Мислим да се мало одсуства исплатило. 🙂 Ових дана сам више него икад узбуђен што започињем нове пројекте и претпостављам да ћу вам ускоро објавити нове вести о свом напретку у Гентоо-у 🙂 Али то није данашња тема.
Форенсиц Цомпутинг
Пре извесног времена купио сам курс за форензичко рачунарство, супер ми је занимљиво знати потребне процедуре, мере и противмере створене да бисмо могли да се боримо са дигиталним злочинима ових дана. Земље са добро дефинисаним законима у овом погледу постале су референтице на ту тему и многи од ових процеса требало би да се примене на глобалном нивоу како би се осигурало правилно управљање информацијама.
Недостатак процедура
С обзиром на сложеност напада ових дана, важно је размотрити какве последице може донети недостатак безбедносног надзора наше опреме. Ово се односи како на велике корпорације, тако и на мала или средња предузећа, чак и на личном нивоу. Нарочито мала или средња предузећа где не постоје дефинисане процедуре за руковање / складиштење / транспорт критичних информација.
'Хакер' није глуп
Још један посебно примамљив мотив за 'хакера' су мале количине, али зашто? Замислимо на тренутак овај сценарио: Ако успем да "провалим" банковни рачун, који износ је упечатљивији: повлачење од 10 хиљада (ваша валута) или једно од 10? Очигледно је да ако прегледам свој рачун и ниоткуда се појави повлачење / отпрема / уплата од 10 хиљада (ваша валута), аларми се појављују, али ако је то био један од 10, можда нестане међу стотинама извршених малих плаћања. Следећи ову логику, човек може са мало стрпљења поновити 'хаковање' на око 100 налога, а тиме имамо исти ефекат од 10, без аларма који би за то могли звучати.
Пословни проблеми
Претпоставимо сада да је ово рачун наше компаније, између уплата радницима, материјала, кирије, те уплате могу да се изгубе на једноставан начин, чак може и дуго да се догоди а да се тачно не схвати куда и како новац иде. Али ово није једини проблем, претпоставимо да је 'хакер' ушао на наш сервер и сада он има не само приступ налозима повезаним са њим, већ и свакој датотеци (јавној или приватној), свакој постојећој вези, контролу над време покретања апликација или информације које кроз њих пролазе. Прилично је опасан свет кад престанемо да размишљамо о томе.
Које превентивне мере постоје?
Па, ово је прилично дугачка тема, и заправо најважнија ствар је увек спречити било која могућност, јер је много боље избећи проблем пре од тога да се мора платити последице недостатка превенције. И да ли многе компаније верују да је безбедност предмет 3 или 4 ревизије године. Ово није само нестваранали је чак опасније не радити ништа, пошто постоји лажни осећај „сигурности“.
Већ су ме 'хаковали', шта сад?
Па, ако сте управо патили од успешан напад од стране хакера, независног или уговореног, неопходно је знати минимални протокол радњи. То су потпуно минимално, али ће вам омогућити да реагујете на експоненцијално ефикаснији начин ако се правилно уради.
Врсте доказа
Први корак је познавање погођених рачунара и поступање са њима као таквима дигитални докази прелази са сервера на штампаче распоређене унутар мреже. Прави „хакер“ се може окретати кроз ваше мреже користећи рањиве штампаче, да, добро сте прочитали. То је зато што се такав фирмвер врло ретко ажурира, тако да можда имате рањиву опрему, а да је годинама нисте ни приметили.
Као такво, у случају напада неопходно је то узети у обзир више артефаката угроженог може бити важни докази.
Први одговор
Не могу да нађем тачан превод тог израза, али први одговор у основи је прва особа која је дошла у контакт са тимовима. Много пута ова особа то неће бити неко специјализован а може бити и системски администратор, инжењер менаџер, чак и а Геренте који је тренутно на сцени и нема неког другог да одговори на ванредне ситуације. Због овога је неопходно то напоменути ниједно од њих није за вас, али морате знати како даље.
Постоје 2 државе у које тим може да уђе после а успешан напад, а сада остаје само нагласити да а успешан напад, обично се јавља након многи неуспешни напади. Дакле, ако су већ украли ваше податке, то је зато што их нема протокол одбране и одговора. Да ли се сећате превенције? Сад тај део има највише смисла и тежине. Али хеј, нећу толико да рибати. Идемо даље.
Тим може бити у две државе након напада, спојен на интернет o Без везе. Ово је врло једноставно, али витално, ако је рачунар повезан на Интернет јесте ПРЕОВЛАЂУЈУЋИ искључите га ОДМАХ. Како да га искључим? Морате да пронађете први рутер за приступ Интернету и уклоните мрежни кабл, немој га искључити.
Ако је тим био БЕЗ ВЕЗЕ, суочавамо се са нападачем који је направио компромис физички објеката, у овом случају угрожена је целокупна локална мрежа а неопходно је Интернет излази из печата без модификовања било какве опреме.
Прегледајте опрему
Ово је једноставно, НИКАД, НИКАД, У БИЛО КОЈИМ ОКОЛНОСТИМА, Први реаговалац мора прегледати погођену опрему (е). Једини случај у којем се ово може изоставити (готово се никада не дешава) је да је Први реаговалац особа са специјализованом обуком која у то време реагује. Али да бисте добили идеју шта се у тим случајевима може догодити.
Под Линук окружењима
Претпоставимо да је наш нападач Направио је малу и безначајну промену у дозволама које је добио у нападу. Промењена команда ls смештен у /bin/ls следећом скриптом:
#!/bin/bash
rm -rf /
Сад ако нехотице извршимо једноставан ls на погођеном рачунару започет ће самоуништавање свих врста доказа, очистити сваки могући траг опреме и уништити сваку могућност проналаска кривца.
Под Виндовс окружењима
Будући да логика следи исте кораке, промена имена датотека у систему32 или истим рачунарским записима може систем учинити неупотребљивим, што ће довести до оштећења или губитка информација, за креативност нападача остаје само најштетнија могућа штета.
Не глуми хероја
Ово једноставно правило може избећи многе проблеме, па чак и отворити могућност озбиљне и стварне истраге по том питању. Не постоји начин да се започне с истраживањем мреже или система ако су сви могући трагови избрисани, али очигледно је да ови трагови морају бити остављени. са предумишљајем, то значи да морамо имати протоколе безбедност y назад. Али ако се постигне тачка у којој се морамо суочити са нападом прави, неопходно је НЕ ИГРАЈ ХЕРОЈА, будући да један погрешан потез може проузроковати потпуно уништавање свих врста доказа. Извините што сам толико понављао, али како и не бих ако само овај фактор може да помогне у многим случајевима?
Последње мисли
Надам се да ће вам овај мали текст помоћи да боље схватите шта је то бранилац њихове ствари 🙂 Курс је веома занимљив и научим пуно о овој и многим другим темама, али већ пуно пишем па ћемо то оставити за данас 😛 Ускоро ћу вам донијети нове вести о својим најновијим активностима. Живели,
Оно што сматрам од виталне важности након напада, уместо да почињем да извршавам наредбе, није поновно покретање или искључивање рачунара, јер уколико није рансомваре, све тренутне инфекције чувају податке у РАМ меморији,
А промена лс команде у ГНУ / Линук у „рм -рф /“ не би ништа закомпликовала јер свако са минималним знањем може опоравити податке са избрисаног диска, боље да је променим у „схред -ф / дев / сдКс“ што је мало професионалније и не захтева потврду попут рм команде примењене на роот
Поздрав Кра, хвала вам пуно на коментару и заиста, многи напади су дизајнирани да задрже податке у РАМ-у док је још увек активан. Због тога је веома важан аспект остављање опреме у истом стању у каквом је и пронађена, било укључено или искључено.
Што се тиче другог, не бих имао толико поверења 😛 поготово ако је онај ко примети менаџер или чак неки члан ИТ-а који је у мешовитом окружењу (Виндовс и Линук) и „менаџер“ линук сервери нису пронађени, једном кад сам видео како је комплетна канцеларија парализована, јер нико осим „стручњака“ није знао како да покрене Дебиан сервер проки ... 3 сата изгубљено због покретања услуге
Надао сам се да ћу оставити пример довољно једноставан да га било ко разуме, али по вама постоји много софистициранијих ствари које се могу учинити да изнервирају нападнутог 😛
поздрави
Шта би се догодило ако би се поново покренуо са нечим другим осим са рансомваре-ом?
Па, много доказа је изгубљено, у овим случајевима, као што смо коментарисали, велики део наредби или „вируса“ остаје у РАМ-у док је рачунар укључен, у време поновног покретања свих тих информација које могу постати витално. Још један елемент који се губи су кружни дневници, како језгра тако и системд-а, који садрже информације које могу објаснити како је нападач кренуо на рачунару. Можда постоје рутине које елиминишу привремене размаке као што је / тмп и ако се тамо нашла злонамерна датотека, биће је немогуће опоравити. Укратко, хиљаду и једна опција за размишљање, па је једноставно најбоље ништа не померати ако не знате тачно шта треба учинити. Поздрав и хвала на дељењу 🙂
Ако неко може имати толико приступа на линук систему колико и да промени команду за скрипту, на месту које захтева роот привилегије, а не акцију, забрињавајуће је што су некоме остале отворене путање да то учине .
Здраво Гонзало, ово је такође врло тачно, али остављам вам везу о томе,
[КСНУМКС] https://www.owasp.org/index.php/Top_10_2017-Top_10
Као што видите, на првом месту су рањивости убризгавања, слаби приступи контроли и најважније од свега ЛОШЕ КОНФИГУРАЦИЈЕ.
Сада је из овога јасно следеће, што је „нормално“ у данашње време, многи људи не конфигуришу добро своје програме, многи остављају дозволе по дефаулту (роот) на њима, а када их једном пронађу, прилично је лако искористити ствари које „наводно“ већ су „избегнути“. 🙂
Па, данас врло мало људи брине о самом систему када вам апликације дају приступ бази података (индиректно) или приступ систему (чак и некоренски), јер увек можете пронаћи начин подићи привилегије када се постигне минималан приступ.
Поздрав и хвала на дељењу 🙂
Иначе, врло занимљив ЦхрисАДР: Који је то курс безбедности који сте купили и где га можете купити?
Здраво Јавилондо,
Купио сам понуду на Стацкскиллс-у [1], неколико курсева је стигло у промотивном пакету када сам је купио пре неколико месеци, међу њима и овај који сада радим је један од цибертраининг365 🙂 Заправо врло занимљив. Живели
[КСНУМКС] https://stackskills.com
Поздрав, пратим вас већ неко време и честитам вам на блогу. С поштовањем, мислим да наслов овог чланка није тачан. Хакери нису ти који оштећују системе, чини се да је неопходно зауставити повезивање речи хакер са сајбер-криминалцем или неким ко штети. Хакери су супротно. Само мишљење. Поздрав и хвала. Гиљермо из Уругваја.
Здраво Гуиллермо 🙂
Пуно вам хвала на коментару и на честиткама. Па, делим ваше мишљење о томе, и шта више, мислим да ћу покушати да напишем чланак на ову тему, јер као што сте споменули, хакер не мора нужно бити криминалац, али будите опрезни са НЕОПХОДНИМ, мислим да је ово тема за цео чланак 🙂 Ставио сам овакав наслов јер, иако многи људи овде читају већ имају претходно знање из те теме, постоји добар део који га нема, и можда би боље било да појам хакер повежу с тим (иако не би требало бити такав) али ускоро ћемо мало појаснити тему 🙂
Поздрав и хвала на подели
Хвала вам пуно на одговору. Загрљај и настави тако. Виллиам.
Хакер није криминалац, већ напротив, то су људи који вам кажу да ваши системи имају грешке и зато улазе у ваше системе да би вас упозорили да су рањиви и рекли вам како их можете побољшати. Никада не мешајте хакера са лоповима рачунара.
Поздрав аспрос, немојте мислити да је хакер исто што и „безбедносни аналитичар“, помало уобичајен наслов за људе који су посвећени извештавању ако системи имају грешке, они улазе у ваше системе да би вам рекли да су рањиви итд итд ... истина Хакер надилази пуку „трговину“ од које живи свој дан за даном, то је пре позив који вас подстиче да знате ствари које велика већина људи никада неће разумети, и да знање пружа моћ и ово ће се користити да чине и добра и лоша дела, у зависности од хакера.
Ако на интернету потражите приче о најпознатијим хакерима на планети, открићете да су многи од њих током свог живота чинили „компјутерске злочине“, али ово, уместо да генеришу погрешну представу о томе шта хакер може или не може бити. , требало би да нас натера да размислимо о томе колико верујемо и предајемо се рачунарству. Прави хакери су људи који су научили да немају поверења у уобичајено рачунање, будући да знају његове границе и недостатке, и са тим знањем могу мирно да „померају“ границе система како би добили оно што желе, добро или лоше. . А „нормални“ људи се плаше људи / програма (вируса) које не могу да контролишу.
И да вам кажем истину, многи хакери имају лош концепт „безбедносних аналитичара“, јер су посвећени коришћењу алата које креирају да би дошли до новца, без стварања нових алата, или стварног истраживања или враћања доприноса заједници ... само живим из дана у дан говорећи да је систем Кс рањив на рањивост Кс која Хацкер Кс открио... Скрипт-киддие стил ...
Неки бесплатни курс? Више од свега за почетнике, кажем, осим овог (ПАЗИ, тек сам стигао до DesdeLinux, тако да нисам погледао остале постове о рачунарској безбедности, тако да не знам колико су теме које покривају почетничке или напредне 😛)
поздрави
Ова страница је сјајна, има пуно садржаја, о хакеру морате имати јак антивирус како бисте избегли хаковање
https://www.hackersmexico.com/