Cómo evitar que los piratas informáticos invadan su computadora
En este consejo, aprenderá cómo una simple alteración de una página web puede revelar el valor de un plan detallado de respuesta a incidentes.
La experiencia de ser pirateado es similar a obtener un ingreso lamentable. Al menos, esta es la sensación que aprendí recientemente después de que una de mis páginas web fuera desfigurada y destruida.
Efectivamente, nuestra investigación encontró que el servidor dañado estaba ejecutando un programa de foro PHP sin parches. El pirata informático utilizó un exploit de PHP para dejar un mensaje breve y amigable indicando que había ocupado este territorio. Aunque se trató de un incidente relativamente menor, pone de relieve lo importante que es contar con un plan de respuesta a emergencias preparado e informado.
Hay un dicho que tiene razón: Nadie verá el valor de una estrategia hasta el momento crítico.
El plan de respuesta de información (RI) nos brinda el proceso de respuesta inmediata, análisis de investigación y recuperación. Son como tres anillos que se cruzan en nuestras manos para asegurar su éxito, debemos hacer lo siguiente. aspectos:
Aislamiento del servidor
Este es un servidor muy importante, por lo que debemos asegurar su instalación y aislarlo de la red. Usamos reglas de firewall entre el servidor y la red externa para interceptar ataques, y luego podemos cerrar el puerto del conmutador que responde y aislar el servidor. Una vez que se completa el aislamiento, podemos pausar la grabación del descubrimiento, lo que descubrirá al hacker y las acciones que realizó. Este también es un paso importante para proporcionar evidencia para el análisis forense y un posible litigio.
Seguimiento de piratas informáticos
El pirata informático no eliminó los registros, por lo que nos tomó poco tiempo descubrir que el pirata informático utilizó un script fijo para intentar atacar PHP varias veces. Lo que realmente queremos saber es si el hacker obtuvo acceso de root o si utilizó este servidor como trampolín para atacar otros sistemas. Las comprobaciones CRC de archivos importantes nos dicen que no han sido alterados ni dañados y que no hay procesos sospechosos ejecutándose en la memoria. Revisamos el sitio del proveedor del programa del foro y, de hecho, una semana antes del ataque, el proveedor había emitido una declaración sobre la vulnerabilidad y había lanzado un parche. No hay problema: para un hacker, una semana es suficiente.
Nos sorprendió no encontrar evidencia de un ataque PHP en nuestros registros de IDS, y nuestro proveedor de IDS nos dijo que las firmas tendrían aproximadamente dos semanas antes de la próxima actualización de firmas planificada. Eso deja un intervalo de tres semanas antes de que se descubran vulnerabilidades y ataques y las firmas IDS estén disponibles.
Respuesta y recuperación
Nuestra estrategia de respuesta a incidentes es que cualquier máquina comprometida será reconstruida independientemente de la gravedad del incidente (sin dejar ninguna posibilidad de riesgo). Los sistemas se configuran y refuerzan en términos de seguridad según directrices generalmente aceptadas y también comprobamos nuestro trabajo escaneando las máquinas en busca de puntos débiles con escáneres de vulnerabilidades. Por supuesto, también detectamos máquinas similares mediante software de ataque.
Lecciones aprendidas
Las lecciones que aprendimos de este incidente son: Asegúrese de que los administradores de su sistema estén actualizados con los últimos parches (una vez al mes no es suficiente) y Verifique la Registre con frecuencia (una vez por semana no es suficiente). Los administradores de seguridad deben saber qué software está instalado en cada máquina para poder protegerse contra las vulnerabilidades y debilidades relacionadas. No confíe en ningún proveedor de IDS, ya que la firma puede llegar demasiado tarde para la primera línea de defensa. Considere implementar Tripwire (un sistema de detección de intrusos) en servidores públicos para monitorear cambios en atributos de archivos importantes.
Finalmente, mantenga su estrategia de respuesta a incidentes actualizada y adaptable a los requisitos actuales del sistema. Que todos sepan qué hacer en caso de emergencia, para garantizar la implementación fluida de las medidas correctivas.
Diez consejos para prevenir piratas informáticos
1. Utilice software antivirus y actualícelo con frecuencia para mantener los programas destructivos alejados de su computadora.
2. Los comerciantes en línea no pueden almacenar la información de su tarjeta de crédito para sus futuras compras.
3. Utilice una contraseña que sea una combinación de números y letras que sea difícil de descifrar y cámbiela con frecuencia.
4. Utilice diferentes contraseñas para diferentes sitios web y programas para evitar que los piratas informáticos las descifren.
5. Utilice las últimas versiones del software de navegación web, software de correo electrónico y otros programas.
6. Envíe números de tarjetas de crédito únicamente a sitios web con seguridad garantizada y busque el icono del candado o de la llave que se muestra en la parte inferior del navegador.
7. Confirma la dirección del sitio web con el que deseas tratar, y presta atención a la dirección que ingresas. Por ejemplo, no pongas ana-zon. com se escribe como amozon. com.
8. Utilice un programa de seguridad que tenga control sobre el programa de cookies. El programa de cookies enviará información al sitio web.
9. Si utiliza una línea de abonado digital o un módem por cable para conectarse a Internet, debe instalar un software de firewall para monitorear el flujo de datos.
10. No abra archivos adjuntos de correo electrónico a menos que conozca la fuente de la información.