¿Qué tan fácil sería para alguien con conocimientos en seguridad informática comprometer mis computadoras en línea?

Si la computadora de su hogar está directamente en Internet y ejecuta un servidor SSH, está bajo un ataque constante de ataques de diccionario desde China y otros lugares; es obvio en / var / log / secure. Si tiene una contraseña de root débil, probablemente se adivinará. Desactivar el inicio de sesión de contraseña de root en sshd_config bloquea la mayor parte de eso, y cambiar a usar claves en lugar de contraseñas lo protegerá de los keyloggers.
Los piratas informáticos necesitan algún tipo de servicio en ejecución para obtener acceso, ya sea con credenciales que puedan adivinar o conseguir que les brindes, o mediante una vulnerabilidad explotable. La pila de red básica es muy, muy raramente vulnerable: sería noticia de la noche y habría una solución al día siguiente. Entonces, una ruta típica sería a través de un servidor web, probablemente en una aplicación desactualizada. He sido pirateado varias veces, una vez a través de una versión obsoleta del webmail Roundcube, una vez por una vulnerabilidad en Realserver (que realmedia corrió estúpidamente como raíz años después de apache, etc., cambió a la eliminación de privilegios), y una vez por falta de desinfección entrada del usuario en una aplicación de cámara web que escribí (alrededor de 1994 antes de que alguien supiera mucho sobre estas cosas).
Si no ejecuta servidores o cortafuegos todo lo que solo necesita acceso a la red local, estará bastante seguro (es más probable que le roben su computadora en un robo).

Es probable que las personas intenten piratear sus sitios web de océano digital todo el tiempo; cualquier solicitud inesperada de php.cgi y otras secuencias de comandos CGI con parámetros extraños probablemente sean intentos de concha. Puede verlos en / var / log / httpd / error_log. Inofensivo a menos que no haya actualizado bash y tenga scripts CGI que pasen variables de entorno al shell.
Cualquier ataque web se registrará en los registros del servidor web, a menos que el atacante obtenga root y borre los registros, y puede reenviar syslog a una máquina segura para evitar eso. El problema es ver un ataque exitoso entre todo el ruido.
Si un atacante obtiene una cuenta shell a través de credenciales adivinadas o comprometidas, habrá una entrada en / var / log / secure. Si corren sudo, lo mismo. Si no son muy hábiles, puede haber registros en el archivo del historial, por ejemplo, ~ user / .bash_history. Es posible configurar HISTTIMEFORMAT para registrar el tiempo de los comandos, lo que ayuda a asignar la culpa (quién hizo qué después de iniciar sesión desde dónde).
Si alguien puede obtener una cuenta de shell a través de una vulnerabilidad web, es posible que no haya evidencia en / var / log / secure (apache no puede iniciar sesión directamente). Si pueden encontrar un exploit de escalada de privilegios y obtener acceso a la raíz, eso puede pasar por alto los procedimientos normales de inicio de sesión y no dejar ningún registro. Si es víctima de alguien experto, que simplemente copia información como su archivo / etc / shadow o base de datos de clientes, y luego se desconecta, es posible que nunca vea nada a menos que tenga un registro completo de la red. Pero la mayoría de los piratas informáticos no son tan hábiles y quieren hacer cosas. Tan pronto como comiencen a ejecutar IRC o envíen correo no deseado, puede ver actividad inesperada de la red y archivos inesperados abiertos con lsof, a menos que hayan podido piratear el núcleo para ocultar la evidencia (con un rootkit), y aún así vería tráfico de red en un monitor externo.
Puede detectar servidores troyanados como sshd comparando las firmas digitales con buenos valores conocidos; en Redhat, “rpm -Va” y busque “5” en binarios. Si un hacker ha creado una cuenta de usuario, puede verlo en / etc / passwd. Si cambiaron una contraseña existente, puede ver con “passwd -l xxx”.

Quiero especializarme en seguridad del sistema y piratería ética, ¿qué necesito saber y hacer?

¿Cuál es la mejor manera de probar un sitio web para la vulnerabilidad de inyección SQL?

¿Qué es un shell inverso en relación con la seguridad informática?

¿Cómo es PwC para una seguridad cibernética más fresca?

¿Vale la pena obtener 1 contraseña?

¿Cómo podemos evitar el virus shortkut en pendrive?

Tomemos un escenario hipotético para intentar responder a esta pregunta muy interesante.

Usted mencionó que tiene unos pocos sitios web completos alojados en el océano digital. Con toda probabilidad, estos sitios web no serán seguros. Es imposible asegurar al 100 por ciento cualquier servidor web. Puede haber una pequeña vulnerabilidad xss o vulnerabilidad de inyección SQL en su sitio que puede haberse deslizado a pesar de todos sus intentos de asegurar el sitio. Un buen hacker puede descubrirlos y utilizarlos para obtener acceso de root a su aplicación web. Ahora tiene el control de sus instancias digitales del océano. Dentro de estos servidores web puede haber cierta información del usuario, como nombres de usuario, identificadores de correo electrónico y tal vez incluso contraseñas de texto sin formato. Quizás haya almacenado las contraseñas de su base de datos MySQL en el código. Quizás esta contraseña sea la misma que sus otras contraseñas de inicio de sesión, digamos su cuenta de Gmail. O al menos el hacker tiene su ID de correo electrónico. Puede lanzar un ataque de spear phishing contra usted y obtener su correo electrónico / contraseña de Gmail.

Ahora el hacker tiene acceso a su cuenta de Gmail. Ahora puede seguir todos tus movimientos a través del historial de ubicaciones de Google. En resumen, tendrá acceso a toda tu vida.

El pirata informático también verifica los registros ssh de las cajas oceánicas digitales y deduce que el inicio de sesión ssh frecuente proviene de su IP. Ahora tiene la dirección IP pública de su red doméstica. Luego escribe esta IP en su navegador y es recibido con la página de inicio de sesión de su enrutador doméstico. Si usted es como la mayoría de las personas, su enrutador tendrá un nombre de usuario y contraseña predeterminados y él solo podrá iniciar sesión después de algunos intentos desde las listas de contraseñas de enrutador conocidas. De lo contrario, puede probar alguna combinación de contraseñas de todos los datos anteriores que ya ha recopilado de usted. El hacker ahora tiene acceso a su enrutador. Desde la consola del enrutador, ve su IP de escritorio de Linux y cambia la configuración para reenviar el puerto al puerto ssh de su computadora. Ahora, dado que el hacker tiene una o más de sus contraseñas, puede intentar ingresar en su escritorio de Linux. Después de algunos intentos, finalmente tuvo éxito. Ahora tiene acceso de root a la computadora de su hogar.

A partir de entonces, todo lo demás que el hacker puede hacer queda a la imaginación.

Thanglalson Gangte

More Interesting

Cómo desarrollar 'Mejora de la seguridad FTP mediante contraseña dinámica y esteganografía

Si la gente de seguridad de TI está trabajando constantemente hacia un entorno de TI seguro, ¿por qué seguimos viendo tantas violaciones cibernéticas todos los días en las noticias?

Criptografía: ¿los fundamentos de la mayoría de los criptoanálisis siguen basándose en el análisis de frecuencia?

¿Cuáles son los mejores programas anti malware?

¿Usar una herramienta de administrador de contraseñas se parece mucho a poner todos tus huevos en una canasta?

Si me conecto a un sitio web HTTPS seguro a través de un proxy HTTP, ¿podrá el servidor proxy leer la información que se pasa?

¿Cuál es la mejor manera de dejar las contraseñas de seguridad de su computadora para sus sobrevivientes?

Cuando ingreso mi nombre de usuario y contraseña en un sitio web protegido por SSL, ¿cuáles son todos los certificados, claves públicas y privadas involucradas para completar con éxito esta operación y cuáles son sus tareas principales?

¿Hay problemas de salud y seguridad en un trabajo de seguridad cibernética?