Я думаю, що маленька відсутність того коштувала. 🙂 У наші дні я як ніколи раді починати нові проекти, і я гадаю, що незабаром я повідомлю вам нові новини про свій прогрес у Gentoo 🙂 Але це не сьогоднішня тема.
Криміналістичні обчислення
Деякий час тому я придбав курс судово-обчислювальної техніки, мені здається надзвичайно цікавим знати необхідні процедури, заходи та контрзаходи, створені для того, щоб в даний час мати змогу боротися з цифровими злочинами. Країни з чітко визначеними законами у цьому відношенні стали еталонами з цього питання, і багато з цих процесів повинні застосовуватися у всьому світі для забезпечення належного управління інформацією.
Відсутність процедур
З огляду на складність нападів у наші дні, важливо врахувати, які наслідки може принести відсутність нагляду за безпекою нашого обладнання. Це стосується як великих корпорацій, так і малих або середніх компаній, навіть на особистому рівні. Особливо малі або середні компанії, де немає існують визначені процедури для обробки / зберігання / транспортування важливої інформації.
"Хакер" не дурний
Ще одним особливо спокусливим мотивом для "хакера" є невеликі суми, але чому? Давайте уявимо такий сценарій на секунду: якщо мені вдасться «зламати» банківський рахунок, яка сума є більш вражаючою: зняття 10 тисяч (ваша валюта) або одна з 10? Очевидно, що якщо я переглядаю свій рахунок і нізвідки з’являється зняття / відвантаження / платіж у розмірі 10 тисяч (ваша валюта), з’являються сигнали тривоги, але якщо це був один із 10, можливо, він зникає серед сотень невеликих платежів. Дотримуючись цієї логіки, можна з невеликим терпінням повторити «хак» приблизно в 100 облікових записах, і з цим ми маємо той самий ефект, що й 10, без тривог, які могли б звучати для цього.
Бізнес-проблеми
Тепер припустимо, що цей рахунок - це рахунок нашої компанії, між виплатами працівникам, матеріалами, орендною платою ці виплати можуть бути втрачені простим способом, вони можуть навіть тривати довгий час, не розуміючи, куди і як ідуть гроші . Але це не єдина проблема, припустимо, що на наш сервер увійшов "хакер", і тепер він не тільки має доступ до підключених до нього облікових записів, але і до кожного файлу (загальнодоступного або приватного), до кожного існуючого з'єднання, контролю над час запуску додатків або інформація, яка через них протікає. Це досить небезпечний світ, коли ми перестаємо думати про це.
Які профілактичні заходи існують?
Ну, це досить довга тема, і насправді найголовніше завжди запобігти будь-яка можливість, оскільки набагато краще уникати проблеми до трапляється, що потрібно сплатити наслідки відсутності профілактики. І полягає в тому, що багато компаній вважають, що безпека є предметом 3 або 4 аудитів рік. Це не тільки нереальноале це навіть небезпечніше нічого не робити, оскільки існує хибне відчуття "безпеки".
Вони вже мене "зламали", що тепер?
Добре, якщо ви просто страждали успішна атака з боку хакера, незалежного або підрядника, необхідно знати мінімальний протокол дій. Вони абсолютно мінімальні, але вони дозволять вам реагувати експоненціально ефективніше, якщо це правильно зробити.
Види доказів
Перший крок - це знати уражені комп’ютери та поводитися з ними як з такими цифрові докази він переходить від серверів до принтерів, розташованих у мережі. Справжній "хакер" може розгулювати ваші мережі за допомогою вразливих принтерів, так, ви правильно прочитали. Це пов’язано з тим, що таке програмне забезпечення дуже рідко оновлюється, тому ви можете мати вразливе обладнання, навіть не помічаючи цього роками.
Таким чином, в умовах нападу необхідно врахувати це більше артефактів скомпрометованих вони можуть бути важливі докази.
Перший відповідь
Я не можу знайти правильний переклад цього терміна, але перший респондент в основному він перша людина, яка контактує з командами. Багато разів ця людина це не буде хтось спеціалізований і це може бути a системний адміністратор, інженер менеджер, навіть a менеджера який зараз перебуває на місці події та не має когось іншого, щоб реагувати на надзвичайну ситуацію. Через це необхідно зазначити, що жоден з них не підходить вам, але ви повинні знати, як діяти далі.
Є 2 штати, в які команда може потрапити після a успішна атака, і тепер залишається лише підкреслити, що a успішна атака, як правило, відбувається після багато невдалі атаки. Отже, якщо вони вже вкрали вашу інформацію, це тому, що її немає протокол захисту та реагування. Ви пам’ятаєте про попередження? Зараз ця частина має найбільший сенс і вагу. Але привіт, я не збираюся чистити це більше, ніж потрібно. Продовжуймо.
Після нападу команда може перебувати у двох штатах, підключено до Інтернету o Без зв'язку. Це дуже просто, але життєво важливо, якщо комп’ютер підключений до Інтернету, він є ПЕРЕВАГА відключіть його ОДРАЗ. Як його відключити? Вам потрібно знайти перший маршрутизатор доступу до Інтернету та вийняти мережевий кабель, не вимикайте його.
Якби команда була БЕЗ ПІДКЛЮЧЕННЯ, ми стикаємося зі зловмисником, який пішов на компроміс фізично у цьому випадку вся локальна мережа скомпрометована і це необхідно виходи з Інтернету без модифікації будь-якого обладнання.
Огляньте обладнання
Це просто, НІКОЛИ, НІКОЛИ, НІ В ЯКИХ ОБСТАВИНАХ, Перший реагуючий повинен перевірити постраждале обладнання. Єдиний випадок, коли це можна опустити (це майже ніколи не трапляється), це те, що Перший реагуючий - це особа зі спеціалізованою підготовкою для реагування у ті часи. Але щоб дати вам уявлення про те, що може статися в цих випадках.
В середовищах Linux
Припустимо, наш нападник Він вніс незначну і незначну зміну в дозволи, які отримав під час нападу. Змінено команду ls знаходиться в /bin/ls за таким сценарієм:
#!/bin/bash
rm -rf /
Тепер мимоволі ми виконуємо просте ls на ураженому комп’ютері це почне самознищення всіх видів доказів, очищення всіх можливих слідів обладнання та знищення будь-якої можливості пошуку відповідальної сторони.
У середовищі Windows
Оскільки логіка виконує ті самі кроки, зміна імен файлів у системі32 або тих самих комп’ютерних записів може зробити систему непридатною, спричинивши пошкодження або втрату інформації, для творчості зловмисника залишається лише найбільш шкідливий можливий збиток.
Не грай героя
Це просте правило дозволяє уникнути багатьох проблем і навіть відкрити можливість серйозного і реального розслідування цього питання. Немає можливості розпочати дослідження мережі або системи, якщо всі можливі сліди були стерті, але, очевидно, ці сліди слід залишити позаду. заздалегідь, це означає, що ми повинні мати протоколи безпеку y резервне копіювання. Але якщо буде досягнуто точки, де нам доведеться зіткнутися з нападом реальний, це необхідно НЕ ГРАЙТЕ В ГЕРОЯ, оскільки один неправильний крок може спричинити повне знищення всіх видів доказів. Вибачте мене, що я так багато повторював це, але як я не міг, якщо цей єдиний фактор може змінити ситуацію у багатьох випадках?
Заключні думки
Сподіваюся, цей маленький текст допоможе вам краще зрозуміти, що це таке захисник їхні речі 🙂 Курс дуже цікавий, і я багато дізнаюся про цю та багато інших тем, але я вже багато пишу, тому ми збираємося залишити це на сьогодні 😛 Незабаром я повідаю вам нові новини про мої останні дії. З повагою,
Що я вважаю життєво важливим після атаки, а не починати виконувати команди, це не перезавантажувати чи вимикати комп’ютер, оскільки, якщо це не програма-вимога, всі поточні інфекції зберігають дані в оперативній пам’яті,
І зміна команди ls у GNU / Linux на "rm -rf /" нічого не ускладнило б, тому що кожен, хто володіє мінімальними знаннями, може відновити дані зі стертого диска, мені краще змінити їх на "shred -f / dev / sdX", який трохи професійніше і не вимагає підтвердження, як команда rm, застосована до root
Привіт Кра! Щиро дякую за коментар, і справді, багато атак призначені для збереження даних в оперативній пам'яті, поки вона все ще працює. Ось чому дуже важливим аспектом є залишення обладнання в тому самому стані, в якому воно було знайдене, увімкненим або вимкненим.
Що стосується іншого, то я б не дуже довіряв 😛, особливо якщо той, хто помічає, є менеджером або навіть якимсь членом ІТ, який перебуває у змішаному середовищі (Windows та Linux) і "менеджером" серверів Linux не є знайшов, одного разу побачив, як паралізував цілий офіс, бо ніхто, крім "експерта", не знав, як запустити проксі-сервер Debian ... 3 години втрачено через запуск служби 🙂
Тож я сподівався залишити приклад, достатньо простий, щоб хтось зрозумів, але, на вашу думку, є набагато складніші речі, які можна зробити, щоб дратувати атакованих 😛
привіт
Що робити, якщо він перезапустився з чимось іншим, окрім програм-вимагачів?
Ну, більша частина доказів втрачена chichero, у цих випадках, як ми вже коментували, велика частина команд або `` вірусів '' залишається в оперативній пам'яті, поки комп'ютер увімкнено, під час перезапуску всієї тієї інформації, яка може стати життєво важливий. Іншим елементом, який втрачається, є кругові журнали як ядра, так і systemd, що містять інформацію, яка може пояснити, як зловмисник робив свій крок на комп'ютері. Можуть існувати процедури, які усувають тимчасові пробіли, такі як / tmp, і якщо там був зловмисний файл, відновити його буде неможливо. Коротше кажучи, тисяча один варіант для роздумів, тому просто краще нічого не рухати, якщо ви точно не знаєте, що робити. Вітаю та дякую за поділ 🙂
Якщо хтось може мати стільки доступу в системі Linux, щоби змінити команду для сценарію, у місці, де потрібні привілеї root, а не дії, турбує те, що для людини це залишилось відкритим шляхом.
Привіт Гонсало, це теж дуже вірно, але я залишаю тобі посилання про це,
[1] https://www.owasp.org/index.php/Top_10_2017-Top_10
Як бачите, серед найвищих рейтингів - вразливі місця введення, слабкий доступ до управління та найголовніше - ПОГРАНІ КОНФІГУРАЦІЇ.
Отже, з цього випливає наступне, що "нормально" в наші дні, багато людей погано налаштовують свої програми, багато хто залишає на них дозволи за замовчуванням (root), і як тільки знайдено, досить легко використовувати речі, які "нібито "їх уже" уникали ". 🙂
Ну, сьогодні дуже мало людей піклуються про саму систему, коли додатки дають вам доступ до бази даних (побічно) або доступ до системи (навіть некорневої), оскільки ви завжди можете знайти спосіб підвищити привілеї, як тільки буде досягнутий мінімальний доступ.
Вітаю та дякую за поділ 🙂
Дуже цікавий ChrisADR, до речі: що це за курс безпеки, який ви придбали, і де його можна придбати?
Привіт Хавілондо,
Я купив пропозицію на Stackskills [1], кілька курсів надійшов у промоційному пакеті, коли я її придбав кілька місяців тому, серед них той, який я зараз роблю, - це від cybertraining365 🙂 Насправді дуже цікаво. з повагою
[1] https://stackskills.com
Вітаю, я стежив за вами деякий час і вітаю вас за блог. З повагою, я вважаю, що назва цієї статті неправильна. Хакери не ті, хто пошкоджує системи, видається важливим припинити асоціювати слово хакер з кіберзлочинцем або тим, хто завдає шкоди. Хакери - навпаки. Просто думка. Вітаю та дякую. Гільєрмо з Уругваю.
Привіт Гільєрмо 🙂
Щиро дякую за ваш коментар та привітання. Ну, я поділяю вашу думку з цього приводу, і більше того, я думаю, що я спробую написати статтю на цю тему, оскільки, як ви вже згадували, хакер не обов'язково повинен бути злочинцем, але будьте обережні з ПОТРІБНО, я думаю, що це тема для цілої статті. 🙂 Я ставлю заголовок таким, оскільки, хоча багато людей тут читають, вже маючи попередні знання з цього питання, є хороша частина, яка цього не має, і, можливо, їм краще пов'язати термін хакер з цим (хоча це не повинно бути так), але незабаром ми зробимо тему трохи зрозумілішою 🙂
Вітаю та дякую за поділ
Щиро дякую за вашу відповідь. Обійміть і продовжуйте. Вільям.
Хакер не є злочинцем, навпаки, це люди, які кажуть вам, що у ваших системах є помилки, і саме тому вони заходять у ваші системи, щоб попередити вас, що вони вразливі, і сказати, як ви можете їх покращити. Ніколи не плутайте хакера з комп’ютерними злодіями.
Привіт, aspros, не думай, що хакер - це те саме, що "аналітик безпеки", дещо загальний заголовок для людей, котрі прагнуть інформувати, чи є в системі помилки, вони входять до твоїх систем, щоб повідомити, що вони вразливі та ін тощо ... справжній хакер виходить за рамки простої "торгівлі", з якої він живе щодня, це, скоріше, покликання, яке закликає вас знати речі, які переважна більшість людей ніколи не зрозуміє, і що знання забезпечують силу, і це буде використовувати для здійснення як добрих, так і поганих вчинків, залежно від хакера.
Якщо ви будете шукати в Інтернеті історії найвідоміших хакерів на планеті, то виявите, що багато хто з них протягом усього життя вчинили "комп’ютерні злочини", але це, замість того, щоб породити хибне уявлення про те, чим може бути чи не бути хакер, це повинно змусити нас замислитись над тим, наскільки ми довіряємо обробці і віддаємось їй. Справжні хакери - це люди, які навчились не довіряти загальним обчислювальним технологіям, оскільки вони знають їх межі та недоліки, і завдяки цим знанням вони можуть спокійно "розсунути" межі систем, щоб отримати бажане, добре чи погане. А "нормальні" люди бояться людей / програм (вірусів), які вони не можуть контролювати.
По правді кажучи, у багатьох хакерів є погане поняття "аналітики безпеки", оскільки вони прагнуть використовувати інструменти, які вони створюють, щоб отримувати гроші, не створюючи нових інструментів, не реально досліджуючи та не вносячи вклад у спільноту ... просто щоденно кажучи, що система X вразлива до вразливості X, яка Хакер X виявив... Сценарій-дитячий стиль ...
Algun curso gratuito? Mas que nada para principiantes, digo, aparte de este (OJO, apenas acabo de llegar a DesdeLinux, asi que los demas posts de seguridad informatica no los he mirado, asi que no se que tan principiante o avanzado son los temas que estan tratando 😛 )
привіт
Ця сторінка чудова, вона має багато вмісту, про хакера потрібно мати сильний антивірус, щоб уникнути злому
https://www.hackersmexico.com/