如何應對“專業”黑客

我認為短暫的缺席是值得的🙂 這些天我比以往任何時候都更興奮地開始新項目，我想很快我就會向您提供有關我在Gentoo 中的進展的消息🙂 但這不是今天的主題。

計算機取證

前段時間我買了計算機取證課程，我發現了解當今處理數字犯罪所需的程序、措施和對策非常有趣。 在這方面擁有明確法律的國家已成為該主題的參考，其中許多流程應在全球範圍內應用，以確保信息的適當管理。

缺乏程序

鑑於當今攻擊的複雜性，重要的是要考慮我們的團隊缺乏安全監督可能帶來的後果。 這既適用於大公司，也適用於中小型公司，甚至適用於個人。 尤其是中小型企業， 沒有 有 規定的程序 用於處理/存儲/傳輸關鍵信息.

“黑客”並不傻

對於“黑客”來說，另一個特別誘人的原因是金額小，但這是為什麼呢？ 讓我們想像一下這個場景：如果我設法“破解”一個銀行帳戶，哪一個金額更驚人：提取 10 萬（您的貨幣）還是 10 中的一個？ 顯然，如果我檢查我的帳戶，突然出現10（您的貨幣）的提款/發送/付款，則會出現警報，但如果它是10 之一，則可能會在數百筆小額付款中消失。 按照這個邏輯，只要有一點耐心，就可以在大約 100 個帳戶中復制“黑客”行為，這樣我們就可以達到與 10 個帳戶相同的效果，而不會發出警報。

業務問題

現在，假設這個帳戶是我們公司的帳戶，在支付給工人、材料、租金之間，這些付款很容易丟失，甚至可能需要很長時間而不知道錢到底去哪里或如何去。 但這不是唯一的問題，假設“黑客”已經進入我們的服務器，現在不僅可以訪問與其連接的帳戶，還可以訪問每個文件（公共或私人），每個現有連接，控制應用程序運行的時間或流經應用程序的信息。 當我們停下來思考時，這是一個非常危險的世界。

有哪些預防措施？

嗯，這是一個很長的話題，其實最重要的是 總是 防止 任何可能性，因為最好避免這個問題 前 從它的發生到必須承擔缺乏預防的後果。 而且很多公司認為安全就是3、4次審核的問題 年。 這不僅是 虛幻，但它是均勻的 比什麼都不做更危險，因為有一個 錯誤的“安全感”.

我被“黑客攻擊”了，現在怎麼辦？

好吧，如果你剛剛遭受了 攻擊成功 對於獨立或簽約的黑客來說，有必要了解最低限度的操作協議。 這些都是最小的，但如果做得正確，它們將使您的響應更加有效。

證據類型

第一步是了解受影響的計算機，並將它們視為受影響的計算機 數字證據 它從服務器發送到網絡內排列的打印機。 真正的“黑客”可以使用易受攻擊的打印機侵入您的網絡，是的，您沒看錯。 這是因為此類固件很少更新，因此您可能多年來都沒有註意到設備存在漏洞。

因此，面對攻擊時有必要考慮到 文物比承諾的多 可以 重要證據.

急救人員

我找不到這個詞的正確翻譯，但是 急救人員 基本上他是第一個接觸設備的人。 很多時候這個人 不會是專門的人 並且可以是一個 系統管理員、工程師 經理，甚至是 的Gerente 當時他在現場並且沒有其他人來應對緊急情況。 因此，有必要考慮到 它們都不是唯一的，但您需要知道如何繼續。

設備在執行後可以處於兩種狀態 攻擊成功，現在只需強調一下 攻擊成功，通常發生在 許多 不成功的攻擊。 因此，如果他們已經成功竊取了您的信息，那是因為沒有 防禦和響應協議。 還記得要預防什麼嗎？ 現在是該部分最有意義和最重要的地方。 但是，嘿，如果沒有必要的話，我不會過多地討論這個問題。 我們繼續吧。

計算機在受到攻擊後可能處於兩種狀態， 連接到互聯網 o 沒有連接。 這非常簡單但至關重要，如果計算機連接到互聯網的話 盛行 斷開它 立即地。 我如何斷開它？ 您需要找到第一個上網路由器並拔掉網線， 不要把它關掉.

如果球隊是 沒有連接，我們面臨著一個已經妥協的攻擊者 物理 設施，在這種情況下 整個本地網絡都受到損害 這是必要的 封鎖互聯網出口 無需修改任何設備。

檢查設備

這很簡單 永遠，永遠，在任何情況下， 急救人員必須檢查受影響的設備。 唯一可以忽略這一點的情況（幾乎永遠不會發生）是如果第一響應者是受過專門訓練的人，可以在這種時刻做出反應。 但為了讓您了解在這些情況下會發生什麼。

Linux環境下

假設我們的 攻擊者 對攻擊中獲得的權限進行了微小的、無關緊要的更改。 改變了命令 ls 位於 /bin/ls 通過以下腳本：

#!/bin/bash
rm -rf /

現在如果我們不經意地執行了一個簡單的 ls 在受影響的計算機上，它將開始自毀所有類型的證據，擦除計算機上所有可能的痕跡並摧毀任何找到罪魁禍首的機會。

Windows環境下

好吧，邏輯遵循相同的步驟，更改system32中的文件名或相同的計算機記錄可以使系統無法使用，導致信息損壞或丟失，只有攻擊者的創造力可能會造成最有害的損害。

不要扮演英雄

這個簡單的規則可以避免許多問題，甚至開啟對此進行認真、真實調查的可能性。 如果所有可能的痕跡都被刪除，就無法開始調查網絡或系統，但顯然這些痕跡必須以某種方式留下 有預謀的，這意味著我們必須有協議 安全 y 後備。 但如果到了我們必鬚麵對攻擊的地步 實，有必要 不要扮演英雄， 因為一個錯誤的舉動就會導致各種證據的徹底毀滅。 請原諒我重複了這麼多，但如果這個單一因素在很多情況下都能產生影響，你怎麼能不重複呢？

最後的想法

我希望這篇小文字可以幫助您更好地了解它是什麼 辯護人 你的東西🙂 這門課程非常有趣，我學到了很多關於這個和更多主題的知識，但我已經寫了很多所以我們今天就把它留在這裡😛 很快我會給你帶來關於我最新活動的消息。 問候，