Досега мисля, че не съм докоснал една от любимите си песни, компютърна сигурност, и вярвам, че това ще бъде темата, за която ще ви разкажа днес 🙂 Надявам се, че след тази кратка статия можете да имате по-добра представа за това какво може да ви помогне да имате по-добър контрол върху рисковете си и как за смекчаване на много едновременно.
Рискове навсякъде
Това е неизбежно, само през тази година вече имаме повече от 15000 XNUMX уязвимости, открити и определени по определен начин обществен. От къде знаеш? Тъй като част от работата ми е да проверявам CVE в програмите, които използваме в Gentoo, за да видя дали стартираме уязвим софтуер, по този начин можем да го актуализираме и да гарантираме, че всички в дистрибуцията имат безопасно оборудване.
CVE
Общи уязвимости и експозиции Със съкращението си на английски, те са уникалните идентификатори, които се присвояват на всяка съществуваща уязвимост. С голяма радост мога да кажа, че няколко разработчици на Gentoo подкрепят благото на човечеството, изследвайки и публикувайки своите открития, за да могат да бъдат коригирани и фиксирани. Един от последните случаи, които имах удоволствието да прочета, беше този Опции кървят; уязвимост, която засегна сървърите на Apache по целия свят. Защо казвам, че се гордея с това? Тъй като те правят доброто на света, запазването на уязвимостите в тайна носи полза само на някои и последиците от това могат да бъдат катастрофални в зависимост от целта.
CNA
CNA са субекти, отговарящи за заявяването и / или присвояването на CVE, например, имаме CNA на Microsoft, отговарящ за групирането на техните уязвимости, разрешаването им и присвояването им на CVE за по-късна регистрация с течение на времето.
Видове мерки
Нека започнем с изясняването, че нито едно оборудване не е или няма да бъде 100% безопасно и като доста често срещана поговорка се казваше:
Единственият 100% сигурен компютър е този, който е заключен в трезора, изключен от интернет и изключен.
Тъй като е вярно, рисковете винаги ще съществуват, известни или неизвестни, това е само въпрос на време, така че в лицето на риска можем да направим следното:
Смекчете го
Намаляването на риска не е нищо повече от намаляването му (НЕ замяна). Това е доста важен и решаващ момент както на бизнес, така и на лично ниво, човек не иска да бъде "хакнат", но честно казано най-слабото място във веригата не е оборудването, нито програмата, нито дори процесът , то е човекът.
Всички ние имаме навика да обвиняваме другите, били те хора или неща, но в компютърната сигурност отговорността е и ще бъде винаги на човека, може да не сте вие директно, но ако не следвате правия път, ще бъдете част от проблема. По-късно ще ви дам един малък трик, за да останете малко по-сигурни 😉
Прехвърлете го
Това е добре познат принцип, трябва да си го представим като a банка. Когато трябва да се погрижите за парите си (имам предвид физически), най-сигурното е да ги оставите на някой, който има способността да ги пази много по-добре от вас. Не е необходимо да имате свой собствен трезор (въпреки че би било много по-добре), за да можете да се грижите за нещата, трябва само да имате някой (на когото имате доверие), за да запазите нещо по-добро от вас.
Приеми го
Но когато първото и второто не се прилагат, ето тук идва наистина важният въпрос. Колко ми струва този ресурс / данни / и т.н.? Ако отговорът е много, тогава трябва да помислите за първите две. Но ако отговорът е a не толкова многоМоже би просто трябва да приемете риска.
Трябва да се изправите пред него, не всичко е смекчаващо се, а някои смекчаващи се неща биха стрували толкова много ресурси, че би било практически невъзможно да се приложи реално решение, без да се налага да се променят и да се инвестират много време и пари. Но ако можете да анализирате това, което се опитвате да защитите, и то не намери своето място в първата или втората стъпка, тогава просто го вземете в третата стъпка по най-добрия начин, не му придавайте по-голяма стойност, отколкото има, и не го смесвайте с неща, които наистина те имат стойност.
За да сте в течение
Това е истина, която избягва стотици хора и фирми. Компютърната сигурност не е да се съобразявате с вашия одит 3 пъти годишно и да не очаквате нищо да се случи през останалите 350 дни. И това важи за много системни администратори. Най-накрая успях да се удостоверя като LFCS (Оставям на вас да намерите къде съм го направил 🙂) и това е критична точка по време на курса. Актуализирането на вашето оборудване и неговите програми е жизненоважно, решаващ, за да се избегнат повечето рискове. Със сигурност мнозина тук ще ми кажат, но програмата, която използваме, не работи в следващата версия или нещо подобно, защото истината е, че вашата програма е бомба със закъснител, ако не работи в последната версия. И това ни води до предишния раздел, Можете ли да го смекчите?, Можете ли да го прехвърлите?, Можете ли да го приемете? ...
Всъщност, само за да се има предвид, според статистиката 75% от атаките на компютърната сигурност произхождат отвътре. Това може да се дължи на факта, че във фирмата имате нищо неподозиращи или злонамерени потребители. Или че техните процеси за сигурност не затрудняват a хакер проникнете във вашите помещения или мрежи. И почти повече от 90% от атаките са причинени от остарял софтуер, Не. поради уязвимости на ден нула.
Мислете като машина, а не като човек
Това ще бъде малък съвет, който ще ви оставя от тук нататък:
Мислете като машини
За тези, които не разбират, сега ви давам пример.
Представям ви Джон. Сред любителите на сигурността това е една от най-добрите отправни точки, когато започнете в света на Етикла хакерство. клозет се разбира чудесно с нашия приятел криза. И по същество той грабва списък, който му се връчва и започва да тества комбинациите, докато намери ключ, който решава паролата, която търси.
Crunch е генератор на комбинации. Това означава, че можете да кажете на crunch, че искате парола с дължина 6 знака, съдържаща главни и малки букви и crunch ще започне да тества една по една ... нещо като:
aaaaaa,aaaaab,aaaaac,aaaaad,....
И се чудите колко време отнема да преминете със сигурност през целия списък ... не отнема повече от няколко minutos. За тези от вас, които отслабват, нека обясня. Както обсъждахме по-рано, най-слабото звено във веригата е човекът и начинът му на мислене. За компютър не е трудно да се опитат комбинации, това е нещо изключително повтарящо се и с годините процесорите са станали толкова мощни, че не отнема повече от секунда, за да направи хиляда опита, а дори и повече.
Но сега хубавото, предишният пример е с човешко мислене, сега се справяме машинно мислене:
Ако кажем на crunch да започне да генерира парола само с 8 цифри, при същите предишни изисквания, преминахме от минути към Horas. И познайте какво се случва, ако ви кажем да използвате повече от 10, те стават дни. За повече от 12 вече сме месецаВ допълнение към факта, че списъкът ще бъде с пропорции, които не могат да се съхраняват на нормален компютър. Ако стигнем до 20, говорим за неща, които компютърът няма да може да дешифрира след стотици години (разбира се с настоящите процесори). Това има своето математическо обяснение, но от съображения за пространство няма да го обяснявам тук, но за най-любопитните има много общо с пермутация, The комбинаторен и комбинации. За да бъдем по-точни, с факта, че за всяка буква, която добавяме към дължината, имаме почти 50 възможности, така че ще имаме нещо като:
20^50 възможни комбинации за последната ни парола. Въведете това число във вашия калкулатор, за да видите колко възможности има с дължина на ключа от 20 символа.
Как мога да мисля като машина?
Не е лесно, повече от един човек ще ми каже да мисля за парола от 20 букви подред, особено със старата концепция, че паролите са думи ключ. Но нека видим пример:
dXfwHd
Това е трудно за запомняне от човек, но изключително лесно за машина.
caballoconpatasdehormiga
Това от друга страна е изключително лесно за запомняне от човек (дори смешно), но е ад за това криза. И сега повече от един ще ми кажат, но не е ли препоръчително да сменяте и бутоните подред? Да, препоръчва се, така че сега можем да убием две птици с един камък. Да предположим, че този месец чета Дон Кихот де ла Манча, том I В паролата си ще сложа нещо като:
ElQuijoteDeLaMancha1
20 символа, нещо доста трудно за откриване, без да ме познавате, и най-хубавото е, че когато завърша книгата (ако приемем, че четат постоянно 🙂), те ще знаят, че трябва да променят паролата си, дори да променят на:
ElQuijoteDeLaMancha2
Вече е напредък 🙂 и със сигурност ще ви помогне да запазите паролите си в безопасност и в същото време ще ви напомни да завършите книгата си.
Написаното от мен е достатъчно и въпреки че бих искал да мога да говоря по много повече теми за сигурност, ще го оставим за друг път 🙂 Поздрави
Много интересно!!
Надявам се да можете да качите уроци за втвърдяване на Linux, би било чудесно.
Поздрави!
Здравейте 🙂 добре, бихте ли ми дали малко време, но споделям и ресурс, който намирам за изключително интересен 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Този не е преведен на испански 🙁, но ако някой се осмели да подаде ръка и да помогне, ще бъде чудесно 🙂
поздрави
Много интересно, но от моя гледна точка атаките с груба сила остаряват и генерирането на пароли като "ElQuijoteDeLaMancha1" също не изглежда жизнеспособно решение, това е така, защото с малко социално инженерство е възможно да се намерят паролите на този тип, обширен с повърхностно разследване на човека и самата тя ще ни го разкрие, или в социалните си мрежи, на свои познати или на работа, е част от човешката природа.
Според мен най-доброто решение е да се използва мениджър на пароли, тъй като е по-безопасно да се използва парола от 100 цифри, отколкото 20-цифрена, освен това има предимството, че само като се знае главната парола, тя е не е възможно да се разкрият дори от запад генерираните пароли, защото те не са известни.
Това е моят мениджър на пароли, той е с отворен код и като емулира клавиатура, той е имунизиран срещу клавиатурни програми.
https://www.themooltipass.com
Е, не се преструвам, че давам напълно безопасно решение (като си спомня, че нищо не е 100% непроницаемо) само с 1500 думи 🙂 (не искам да пиша повече от това, освен ако не е абсолютно необходимо), но точно както казвате, че 100 е по-добре от 20, добре 20 определено е по-добре от 8 🙂 и добре, както казахме в началото, най-слабото звено е човекът, така че там винаги ще бъде фокусът. Познавам няколко „социални инженери“, които не знаят много за технологиите, но достатъчно, за да свършат консултантска работа по безопасността. Много по-трудно е да се намерят истински хакери, които намират недостатъци в програмите (известният нулев ден).
Ако говорим за „по-добри“ решения, ние вече въвеждаме тема за хора с опит в тази област и аз споделям с всякакъв тип потребители 🙂, но ако искате, можем да говорим за „по-добри“ решения по друго време. И благодаря за връзката, сигурни са нейните плюсове и минуси, но това също няма да направи много за мениджъра на пароли, в крайна сметка ще бъдете изненадани от лекотата и желанието, с което ги атакуват ... една победа предполага много разкрити ключове.
поздрави
Интересна статия, ChrisADR. Като системен администратор на Linux, това е добро напомняне да не се забърквате в това, че не му придавате най-голямото значение, необходимо днес, за да поддържате паролите актуални и със сигурността, изисквана от днешното време. Дори това е статия, която би стигнала много до обикновените хора, които смятат, че паролата не е причината за 90% от главоболието. Бих искал да видя повече статии за компютърната сигурност и как да поддържаме възможно най-високата сигурност в нашата любима операционна система. Вярвам, че винаги има какво повече да се научи извън знанията, които човек придобива чрез курсове и обучения.
Освен това винаги се допитвам до този блог, за да разбера за нова програма за Gnu Linux, за да се докопам до нея.
Поздрави!
Бихте ли обяснили малко подробно, с числа и количества, защо "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" не съществува; p) е по-безопасен от "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Не знам нищо за комбинаторната математика, но все още не съм убеден от често повтарящата се идея, че дългата парола с прост набор от символи е по-добра от по-късата с много по-голям набор от символи. Броят на възможните комбинации наистина ли е по-голям само при използване на латински букви и цифри, отколкото при използването на всички UTF-8?
Поздрави.
Здравейте Дани, да разгледаме на части, за да стане ясно ... някога имали ли сте някой от онези куфари с комбинации от числа като ключалка? Нека да видим следния случай ... ако приемем, че достигнат девет, имаме нещо като:
| 10 | | 10 | | 10 |
Всеки от тях има диазови възможности, така че ако искате да знаете броя на възможните комбинации, просто трябва да направите просто умножение, 10³ да бъде точно или 1000.
Таблицата ASCII съдържа 255 основни знака, от които обикновено използваме цифри, малки букви, главни букви и някои препинателни знаци. Да предположим, че сега ще имаме 6-цифрена парола с приблизително 70 опции (главни, малки, цифри и някои символи)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Както можете да си представите, това е доста голямо число, 117 649 000 000, за да бъдем точни. И това са всички възможни комбинации, които съществуват за 6-цифрено клавишно пространство. Сега ще намалим много повече спектъра от възможности, нека продължим, че ще използваме само 45 (малки букви, числа и случайни символи може би), но с много по-дълга парола, да речем може би 20 цифри (Това, което пример има като 21).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Броят на възможностите става ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Не знам как се брои това число, но за мен е малко по-дълго :), но ще го намалим още повече , ще използваме само числа от 0 до 9 и нека видим какво ще се случи с количеството
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
С това просто правило можете да излезете с изумителните 100 000 000 000 000 000 000 комбинации :). Това е така, защото всяка цифра, добавена към уравнението, увеличава експоненциално броя на възможностите, докато добавянето на възможности в рамките на едно поле го увеличава линейно.
Но сега отиваме към това, което е „най-доброто“ за нас, хората.
Колко време ви отнема да напишете “• M¡ ¢ 0nt®a $ 3Ñ @ •” на практически думи? Да предположим за секунда, че трябва да го записвате всеки ден, защото не обичате да го записвате на компютъра. Това става досадна работа, ако трябва да правите контракции на ръцете по необичайни начини. Много по-бързо (от моя гледна точка) е да пишете думи, които можете да напишете естествено, тъй като друг важен фактор е редовното сменяне на клавишите.
И не на последно място ... Това зависи много от настроението на човека, който е разработил вашата система, приложение, програма, като може спокойно да използва ВСИЧКИ символи на UTF-8, в някои случаи може дори да деактивира използването от Това се брои, защото приложението "преобразува" част от вашата парола и я прави неизползваема ... Така че може би е по-добре да играете на сигурно място с героите, за които винаги знаете, че са налични.
Надявам се, че това помага при съмнения 🙂 Поздрави