Creo que la peque\u00f1a ausencia\u00a0ha valido la pena :) Estos d\u00edas estoy con m\u00e1s \u00e1nimos que nunca de empezar nuevos proyectos y supongo que ya dentro de poco les dar\u00e9 nuevas noticias sobre mis avances en Gentoo :) Pero ese no es el tema de hoy.<\/p>\n
Hace ya alg\u00fan tiempo compr\u00e9 un curso de Computaci\u00f3n Forense, me parece super interesante conocer los procedimientos requeridos, medidas y contramedidas creadas para poder tratar cr\u00edmenes de tipo digital en estos d\u00edas. Pa\u00edses con leyes bien definidas al respecto se han tornado referentes del tema y muchos de estos procesos deber\u00edan aplicarse de manera global para asegurar un adecuado manejo de la informaci\u00f3n.<\/p>\n
Dada la complejidad de los ataques de estos d\u00edas, es importante tener en cuenta qu\u00e9 consecuencias puede traer la falta de supervisi\u00f3n de seguridad de nuestros equipos. Esto aplica tanto para grandes corporaciones como para peque\u00f1as o medianas empresas, incluso a nivel personal. En especial empresas peque\u00f1as o medianas donde no<\/strong> existen procedimientos\u00a0definidos<\/strong>\u00a0para el manejo\/almacenamiento\/transporte de informaci\u00f3n cr\u00edtica.<\/b><\/p>\n Otro motivo especialmente tentador para un ‘hacker’ son las peque\u00f1as cantidades, pero \u00bfesto por qu\u00e9? Imaginemos por un segundo este escenario: Si yo consigo ‘hackear’ una cuenta de banco, \u00bfqu\u00e9 cantidad es m\u00e1s llamativa: un retiro de 10 mil (tu moneda) o uno de 10? Evidentemente si yo estoy revisando mi cuenta y de la nada aparece un retiro\/env\u00edo\/pago de 10 mil (tu moneda) surgen las alarmas, pero si ha sido uno de 10, tal vez desaparece entre cientos de pagos peque\u00f1os realizados. Siguiendo esta l\u00f3gica, uno puede replicar el ‘hackeo’ en unas 100 cuentas con un poco de paciencia, y con esto tenemos el mismo efecto de los 10 mil, sin las alarmas que podr\u00edan sonar por eso.<\/p>\n Ahora, supongamos que esta cuenta es la de nuestra empresa, entre los pagos a los trabajadores, materiales, alquiler, estos pagos pueden perderse de\u00a0 manera sencilla, incluso pueden llevar bastante tiempo ocurriendo sin percatarnos precisamente d\u00f3nde o c\u00f3mo se va el dinero. Pero este no es el \u00fanico problema, supongamos que un ‘hacker’ ha entrado a nuestro servidor, y ahora no solo tiene acceso a las cuentas conectadas a \u00e9l, sino a cada archivo (p\u00fablico o privado), a cada conexi\u00f3n existente, control sobre el tiempo que corren las aplicaciones o la informaci\u00f3n que fluye por estas. Es un mundo bastante peligroso cuando nos detenemos a pensar en eso.<\/p>\n Bueno, este es un tema bastante extenso, y en realidad lo m\u00e1s importante es siempre<\/strong>\u00a0prevenir<\/strong>\u00a0cualquier posibilidad<\/strong>, puesto que es mucho mejor evitar el problema\u00a0antes<\/strong> de que suceda a tener que pagar las consecuencias de la falta de prevenci\u00f3n. Y es que muchas empresas creen que la seguridad es un tema de 3 o 4 auditor\u00edas\u00a0al a\u00f1o<\/strong>. Esto no solamente es irreal<\/strong>, sino que incluso es m\u00e1s peligroso a no hacer nada<\/strong>, puesto que existe una falsa sensaci\u00f3n de ‘seguridad’<\/em>.<\/p>\n Pues si acabas de sufrir un ataque exitoso<\/em> por parte de un hacker, independiente o contratado, es necesario conocer un protocolo m\u00ednimo de acciones. Estas son completamente m\u00ednimas, pero te van a permitir responder de una manera exponencialmente m\u00e1s efectiva si se hacen de manera correcta.<\/p>\n El primer paso es conocer los equipos afectados, y tratarlos como tal, la\u00a0evidencia digital<\/strong> va desde los servidores hasta las impresoras dispuestas dentro de la red. Un ‘hacker’ real puede pivotar por tus redes usando impresoras vulnerables, s\u00ed, leiste bien. Esto porque dicho firmware muy rara vez es actualizado, as\u00ed que puede que tengas equipo vulnerable sin incluso haberlo notado por a\u00f1os.<\/p>\n Como tal, es necesario frente a un ataque tener en cuenta que m\u00e1s artefactos de los comprometidos<\/strong> pueden ser\u00a0evidencia importante<\/strong>.<\/p>\n No encuentro una traducci\u00f3n correcta al t\u00e9rmino, pero el\u00a0first responder<\/em>\u00a0b\u00e1sicamente es la primer persona que va a entrar en contacto con los equipos. Muchas veces esta persona no va a ser alguien especializado<\/strong> y puede ser un administrador de sistemas, un ingeniero<\/em> encargado, hasta incluso un gerente<\/em> que se encuentra en el lugar en el momento y no cuenta con alguien m\u00e1s para responder a la emergencia. Debido a esto, es necesario tener en cuenta que\u00a0ninguno de ellos es el indicado, pero debe saber c\u00f3mo proceder.<\/strong><\/p>\n Existen 2 estados en los que puede estar un equipo despu\u00e9s de un\u00a0ataque exitoso<\/em>, y ahora solo queda recalcar que un\u00a0ataque exitoso<\/em>, normalmente ocurre tras muchos\u00a0<\/strong>ataques infructuosos.<\/em> Por lo que si ya han llegado a robar tu informaci\u00f3n, es porque no existe un\u00a0protocolo de defensa y respuesta.<\/strong> \u00bfRecuerdan lo de prevenir? Ahora es donde m\u00e1s sentido y peso tiene esa parte. Pero bueno, no voy a restregar eso m\u00e1s de la cuenta. Sigamos.<\/p>\n Un equipo puede estar en dos estados tras un ataque,\u00a0conectado a internet\u00a0<\/em>o\u00a0sin conexi\u00f3n.<\/em> Esto es muy sencillo pero vital, si un equipo est\u00e1 conectado a internet es\u00a0IMPERANTE\u00a0<\/strong>desconectarlo\u00a0INMEDIATAMENTE<\/strong>. \u00bfC\u00f3mo lo desconecto? Es necesario encontrar el primer router de acceso a internet y quitar el cable de red, no apagarlo<\/strong>.<\/p>\n Si el equipo\u00a0se encontraba\u00a0SIN CONEXI\u00d3N<\/strong>, nos enfrentamos a un ataquante que ha comprometido f\u00edsicamente\u00a0<\/strong>las instalaciones, en este caso\u00a0toda la red local est\u00e1 comprometida<\/strong> y es necesario sellar las salidas a internet<\/strong>\u00a0sin\u00a0modificar\u00a0ning\u00fan equipo.<\/strong><\/p>\n Esto es sencillo, NUNCA, JAM\u00c1S, BAJO NINGUNA CIRCUNSTANCIA,\u00a0<\/strong>el First Responder debe inspeccionar el\/los equipo(s) afectados. El \u00fanico caso en el que esto puede omitirse (casi nunca sucede) es que el First Responder sea una persona con instrucci\u00f3n especializada para reaccionar en esos momentos. Pero para que se hagan una idea de lo que puede suceder en estos casos.<\/p>\n Supongamos que nuestro\u00a0atacante<\/em> ha hecho un peque\u00f1o e insignificante cambio con los permisos que consigui\u00f3 en su ataque. Cambi\u00f3 el comando\u00a0 Ahora si por descuido ejecutamos un simple\u00a0 Pues la l\u00f3gica sige los mismos pasos, cambiar nombres de archivo en system32 o los mismos registros del equipo pueden hacer inutilizable un sistema, haciendo que la informaci\u00f3n se corrompa o pierda, solo queda a la creatividad del atacante el da\u00f1o m\u00e1s nocivo posible.<\/p>\n No jueguen al h\u00e9roe<\/p><\/blockquote>\n<\/blockquote>\n Esta simple regla puede evitar muchos problemas, e incluso abrir la posibilidad de una investigaci\u00f3n seria y real al respecto. No existe forma de empezar a investigar una red o sistema si todo posible rastro ha sido borrado, pero evidentemente estos rastros tienen que dejarse de manera\u00a0premeditada<\/strong>, esto quiere decir que tenemos que tener protocolos de\u00a0seguridad<\/strong> y\u00a0respaldo<\/strong>. Pero si ya llega el punto en el que tenemos que enfrentar un ataque\u00a0real<\/em>, es necesario\u00a0NO JUGAR AL H\u00c9ROE,<\/strong> puesto que un solo movimiento en falso puede ocasionar la destrucci\u00f3n completa de todo tipo de evidencia. Disculpen que lo repita tanto, pero \u00bfc\u00f3mo podr\u00eda no hacerlo si este solo factor puede marcar la diferencia en muchos de los casos?<\/p>\n Espero que este peque\u00f1o texto los ayude a tener una mejor noci\u00f3n de lo que es\u00a0defender<\/em> sus cosas :) El curso est\u00e1 muy interesante y aprendo bastante sobre este y muchos temas m\u00e1s, pero ya estoy escribiendo mucho as\u00ed que hasta aqu\u00ed lo vamos a dejar por hoy :P Ya pronto les traer\u00e9 nuevas noticias sobre mis \u00faltimas actividades. Saludos,<\/p>\n","protected":false},"excerpt":{"rendered":" Creo que la peque\u00f1a ausencia\u00a0ha valido la pena :) Estos d\u00edas estoy con m\u00e1s \u00e1nimos que nunca de empezar nuevos proyectos y supongo que ya dentro de poco les dar\u00e9 nuevas noticias sobre mis avances en Gentoo :) Pero ese no es el tema de hoy. Computaci\u00f3n Forense Hace ya alg\u00fan tiempo compr\u00e9 un curso … Continue reading C\u00f3mo responder ante un hacker \u2018profesional\u2019<\/span><\/a><\/p>\n","protected":false},"author":169,"featured_media":77,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[3,16],"jetpack_featured_media_url":"https:\/\/blogs.gentoo.org\/chrisadr\/files\/2017\/11\/hackeado.jpg","_links":{"self":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts\/76"}],"collection":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/users\/169"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/comments?post=76"}],"version-history":[{"count":1,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts\/76\/revisions"}],"predecessor-version":[{"id":78,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts\/76\/revisions\/78"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/media\/77"}],"wp:attachment":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/media?parent=76"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/categories?post=76"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/tags?post=76"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}El ‘hacker’ no es tonto<\/h3>\n
Los problemas empresariales<\/h3>\n
\u00bfQu\u00e9 medidas preventivas existen?<\/h3>\n
Ya me ‘hackearon’, \u00bfahora qu\u00e9?<\/h3>\n
Tipos de evidencia<\/h4>\n
First responder<\/h4>\n
Inspeccionar el equipo<\/h4>\n
Bajo entornos Linux<\/h5>\n
ls<\/code>\u00a0ubicado en\u00a0\/bin\/ls<\/code>\u00a0por el siguiente script:<\/p>\n#!\/bin\/bash
\nrm -rf \/<\/code><\/p>\nls<\/code>\u00a0en la computadora afectada, comenzar\u00e1 una autodestrucci\u00f3n de todo tipo de evidencia, limpiando cada huella posible del equipo y destruyendo todo tipo de posibilidad de encontrar a un responsable.<\/p>\nBajo entornos Windows<\/h5>\n
\n
Reflexiones finales<\/h3>\n