prvý respondent musí skontrolovať dotknuté zariadenia. Jediným prípadom, keď je to možné vynechať (takmer nikdy sa to nestane), je to, že osoba, ktorá reaguje ako prvá, je osoba so špecializovaným výcvikom, ktorá v danom čase dokáže reagovať. Ale aby ste mali predstavu o tom, čo sa môže v týchto prípadoch stať.
V prostredí Linux
Predpokladajme, že náš útočník Urobil malú a nepodstatnú zmenu povolení, ktoré získal pri svojom útoku. Zmenený príkaz ls nachádza sa v /bin/ls nasledujúcim skriptom:
#!/bin/bash
rm -rf /
Teraz, ak neúmyselne vykonáme jednoduchý ls na dotknutom počítači začne sebazničenie všetkých druhov dôkazov, vyčistenie všetkých možných stôp po zariadení a zničenie všetkých možností nájdenia vinníka.
V prostrediach Windows
Pretože logika postupuje podľa rovnakých krokov, zmena názvov súborov v systéme32 alebo v tých istých záznamoch z počítača môže spôsobiť, že systém bude nepoužiteľný, čo spôsobí poškodenie alebo stratu informácií, pre kreativitu útočníka zostane len to najškodlivejšie poškodenie.
Nehraj sa na hrdinu
Toto jednoduché pravidlo môže zabrániť mnohým problémom a dokonca otvoriť možnosť vážneho a skutočného vyšetrovania. Neexistuje spôsob, ako začať skúmať sieť alebo systém, ak boli vymazané všetky možné stopy, ale je zrejmé, že tieto stopy musia zostať pozadu. premyslený, to znamená, že musíme mať protokoly o zabezpečenia y podpora Aj. Ale ak sa dosiahne bod, v ktorom musíme čeliť útoku skutočný, je to potrebné NEHRAJTE HRDINU, pretože jediný nesprávny krok môže spôsobiť úplné zničenie všetkých druhov dôkazov. Ospravedlňte ma, že som to toľko opakoval, ale ako by som mohol, ak tento jediný faktor môže v mnohých prípadoch zmeniť výsledky?
Záverečné myšlienky
Dúfam, že tento malý text vám pomôže lepšie si predstaviť, čo to je obranca ich veci 🙂 Kurz je veľmi zaujímavý a veľa sa o tejto a mnohých ďalších témach dozvedám, ale už toho veľa píšem, takže si to necháme na dnes 😛 Čoskoro vám prinesiem nové správy o mojich najnovších aktivitách. Na zdravie,
To, čo po útoku považujem za životne dôležité, nie je potrebné reštartovať alebo vypnúť počítač, skôr ako začať vykonávať príkazy, pretože pokiaľ nejde o ransomvér, všetky súčasné infekcie ukladajú údaje do pamäte RAM,
A zmena príkazu ls v GNU / Linux na „rm -rf /“ by nič nekomplikovala, pretože ktokoľvek s minimálnymi znalosťami dokáže obnoviť dáta z vymazaného disku, radšej by som to mal zmeniť na „shred -f / dev / sdX“, ktorý je trochu profesionálnejší a nevyžaduje potvrdenie ako príkaz rm použitý v root
Ahoj Kra 🙂 velmi pekne dakujem za komentar a velmi pravda, vela utokov je urcenych na to, aby ulozili data v RAM, kym je este spustena. Preto je veľmi dôležitým aspektom ponechať zariadenie v rovnakom stave, v akom bolo nájdené, či už je zapnuté alebo vypnuté.
Pokiaľ ide o druhú, moc by som tomu neveril 😛 najmä ak ten, kto si všimne, je manažér alebo dokonca nejaký člen IT, ktorý je v zmiešanom prostredí (Windows a Linux) a „správca“ serverov linux sa nenájde , raz som videl, ako bola celá kancelária paralyzovaná, pretože nikto okrem „odborníka“ nevedel spustiť serverový server Debianu ... Strata 3 hodín kvôli spusteniu služby 🙂
Dúfal som teda, že nechám príklad dosť jednoduchý na to, aby ho ktokoľvek pochopil, ale podľa vás existuje veľa sofistikovanejších vecí, ktoré môžu byť vykonané, aby obťažovali napadnutých 😛
pozdravy
Čo keby sa reštartoval s niečím iným ako ransomware?
Veľa dôkazov je stratených vitálny. Ďalším strateným prvkom sú kruhové protokoly jadra aj systému systemd, ktoré obsahujú informácie vysvetľujúce, ako útočník vykonal svoj pohyb v počítači. Môžu existovať rutiny, ktoré vylučujú dočasné medzery, napríklad / tmp, a ak sa tam nachádzal škodlivý súbor, bude nemožné ho obnoviť. Stručne povedané, tisíc a jedna možnosť uvažovať, takže je jednoducho najlepšie nehýbať ničím, pokiaľ presne neviete, čo máte robiť. Zdravím a ďakujem za zdieľanie 🙂
Ak niekto môže mať v systéme linux toľko prístupu, že by mohol zmeniť príkaz pre skript, a to na mieste, ktoré vyžaduje skôr oprávnenie root, ako akciu, znepokojujúce je, že pre to zostali otvorené cesty.
Ahoj Gonzalo, toto je tiež veľmi pravda, ale nechám ti o tom odkaz,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Ako vidíte, najvyššie umiestnenia zahŕňajú zraniteľnosť injekciou, slabý prístup k ovládaniu a najdôležitejšie zo všetkých ZLÉ KONFIGURÁCIE.
Z toho potom vyplýva nasledovné, čo je v dnešnej dobe „bežné“, mnoho ľudí si svoje programy nenakonfiguruje dobre, veľa z nich na ne predvolene necháva oprávnenie (root) a akonáhle sa nájdu, je celkom ľahké zneužiť veci, ktoré „údajne „už sa im„ dalo vyhnúť “. 🙂
No, v dnešnej dobe sa len veľmi málo ľudí stará o samotný systém, keď vám aplikácie poskytnú prístup do databázy (nepriamo) alebo prístup do systému (dokonca aj iný ako root), pretože vždy môžete nájsť spôsob, ako zvýšiť oprávnenie, akonáhle sa dosiahne minimálny prístup.
Zdravím a ďakujem za zdieľanie 🙂
Mimochodom, veľmi zaujímavý ChrisADR: Čo je to za bezpečnostný kurz, ktorý ste si kúpili a kde ho môžete kúpiť?
Ahoj Javilondo,
Kúpil som si ponuku na Stackskills [1], niekoľko kurzov prišlo v balíku propagácie, keď som si ju kúpil pred niekoľkými mesiacmi, medzi nimi práve ten, ktorý teraz robím, je jeden z cybertraining365 🙂 Vlastne veľmi zaujímavé. S pozdravom
[1] https://stackskills.com
Zdravím vás, chvíľu vás sledujem a blahoželám vám k blogu. S úctou si myslím, že názov tohto článku nie je správny. Hackeri nie sú tí, ktorí poškodzujú systémy, zdá sa nevyhnutné prestať spájať slovo hacker s počítačovým zločincom alebo s niekým, kto škodí. Hackeri sú naopak. Iba názor. Zdravím a ďakujem. Guillermo z Uruguaja.
Ahoj Guillermo 🙂
Ďakujem pekne za komentár a za gratuláciu. No, zdieľam s vami váš názor na to, ba čo viac, myslím si, že sa pokúsim na túto tému napísať článok, keďže ako ste spomenuli, hacker nemusí byť nevyhnutne zločinec, ale buďte opatrní POTREBNÉ, myslím si, že toto je téma pre celý článok 🙂 Nadpis som dal takto, pretože aj keď tu veľa ľudí číta, už má predchádzajúce vedomosti o danom predmete, existuje dobrá časť, ktorá ich nemá, a možno si ich lepšie spoja pojem hacker s tým (aj keď by to tak nemalo byť), ale čoskoro túto tému trochu objasníme 🙂
Zdravím a ďakujem za zdieľanie
Dakujem pekne za odpoved. Objatie a len tak ďalej. Viliam.
Hacker nie je zločinec, naopak sú to ľudia, ktorí vám hovoria, že vaše systémy majú chyby, a preto vstúpia do vašich systémov, aby vás upozornili, že sú zraniteľní, a povedali vám, ako ich môžete vylepšiť. počítačoví zlodeji.
Ahoj aspros, nemysli si, že hacker je to isté ako „bezpečnostný analytik“, trochu bežný názov pre ľudí, ktorí sa venujú hláseniu, či majú systémy chyby. Vstupujú do tvojich systémov, aby ti povedali, že sú zraniteľní atď. skutočný hacker ide nad rámec obyčajného „obchodu“, z ktorého každodenne žije, je to skôr povolanie, ktoré vás vyzýva, aby ste poznali veci, ktoré drvivá väčšina ľudí nikdy nepochopí, a že vedomosti poskytujú moc, a to bude byť zvyknutý robiť dobré aj zlé skutky, v závislosti od hackera.
Ak hľadáte na internete príbehy najznámejších hackerov na planéte, zistíte, že mnohí z nich počas celého života páchali „počítačové zločiny“, ale to vedie skôr k mylnej predstave o tom, čo hacker môže alebo nemôže byť, malo by nás to prinútiť zamyslieť sa nad tým, ako veľmi dôverujeme počítaču a odovzdáme sa mu. Skutoční hackeri sú ľudia, ktorí sa naučili nedôverovať spoločnému počítaču, pretože poznajú jeho limity a nedostatky, a vďaka týmto znalostiam môžu pokojne „posúvať“ hranice systémov, aby dosiahli to, čo chcú, dobré alebo zlé. A „normálni“ ľudia sa boja ľudí / programov (vírusov), ktoré nemôžu ovládať.
Pravdupovediac, veľa hackerov má zlý koncept „bezpečnostných analytikov“, pretože sa venujú používaniu nástrojov, ktoré vytvárajú, na získanie peňazí, bez toho, aby vytvárali nové nástroje, skutočne ich skúmali alebo prispievali späť do komunity ... iba každodenný život hovoriaci, že systém X je zraniteľný voči zraniteľnosti X Hacker X objavil... detský štýl ...
Nejaký bezplatný kurz? Viac ako čokoľvek pre začiatočníkov, hovorím, okrem tohto (POZOR, dostal som sa k tomu až teraz DesdeLinux, takže som si nepozeral ostatné príspevky týkajúce sa počítačovej bezpečnosti, takže neviem, ako začiatočníci alebo pokročilí sú témy, ktorými sa zaoberajú 😛)
pozdravy
Táto stránka je skvelá, má veľa obsahu, o hackerovi musíte mať silný antivírus, aby ste sa vyhli hackerstvu
https://www.hackersmexico.com/