Do sada mislim da nisam dodirnuo jednu od svojih najdražih pjesama, bezbednost računara, i vjerujem da će ovo biti tema koju ću vam danas reći 🙂 Nadam se da ćete nakon ovog kratkog članka imati bolju predstavu o tome što vam može pomoći u boljoj kontroli vaših rizika i kako ublažiti mnogi istovremeno.
Rizici posvuda
Neizbježno je da smo samo u ovoj godini otkrili i na neki način dodijelili više od 15000 ranjivosti public. Kako da znam? Budući da je dio mog posla provjeriti CVE-ove u programima koje koristimo u Gentoo-u da li pokrećemo ranjivi softver, na ovaj način ga možemo ažurirati i osigurati da svi u distribuciji imaju sigurnu opremu.
CVE
Zajedničke ranjivosti i izloženosti Zbog svoje kratice na engleskom jeziku, oni su jedinstveni identifikatori koji se dodjeljuju svakoj postojećoj ranjivosti. Sa velikom radošću mogu reći da nekoliko Gentoo programera podržava dobro čovječanstva, istražujući i objavljujući svoja otkrića kako bi ih se moglo ispraviti i popraviti. Jedan od posljednjih slučajeva koje sam imao zadovoljstvo pročitati bio je onaj optionsbleed; ranjivost koja je zahvatila Apache servere širom svijeta. Zašto kažem da sam ponosan na ovo? Budući da čine svijet dobrim, čuvanje ranjivosti u tajnosti koristi samo nekima, a posljedice toga mogu biti katastrofalne, ovisno o cilju.
NAC
CNA su entiteti zaduženi za zahtjev i / ili dodjelu CVE-a, na primjer, imamo Microsoftov CNA, zadužen za grupiranje njihovih ranjivosti, njihovo rješavanje i dodjeljivanje CVE za kasniju registraciju tokom vremena.
Vrste mjera
Počnimo s pojašnjenjem da nijedna oprema nije ili neće biti 100% sigurna, i kao prilično uobičajena izreka znala je reći:
Jedino 100% sigurno računalo je ono koje je zaključano u trezoru, odvojeno od interneta i isključeno.
Budući da je to istina, rizici će uvijek biti, poznati ili nepoznati, samo je pitanje vremena, tako da suočeni s rizikom možemo učiniti sljedeće:
Ublažite to
Ublažavanje rizika nije ništa drugo nego njegovo smanjenje (NE otkazati). Ovo je prilično važna i presudna stvar kako na poslovnom, tako i na ličnom nivou, ne želi se "hakirati", ali istini za volju najslabija točka u lancu nije računalo, program, čak ni proces , ljudsko.
Svi imamo naviku kriviti druge, bili oni ljudi ili stvari, ali u računarskoj sigurnosti odgovornost je i uvijek će biti čovjek, možda to nećete biti direktno vi, ali ako ne slijedite pravi put, bit ćete dio problema. Kasnije ću vam dati mali trik kako biste bili malo sigurniji 😉
Prenesi ga
Ovo je dobro poznato načelo, moramo ga zamisliti kao Banco. Kada trebate brinuti o svom novcu (mislim fizički), najsigurnije je ostaviti ga nekome ko ima mogućnost da ga zaštiti puno bolje od vas. Ne morate imati svoj trezor (iako bi bilo mnogo bolje) da biste se mogli brinuti o stvarima, samo trebate imati nekoga (imate povjerenja) da zadrži nešto bolje od vas.
Prihvati
Ali kad se prvo i drugo ne primjenjuju, tu dolazi zaista važno pitanje. Koliko mi vrijede ovi resursi / podaci / itd? Ako je odgovor mnogo, onda biste trebali razmisliti o prva dva. Ali ako je odgovor a ne tolikoMožda jednostavno moraš prihvatiti rizik.
Morate se suočiti s tim, nije sve ublaživo, a neke ublažavajuće stvari koštale bi toliko resursa da bi bilo praktički nemoguće primijeniti pravo rješenje bez promjene i ulaganja puno vremena i novca. Ali ako možete analizirati ono što pokušavate zaštititi, a ono ne pronađe svoje mjesto u prvom ili drugom koraku, onda ga jednostavno uzmite u trećem koraku na najbolji način, ne dajte mu veću vrijednost nego što ima, i nemojte ga miješati sa stvarima koje zaista imaju vrijednost.
Da biste bili u toku
Ovo je istina koja izbjegava stotine ljudi i preduzeća. Računalna sigurnost nije podvrgavanje reviziji 3 puta godišnje i očekivanje da se ništa neće dogoditi u ostalih 350 dana. I ovo vrijedi za mnoge sistemske administratore. Napokon sam se mogao potvrditi kao LFCS (Ostavljam vama da pronađete gdje sam to radio 🙂) i ovo je kritična tačka tokom kursa. Održavanje ažurnosti opreme i njenih programa je od vitalnog značaja, presudno, kako bi se izbjegla većina rizika. Sigurno će mi mnogi ovdje reći, ali program koji koristimo ne radi u sljedećoj verziji ili nešto slično, jer istina je da je vaš program tempirana bomba ako ne radi u najnovijoj verziji. I to nas dovodi do prethodnog odjeljka, Možete li to ublažiti?, Možete li ga prenijeti?, Možete li ga prihvatiti? ...
U stvari, samo da bismo imali na umu, prema statistikama 75% napada na računarsku sigurnost potiče iznutra. To je možda zato što u kompaniji imate nesumnjive ili zlonamjerne korisnike. Ili da im njihovi sigurnosni procesi nisu otežali hacker provaliti u vaše prostorije ili mreže. I gotovo više od 90% napada uzrokuje zastarjeli softver, Ne. zbog ranjivosti dan nula.
Mislite kao mašina, a ne kao čovjek
Ovo će biti mali savjet koji ću vam ostaviti odavde:
Razmišljajte kao mašine
Za one koji ne razumiju, sad ću vam dati primjer.
Upoznajem te John Među ljubiteljima sigurnosti to je jedno od najboljih polazišta kada započnete u svijetu hakovanje etikete. Jovan divno se slaže s našim prijateljem krckanje. I u osnovi zgrabi listu koja mu se uručuje i započinje testiranje kombinacija dok ne pronađe ključ koji rješava lozinku koju traži.
Krckanje je generator kombinacija. to znači da možete reći crunchu da želite lozinku dugu 6 znakova koja sadrži velika i mala slova i crunch će započeti testiranje jedno po jedno ... nešto poput:
aaaaaa,aaaaab,aaaaac,aaaaad,....
I pitate se koliko dugo treba da sigurno prođete kroz čitav popis ... ne treba više od nekoliko minuta. Za one koji su ostali otvorenih usta, objasnim. Kao što smo ranije razgovarali, najslabija karika u lancu je čovjek i njegov način razmišljanja. Za računalo nije teško isprobati kombinacije, to je nešto krajnje ponavljajuće, a procesori su s godinama postali toliko moćni da ne treba više od sekunde da napravi tisuću pokušaja, pa čak i više.
Ali sada je dobra stvar, prethodni primjer je s ljudsko razmišljanje, sada idemo na to mašinsko razmišljanje:
Ako kažemo crunchu da započne s generiranjem lozinke sa just 8 znamenke, pod istim prethodnim zahtjevima, prešli smo od minuta do hours. I pogodite šta će se dogoditi ako vam kažemo da koristite više od 10, oni postaju dana. Već više od 12 smo već uključeni meseciPored činjenice da bi lista bila proporcija koje se ne bi mogle čuvati na uobičajenom računaru. Ako dođemo do 20, govorimo o stvarima koje računalo neće moći dešifrirati stotinama godina (naravno sa trenutnim procesorima). Ovo ima svoje matematičko objašnjenje, ali zbog svemira ga neću ovdje objašnjavati, ali za najzanimljivije to ima puno veze sa permutacija, las kombinatorni i kombinacije. Tačnije, s tim što za svako slovo koje dodamo dužini imamo gotovo 50 mogućnosti, pa ćemo imati nešto poput:
20^50 moguće kombinacije za našu posljednju lozinku. Unesite taj broj u svoj kalkulator da biste vidjeli koliko mogućnosti postoji s duljinom ključa od 20 simbola.
Kako mogu razmišljati kao mašina?
Nije lako, više od jedne osobe će mi reći da smislim lozinku od 20 slova zaredom, posebno sa starim konceptom da su lozinke riječi ključ. Ali da vidimo primjer:
dXfwHd
Ovo je ljudsko teško zapamtiti, ali izuzetno lako za mašinu.
caballoconpatasdehormiga
S druge strane, ovo je izuzetno lako za pamtiti (čak i smiješno), ali za njega je pakao krckanje. I sada će mi reći više od jednog, ali nije li preporučljivo mijenjati i tipke u nizu? Da, preporučuje se, tako da sada možemo jednim kamenom ubiti dvije ptice. Pretpostavimo da ovaj mjesec čitam Don Quijote de la Mancha, svezak I. U svoju lozinku ću staviti nešto poput:
ElQuijoteDeLaMancha1
20 simbola, nešto prilično teško otkriti bez poznavanja mene, a najbolja stvar je što ću kad završim knjigu (pod pretpostavkom da čitaju neprestano 🙂) znati da moraju promijeniti lozinku, čak i mijenjajući u:
ElQuijoteDeLaMancha2
To je već napredak 🙂 i sigurno će vam pomoći da zaštitite lozinke i istovremeno podsjetiti vas da završite knjigu.
Dovoljno je ovo što sam napisao i premda bih volio da mogu razgovarati o još mnogim sigurnosnim pitanjima, ostavićemo to za drugi put 🙂 Pozdrav
Vrlo zanimljivo !!
Nadam se da možete prenijeti tutorijale o kaljenju na Linux, bilo bi prekrasno.
Pozdrav!
Pozdrav 🙂, možete li mi dati malo vremena, ali dijelim i resurs koji mi se čini izuzetno zanimljivim 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Ovaj nije preveden na španski 🙁, ali ako nekoga ohrabrimo da pomogne s tim i pomogne, bilo bi sjajno 🙂
Saludos
Vrlo zanimljivo, ali s moje točke gledišta napadi grube sile zastarijevaju, a generiranje lozinki poput "ElQuijoteDeLaMancha1" ne čini se održivim rješenjem, jer je s malo socijalnog inženjeringa moguće pronaći lozinke ovaj tip, samo ogroman površnim istraživanjem osobe i ona će nam ga sama otkriti, bilo na svojim društvenim mrežama, svojim poznanicima ili na poslu, dio je ljudske prirode.
S moje tačke gledišta, najbolje rješenje je uporaba upravitelja lozinki, jer je sigurnije koristiti 100-znamenkastu lozinku nego 20-cifrenu, osim toga, tu je prednost što samo poznavanjem glavne lozinke čak ni na zapadu nije moguće otkriti generirane lozinke jer nisu poznate.
Ovo je moj menadžer lozinki, on je otvorenog koda i emulirajući tastaturu, imun je na keylogers.
https://www.themooltipass.com
Pa, ne pretvaram se da dajem potpuno sigurno rješenje (sjećajući se da ništa nije 100% neprobojno) u samo 1500 riječi 🙂 (ne želim pisati više od toga, osim ako je to apsolutno neophodno), ali baš kao što vi kažete da 100 je bolje od 20, pa 20 je definitivno bolje od 8 🙂 i dobro, kao što smo rekli na početku, najslabija karika je čovjek, pa će tamo pažnja uvijek biti. Poznajem nekoliko "socijalnih inženjera" koji ne znaju puno o tehnologiji, ali dovoljno da se bave sigurnosnim savjetima. Mnogo je teže pronaći prave hakere koji pronalaze nedostatke u programima (poznati nulti dan).
Ako govorimo o "boljim" rješenjima, već ulazimo u temu za ljude koji imaju stručnost u tom području, a dijelim ga s bilo kojom vrstom korisnika 🙂, ali ako želite, možemo razgovarati o "boljim" rješenjima u neko drugo vrijeme. I hvala na linku, sigurni je za i protiv, ali to ne bi puno pomoglo ni upravitelju lozinki, napokon biste bili iznenađeni lakoćom i željom s kojom ih napadaju ... jedna pobjeda podrazumijeva mnogo ključeva otkriveno.
Saludos
Zanimljiv članak, ChrisADR. Kao administrator Linux sistema, ovo je dobar podsjetnik da se ne uhvatite u tome da mu ne date najveći značaj potreban za održavanje ažurnih lozinki i sigurnosti koju zahtijeva današnje vrijeme. Čak je i ovo članak koji bi bio od velike pomoći običnim ljudima koji misle da lozinka nije uzrok 90% glavobolje. Želio bih vidjeti više članaka o računarskoj sigurnosti i kako održati najvišu moguću sigurnost u našem voljenom operativnom sistemu. Vjerujem da se uvijek može naučiti nešto više od znanja koje se stiče kursevima i treninzima.
Osim toga, uvijek konsultujem ovaj blog da bih saznao o novom programu za Gnu Linux koji će ga dočepati.
Pozdrav!
Možete li objasniti malo detalja, brojevima i količinama, zašto je "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" ne postoji; p) sigurniji od "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Ne znam ništa o kombinatornoj matematici, ali još uvijek me ne uvjerava često ponavljana ideja da je dugačka lozinka s jednostavnim skupom znakova bolja od kraće s puno većim skupom znakova. Je li broj mogućih kombinacija zaista veći samo korištenjem latiničnih slova i brojeva nego korištenjem svih UTF-8?
Pozdrav.
Zdravo Dani, idemo po dijelovima da to pojasnimo ... jesi li ikad imao jedan od onih kofera s kombinacijom brojeva kao bravu? Pogledajmo sljedeći slučaj ... pod pretpostavkom da dosegnu devet imamo nešto poput:
| 10 | | 10 | | 10 |
Svaka ima mogućnosti dijaza, pa ako želite znati broj mogućih kombinacija, jednostavno morate množiti, tačno 10³ ili 1000.
ASCII tablica sadrži 255 bitnih znakova, od kojih obično koristimo brojeve, mala, velika i mala interpunkcijska znaka. Pretpostavimo da ćemo sada imati šestocifrenu lozinku sa približno 6 opcija (veliko, malo, brojevi i neki simboli)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Kao što možete zamisliti, to je prilično velik broj, tačnije 117. I to su sve moguće kombinacije koje postoje za šestocifreni prostor tipki. Sada ćemo smanjiti spektar mogućnosti mnogo više, nastavimo da ćemo koristiti samo 649 (mala slova, brojevi i povremeni simbol), ali sa mnogo dužom lozinkom, recimo možda 000 znamenki (Ono što je primjer ima oko 000).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Broj mogućnosti postaje ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Ne znam kako se taj broj broji, ali za mene je to malo duže :), ali smanjit ćemo ga još više , koristit ćemo samo brojeve od 0 do 9, pa da vidimo što će se dogoditi s količinom
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Ovim jednostavnim pravilom možete smisliti nevjerojatnih 100 000 000 000 000 000 000 kombinacija :). To je zato što svaka znamenka dodana u jednadžbu eksponencijalno povećava broj mogućnosti, dok ga dodavanje mogućnosti u jednom polju linearno povećava.
Ali sada idemo na ono što je "najbolje" za nas ljude.
Koliko vam treba vremena da napišete “• M¡ ¢ 0nt®a $ 3Ñ @ •” u praktičnom smislu? Pretpostavimo na trenutak da to morate zapisovati svaki dan jer ne volite da ga spremate na računalo. Ovo postaje dosadan posao ako kontrakcije ruku morate raditi na neobične načine. Mnogo brže (s moje tačke gledišta) je pisanje riječi koje možete napisati prirodno, jer je još jedan važan faktor redovna promjena tipki.
I posljednje, ali ne najmanje važno ... Puno ovisi o raspoloženju osobe koja je razvila vaš sistem, aplikaciju, program, moći mirno koristiti SVE UTF-8 znakove, u nekim slučajevima može čak i onemogućiti upotrebu To se računa jer aplikacija "pretvara" neku vašu lozinku i čini je neupotrebljivom ... Stoga je možda bolje igrati na sigurno sa likovima za koje uvijek znate da su dostupni.
Nadam se da ovo pomaže kod sumnji 🙂 Pozdrav