¿Cómo saben los expertos en seguridad informática o los piratas informáticos cuándo alguien ha pirateado su computadora y está escuchando la actividad de la computadora y de Internet?

Esto es básicamente todo el campo de detección, el subconjunto de seguridad cibernética en el que trabaja mi equipo. El objetivo es identificar cuándo un atacante ha comprometido activos como computadoras o cuentas en nuestra red. No es fácil.

El punto de partida es el monitoreo. Observamos registros de actividad de computadoras y sistemas individuales y de dispositivos de monitoreo de red como Intrusion Detection Systems (IDS). En estos registros buscamos patrones específicos que indican actividad sospechosa. Algunos patrones son obsequios muertos. Por ejemplo, el exploit Heartbleed requiere un patrón muy inusual que no se encuentra en el uso normal. Otros patrones son menos seguros. Por ejemplo, una pieza típica de malware cambia a menudo, por lo que debe buscar algún patrón que parezca tener, pero a veces ese patrón no es lo suficientemente general y puede perderse cosas, y otras veces es demasiado general y marca el uso normal. tan sospechoso Una de las habilidades clave en la detección es refinar estos patrones de detección para producir los resultados positivos más verdaderos con la menor cantidad de falsos positivos.

Una vez que haya identificado un patrón que indica un posible compromiso de un activo, debe confirmar o rechazar ese compromiso. Esta también es una habilidad clave en la detección. Algunas cosas que puedes hacer son:

  • Mire otros patrones predefinidos como signos de que el activo puede estar comprometido
  • Vea si a la máquina le faltan parches o si ha sido identificada como un riesgo de seguridad
  • Vea si la actividad de la cuenta coincide con la otra actividad del usuario. Si trabajan en California y hay un inicio de sesión desde India, es sospechoso, pero podría ser solo un viaje.
  • Observe la actividad de red de la máquina y vea si hay algo sospechoso, como un escaneo de puertos.
  • Mire el historial de inicio de sesión y vea si hay inicios de sesión remotos inesperados, como una cuenta de usuario aparentemente no relacionada que inicia sesión de forma remota.

Un analista analiza muchas de estas cosas para tratar de identificar si la máquina está comprometida o no. Este proceso es ayudado por herramientas automatizadas. Algunas de estas herramientas capturan el estado de la máquina para que podamos analizarla sin preocuparnos por el cambio de datos o el apagado de la máquina.

En Google, nuestros ingenieros dedican gran parte de su tiempo a automatizar estas actividades para eliminar el trabajo manual y reducir la tasa de errores humanos. Las empresas con menos recursos pueden utilizar software de código abierto comercial o gratuito de pago para este propósito. Muchos hackers individuales ejecutan parte del software de código abierto en casa.

Otro truco simple utilizado por piratas informáticos individuales es hacer todo dentro de una máquina virtual y con frecuencia borrar la VM y comenzar una nueva.

Related Content

¿Cuáles son los 5 pilares de la seguridad de la información?

Cómo eliminar un virus ransomware

¿El programa antivirus gratuito AVG está ralentizando mi computadora portátil o podría ser otra cosa?

¿Hay alguna manera de personalizar una computadora portátil para que ningún hacker pueda hackearla o abrirla sin proporcionar la contraseña?

¿Cuál es el mejor instituto para la piratería ética en la India?

A2A.

Bueno, estoy realmente sorprendido por la cantidad de respuestas que menciona cómo la gente realmente no se dará cuenta cuando sus dispositivos sean pirateados. De todos modos, intentaré enviar una respuesta técnicamente razonable como sea posible.

Si creemos que la computadora de alguien está pirateada, primero buscamos lo que llamamos IoC (Indicaciones de Compromiso) , podrían definirse como cualquier acción maliciosa o de comportamiento extraño en cualquier parte de su computadora. Hay un tema completo en Cyber ​​Security que está directamente relacionado con el análisis y la extracción de IoC de un sistema, llamado Malware Analysis. Tomando el sistema operativo Microsoft Windows como ejemplo (podría aplicarse en otro lugar), hay muchas acciones que hacer si alguna vez pensó que fue / hackeado:

  • Puertos abiertos (¿Registros de firewall?)
  • Registro “Ejecutar” y colmenas de ejecución automática
  • Acciones del sistema de archivos (las herramientas de Sysinternals son bastante útiles específicamente para ese punto)
  • Tomar imágenes de memoria de los procesos del sistema (como svchost.exe, winlogon.exe, etc.) para un análisis más detallado.
  • Adjuntar un depurador del núcleo y monitorear las llamadas al sistema y sus respectivos procesos relacionados.

Incluso los malwares más sofisticados (¿Stuxnet?) Realmente no pueden evadir ser descubiertos en los puntos 4 y 5.

Estoy hablando de lo que haría un “experto en seguridad” (como usted lo llamó) si alguna vez pensara en ser hackeado.

Jason McMahon

La mayoría de las compañías de alto nivel generalmente implementarán lo que se llama un IDS (Sistema de detección de intrusiones) y / o IPS (Sistema de prevención de intrusiones) en sus servidores o puertas de enlace. Son similares a las reglas de firewall en el sentido de que buscan eventos anómalos en la red o firewall en función de las reglas establecidas en los programas. Una vez que se detecta uno de estos eventos anómalos, el IDS enviará una alerta a los administradores del sistema o de seguridad, mientras que un IPS tomará acciones automatizadas para detener la intrusión, como bloquear la IP, bloquear sistemas clave, auto-encarcelamiento y muchos Otras acciones posibles (todas en su mayoría guiones basados ​​en Linux / Unix).

Ahora, dicho esto … IDS e IPS no siempre detectan el 100% de los ataques e intrusiones. Esto es lo que llamamos un “evento de día cero”, lo que significa que poco después de que se publique una actualización, una vulnerabilidad sin parches podría comprometer el sistema sin ser detectado. Esto es a menudo la razón por la que verá que las empresas esperan varias semanas / meses después de que se publique una actualización importante antes de actualizar sus sistemas. Esto es para permitir que las actualizaciones sean parcheadas de día cero (principalmente), y permitir una ventana de actualización mucho más segura.

Abdullah Mohamed

No soy un experto, pero en mi experiencia cuando aprendes seguridad, aprendes cómo se ven las cosas malas. Si su explorador de Windows se bloquea repentinamente sin razón aparente, usted sospecha, o si el sistema parece estar desacelerando sin razón, sospecha, etc. Entonces, si desea ver si hay algo mal, normalmente puede comenzar con solo revisar tus procesos.

Si está en el campo, tiende a recibir noticias sobre nuevos malware conocidos. Por lo tanto, verifique los procesos que afecta el nuevo malware, ciérrelos si no son críticos y, en general, realice un seguimiento de lo que está ejecutando su sistema. Por lo general, si no está utilizando un dispositivo de la compañía, su sistema también está completamente actualizado, por lo que habrá reparado todas las vulnerabilidades menos las más recientes.

Otra cosa que ayuda es que las personas con mentalidad de seguridad realizan un seguimiento de los firewalls. El primer objetivo que nmap’ed fue mi propia máquina, le dice qué puertos están abiertos para que pueda investigar. Especialmente cuando puede tener solo 10 o más reglas de firewall de línea, cada una con un comentario que explica por qué existe (piense en las reglas de iptables o ufw). Entonces, si eso cambia, puedes estar bastante seguro de que algo salió mal.

Por último, las personas con mentalidad de seguridad también tienden a los sistemas Unix, por lo que Mac o Linux. Debido a las diferencias de cuota de mercado, estos obtienen proporcionalmente menos malware dirigido hacia ellos. Por lo tanto, es un problema significativamente menor, en general. También es (en mi opinión) mucho más fácil administrar estos sistemas como superusuario, solo debido a bash y la cadena de herramientas del terminal. Puede ver todos los procesos y servicios en su sistema, quién ejecutó qué y en qué estado se encuentra, con aproximadamente 2 líneas en terminales bash (para la mayoría de las distribuciones). A menudo, eso es alrededor de una página o más de cosas en ejecución, lo que es bastante fácil de comprobar si nada está haciendo algo absurdo (el usuario de Apache que ejecuta zsh o el proceso netcat, por ejemplo, sería una gran señal de alerta que estropeó en alguna parte). Luego puede manejar en consecuencia (cierre los procesos sospechosos, bloquee / apague la red, comience a ejecutar escaneos o apague los servicios potencialmente vulnerables).

Ahmed Yousuf

Hay pequeñas señales que se revelarán a alguien que está extremadamente familiarizado con una máquina en particular. Si me tomara una fracción de segundo más de lo que normalmente tarda en cargarse el menú de mis programas del año pasado, lo notaría e investigaría. Si un icono tuviera un tono de color ligeramente incorrecto, lo notaría e investigaría. Si estoy revisando mis procesos en ejecución (como lo hago muy a menudo) y no reconozco algo, lo investigaría. Si un día verifico el tráfico de mi red, notaré que los datos van a una IP que no espero y que finalmente no puedo dar cuenta, e investigaré. Esos son algunos ejemplos, y hay muchos más. Nunca está de más auditar ocasionalmente el tráfico de su red y los procesos del sistema para cada dispositivo …

Además, es muy poco probable que la gran mayoría de los crackers (el término real para un delincuente informático: los hackers son simplemente personas a las que les gusta jugar) van a cubrir todos sus signos y pistas perfectamente. Se notará algo ‘apagado’. Especialmente cuando considera que la mayoría no son ataques dirigidos que tienen en cuenta la experiencia de la ‘marca’ esperada, ni deberían hacerlo. Normalmente es suficiente escribir algún malware sin sentido trivial que apenas funciona y que al menos es un poco defectuoso si desea infectar al 98% de los usuarios que casi no tienen conocimiento de lo que una computadora realmente debería o no debería estar haciendo.

El cerebro humano adecuadamente entrenado no tiene igual (hasta ahora) como detector de compromiso en mi opinión.

John Timeo

Hay una forma fantástica de analizar su computadora si hay algún posible malware (o software sospechoso) presente. Es una indicación de que su sistema está infectado o pirateado. (Un hacker definitivamente pondría algún troyano en su sistema y monitorearía sus actividades).

Utiliza SysInternals Process Explorer. Si aprendió esto, estará un paso más cerca de cómo el profesional analizaría su sistema.

Aprenda esto del reconocido experto de Microsoft: Mark Russinovich

TWC: Malware Hunting con Mark Russinovich y las herramientas Sysinternals

(Este chico es uno de mis héroes …)

John Timeo

Hay varias herramientas que son bastante útiles. Todos menos algunos virus necesitan el ciclo de reinicio para obtener el control. Autoruns de sysinternals, ahora Microsoft te dice exactamente qué arranca todo. Después de cada visita, incluso de naturaleza cuestionable, reviso y limpio la suciedad, por supuesto, mientras copio las últimas cosas en lugares seguros.

Windows Sysinternals

Observar quién hace ping, toca y escanea el puerto en el exterior es otro conjunto de herramientas. Una vez más, le recomiendo que mire sysinternals for TCP view como iniciador para acostumbrarse a ver lo que su PC está haciendo en Internet.

Si va más allá de eso, los anti hackers tienden a infectar la PC y luego la limpian después de estudiar los efectos. Hay varias herramientas de disco que le dan una descripción detallada de las diferencias de antes y después de un ataque.

Más allá de eso, tiende a costar un poco de dinero entrar en todo tipo de software especializado.

Johann Maliq

Si acabo de construirlo, lo aseguré, sin tocar Internet, y está apagado: es posible que no se vea comprometido. De lo contrario, supongo que cualquier máquina ya ha sido propiedad.

La única computadora segura está en una caja fuerte, apagada, con el disco duro en fragmentos muy pequeños en el fondo de al menos dos cuerpos de agua. Si puede acceder a Google, el cuadro ya no es seguro. Juzgue el riesgo, juzgue la seguridad; considere el hecho de que si es un objetivo lo suficientemente alto, alguien lo quiere … probablemente más de lo que usted quiere protegerlo.

¿Cómo que ha sido comprometido? El asistente es bastante bueno para mostrar qué archivos han cambiado. Los cambios repentinos en el rendimiento son una pista. Un proceso llamado / ruut / ls que toma la mitad de la memoria es una gran pista.

Pero la regla más grande es fácil … Si está conectado, no lo tengo.

Johann Maliq

Por lo general no lo hacen.

El ataque grave promedio sigue siendo desconocido durante 3 a 6 meses. Si supieran que está allí, ¡lo detendrían!

Pero cada ataque tiene sus propios regalos. Utilizan recursos de red, recursos informáticos, cambio de comportamiento, y todos estos son observables a lo largo del tiempo.

John Timeo

Depende de lo bueno que sea el atacante y de lo ruidosos que sean sus patrones de ataque.

Un atacante realmente inteligente mantendrá un perfil muy bajo y puede pasar desapercibido durante mucho tiempo, como afirma acertadamente el usuario de Quora.

Un analista y / o un administrador de sistemas pueden ver los registros, pero el gran problema de la seguridad es la gran cantidad de información que tiene que examinar.

Incluso con la solución más inteligente / de vanguardia, especialmente en el caso de 0 días, siempre puede existir la posibilidad de que algunos ataques pasen desapercibidos.

Solo puede intentar reducir la superficie de ataque e implementar una seguridad en capas, también conocida como defensa en profundidad.

Peter Nierop

Esto es solo para mí, no puedo decirlo para otros investigadores, pero reviso regularmente cada parte de mi computadora para detectar vulnerabilidades en el sistema operativo o el firmware. Si se encuentra algo sospechoso, verifico si hay periféricos o programas que puedan estar causándolo. Si no encuentro nada, corto todas las comunicaciones hacia y desde mi computadora e inmediatamente escaneo mi computadora en busca de cualquier software dañino. Si eso no resulta nada, mantengo mi computadora apagada y desconectada de Internet durante al menos una semana. Parece paranoico, pero ha ayudado a prevenir y detener muchas infecciones que estaban dirigidas a mí.

Calvin Jenkins

No se asuste!
¿Qué hacer si (crees) que estás bajo ataque? Primero, no se asuste. Si el hacker ha entrado en su sistema, es posible que ya haya hecho el daño. Si todavía no ha entrado, puede que nunca entre. Si el ataque se basa en la red (como escaneo de puertos, ataque DoS o falsificación de DNS que de alguna manera detecta), entonces la mejor opción podría ser desconectarse. Desconecte el enchufe para estar seguro. Por otro lado, si sabe que sus defensas son buenas, sería aconsejable averiguar quién está tratando de hacer o qué hacer con su sistema. Si se desconecta, el pirata informático podría notarlo y descubrir que lo vio.

Recuerde que si recibe golpes en su cortafuegos desde el exterior, eso simplemente significa que su cortafuegos está haciendo su trabajo y que está a salvo, por lo que no hay una razón particular para desconectarse. Todavía vale la pena investigar, ya que podría ser una señal de que alguien intenta conectarse a un caballo de Troya que está en su computadora o buscar vulnerabilidades en su computadora para explotar. Sin embargo, si recibe golpes muy extraños en su firewall desde el interior de su computadora hacia afuera, entonces es muy importante desconectarse para asegurarse de que sea lo que sea, y que NO saldrá a la red sin importar lo que suceda después. Después de que se haya asegurado de que el hacker no esté entrando / saliendo de su sistema, entonces tiene tiempo para descubrir y reaccionar mucho mejor al ataque. Visite stingraytriangle (at) g mail él hace milagro,

Ahmed Yousuf

More Interesting

Cómo usar Wireshark para detectar amenazas

¿Un mejor cortafuegos protegería a EE. UU. Del pirateo extranjero?

¿Qué herramientas utilizan los servicios de pruebas de seguridad?

¿Puedo abrir el teléfono de un amigo sin contraseña?

¿Qué es EternalRock y Wannacry?

¿Es la computación en la nube más segura que los sistemas de servidor cliente tradicionales para la pequeña y mediana empresa?

¿Cuál sería una buena manera de absorber la productividad de alguien que intenta ejecutar una estafa telefónica de soporte técnico de Microsoft?

¿Cómo puede una startup protegerse legalmente de una violación de seguridad que compromete los datos privados de los clientes?

¿Cómo podría alguien secuestrar mi dominio sin contraseña, credenciales o incluso conocimiento de su existencia?

¿Qué es el cifrado de datos en términos simples?

¿Los administradores de contraseñas en línea (por ejemplo, Dashlane o LastPass) almacenan sus contraseñas en texto sin formato?

¿Qué es vGrabber? ¿Es seguro para mi computadora?

¿Qué sucederá si se envía un poderoso programa de virus al servidor antivirus superior?

¿Cuál es el mejor anti-spyware?

¿Cuáles son las principales herramientas que debo usar durante un concurso de CTF en todas las categorías?