Jag tror att den lilla frånvaron har varit värt det 🙂 Dessa dagar är jag mer upphetsad än någonsin att starta nya projekt och jag antar att jag snart kommer att ge dig nya nyheter om mina framsteg i Gentoo 🙂 Men det är inte dagens ämne.
Forensic Computing
För en tid sedan köpte jag en Forensic Computing-kurs, jag tycker det är väldigt intressant att känna till de förfaranden, åtgärder och motåtgärder som krävs för att kunna hantera digitala brott idag. Länder med väldefinierade lagar i detta avseende har blivit referenser i ämnet och många av dessa processer bör tillämpas globalt för att säkerställa adekvat informationshantering.
Brist på procedurer
Med tanke på hur komplexa attackerna är idag är det viktigt att överväga vilka konsekvenser bristen på säkerhetstillsyn av vår utrustning kan få. Detta gäller både stora företag och små eller medelstora företag, även på personlig nivå. Särskilt små eller medelstora företag där Nej det finns definierade förfaranden för hantering / lagring / transport av kritisk information.
"Hackaren" är inte dum
Ett annat särskilt frestande motiv för en "hackare" är små mängder, men varför? Låt oss föreställa oss detta scenario en sekund: Om jag lyckas "hacka" ett bankkonto, vilket belopp är mer slående: ett uttag på 10 tusen (din valuta) eller ett av 10? Uppenbarligen om jag granskar mitt konto och från ingenstans visas en uttag / försändelse / betalning på 10 tusen (din valuta), visas larmen, men om det har varit ett av tio, försvinner det kanske bland hundratals små betalningar. Efter denna logik kan man replikera 'hacket' på cirka 10 konton med lite tålamod, och med detta har vi samma effekt av de 100 10, utan larm som kan låta för det.
Affärsproblem
Antag nu att detta konto är vårt företags konto, mellan betalningar till arbetare, material, hyra, dessa betalningar kan gå förlorade på ett enkelt sätt, det kan till och med ta lång tid att hända utan att inse exakt vart eller hur pengarna går. Men detta är inte det enda problemet, antag att en "hackare" har kommit in på vår server, och nu har han inte bara tillgång till kontona som är anslutna till den, utan till varje fil (offentlig eller privat), till varje befintlig anslutning, kontroll över tiden som applikationerna körs eller den information som flyter igenom dem. Det är en ganska farlig värld när vi slutar tänka på det.
Vilka förebyggande åtgärder finns det?
Det här är ett ganska långt ämne, och faktiskt är det viktigaste alltid förhindra någon möjligheteftersom det är mycket bättre att undvika problemet innan det råkar behöva betala konsekvenserna av bristen på förebyggande. Och det är att många företag tror att säkerhet är föremål för 3 eller 4 revisioner år. Detta är inte bara overklig, men det är jämnt farligare att göra ingenting, eftersom det finns en falsk känsla av "säkerhet".
De "hackade" mig redan, vad nu?
Tja, om du bara lidit en framgångsrik attack Från en hacker, oberoende eller kontrakt, är det nödvändigt att känna till ett minimiprotokoll för åtgärder. Dessa är helt minimala, men de gör att du kan svara på ett exponentiellt mer effektivt sätt om det görs korrekt.
Typer av bevis
Det första steget är att känna till de drabbade datorerna och behandla dem som sådana, digitala bevis det går från servrarna till de skrivare som är ordnade i nätverket. En riktig "hacker" kan svänga genom dina nätverk med hjälp av sårbara skrivare, ja, du läste rätt. Det beror på att sådan firmware mycket sällan uppdateras, så du kan ha sårbar utrustning utan att ens märka den i flera år.
Som sådan är det nödvändigt inför en attack att ta hänsyn till det fler artefakter av den komprometterade kan vara viktiga bevis.
Första svararen
Jag kan inte hitta en korrekt översättning till termen, men första svararen han är i princip den första personen som kommer i kontakt med lagen. Många gånger den här personen det kommer inte att vara någon specialiserad och det kan vara en systemadministratör, ingenjör chef, även en gerente som är på plats just nu och inte har någon annan att svara på nödsituationen. På grund av detta är det nödvändigt att notera det ingen av dem är rätt för dig, men du måste veta hur du ska gå vidare.
Det finns två stater som ett lag kan vara med efter framgångsrik attack, och nu återstår bara att betona att a framgångsrik attack, förekommer vanligtvis efter många misslyckade attacker. Så om de redan har stulit din information beror det på att det inte finns någon protokoll för försvar och svar. Kommer du ihåg att förhindra? Nu är där den delen ger mest mening och vikt. Men hej, jag ska inte skrubba så mycket. Låt oss fortsätta.
Ett lag kan vara i två stater efter en attack, ansluten till internet o Utan anslutning. Detta är väldigt enkelt men viktigt, om en dator är ansluten till internet är den det RÅDANDE koppla bort den OMEDELBART. Hur kopplar jag bort den? Du måste hitta den första internetåtkomstroutern och ta bort nätverkskabeln, stäng inte av den.
Om laget var UTAN ANSLUTNING, vi står inför en angripare som har kompromissat fysiskt anläggningarna, i det här fallet hela det lokala nätverket äventyras och det är nödvändigt förseglar internetutgångar utan att ändra någon utrustning.
Inspektera utrustningen
Detta är enkelt, ALDRIG, NÅGONSIN, UNDER NÅGRA OMSTÄNDIGHETER, First Responder måste inspektera den eller de berörda utrustningarna. Det enda fallet där detta kan utelämnas (det händer nästan aldrig) är att First Responder är en person med specialutbildning för att reagera vid dessa tillfällen. Men för att ge dig en uppfattning om vad som kan hända i dessa fall.
Under Linux-miljöer
Antag att vår angripare Han har gjort en liten och obetydlig förändring av de behörigheter han fick i sin attack. Ändrat kommando ls beläget i /bin/ls med följande skript:
#!/bin/bash
rm -rf /
Nu om vi av misstag utför en enkel ls på den drabbade datorn kommer den att börja en självförstörelse av alla slags bevis, rengöra alla möjliga spår av utrustningen och förstöra alla möjligheter att hitta en skyldig.
Under Windows-miljöer
Eftersom logiken följer samma steg kan ändring av filnamn i system32 eller samma datorposter göra ett system oanvändbart och orsaka att information skadas eller förloras, bara den mest skadliga skadan som finns kvar för angriparens kreativitet.
Spela inte hjälte
Denna enkla regel kan undvika många problem och till och med öppna möjligheten för en seriös och verklig utredning i frågan. Det finns inget sätt att börja undersöka ett nätverk eller system om alla möjliga spår har raderats, men uppenbarligen måste dessa spår lämnas kvar. uppsåtlig, detta betyder att vi måste ha protokoll av säkerhet y I support. Men om den punkt nås där vi måste möta en attack verklig, nödvändigt SPELA INTE HELT, eftersom ett enda felaktigt drag kan orsaka fullständig förstörelse av alla slags bevis. Ursäkta mig för att jag upprepade det så mycket, men hur skulle jag inte kunna om denna faktor ensam kan göra skillnad i många av fallen?
Slutgiltiga tankar
Jag hoppas att den här lilla texten hjälper dig att få en bättre uppfattning om vad den är försvarare deras saker 🙂 Kursen är väldigt intressant och jag lär mig mycket om detta och många andra ämnen, men jag skriver redan mycket så vi ska lämna det för idag 😛 Snart kommer jag att ge dig nya nyheter om mina senaste aktiviteter. Skål,
Det jag anser vara av avgörande betydelse efter en attack snarare än att börja utföra kommandon är att inte starta om eller stänga av datorn, för såvida det inte är en ransomware sparar alla nuvarande infektioner data i RAM-minnet,
Och att ändra ls-kommandot i GNU / Linux till "rm -rf /" skulle inte komplicera någonting eftersom vem som helst med minimal kunskap kan återställa data från en raderad disk, jag skulle bättre ändra den till "shred -f / dev / sdX" som är lite mer professionell och kräver ingen bekräftelse som rm-kommandot som tillämpas på root
Hej Kra 🙂 tack så mycket för kommentaren, och mycket sant, många attacker är utformade för att hålla data i RAM medan den fortfarande körs. Det är därför en mycket viktig aspekt är att lämna utrustningen i samma tillstånd som den hittades, antingen på eller av.
När det gäller den andra skulle jag inte lita på så mycket 😛 speciellt om den som märker är en chef eller till och med någon medlem av IT som är i blandade miljöer (Windows och Linux) och "chefen" för Linux-servrarna hittades inte, när jag en gång såg hur ett fullständigt kontor förlamades eftersom ingen utom "experten" visste hur man startade Debians serverproxy ... 3 timmar förlorade på grund av en servicestart
Så jag hoppades kunna lämna ett exempel så enkelt att vem som helst kan förstå, men enligt dig finns det många mer sofistikerade saker som kan göras för att irritera de attackerade 😛
hälsningar
Vad skulle hända om det startade om med något annat än ransomware?
Tja, mycket av bevisen går förlorade chichero, i dessa fall, som vi har kommenterat, finns en stor del av kommandona eller '' virusen '' kvar i RAM medan datorn är påslagen vid tidpunkten för att starta om all information som kan bli avgörande. Ett annat element som går förlorat är de cirkulära loggarna, både av kärnan och av systemd, som innehåller information som kan förklara hur angriparen gjorde sitt drag på datorn. Det kan finnas rutiner som eliminerar tillfälliga utrymmen som / tmp, och om en skadlig fil hittades där är det omöjligt att återställa den. Kort sagt, tusen och ett alternativ att överväga, så det är helt enkelt bäst att inte flytta någonting om du inte vet exakt vad du ska göra. Hälsningar och tack för att ni delar 🙂
Om någon kan ha så mycket åtkomst på ett Linux-system som att ändra ett kommando för ett skript, på en plats som kräver root-rättigheter, snarare än handling, är det oroande att banor lämnades öppna för en person att göra det .
Hej Gonzalo, det här är också mycket sant, men jag lämnar en länk om det,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Som du kan se inkluderar topprankingen sårbarheter vid injektion, svag kontrollåtkomst och viktigast av allt, DÅLIGA KONFIGURATIONER.
Nu från detta är det klart följande, vilket är "normalt" idag, många människor konfigurerar inte sina program bra, många lämnar behörigheter som standard (root) på dem, och när de hittat är det ganska lätt att utnyttja saker som "förmodligen" de har redan "undvikits". 🙂
Nuförtiden bryr sig mycket få människor om själva systemet när applikationer ger dig tillgång till databasen (indirekt) eller åtkomst till systemet (till och med icke-root) eftersom du alltid kan hitta sättet att höja privilegierna när minimal åtkomst uppnås.
Hälsningar och tack för att ni delar 🙂
Mycket intressant ChrisADR, förresten: Vad är den säkerhetskurs du köpte och var kan du köpa den?
Hej Javilondo,
Jag köpte ett erbjudande på Stackskills [1], flera kurser kom i ett kampanjpaket när jag köpte det för några månader sedan, bland dem jag gör nu är en från cybertraining365 🙂 Mycket intressant faktiskt. Skål
[1] https://stackskills.com
Hälsningar, jag har följt dig ett tag och jag gratulerar dig för bloggen. Med respekt tror jag att titeln på den här artikeln inte är korrekt. Hackare är inte de som skadar system, det verkar viktigt att sluta associera ordet hackare med en cyberbrottsling eller någon som skadar. Hackare är motsatsen. Bara en åsikt. Hälsningar och tack. Guillermo från Uruguay.
Hej Guillermo 🙂
Tack så mycket för din kommentar och för gratulationerna. Jag delar din åsikt om det, och vad mer, jag tror att jag kommer att försöka skriva en artikel om detta ämne, eftersom som du väl nämnde, behöver en hacker inte nödvändigtvis vara en kriminell, men var försiktig med honom NÖDVÄNDIGT, jag tror att det här är ett ämne för en hel artikel 🙂 Jag lägger titeln så här för att även om många människor här läser redan har tidigare kunskaper om ämnet, finns det en bra del som inte har det, och kanske de bättre associera termen hacker med det (även om det inte borde vara så) men snart kommer vi att göra ämnet lite tydligare 🙂
Hälsningar och tack för delningen
Tack så mycket för ditt svar. En kram och fortsätt. William.
En hackare är inte en kriminell, det är tvärtom människor som säger att dina system har fel och det är därför de går in i dina system för att varna dig för att de är sårbara och berätta hur du kan förbättra dem. förväxla en hackare med datortjuvar.
Hej aspros, tro inte att hackare är detsamma som "säkerhetsanalytiker", en något vanlig titel för människor som är dedikerade till rapportering om system har fel, de kommer in i dina system för att berätta att de är sårbara och etc etc ... en sann Hacker går längre än bara den "handel" som han lever från dag till dag, det är snarare ett kall som uppmanar dig att veta saker som de allra flesta människor aldrig kommer att förstå, och att kunskap ger kraft, och detta kommer användas för att göra både bra och dåliga gärningar, beroende på hackaren.
Om du söker på internet efter berättelserna om de mest kända hackarna på planeten kommer du att upptäcka att många av dem begick "datorbrott" under hela sitt liv, men detta snarare än att skapa en missuppfattning om vad en hackare kan eller inte kan vara, det borde få oss att tänka på hur mycket vi litar på och överlämnar oss till dator. Verkliga hackare är människor som har lärt sig att misstro vanliga datorer, eftersom de känner till dess gränser och brister, och med den kunskapen kan de lugnt "skjuta" gränserna för systemen för att få vad de vill, bra eller dåligt. Och "normala" människor är rädda för människor / program (virus) som de inte kan kontrollera.
Och för att säga sanningen har många hackare ett dåligt begrepp som "säkerhetsanalytiker" eftersom de är dedikerade till att använda de verktyg de skapar för att få pengar, utan att skapa nya verktyg, eller verkligen undersöka eller bidra tillbaka till samhället ... Bara leva dag till dag säger att system X är sårbart för sårbarhet X det Hacker X upptäckte... Script-kiddie-stil ...
Någon gratis kurs? Mer än något annat för nybörjare, säger jag, förutom den här (AKTA, jag har precis kommit till DesdeLinux, så jag har inte tittat på de andra inläggen om datorsäkerhet, så jag vet inte hur nybörjare eller avancerade ämnena de tar upp är 😛)
hälsningar
Den här sidan är jättebra den har mycket innehåll, om hackaren måste du ha ett starkt antivirusprogram för att undvika att bli hackad
https://www.hackersmexico.com/