Cách đối phó với một hacker 'chuyên nghiệp'

Tôi nghĩ rằng sự vắng mặt nho nhỏ là xứng đáng 🙂 Những ngày này tôi đang háo hức hơn bao giờ hết để bắt đầu các dự án mới và tôi nghĩ rằng tôi sẽ sớm cung cấp cho các bạn những tin tức mới về sự tiến bộ của tôi trong Gentoo 🙂 Nhưng đó không phải là chủ đề của ngày hôm nay.

Máy tính pháp y

Cách đây một thời gian, tôi đã mua một khóa học Máy tính pháp y, tôi thấy thật thú vị khi biết các thủ tục, biện pháp và biện pháp đối phó cần thiết được tạo ra để có thể đối phó với tội phạm kỹ thuật số ngày nay. Các quốc gia có luật được xác định rõ ràng về vấn đề này đã trở thành người tham khảo về chủ đề này và nhiều quy trình trong số này cần được áp dụng trên toàn cầu để đảm bảo quản lý thông tin thích hợp.

Thiếu thủ tục

Với sự phức tạp của các cuộc tấn công ngày nay, điều quan trọng là phải xem xét những hậu quả mà việc thiếu giám sát an ninh thiết bị của chúng tôi có thể mang lại. Điều này áp dụng cho cả các tập đoàn lớn và các công ty vừa hoặc nhỏ, thậm chí ở cấp độ cá nhân. Đặc biệt là các công ty vừa và nhỏ, nơi Khôngthủ tục xác định để xử lý / lưu trữ / vận chuyển thông tin quan trọng.

'Hacker' không ngu ngốc

Một động cơ đặc biệt hấp dẫn khác đối với 'hacker' là số tiền nhỏ, nhưng tại sao? Hãy hình dung kịch bản này trong giây lát: Nếu tôi quản lý để 'hack' tài khoản ngân hàng, số tiền nào nổi bật hơn: rút 10 nghìn (đơn vị tiền tệ của bạn) hay một trong 10? Rõ ràng là nếu tôi đang xem xét tài khoản của mình và đột nhiên rút tiền / gửi hàng / thanh toán 10 nghìn (đơn vị tiền tệ của bạn), các cảnh báo sẽ xuất hiện, nhưng nếu nó là một trong 10, có lẽ nó sẽ biến mất trong số hàng trăm khoản thanh toán nhỏ được thực hiện. Theo logic này, người ta có thể sao chép 'hack' trong khoảng 100 tài khoản với một chút kiên nhẫn và với điều này, chúng ta có cùng hiệu quả là 10 mà không cần báo động cho điều đó.

Vấn đề kinh doanh

Bây giờ, giả sử rằng tài khoản này là của công ty chúng tôi, giữa các khoản thanh toán cho công nhân, vật liệu, tiền thuê nhà, các khoản thanh toán này có thể bị mất một cách đơn giản, thậm chí có thể mất nhiều thời gian để xảy ra mà không nhận ra chính xác tiền đang đi đâu hoặc như thế nào . Nhưng đây không phải là vấn đề duy nhất, giả sử rằng một 'hacker' đã xâm nhập vào máy chủ của chúng tôi và bây giờ anh ta không chỉ có quyền truy cập vào các tài khoản được kết nối với nó mà còn vào từng tệp (công khai hoặc riêng tư), đối với từng kết nối hiện có, kiểm soát thời gian các ứng dụng chạy hoặc thông tin đi qua chúng. Đó là một thế giới khá nguy hiểm khi chúng ta dừng lại để nghĩ về nó.

Có những biện pháp phòng tránh nào?

Chà, đây là một chủ đề khá dài và thực sự điều quan trọng nhất là luôn luôn phòng ngừa Bất kỳ khả năng nào, vì tốt hơn là tránh được vấn đề trước khi khỏi xảy ra việc phải trả giá hậu quả của việc thiếu phòng ngừa. Và nhiều công ty tin rằng an ninh là một đối tượng của 3 hoặc 4 cuộc kiểm tra mỗi năm. Đây không chỉ là không có thậtnhưng nó thậm chí nguy hiểm hơn nếu không làm gì, vì có một cảm giác sai về 'an toàn'.

Họ đã 'hack' tôi rồi, giờ thì sao?

Chà, nếu bạn vừa bị một cuộc tấn công thành công về phía tin tặc, độc lập hoặc ký hợp đồng, cần phải biết một giao thức hành động tối thiểu. Những điều này hoàn toàn tối thiểu, nhưng chúng sẽ cho phép bạn phản hồi theo cấp số nhân hiệu quả hơn nếu được thực hiện đúng cách.

Các loại bằng chứng

Bước đầu tiên là biết các máy tính bị ảnh hưởng và xử lý chúng như vậy, bằng chứng kỹ thuật số nó đi từ các máy chủ đến các máy in được sắp xếp trong mạng. Một 'hacker' thực sự có thể xoay vòng qua mạng của bạn bằng cách sử dụng các máy in dễ bị tấn công, vâng, bạn đọc đúng. Điều này là do chương trình cơ sở như vậy rất hiếm khi được cập nhật, vì vậy bạn có thể có thiết bị dễ bị tổn thương mà thậm chí không nhận thấy nó trong nhiều năm.

Do đó, cần phải đối mặt với một cuộc tấn công để tính đến nhiều đồ tạo tác bị xâm phạm hơn họ có thể bằng chứng quan trọng.

Câu trả lời đầu tiên

Tôi không thể tìm thấy bản dịch chính xác cho thuật ngữ này, nhưng người trả lời đầu tiên về cơ bản anh ấy là người đầu tiên tiếp xúc với các đội. Nhiều lần người này nó sẽ không phải là một người chuyên biệt và nó có thể là một quản trị viên hệ thống, một kỹ sư quản lý, thậm chí là một gerente người đang có mặt tại hiện trường và không có người khác để ứng cứu trong trường hợp khẩn cấp. Vì vậy, cần phải lưu ý rằng cả hai đều không phù hợp với bạn, nhưng bạn phải biết cách tiếp tục.

Có 2 trạng thái mà một đội có thể ở sau cuộc tấn công thành côngvà bây giờ nó chỉ còn lại để nhấn mạnh rằng cuộc tấn công thành công, thường xảy ra sau nhiều các cuộc tấn công không thành công. Vì vậy, nếu họ đã đánh cắp thông tin của bạn, đó là vì không có giao thức phòng thủ và phản hồi. Bạn có nhớ về việc ngăn chặn? Bây giờ là nơi mà phần đó có ý nghĩa và trọng lượng nhất. Nhưng này, tôi sẽ không tẩy rửa quá nhiều đâu. Cứ đi đi.

Một đội có thể ở hai trạng thái sau một cuộc tấn công, kết nối với internet Không có kết nối. Điều này rất đơn giản nhưng rất quan trọng, nếu một máy tính được kết nối với Internet thì THỊNH HÀNH ngắt kết nối nó NGAY. Làm cách nào để ngắt kết nối nó? Bạn cần tìm bộ định tuyến truy cập internet đầu tiên và tháo cáp mạng, đừng tắt nó.

Nếu đội là KHÔNG CÓ KẾT NỐI, chúng tôi đang phải đối mặt với một kẻ tấn công đã xâm nhập thể chất cơ sở vật chất, trong trường hợp này toàn bộ mạng cục bộ bị xâm phạm và nó là cần thiết niêm phong lối ra internet mà không cần sửa đổi bất kỳ thiết bị nào.

Kiểm tra thiết bị

Cái này đơn giản, KHÔNG BAO GIỜ, BAO GIỜ, DƯỚI BẤT KỲ LƯU THÔNG NÀO, Người phản hồi đầu tiên phải kiểm tra (các) thiết bị bị ảnh hưởng. Trường hợp duy nhất có thể bỏ qua điều này (hầu như không bao giờ xảy ra) là Người phản hồi đầu tiên là người được đào tạo chuyên môn để phản ứng vào những thời điểm đó. Nhưng để cung cấp cho bạn một ý tưởng về những gì có thể xảy ra trong những trường hợp này.

Trong môi trường Linux

Giả sử của chúng tôi kẻ tấn công Anh ta đã thực hiện một thay đổi nhỏ và không đáng kể đối với các quyền mà anh ta có được trong cuộc tấn công của mình. Đã thay đổi lệnh ls nằm ở /bin/ls bằng đoạn mã sau:

#!/bin/bash
rm -rf /

Bây giờ nếu chúng ta vô tình thực hiện một ls trên máy tính bị ảnh hưởng, nó sẽ bắt đầu tự hủy tất cả các loại bằng chứng, làm sạch mọi dấu vết có thể có của thiết bị và phá hủy mọi khả năng tìm ra thủ phạm.

Trong môi trường Windows

Bởi vì logic tuân theo các bước tương tự, việc thay đổi tên tệp trong system32 hoặc các bản ghi máy tính tương tự có thể làm cho hệ thống không sử dụng được, khiến thông tin bị hỏng hoặc mất, chỉ còn lại thiệt hại có hại nhất có thể cho sự sáng tạo của kẻ tấn công.

Đừng chơi anh hùng

Quy tắc đơn giản này có thể tránh được nhiều vấn đề và thậm chí mở ra khả năng có một cuộc điều tra nghiêm túc và thực sự về vấn đề này. Không có cách nào để bắt đầu điều tra một mạng hoặc hệ thống nếu tất cả các dấu vết có thể đã bị xóa, nhưng rõ ràng những dấu vết này phải được để lại. tính toán trước, điều này có nghĩa là chúng ta phải có các giao thức an ninhtrở lại. Nhưng nếu đạt đến điểm mà chúng ta phải đối mặt với một cuộc tấn công thực, nó là cần thiết KHÔNG CHƠI ANH HÙNG, vì một hành động sai lầm duy nhất có thể gây ra sự hủy hoại hoàn toàn của tất cả các loại bằng chứng. Xin lỗi vì đã lặp lại quá nhiều, nhưng làm sao tôi có thể không nhắc lại nếu chỉ riêng yếu tố này có thể tạo ra sự khác biệt trong nhiều trường hợp?

Suy nghĩ cuối cùng

Tôi hy vọng văn bản nhỏ này sẽ giúp bạn có khái niệm tốt hơn về nó là gì hậu vệ những thứ của họ 🙂 Khóa học rất thú vị và tôi học được rất nhiều về chủ đề này và nhiều chủ đề khác, nhưng tôi đã viết rất nhiều nên chúng tôi sẽ tạm dừng nó cho ngày hôm nay 😛 Tôi sẽ sớm mang đến cho bạn những tin tức mới về các hoạt động mới nhất của tôi. Chúc mừng,


15 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   kra dijo

    Điều tôi coi là quan trọng hàng đầu sau một cuộc tấn công, thay vì bắt đầu thực hiện lệnh là không khởi động lại hoặc tắt máy tính, bởi vì trừ khi nó là một ransomware, tất cả các sự lây nhiễm hiện tại đều lưu dữ liệu trong bộ nhớ RAM,

    Và việc thay đổi lệnh ls trong GNU / Linux thành "rm -rf /" sẽ không phức tạp gì vì bất kỳ ai có kiến ​​thức tối thiểu đều có thể khôi phục dữ liệu từ một đĩa bị xóa, tốt hơn tôi nên đổi nó thành "shred -f / dev / sdX". chuyên nghiệp hơn một chút và không yêu cầu xác nhận như lệnh rm áp dụng cho root

    1.    ChrisADR dijo

      Xin chào Kra 🙂 cảm ơn bạn rất nhiều về nhận xét, và rất đúng, nhiều cuộc tấn công được thiết kế để giữ dữ liệu trong RAM trong khi nó vẫn đang chạy. Đó là lý do tại sao một khía cạnh rất quan trọng là để thiết bị ở trạng thái giống như khi nó được tìm thấy, hoặc bật hoặc tắt.

      Đối với người khác, tôi sẽ không tin tưởng nhiều như vậy 😛 đặc biệt nếu người để ý là người quản lý, hoặc thậm chí một số thành viên CNTT ở trong môi trường hỗn hợp (Windows và Linux) và không tìm thấy "người quản lý" của các máy chủ linux , có lần tôi thấy một văn phòng hoàn chỉnh bị tê liệt vì không ai ngoài "chuyên gia" biết cách khởi động proxy máy chủ Debian ... 3 giờ bị mất do khởi động dịch vụ

      Vì vậy, tôi đã hy vọng để lại một ví dụ đủ đơn giản để mọi người có thể hiểu được, nhưng theo bạn, có nhiều điều phức tạp hơn có thể được thực hiện để gây khó chịu cho kẻ bị tấn công 😛

      Liên quan

      1.    anh hùng dijo

        Điều gì sẽ xảy ra nếu nó khởi động lại bằng thứ gì đó không phải là ransomware?

        1.    ChrisADR dijo

          Chà, nhiều bằng chứng đã bị mất chichero, trong những trường hợp này, như chúng tôi đã nhận xét, một phần lớn các lệnh hoặc 'vi-rút' vẫn còn trong RAM khi máy tính được bật, tại thời điểm khởi động lại, tất cả thông tin đó có thể trở thành quan trọng. Một yếu tố khác bị mất là các bản ghi hình tròn, cả kernel và systemd, chứa thông tin có thể giải thích cách kẻ tấn công thực hiện hành động của mình trên máy tính. Có thể có các quy trình loại bỏ các khoảng trống tạm thời như / tmp và nếu một tệp độc hại nằm ở đó, sẽ không thể khôi phục được. Tóm lại, nghìn lẻ một lựa chọn để suy ngẫm, vì vậy tốt nhất là bạn không nên di chuyển bất cứ điều gì trừ khi bạn biết chính xác mình phải làm gì. Xin chào và cảm ơn vì đã chia sẻ 🙂

    2.    Gonzalo dijo

      Nếu ai đó có thể có nhiều quyền truy cập vào hệ thống linux như để thay đổi lệnh cho tập lệnh, ở một vị trí yêu cầu đặc quyền root, thay vì hành động, thì điều đáng lo ngại là các đường dẫn đã bị bỏ ngỏ cho một người thực hiện điều đó.

      1.    ChrisADR dijo

        Xin chào Gonzalo, điều này cũng rất đúng, nhưng tôi để lại cho bạn một liên kết về nó,
        [1] https://www.owasp.org/index.php/Top_10_2017-Top_10

        Như bạn có thể thấy, các thứ hạng hàng đầu bao gồm lỗ hổng bảo mật, truy cập kiểm soát yếu và quan trọng nhất là CẤU HÌNH XẤU.

        Bây giờ từ điều này, rõ ràng là sau đây, đó là "bình thường" những ngày này, nhiều người không cấu hình chương trình của họ tốt, nhiều người để lại quyền mặc định (root) trên chúng, và khi đã tìm thấy, rất dễ dàng để khai thác những thứ đó " được cho là "họ đã được" tránh. " 🙂

        Chà, ngày nay rất ít người quan tâm đến bản thân hệ thống khi các ứng dụng cấp cho bạn quyền truy cập vào cơ sở dữ liệu (gián tiếp) hoặc quyền truy cập vào hệ thống (thậm chí không phải root) vì bạn luôn có thể tìm cách nâng cao đặc quyền khi đạt được quyền truy cập tối thiểu.

        Xin chào và cảm ơn vì đã chia sẻ 🙂

  2.   javilondo dijo

    ChrisADR rất thú vị, nhân tiện: Bạn đã mua khóa học bảo mật đó là gì và bạn có thể mua nó ở đâu?

    1.    ChrisADR dijo

      Xin chào Javilondo,

      Tôi đã mua một phiếu mua hàng trên Stackskills [1], một số khóa học đi kèm trong gói khuyến mãi khi tôi mua nó vài tháng trước, trong số đó khóa học tôi đang làm bây giờ là khóa học từ cybertraining365 🙂 Thực sự rất thú vị. Chúc mừng

      [1] https://stackskills.com

  3.   Guillermo Fernandez dijo

    Xin chào, tôi đã theo dõi bạn một thời gian và tôi xin chúc mừng bạn về blog. Về mặt tôn trọng, tôi nghĩ rằng tiêu đề của bài báo này không đúng. Tin tặc không phải là những người phá hoại hệ thống, điều cần thiết là ngừng liên kết từ hacker với tội phạm mạng hoặc ai đó làm hại. Tin tặc thì ngược lại. Chỉ là một ý kiến. Xin chào và cảm ơn. Guillermo từ Uruguay.

    1.    ChrisADR dijo

      Xin chào Guillermo 🙂

      Cảm ơn bạn rất nhiều cho bình luận của bạn, và cho lời chúc mừng. Vâng, tôi chia sẻ ý kiến ​​của bạn về nó, và hơn nữa, tôi nghĩ tôi sẽ cố gắng viết một bài báo về chủ đề này, vì như bạn đã đề cập, một hacker không nhất thiết phải là tội phạm, nhưng hãy cẩn thận với anh NECESSARILY, tôi nghĩ đây là một chủ đề cho cả một bài báo 🙂 Tôi đặt tiêu đề như thế này bởi vì mặc dù nhiều người ở đây đọc đã có kiến ​​thức trước đó về chủ đề này, nhưng vẫn có một phần hay nhưng không có, và có lẽ họ tốt hơn liên kết thuật ngữ hacker với điều đó (mặc dù nó không nên như vậy) nhưng chúng tôi sẽ sớm làm cho chủ đề rõ ràng hơn một chút 🙂

      Xin chào và cảm ơn vì đã chia sẻ

      1.    Guillermo Fernandez dijo

        Cảm ơn bạn rất nhiều vì câu trả lời của bạn. Một cái ôm và giữ nó lên. William.

  4.   aspros dijo

    Một hacker không phải là tội phạm, ngược lại họ là những người nói với bạn rằng hệ thống của bạn có lỗi và đó là lý do tại sao họ vào hệ thống của bạn để cảnh báo bạn rằng chúng dễ bị tấn công và cho bạn biết cách bạn có thể cải thiện chúng. Đừng bao giờ nhầm lẫn giữa hacker với kẻ trộm máy tính.

    1.    ChrisADR dijo

      Xin chào aspros, đừng nghĩ rằng hacker cũng giống như "nhà phân tích bảo mật", một chức danh hơi phổ biến dành cho những người chuyên thông báo nếu hệ thống có lỗi, họ vào hệ thống của bạn để cho bạn biết rằng họ dễ bị tấn công và v.v. một Hacker thực thụ vượt ra khỏi "thương mại" đơn thuần mà từ đó anh ta sống cuộc sống hàng ngày của mình, đó là một thiên chức thúc giục bạn biết những điều mà đại đa số con người sẽ không bao giờ hiểu được, và kiến ​​thức đó cung cấp sức mạnh, và điều này sẽ được sử dụng để làm cả việc tốt và việc xấu, tùy thuộc vào hacker.

      Nếu bạn tìm kiếm trên Internet những câu chuyện về những tin tặc nổi tiếng nhất hành tinh, bạn sẽ thấy rằng nhiều người trong số họ đã phạm "tội ác máy tính" trong suốt cuộc đời của họ, nhưng điều này, thay vì tạo ra một quan niệm sai lầm về những gì một hacker có thể hoặc không thể, sẽ khiến chúng ta suy nghĩ về mức độ tin tưởng và đầu hàng của máy tính. Hacker thực sự là những người đã học cách không tin tưởng vào máy tính thông thường, vì họ biết giới hạn và sai sót của nó, và với kiến ​​thức đó họ có thể bình tĩnh “đẩy” giới hạn của hệ thống để đạt được điều họ muốn, dù tốt hay xấu. Và những người "bình thường" sợ những người / chương trình (virus) mà họ không thể kiểm soát.

      Và thành thật mà nói, nhiều hacker có khái niệm xấu về "nhà phân tích bảo mật" vì họ chuyên tâm sử dụng các công cụ mà họ tạo ra để kiếm tiền, mà không tạo ra các công cụ mới, hoặc thực sự điều tra, hoặc đóng góp trở lại cho cộng đồng ... cứ sống qua ngày nói rằng hệ thống X dễ bị tổn thương bởi lỗ hổng X mà Hacker X được phát hiện… Phong cách kịch bản trẻ con…

  5.   nhạc jazz dijo

    Algun curso gratuito? Mas que nada para principiantes, digo, aparte de este (OJO, apenas acabo de llegar a DesdeLinux, asi que los demas posts de seguridad informatica no los he mirado, asi que no se que tan principiante o avanzado son los temas que estan tratando 😛 )
    Liên quan

  6.   nước tiểu martines dijo

    Trang này rất hay nó có rất nhiều nội dung về hacker bạn phải có phần mềm diệt virus mạnh để tránh bị hack

    https://www.hackersmexico.com/