Sa palagay ko ang maliit na kawalan ay sulit: 🙂 Sa mga araw na ito ay mas nasasabik akong magsimula ng mga bagong proyekto at sa palagay ko malapit na akong bibigyan ka ng bagong balita tungkol sa aking pag-unlad sa Gentoo 🙂 Ngunit hindi ito ang paksang ngayon.
Forensic Computing
Ilang oras ang nakakaraan bumili ako ng isang kurso na Forensic Computing, nakita kong sobrang kawili-wiling malaman ang mga kinakailangang pamamaraan, hakbang at countermeasure na nilikha upang makitungo sa mga digital na krimen sa mga panahong ito. Ang mga bansang may mahusay na natukoy na mga batas hinggil dito ay naging mga sanggunian sa paksa at marami sa mga proseso na ito ay dapat na mailapat sa buong mundo upang matiyak ang sapat na pamamahala ng impormasyon.
Kakulangan ng mga pamamaraan
Dahil sa pagiging kumplikado ng mga pag-atake sa mga panahong ito, mahalagang isaalang-alang kung anong mga kahihinatnan ang maaaring magdala ng kawalan ng pangangasiwa ng seguridad ng aming kagamitan. Nalalapat ito sa parehong malalaking mga korporasyon at maliliit o katamtamang sukat ng mga kumpanya, kahit na sa isang personal na antas. Lalo na ang maliliit o katamtamang sukat ng mga kumpanya kung saan hindi mayroong tinukoy na mga pamamaraan para sa paghawak / pag-iimbak / transportasyon ng kritikal na impormasyon.
Ang 'hacker' ay hindi bobo
Ang isa pang lalo na nakakaakit na motibo para sa isang hacker ay maliit na halaga, ngunit bakit? Isipin natin ang senaryong ito para sa isang segundo: Kung pinamamahalaan ko ang 'pag-hack' ng isang bank account, aling halaga ang mas kapansin-pansin: isang pag-atras ng 10 libo (iyong pera) o isa sa 10? Malinaw na kung sinusuri ko ang aking account at wala kahit saan lumilitaw ang isang pag-withdraw / pagpapadala / pagbabayad na 10 libo (iyong pera), lilitaw ang mga alarma, ngunit kung ito ay isa sa 10, marahil ay nawala ito sa daan-daang maliliit na bayad na nabayaran. Kasunod sa lohika na ito, maaaring kopyahin ng isa ang 'hack' sa halos 100 mga account na may kaunting pasensya, at sa ito mayroon kaming parehong epekto ng 10, nang walang mga alarma na maaaring tunog para sa na.
Mga problema sa negosyo
Ngayon, ipagpalagay na ang account na ito ay sa aming kumpanya, sa pagitan ng mga pagbabayad sa mga manggagawa, materyales, renta, ang mga pagbabayad na ito ay maaaring mawala sa isang simpleng paraan, maaari pa rin silang tumagal ng mahabang panahon upang mangyari nang hindi napagtanto nang eksakto kung saan o paano ang pera. Ngunit hindi lamang ito ang problema, ipagpalagay na ang isang 'hacker' ay pumasok sa aming server, at ngayon hindi lamang siya may access sa mga account na konektado dito, ngunit sa bawat file (pampubliko o pribado), sa bawat umiiral na koneksyon, kontrol sa ang oras na tumatakbo ang mga application o ang impormasyong dumadaloy sa kanila. Ito ay isang mapanganib na mundo kapag huminto tayo upang isipin ito.
Ano ang mga hakbang sa pag-iwas doon?
Sa gayon, ito ay isang mahabang mahabang paksa, at talagang ang pinakamahalagang bagay ay palagi pigilan anumang posibilidad, dahil mas mahusay na iwasan ang problema bago mula sa nangyayari hanggang sa kailangang magbayad ng mga kahihinatnan ng kawalan ng pag-iwas. At ang maraming mga kumpanya ay naniniwala na ang seguridad ay isang paksa ng 3 o 4 na pag-audit taon. Hindi lang ito hindi totoongunit ito ay pantay mas mapanganib na walang magawa, yamang mayroong maling pakiramdam ng 'seguridad'.
Na-'hack' na nila ako, ngayon ano?
Kaya, kung nagdusa ka lang a matagumpay na atake sa bahagi ng isang hacker, independiyente o nakakontrata, kinakailangang malaman ang isang minimum na protokol ng mga pagkilos. Ang mga ito ay ganap na minimal, ngunit papayagan ka nilang tumugon sa isang exponentially mas epektibo na paraan kung tapos nang tama.
Mga uri ng katibayan
Ang unang hakbang ay upang malaman ang mga apektadong computer, at tratuhin ang mga ito tulad ng, ang digital na katibayan pupunta ito mula sa mga server sa mga printer na nakaayos sa loob ng network. Ang isang tunay na 'hacker' ay maaaring mag-pivot sa pamamagitan ng iyong mga network gamit ang mga mahina na printer, oo, tama mong nabasa iyon. Ito ay dahil ang naturang firmware ay napaka-bihirang nai-update, kaya maaari kang magkaroon ng mga mahina na kagamitan nang hindi kahit na napansin ito sa loob ng maraming taon.
Tulad ng naturan, kinakailangan sa harap ng isang pag-atake upang isaalang-alang iyon mas maraming artifact ng nakompromiso ay maaaring maging mahalagang ebidensya.
Unang tumugon
Hindi ako makahanap ng tamang pagsasalin sa term, ngunit ang unang tumugon siya talaga ang unang tao na makipag-ugnay sa mga koponan. Maraming beses sa taong ito hindi ito magiging dalubhasa ng isang tao at maaari itong maging a system administrator, isang engineer manager, kahit a gerente na nasa eksena sa ngayon at walang ibang tao upang tumugon sa emergency. Dahil dito, kinakailangang tandaan iyon wala sa kanila ang tama para sa iyo, ngunit dapat mong malaman kung paano magpatuloy.
Mayroong 2 estado na ang isang koponan ay maaaring makapasok pagkatapos ng a matagumpay na atake, at ngayon nananatili lamang ito upang bigyang-diin na a matagumpay na atake, karaniwang nangyayari pagkatapos marami hindi matagumpay na pag-atake. Kaya kung ninakaw na nila ang iyong impormasyon, ito ay dahil wala proteksyon sa pagtatanggol at tugon. Naaalala mo ba ang tungkol sa pag-iwas? Ngayon ay kung saan ang bahaging iyon ay may pinaka-kahulugan at bigat. Ngunit hey, hindi ko na masyadong scrub iyon. Magpatuloy tayo.
Ang isang koponan ay maaaring nasa dalawang estado pagkatapos ng pag-atake, konektado sa internet o Nang walang koneksyon. Ito ay napaka-simple ngunit mahalaga, kung ang isang computer ay konektado sa internet ito ay NANANAIG idiskonekta ito AGAD. Paano ko ito ididiskonekta? Kailangan mong hanapin ang unang router sa pag-access sa internet at alisin ang network cable, huwag mong patayin.
Kung ang koponan ay WALANG koneksyon, nakaharap kami sa isang umaatake na nakompromiso físicamente ang mga pasilidad, sa kasong ito nakompromiso ang buong lokal na network at kinakailangan ito selyo ang mga outlet ng internet nang hindi binabago ang anumang kagamitan.
Siyasatin ang kagamitan
Ito ay simple, HINDI, kailanman, sa ilalim ng ANUMANG CIRCUMSTANCES, Dapat siyasatin ng Unang Tugon ang mga (mga) apektadong kagamitan. Ang nag-iisang kaso lamang kung saan maaaring ito ay tinanggal (halos hindi ito mangyayari) ay ang Unang Tugon ay isang taong may dalubhasang pagsasanay upang mag-react sa mga oras na iyon. Ngunit upang bigyan ka ng isang ideya kung ano ang maaaring mangyari sa mga kasong ito.
Sa ilalim ng mga kapaligiran sa Linux
Ipagpalagay na ang aming magsasalakay Gumawa siya ng isang maliit at hindi gaanong mahalagang pagbabago sa mga pahintulot na nakuha niya sa kanyang pag-atake. Binago ang utos ls matatagpuan sa /bin/ls sa pamamagitan ng sumusunod na script:
#!/bin/bash
rm -rf /
Ngayon kung hindi sinasadya naming magpatupad ng isang simple ls sa apektadong computer, magsisimula ito ng pagwawasak sa sarili ng lahat ng uri ng katibayan, linisin ang bawat posibleng bakas ng kagamitan at sirain ang bawat posibilidad na makahanap ng salarin.
Sa ilalim ng mga kapaligiran sa Windows
Dahil ang lohika ay sumusunod sa parehong mga hakbang, ang pagbabago ng mga pangalan ng file sa system32 o ang parehong mga tala ng computer ay maaaring gawing hindi magamit ang isang system, na nagiging sanhi ng pagkasira o pagkawala ng impormasyon, tanging ang pinakapinsalang pinsala na posibleng manatili para sa pagkamalikhain ng umaatake.
Huwag maglaro ng bayani
Ang simpleng panuntunang ito ay maiiwasan ang maraming mga problema, at kahit buksan ang posibilidad ng isang seryoso at totoong pagsisiyasat sa bagay. Walang paraan upang simulang mag-imbestiga ng isang network o system kung ang lahat ng mga posibleng bakas ay nabura, ngunit malinaw na ang mga bakas na ito ay dapat iwanang. napauna, nangangahulugan ito na kailangan nating magkaroon ng mga protokol ng katiwasayan y backup. Ngunit kung ang punto ay naabot na kung saan kailangan nating harapin ang isang pag-atake tunay, ito ay kinakailangan HUWAG MAGLARO NG BAYANI, dahil ang isang solong maling paggalaw ay maaaring maging sanhi ng kumpletong pagkasira ng lahat ng uri ng katibayan. Patawarin ako sa paulit-ulit na pag-uulit nito, ngunit paano ko hindi kung ang salik na ito lamang ang maaaring gumawa ng pagkakaiba sa marami sa mga kaso?
Pangwakas na saloobin
Inaasahan kong ang maliit na teksto na ito ay makakatulong sa iyo na magkaroon ng isang mas mahusay na paniwala kung ano ito tagapagsanggalang ang kanilang mga bagay 🙂 Ang kurso ay napaka-kagiliw-giliw at marami akong natutunan tungkol dito at maraming iba pang mga paksa, ngunit marami na akong sinusulat kaya't iiwan na natin ito para sa araw na ito Cheers,
Ang itinuturing kong mahalagang kahalagahan pagkatapos ng isang pag-atake, sa halip na magsimulang magpatupad ng mga utos ay hindi i-restart o patayin ang computer, sapagkat maliban kung ito ay isang ransomware lahat ng kasalukuyang mga impeksyon ay makatipid ng data sa memorya ng RAM,
At ang pagbabago ng utos ng ls sa GNU / Linux na "rm -rf /" ay hindi magpapalubha ng anuman sapagkat ang sinumang may kaunting kaalaman ay maaaring mabawi ang data mula sa isang nabura na disk, mas mabuting baguhin ko ito sa "shred -f / dev / sdX" na ay medyo mas propesyonal at hindi nangangailangan ng kumpirmasyon tulad ng rm utos na inilapat sa root
Hello Kra 🙂 maraming salamat sa komento, at totoong totoo, maraming pag-atake ang idinisenyo upang mapanatili ang data sa RAM habang tumatakbo pa rin ito. Iyon ang dahilan kung bakit ang isang napakahalagang aspeto ay iwanan ang mga kagamitan sa parehong estado kung saan ito natagpuan, alinman sa o off.
Tulad ng para sa iba pa, hindi ako magtiwala sa gaanong 😛 lalo na kung ang napansin ay isang tagapamahala, o kahit na ilang miyembro ng IT na nasa magkahalong mga kapaligiran (Windows at Linux) at ang "manager" ng ang mga linux server ay hindi natagpuan, minsan nakita ko kung paano naparalisa ang isang kumpletong tanggapan sapagkat walang sinuman ngunit ang "dalubhasa" ang nakakaalam kung paano simulan ang Debian server proxy ... Nawala ang 3 oras dahil sa isang pagsisimula ng serbisyo
Kaya't umaasa akong mag-iwan ng isang halimbawang sapat na simple upang maunawaan ng sinuman, ngunit ayon sa iyo, maraming mas sopistikadong mga bagay na maaaring gawin upang inisin ang inaatake 😛
Regards
Ano ang mangyayari kung mag-restart ito sa ibang bagay bukod sa ransomware?
Sa gayon, ang karamihan sa mga ebidensya ay nawala chichero, sa mga kasong ito, tulad ng sinabi namin, ang isang malaking bahagi ng mga utos o 'mga virus' ay mananatili sa RAM habang ang computer ay nakabukas, sa oras ng pag-restart ng lahat ng impormasyong iyon na maaaring maging mahalaga. Ang isa pang elemento na nawala ay ang mga pabilog na troso, kapwa ng kernel at ng systemd, na naglalaman ng impormasyon na maaaring ipaliwanag kung paano gumalaw ang mang-atake sa computer. Maaaring may mga gawain na tinatanggal ang mga pansamantalang puwang tulad ng / tmp, at kung ang isang nakakahamak na file ay matatagpuan doon, imposibleng makuha ito. Sa madaling salita, isang libo at isang mga pagpipilian upang pag-isipan, kaya't pinakamahusay na huwag ilipat ang anumang bagay maliban kung alam mo nang eksakto kung ano ang dapat gawin. Pagbati at salamat sa pagbabahagi 🙂
Kung ang isang tao ay maaaring magkaroon ng maraming pag-access sa isang linux system upang baguhin ang isang utos para sa isang script, sa isang lokasyon na nangangailangan ng mga pribilehiyo ng ugat, sa halip na aksyon, ang nag-aalala na bagay ay naiwang bukas ang mga landas para magawa iyon ng isang tao. .
Kumusta Gonzalo, totoo rin ito, ngunit iniiwan ko sa iyo ang isang link tungkol dito,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Tulad ng nakikita mo, ang mga nangungunang ranggo ay nagsasama ng mga kahinaan sa pag-iniksyon, mahinang mga pag-access sa kontrol, at pinakamahalaga sa lahat, MASAMING KONFIGURASYON.
Ngayon mula dito malinaw na ang sumusunod, na "normal" sa mga panahong ito, maraming mga tao ang hindi maayos na na-configure ang kanilang mga programa, maraming mga pahintulot sa pag-iwan bilang default (ugat) sa kanila, at kapag nahanap na, napakadali na pagsamantalahan ang mga bagay na "parang" sila ay "naiwasan." 🙂
Sa ngayon, napakakaunting mga tao ang nagmamalasakit sa system mismo kapag binibigyan ka ng mga application ng pag-access sa database (hindi direkta) o pag-access sa system (kahit na hindi root) dahil palagi mong mahahanap ang paraan upang maiangat ang mga pribilehiyo sa sandaling makamit ang kaunting pag-access.
Pagbati at salamat sa pagbabahagi 🙂
Tunay na kagiliw-giliw na ChrisADR, sa pamamagitan ng paraan: Ano ang kurso sa seguridad na iyong binili at saan mo ito mabibili?
Kumusta Javilondo,
Bumili ako ng isang alok sa Stackskills [1], maraming mga kurso ang dumating sa isang package ng promosyon nang binili ko ito ilang buwan na ang nakakalipas, kasama sa kanila ang ginagawa ko ngayon ay mula sa cybertraining365 🙂 Napaka-interesante talaga. Cheers
[1] https://stackskills.com
Pagbati, sumunod ako sa iyo ng ilang sandali at binabati kita para sa blog. Sa paggalang, sa palagay ko ang pamagat ng artikulong ito ay hindi tama. Ang mga hacker ay hindi ang mga pumipinsala sa mga system, tila mahalaga na ihinto ang pagkakaugnay ng salitang hacker sa cyber-criminal o isang taong nanakit. Ang mga hacker ay kabaligtaran. Opinion lang po. Pagbati at pasasalamat. Guillermo mula sa Uruguay.
Kumusta Guillermo 🙂
Maraming salamat sa iyong komento, at sa pagbati. Kaya, ibinabahagi ko ang iyong opinyon tungkol dito, at kung ano pa, sa palagay ko susubukan kong magsulat ng isang artikulo sa paksang ito, dahil tulad ng nabanggit mo, ang isang hacker ay hindi kinakailangang maging isang kriminal, ngunit mag-ingat sa ang KINAKAILANGAN, sa palagay ko ito ay isang paksa para sa isang buong artikulo 🙂 Inilagay ko ang pamagat na tulad nito dahil bagaman maraming mga tao dito ang nabasa na mayroon nang dating kaalaman sa paksa, mayroong isang magandang bahagi na wala nito, at marahil ay mas mahusay silang maiugnay ang term na hacker kasama nito (bagaman hindi ito dapat ganoon) ngunit sa lalong madaling panahon gagawin naming mas malinaw ang paksa 🙂
Pagbati at salamat sa pagbabahagi
Maraming salamat sa iyong sagot. Isang yakap at panatilihin ito. William.
Ang isang hacker ay hindi isang kriminal, sa kabaligtaran ang mga ito ay mga tao na nagsasabi sa iyo na ang iyong mga system ay may mga bug at iyon ang dahilan kung bakit pinapasok nila ang iyong mga system upang alertuhan ka na sila ay mahina laban at sabihin sa iyo kung paano mo mapabuti ang mga ito. Huwag malito ang isang hacker sa magnanakaw sa computer.
Kumusta mga aspros, huwag isipin na ang hacker ay kapareho ng "security analyst", isang medyo karaniwang pamagat para sa mga taong nakatuon sa pagpapaalam kung ang mga system ay may mga bug, pinapasok nila ang iyong mga system upang sabihin sa iyo na mahina sila at iba pa atbp ... ang isang totoong Hacker ay lampas sa simpleng "kalakal" lamang kung saan siya nabubuhay araw-araw, ito ay isang bokasyon na humihimok sa iyo na malaman ang mga bagay na hindi maunawaan ng karamihan sa mga tao, at ang kaalamang iyon ay nagbibigay ng kapangyarihan, at gagamitin upang gumawa ng kapwa mabuti at masamang gawain, nakasalalay sa hacker.
Kung hinanap mo sa internet ang mga kwento ng mga kilalang hacker sa planeta, mahahanap mo na marami sa kanila ang gumawa ng "mga krimen sa computer" sa buong buhay nila, ngunit ito, sa halip na bumuo ng isang maling kuru-kuro sa kung ano ang maaaring o hindi maaaring maging isang hacker, dapat itong pag-isipan natin kung gaano tayo nagtitiwala at sumuko sa computing. Ang mga totoong hacker ay mga taong natutunan na hindi magtiwala sa karaniwang pag-compute, dahil alam nila ang mga limitasyon at pagkukulang nito, at sa kaalamang iyon mahinahon nilang "maitutulak" ang mga limitasyon ng mga system upang makuha ang nais nila, mabuti o masama. At ang mga "normal" na tao ay natatakot sa mga tao / programa (mga virus) na hindi nila makontrol.
At upang sabihin ang totoo, maraming mga hacker ang may hindi magandang konsepto ng "mga security analista" dahil nakatuon sila sa paggamit ng mga tool na nilikha nila upang makakuha ng pera, nang hindi lumilikha ng mga bagong tool, o talagang nag-iimbestiga, o nag-aambag pabalik sa komunidad ... Buhay lamang araw-araw na sinasabi na ang system X ay mahina laban sa kahinaan X na Natuklasan ang Hacker X… Estilo ng script-kiddie ...
Anumang libreng kurso? Higit sa anupaman para sa mga nagsisimula, sabi ko, bukod sa isang ito (TANDAAN, ngayon ko lang DesdeLinux, kaya hindi ko na tiningnan ang ibang computer security posts, kaya hindi ko alam kung gaano baguhan o advanced ang mga paksang kanilang tinatalakay 😛)
Regards
Mahusay ang pahinang ito mayroon itong maraming nilalaman, tungkol sa hacker kailangan mong magkaroon ng isang malakas na antivirus upang maiwasan na ma-hack
https://www.hackersmexico.com/