تجنب الاختراق بهذه الخطوات الثلاث

ChrisADR

8 دقيقة

حتى الآن أعتقد أنني لم أتطرق إلى إحدى أغنياتي المفضلة ، أمن الكمبيوتر، وأعتقد أن هذا سيكون الموضوع الذي جئت لأخبرك به اليوم 🙂 آمل أنه بعد هذه المقالة القصيرة يمكنك الحصول على فكرة أفضل عما يمكن أن يساعدك في التحكم بشكل أفضل في المخاطر وكيفية التخفيف منها كثير في نفس الوقت.

المخاطر في كل مكان

إنه أمر لا مفر منه ، في هذا العام وحده ، لدينا بالفعل أكثر من 15000 نقطة ضعف تم اكتشافها وتحديدها بطريقة ما جمهور. كيف أعرف؟ لأن جزءًا من وظيفتي هو التحقق من CVEs في البرامج التي نستخدمها في Gentoo لمعرفة ما إذا كنا نشغل برامج ضعيفة ، وبهذه الطريقة يمكننا تحديثه والتأكد من أن كل شخص في التوزيع لديه معدات آمنة.

CVE

نقاط الضعف والتعرض الشائعة بالنسبة لاختصارها باللغة الإنجليزية ، فهي المعرفات الفريدة التي يتم تخصيصها لكل ثغرة أمنية موجودة. أستطيع أن أقول بفرح كبير أن العديد من مطوري Gentoo يدعمون خير الإنسانية ، ويبحثون وينشرون نتائجهم حتى يمكن تصحيحها وإصلاحها. كانت إحدى الحالات الأخيرة التي سعدت بقراءتها بخيل ثغرة أثرت على خوادم Apache في جميع أنحاء العالم. لماذا أقول إني فخور بهذا؟ ولأنها تفيد العالم ، فإن الحفاظ على سرية نقاط الضعف لا يفيد إلا القليل ، وقد تكون عواقب ذلك كارثية اعتمادًا على الهدف.

CNA

CNAs هي كيانات مسؤولة عن طلب و / أو تعيين CVEs ، على سبيل المثال ، لدينا Microsoft CNA ، المسؤول عن تجميع نقاط الضعف الخاصة بهم وحلها وتعيين CVE للتسجيل لاحقًا بمرور الوقت.

أنواع التدابير

لنبدأ بتوضيح أنه لا توجد معدات آمنة أو ستكون آمنة بنسبة 100٪ ، وكما اعتاد القول الشائع:

الكمبيوتر الوحيد الآمن بنسبة 100٪ هو جهاز مغلق في قبو ، ومنفصل عن الإنترنت ومطفأ.

لأن هذا صحيح ، فإن المخاطر ستكون موجودة دائمًا ، معروفة أو غير معروفة ، إنها مسألة وقت فقط ، لذا في مواجهة المخاطر يمكننا القيام بما يلي:

خفّفوا

التخفيف من المخاطر ليس أكثر من تقليله (لا ألغها). هذه نقطة مهمة وحاسمة للغاية على المستويين التجاري والشخصي ، لا يريد المرء أن يتم "اختراقه" ، ولكن لقول الحقيقة ، فإن أضعف نقطة في السلسلة ليس الكمبيوتر ، ولا البرنامج ، ولا حتى العملية ، أنه الانسان.

لدينا جميعًا عادة إلقاء اللوم على الآخرين ، سواء كانوا أشخاصًا أو أشياء ، ولكن في أمن الكمبيوتر ، فإن المسؤولية ستكون وستظل دائمًا على عاتق الإنسان ، وقد لا تكون أنت بشكل مباشر ، ولكن إذا لم تتبع المسار الصحيح ، فستكون كذلك جزء من المشكلة. لاحقًا سأقدم لك حيلة بسيطة لتظل أكثر أمانًا little

انقلها

هذا مبدأ معروف ، علينا أن نتخيله على أنه a مصرف. عندما تحتاج إلى رعاية أموالك (أعني جسديًا) ، فإن أكثر الأشياء أمانًا هو تركها مع شخص لديه القدرة على حمايتها بشكل أفضل منك. لست بحاجة إلى أن يكون لديك قبو خاص بك (على الرغم من أنه سيكون أفضل بكثير) لتكون قادرًا على الاهتمام بالأشياء ، ما عليك سوى أن يكون لديك شخص (تثق به) للحفاظ على شيء أفضل منك.

إقبله

ولكن عندما لا ينطبق الأول والثاني ، فهذا هو المكان الذي يأتي فيه السؤال المهم حقًا. ما هي قيمة هذا المورد / البيانات / إلخ بالنسبة لي؟ إذا كانت الإجابة كثيرة ، فعليك التفكير في الأولين. ولكن إذا كان الجواب أ ليس كثيراربما عليك فقط قبول المخاطرة.

عليك مواجهتها ، فليس كل شيء قابل للتخفيف ، وبعض الأشياء القابلة للتخفيف ستكلف الكثير من الموارد بحيث يكون من المستحيل عمليًا تطبيق حل حقيقي دون الحاجة إلى التغيير واستثمار الكثير من الوقت والمال. لكن إذا كان بإمكانك تحليل ما تحاول حمايته ، ولم يجد مكانه في الخطوة الأولى أو الثانية ، فقم ببساطة بأخذها في الخطوة الثالثة بأفضل طريقة ، ولا تمنحها قيمة أكبر مما لديها ، و لا تخلطها مع أشياء لها قيمة فعلاً.

لمواكبة التطورات

هذه حقيقة تهرب من مئات الأشخاص والشركات. لا يتعلق الأمن السيبراني بالامتثال للتدقيق 3 مرات في السنة وتوقع عدم حدوث أي شيء في الـ 350 يومًا الأخرى. وهذا صحيح بالنسبة للعديد من مسؤولي النظام. تمكنت أخيرًا من التصديق على نفسي LFCS (أترك الأمر لك لتجد أين فعلت ذلك) وهذه نقطة حرجة خلال الدورة. يعد الحفاظ على تحديث أجهزتك وبرامجها أمرًا حيويًا ، حاسملتجنب معظم المخاطر. بالتأكيد سيخبرني الكثير هنا ، لكن البرنامج الذي نستخدمه لا يعمل في الإصدار التالي أو شيء مشابه ، لأن الحقيقة أن برنامجك قنبلة موقوتة إذا لم يعمل في الإصدار الأخير. وهذا يقودنا إلى القسم السابق ، هل يمكنك التخفيف منه؟ هل يمكنك نقله؟ هل يمكنك قبوله؟ ...

يجب إخبار الحقيقة ، فقط لأخذ في الاعتبار ، إحصائيًا أن 75٪ من هجمات أمان الكمبيوتر تنشأ من الداخل. قد يكون هذا بسبب وجود مستخدمين غير مرتابين أو ضارين في الشركة. أو أن عملياتهم الأمنية لم تجعل من الصعب على أ القراصنة اقتحام المباني أو الشبكات الخاصة بك. وما يقرب من 90٪ من الهجمات ناتجة عن برامج قديمة ، لا بسبب نقاط الضعف اليوم صفر.

فكر كآلة وليس كإنسان

ستكون هذه نصيحة صغيرة أتركها لك من هنا فصاعدًا:

فكر كالآلات

بالنسبة لأولئك الذين لا يفهمون ، أقدم لكم الآن مثالاً.

نتيجة الصورة لبرنامج John the ripper

أقدم لكم جون. من بين عشاق الأمان ، تعد واحدة من أفضل نقاط البداية عندما تبدأ في عالم اختراق ethicla. جون يتعايش بشكل رائع مع صديقنا أزمة. وهو في الأساس يأخذ قائمة تم تسليمه إليه ويبدأ في اختبار المجموعات حتى يجد مفتاحًا يحل كلمة المرور التي يبحث عنها.

سحق هو منشئ مجموعات. هذا يعني أنه يمكنك إخبار أزمة أنك تريد كلمة مرور مكونة من 6 أحرف ، تحتوي على أحرف كبيرة وصغيرة وستبدأ أزمة في اختبار واحد تلو الآخر ... شيء مثل:

aaaaaa,aaaaab,aaaaac,aaaaad,....

وأنت تتساءل عن المدة التي يستغرقها استعراض القائمة بأكملها بالتأكيد ... لا يستغرق الأمر أكثر من القليل دقيقة. بالنسبة لأولئك الذين تركوا أفواههم مفتوحة ، اسمحوا لي أن أشرح. كما ناقشنا سابقًا ، الحلقة الأضعف في السلسلة هي الإنسان وطريقة تفكيره. بالنسبة لجهاز الكمبيوتر ، ليس من الصعب اختبار التوليفات ، فهو متكرر للغاية ، وعلى مر السنين أصبحت المعالجات قوية للغاية بحيث لا يستغرق الأمر أكثر من ثانية لإجراء ألف محاولة ، أو حتى أكثر.

ولكن الشيء الجيد الآن هو المثال السابق مع التفكير البشري ، الآن نذهب لذلك تفكير الآلة:

إذا أخبرنا كرانش ببدء إنشاء كلمة مرور باستخدام فقط 8 أرقام ، بموجب نفس المتطلبات السابقة ، انتقلنا من الدقائق إلى ساعات. وخمن ماذا سيحدث إذا طلبنا منك استخدام أكثر من 10 ، سيصبحون كذلك أيام. لأكثر من 12 نحن بالفعل في أشهربالإضافة إلى أن القائمة ستكون ذات نسب لا يمكن تخزينها على جهاز كمبيوتر عادي. إذا وصلنا إلى رقم 20 ، فإننا نتحدث عن أشياء لن يتمكن الكمبيوتر من فك تشفيرها خلال مئات السنين (مع المعالجات الحالية بالطبع). هذا له تفسيره الرياضي ، ولكن لأسباب تتعلق بالفضاء ، لن أشرح ذلك هنا ، لكن بالنسبة للأشخاص الأكثر فضولًا ، فإن له علاقة كبيرة بـ التقليب، و اندماجي و تركيبات. لنكون أكثر دقة ، مع حقيقة أنه لكل حرف نضيفه إلى الطول لدينا 50 تقريبًا الاحتمالات ، لذلك سيكون لدينا شيء مثل:

20^50 المجموعات الممكنة لآخر كلمة مرور لدينا. أدخل هذا الرقم في الآلة الحاسبة لمعرفة عدد الاحتمالات الموجودة بطول مفتاح يبلغ 20 رمزًا.

كيف أفكر مثل الآلة؟

ليس الأمر سهلاً ، سيخبرني أكثر من شخص أن أفكر في كلمة مرور مكونة من 20 حرفًا على التوالي ، خاصة مع المفهوم القديم القائل بأن كلمات المرور كلام مفتاح. لكن دعنا نرى مثالاً:

dXfwHd

يصعب على الإنسان أن يتذكر هذا ، ولكن من السهل للغاية بالنسبة للآلة.

caballoconpatasdehormiga

هذا من ناحية أخرى من السهل للغاية على الإنسان أن يتذكره (حتى مضحك) لكنه جحيم أزمة. والآن سيخبرني أكثر من واحد ، لكن أليس من المستحسن أيضًا تغيير المفاتيح على التوالي؟ نعم موصى به لذلك يمكننا الآن قتل عصفورين بحجر واحد. لنفترض أنني أقرأ هذا الشهر دون كيشوت دي لا مانشا ، المجلد الأول. في كلمة المرور الخاصة بي ، سأضع شيئًا مثل:

ElQuijoteDeLaMancha1

20 رمزًا ، شيء يصعب اكتشافه دون معرفتي ، وأفضل شيء هو أنه عندما أنهي الكتاب (على افتراض أنهم يقرؤون باستمرار 🙂) سيعرفون أنه يجب عليهم تغيير كلمة المرور الخاصة بهم ، وحتى التغيير إلى:

ElQuijoteDeLaMancha2

لقد تقدم بالفعل 🙂 وسيساعدك بالتأكيد في الحفاظ على أمان كلمات المرور الخاصة بك وفي نفس الوقت تذكيرك بإنهاء كتابك.

ما كتبته كافٍ ، وعلى الرغم من أنني أرغب في التحدث عن المزيد من القضايا الأمنية ، إلا أننا سنتركها لوقت آخر 🙂 تحياتي


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   البطريق قال
    منذ سنوات 7

    مثير جدا!!
    آمل أن تتمكن من تحميل برامج تعليمية حول التشديد على نظام Linux ، فسيكون ذلك رائعًا.
    تحيات!

    الرد على Penguin
    1.    كريساد قال
      منذ سنوات 7

      مرحبًا 🙂 حسنًا ، هل يمكن أن تمنحني بعض الوقت ، لكني أيضًا أشارك موردًا أجده ممتعًا للغاية 🙂

      https://wiki.gentoo.org/wiki/Security_Handbook

      هذا لم يترجم إلى الإسبانية 🙁 ولكن إذا تجرأ شخص ما على المساعدة في ذلك ، فسيكون ذلك رائعًا

      تحياتي

      الرد على ChrisADR
  2.   XoX قال
    منذ سنوات 7

    مثير جدًا للاهتمام ، ولكن من وجهة نظري ، أصبحت هجمات القوة الغاشمة قديمة ، ولا يبدو إنشاء كلمات مرور مثل "ElQuijoteDeLaMancha1" حلاً قابلاً للتطبيق أيضًا ، وذلك لأنه مع القليل من الهندسة الاجتماعية ، من الممكن العثور على كلمات مرور هذا النوع ، الواسع فقط مع التحقيق السطحي في الشخص وستكشف لنا هي نفسها ، إما في شبكاتها الاجتماعية أو لمعارفها أو في العمل ، جزء من الطبيعة البشرية.

    من وجهة نظري ، الحل الأفضل هو استخدام مدير كلمات المرور ، لأنه من الآمن استخدام كلمة مرور مكونة من 100 رقم بدلاً من كلمة مرور مكونة من 20 رقمًا ، بالإضافة إلى ذلك ، هناك ميزة أنه من خلال معرفة كلمة المرور الرئيسية فقط ، لا يمكن الكشف عن كلمات المرور التي تم إنشاؤها حتى الغرب لأنها غير معروفة.

    هذا هو مدير كلمات المرور الخاص بي ، وهو مفتوح المصدر ومن خلال محاكاة لوحة المفاتيح ، فهو محصن ضد كلوغرز.

    https://www.themooltipass.com

    الرد على XoX
    1.    كريساد قال
      منذ سنوات 7

      حسنًا ، أنا لا أتظاهر بتقديم حل آمن تمامًا (تذكر أنه لا يوجد شيء غير قابل للاختراق بنسبة 100٪) في 1500 كلمة فقط 🙂 (لا أريد أن أكتب أكثر من ذلك ما لم يكن ذلك ضروريًا للغاية) ولكن تمامًا كما تقول ذلك 100 أفضل من 20 ، حسنًا 20 بالتأكيد أفضل من 8 🙂 ، حسنًا ، كما قلنا في البداية ، الحلقة الأضعف هي الرجل ، لذلك هذا هو المكان الذي سيكون التركيز عليه دائمًا. أعرف العديد من "المهندسين الاجتماعيين" الذين لا يعرفون الكثير عن التكنولوجيا ، ولكن ما يكفي منهم فقط للقيام بأعمال استشارات السلامة. الأمر الأكثر صعوبة هو العثور على متسللين حقيقيين يجدون عيوبًا في البرامج (برنامج يوم الصفر المعروف).
      إذا تحدثنا عن حلول "أفضل" ، فإننا ندخل بالفعل موضوعًا للأشخاص ذوي الخبرة في هذا المجال ، وأنا أشاركه مع أي نوع من المستخدمين - ولكن إذا كنت ترغب في ذلك ، فيمكننا التحدث عن حلول "أفضل" في وقت آخر. وشكرًا للرابط ، تأكد من إيجابياته وسلبياته ، لكنه لن يفعل الكثير لمدير كلمات المرور أيضًا ، ستندهش من السهولة والرغبة التي يهاجمون بها ، بعد كل شيء ... انتصار واحد يعني العديد من المفاتيح أظهرت.
      تحياتي

      الرد على ChrisADR
  3.   أناساسيس قال
    منذ سنوات 6

    مقال مثير للاهتمام ، ChrisADR. بصفتك مسؤول نظام Linux ، يعد هذا تذكيرًا جيدًا بعدم الانشغال بعدم إعطائه الأهمية القصوى المطلوبة اليوم للحفاظ على تحديث كلمات المرور ومع الأمان المطلوب في أوقات اليوم. حتى هذه المقالة من شأنها أن تقطع شوطًا طويلاً للأشخاص العاديين الذين يعتقدون أن كلمة المرور ليست سبب 90٪ من الصداع. أود أن أرى المزيد من المقالات حول أمان الكمبيوتر وكيفية الحفاظ على أعلى مستوى أمان ممكن داخل نظام التشغيل المفضل لدينا. أعتقد أن هناك دائمًا شيئًا أكثر لنتعلمه يتجاوز المعرفة التي يكتسبها المرء من خلال الدورات التدريبية والدورات التدريبية.
    علاوة على ذلك ، أستشير هذه المدونة دائمًا للتعرف على برنامج جديد لـ Gnu Linux للحصول على يدي.

    تحيات!

    الرد على Anasasis
  4.   داني قال
    منذ سنوات 6

    هل يمكن أن تشرح قليلاً بالتفصيل ، بالأرقام والكميات ، لماذا "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" غير موجود ؛ p) أكثر أمانًا من "• M¡ ¢ 0nt®a $ 3Ñ @ •"؟
    لا أعرف أي شيء عن الرياضيات التوافقية ، لكنني ما زلت غير مقتنع بالفكرة المتكررة بأن كلمة المرور الطويلة مع مجموعة أحرف بسيطة أفضل من كلمة المرور الأقصر مع مجموعة أحرف أكبر بكثير. هل عدد التركيبات الممكنة أكبر حقًا باستخدام الحروف والأرقام اللاتينية من استخدام جميع UTF-8؟

    تحية.

    الرد على داني
    1.    كريساد قال
      منذ سنوات 6

      مرحبًا داني ، دعنا نذهب إلى أجزاء لتوضيح ذلك ... هل سبق لك أن حصلت على واحدة من تلك الحقائب مع مجموعات أرقام كقفل؟ دعونا نرى الحالة التالية ... بافتراض وصولهم إلى التاسعة ، لدينا شيء مثل:

      | 10 | | 10 | | 10 |

      كل واحد لديه احتمالات دياز ، لذلك إذا كنت تريد معرفة عدد المجموعات الممكنة ، عليك فقط القيام بضرب بسيط ، 10³ على وجه الدقة أو 1000.

      يحتوي جدول ASCII على 255 حرفًا أساسيًا ، نستخدم منها عادةً الأرقام والأحرف الصغيرة والحروف الكبيرة وبعض علامات الترقيم. افترض أننا سنحصل الآن على كلمة مرور مكونة من 6 أرقام مع 70 خيارًا تقريبًا (أحرف كبيرة وصغيرة وأرقام وبعض الرموز)

      | 70 | | 70 | | 70 | | 70 | | 70 | | 70 |

      كما يمكنك أن تتخيل ، هذا رقم كبير جدًا ، 117 على وجه الدقة. وهذه هي كل التركيبات الممكنة الموجودة لمساحة مفتاح مكونة من 649 أرقام. سنقوم الآن بتقليل طيف الاحتمالات أكثر بكثير ، دعنا نواصل أننا سنستخدم فقط 000 (أحرف صغيرة وأرقام ورمز عرضي ربما) ولكن مع كلمة مرور أطول بكثير ، دعنا نقول ربما 000 رقمًا (هذا هو المثال لديه مثل 6).

      | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |

      يصبح عدد الاحتمالات ... 1 ... لا أعرف كيف أحسب هذا الرقم ، لكنه بالنسبة لي أطول قليلاً :) ، لكننا سنقلله أكثر ، سنستخدم الأرقام من 159 إلى 445 فقط ، ولنرى ماذا سيحدث للكمية

      | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |

      مع هذه القاعدة البسيطة ، يمكنك التوصل إلى مجموعة مذهلة تبلغ 100،000،000،000،000،000،000 :). وذلك لأن كل رقم يضاف إلى المعادلة يزيد من عدد الاحتمالات بشكل كبير ، في حين أن إضافة الاحتمالات داخل مربع واحد يزيدها خطيًا.

      لكننا الآن نذهب إلى ما هو "الأفضل" لنا نحن البشر.

      ما المدة التي تستغرقها في كتابة "• M¡ ¢ 0nt®a $ 3Ñ @ •" من الناحية العملية؟ دعنا نفترض للحظة أنه عليك كتابتها كل يوم ، لأنك لا تحب حفظها على الكمبيوتر. يصبح هذا عملاً مملاً إذا كان عليك القيام بتقلصات اليد بطرق غير عادية. أسرع بكثير (من وجهة نظري) هو كتابة الكلمات التي يمكنك كتابتها بشكل طبيعي ، لأن هناك عامل مهم آخر هو تغيير المفاتيح بانتظام.

      وأخيرًا وليس آخرًا ... يعتمد الأمر كثيرًا على الحالة المزاجية للشخص الذي طور نظامك أو تطبيقك أو برنامجك ، والقدرة على استخدام جميع أحرف UTF-8 بهدوء ، وفي بعض الحالات قد يؤدي ذلك إلى تعطيل استخدام هذا مهم لأن التطبيق "يحول" بعضًا من كلمة مرورك ويجعلها غير قابلة للاستخدام ... لذلك ربما يكون من الأفضل تشغيلها بأمان مع الأحرف التي تعرف دائمًا أنها متوفرة.

      آمل أن يساعد هذا في الشكوك 🙂 تحياتي

      الرد على ChrisADR