Fins ara crec que no he tocat un dels meus temes favorits, seguretat informàtica, I considero que aquest serà el tema que els vinc a explicar avui 🙂 Espero que després d'aquest petit article puguin tenir una millor idea del que pot ajudar a tenir un millor control dels seus riscos i com mitigar bastants a el mateix temps.
Riscos per tot arreu
És inevitable, en aquest any només, ja portem més de 15000 vulnerabilitats descobertes i assignades de manera públic. Com ho sé? Perquè part del meu treball és revisar CVEs en els programes que fem servir en Gentoo per saber si correm programari vulnerable, d'aquesta manera podem actualitzar-lo i assegurar que tots en la distribució tinguem equips segurs.
CVE
Vulnerabilitats i exposicions comunes per les sigles en anglès, són els identificadors únics que s'assignen a cada vulnerabilitat existent. Puc dir amb molta alegria que diversos Developers d'Gentoo donen suport a bé de la humanitat, investigant i publicant les seves troballes perquè puguin ser corregits i solucionats. Un dels últims casos que vaig tenir el gust de llegir va ser el de Optionsbleed; una vulnerabilitat que afectava servidors Apache a nivell mundial. Per què dic que estic orgullós d'això? Doncs perquè ells fan un bé a el món, mantenir les vulnerabilitats en secret només beneficia a pocs, i les conseqüències d'això poden ser catastròfiques depenent de l'objectiu.
CNA
Les CNA són entitats encarregades de sol·licitar i / o assignar CVEs, per exemple, tenim la CNA de Microsoft, encarregada d'agrupar les seves vulnerabilitats, resoldre-les i assignar-los un CVE per al seu posterior registre al llarg de el temps.
Tipus de mesures
Anem a començar aclarint que cap equip és o serà 100% segur, i com deia un refrany bastant comú:
L'únic equip 100% segur és aquell que es troba tancat en una volta, desconnectat d'internet i apagat.
Perquè és cert, els riscos sempre hi seran, coneguts o desconeguts, només és qüestió de temps pel que enfront de el risc podem fer el següent:
mitigar-
Mitigar un risc no és més que reduir-(NO anul·lar-). Aquest és un punt bastant important i crucial tant a nivell empresarial com personal, un no vol ser «hacker», però francament el punt més feble de la cadena no és l'equip, ni el programa, ni tan sols el procés, és l'humà.
Tots tenim costum de culpar altres, siguin persones o coses, però en seguretat informàtica, la responsabilitat sempre és i serà de l'humà, podràs no ser tu directament, però si no segueixes el camí adequat, seràs part d'el problema. Més endavant els dono un petit truc per mantenir-se una mica més segurs 😉
transferir-
Aquest és un principi prou conegut, hem de imaginar com un banc. Quan el teu necessites tenir cura teus diners (em refereixo de manera física) el més segur és deixar-ho amb algú que tingui la capacitat de protegir-molt millor que tu. No necessites tenir la teva pròpia volta (encara que seria molt millor) per poder tenir cura coses, només has de comptar amb algú (de confiança) perquè guarda una mica millor que tu.
acceptar-
Però quan el primer i el segon no apliquen, doncs aquí és on ve la pregunta realment important. Quin tant val aquest recurs / dada / etc per a mi? Si la respueseta és molt, doncs hauries de pensar en els primers dos. Però si la resposta és un no tant, Potser simplement hagis acceptar el risc.
Cal afrontar-lo, no tot és mitigable, i algunes coses mitigables costarien tants recursos que seria pràcticament impossible aplicar una solució real sense haver de canviar i invertir molt de temps i diners. Però si pots analitzar allò que intentes protegir, i no troba el seu lloc en el primer o segon pas, doncs simplement porta-ho al tercer pas de la millor manera, no li donis més valor de què té, i no ho barregis amb coses que realment tenen valor.
Mantenir-se a el dia
Aquesta és una veritat que escapa a centenars de persones i negocis. La seguretat informàtica no es tracta de complir amb el teu auditoria 3 vegades a l'any i esperar que res succeeixi en els altres 350 dies. I això és veritat per a molts administradors de sistemes. Jo fa poc a la fi em vaig poder certificar com LFCS (Els deixo a vostès buscar a on ho vaig fer 🙂) i aquest és un punt crític durant el curs. Mantenir a el dia el teu equip i els seus programes és vital, crucial, Per evitar la majoria de riscos. Segur aquí molts em diran, però el programa que fem servir no funciona a la següent versió o alguna cosa semblant, ja que la veritat és que el teu programa és una bomba de temps si no funciona a l'última versió. I això ens porta a l'anterior apartat, ¿Pots mitigar-?, Pots transferir-?, ¿Pots acceptar-ho? ...
En realitat, només per tenir-ho present, segons les estadístiques 75% dels atacs de seguretat informàtiques són originats des de l'interior. Això pot ser perquè té usuaris a l'empresa incauts, o malintencionats. O que els seus processos de seguretat no li han fet difícil a un hackers irrompre en els seus locals o xarxes. I gairebé més de l'90% d'atacs són originats per programari desactualitzat, no per vulnerabilitats de dia zero.
Pensa com màquina, no com humà
Aquest serà un petit consell que els deixo a partir d'ara:
Pensin com màquines
Per als que no comprenguin, ja que ara els dono un exemple.
Els presento a John. Entre els amants de la seguretat és un dels millors punts de partida quan comences en el món de l' ethicla hacking. John es porta de meravella amb el nostre amic cruixit. I bàsicament agafa una llista que se li lliura i comença a provar les combinacions fins a trobar una clau que resolgui la contrasenya que cerca.
Cruixit és un generador de combinacions. això vol dir que tu li pots dir a crunch que vols una contrasenya amb 6 caràcters de llarg, que contingui lletres minúscules i majúscules i crunch començarà a provar un per un ... alguna cosa com:
aaaaaa,aaaaab,aaaaac,aaaaad,....
I es preguntaran quant temps porta anar per tota la llista segur ... no pren més d'uns quants minuts. Per als que es van quedar amb la boca oberta, permetin-me explicar-los. Com conversem anteriorment, la baula més feble de la cadena és l'home, i la seva forma de pensar. Per un ordinador no és complicat provar combinacions, és una cosa summament repetitiu, i amb el passar dels anys els processadors s'han tornat tan poderosos que no necessiten més d'un segon per fer mil intents, o fins i tot més.
Però ara el bo, l'exemple anterior és amb el pensament humà, ara anem pel pensament de màquina:
Si li diem a crunch que comenci a generar una contrasenya amb només 8 dígits, sota els mateixos requeriments anteriors, hem passat de minuts a hores. I endevinin què passa si li diem que faci servir més de 10, es converteixen en dies. Per a més de 12 ja estem en mesos, A més de el fet que la llista seria de proporcions que no podrien ser emmagatzemades en un ordinador normal. Si arribem a 20 parlem de coses que un ordinador no podrà desxifrar en centenars d'anys (amb els processadors actuals és clar). Això té la seva explicació matetmática, però per qüestions d'espai no es les vaig a explicar aquí, però per als més curiosos té molt a veure amb la permutació, Les combinatòries i les combinacions. Per ser més exactes, amb el fet que per cada lletra que afegim a l'llarg tenim gairebé 50 possibilitats, així ens quedarà alguna cosa com:
20^50 possibles combinacions per a la nostra última contrasenya. Ingressin aquest nombre al seu calculadora perquè vegin quantes possibilitats hi amb una clau de longitud de 20 símbols.
Com puc pensar com màquina?
No és senzill em dirà més d'un pensar en una clau de 20 lletres seguides, sobretot amb l'antic concepte que les contrasenyes són paraules clau. Però vegem un exemple:
dXfwHd
Això és difícil de recordar per a un humà, però summament senzill per a una màquina.
caballoconpatasdehormiga
Això d'altra banda és summament fàcil de recordar per a un humà (fins i tot divertit) però és un infern per cruixit. I ara més d'un em dirà, ¿però no és recomanable també canviar de manera seguida les claus? Sí, és recomanable, de manera que ara podem matar dos ocells d'un tret. Suposem que aquest mes estic llegint El Quixot de la taca, tom I. En la meva contrasenya posaré alguna cosa com:
ElQuijoteDeLaMancha1
20 símbols, cosa bastant difícil de descobrir sense conèixer-me, i el millor és que quan acabi el llibre (suposant que llegeixen de forma constant 🙂) sabran que han de canviar la contrasenya, fins i tot el canviar a:
ElQuijoteDeLaMancha2
És ja un progrés 🙂 i segurament els ajudarà a mantenir les seves contrasenyes segures i a el mateix temps els recordarà que han d'acabar el seu llibre.
Ja és prou el que he escrit, i encara que em encataría poder parlar sobre molts més temes de seguretat, el deixarem per a un altre moment 🙂 Salutacions
Molt interessant !!
Espero puguis pujar tutorials de hardening en Linux, seria meravellós.
Salutacions!
Hola 🙂 doncs podria donar-me un temps, però també els comparteixo un recuros que trobo summament interessant 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Aquest no està traduït a l'espanyol 🙁 però si algú s'anima a donar un cop de mà amb això i ajudar seria genieal 🙂
Salutacions
Molt interessant, però al meu punt de vista els atacs de força bruta s'estan quedant obsolets, i la generació de contrasenyes com «ElQuijoteDeLaMancha1» tampoc parese una solució viable, això és degut a que amb una mica d'enginyeria social és possible donar amb les contrasenyes d'aquest tipus, només vasta amb investigar superficialment a la persona i ella mateixa ens la revelés, ja sigui a les seves xarxes socials, als seus coneguts o en el seu treball, és part de la naturalesa humana.
Al meu punt de vista la millor solució és utilitzar un gestor de contrasenyes, perquè és més segur utilitzar una contrasenya de 100 dígits a una de 20, a més es té l'avantatge que a el sol conèixer-se la contrasenya mestra, no és possible revelar ni per occident les contrasenyes generades perquè no es coneixen.
Aquest és el meu gestor de contrasenyes, és de codi obert i a l'emular un teclat, és immune als keylogers.
https://www.themooltipass.com
Bé, no pretenc donar una solució totalment segura (recordant que res és 100% impenetrable) en només 1500 paraules 🙂 (no desitjo escriure més que això si no és obligatòriament necessari) però així com el teu dius que 100 és millor que 20, ja que 20 és sens dubte millor que 8 🙂 i bé, com vam dir a el principi, la baula més feble és l'home, així que és aquí on l'atenció sempre estarà. Conec diversos «enginyers socials» que no saben molt de tecnologia, però només prou com per fer un treball d'assessorament de seguretat. Molt més difícil és trobar veritables hackers que troben falles en programes (els coneguts zero-day).
Si parlem de «millors» solucions ja estem entrant en un tema per a gent amb expertis al camp, i jo estic compartint amb qualsevol tipus d'usuari 🙂 però si agrades ja podrem parlar de «millors» solucions en un altre moment. I gràcies pel link, segur seus pros i contres té, però no li hecharía molt a un gestor de contrasenyes tampoc, et sorprendria la facilitat i el desig amb el qual els ataquen, després de tot ... una sola victòria implica moltes claus revelades.
Salutacions
Interessant article, ChrisADR. Com a administrador de sistemes Linux aquest és un bon recordatori per no tirar-nos a la fiaca de no donar-li la suma importància que requereixen avui dia mantenir les contrasenya a el dia i amb la seguretat que requereixen els temps d'avui. Fins i tot aquest és un article que li serviria molt a la gent comú que pensa que una contrasenya no és el causant de l'90% dels mals de cap. M'agradaria veure més articles de seguretat informàtica i de com mantenir la major seguretat possible dins del nostre estimat sistema operatiu. Crec que sempre hi ha alguna cosa més per aprendre més enllà de el coneixement que un adquireix realitzant cursos i capacitacions.
Més enllà que sempre consulto aquest blog per assabentar-me d'algun programa nou per Gnu Linux per ficar-li mà.
Salutacions!
Podries explicar una mica en detall, amb nombres i quantitats, per que és més segura «DonQuijoteDeLaMancha1» ( «El Quixot de la Manxa» no existeix; p) que «• M¡ ¢ 0nt®a $ 3n @ •»?
No sé res de matemàtica combinatòria, però segueix sense convèncer-me aquesta idea que tant es repeteix que és millor una contrasenya llarga amb un joc de caràcters senzill que una més curta amb un joc de caràcters molt més nombrós. De debò la quantitat de combinacions possibles és major només usant lletres llatines i nombres que usant tot l'UTF-8?
Salutacions.
Hola Dani, anem per parts per poder deixar-ho clar ... alguna vegada has tingut una d'aquelles maletes amb combinacions de nombre com cadenat? Vegem el següent cas ... suposant que arriben a nou tenim alguna cosa com:
| 10 | | 10 | | 10 |
Cada un té diaz possibilitats, de manera que si tu vols saber la quantitat de combinacions possibles, només has de fer una simple multiplicació, 10³ per ser exactes o 1000.
La taula ASCII conté 255 caràcters essencials, dels quals fem servir normalment els nombres, minúscules, majúscules i alguns signes de puntuació. Suposem que ara tindrem una clau de 6 dígits amb aproximadament 70 opcions (majúscules, minúscules, números i alguns símbols)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Com pots imaginar, és un nombre bastant gran, 117 per ser exactes. I aquestes són totes les possibles combinacions que existeixen per a un espai de 649 dígits de clau. Ara anem a reduir molt més l'espectre de possibilitats, seguim que només farem servir 000 (minúscules, nombres i un que un altre símbol potser) però amb una contrasenya molt més llarga, diguem potser 000 dígits (Això que la de l'exemple té com 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
El nombre de possibilitats es converteix en ... 1 159 445 329 576 199 417 209 625 244 140 625 ... No sé com s'explica aquest nombre, però per a mi que és una mica més llarg :), però anem a reduir-encara més, només farem servir números de el 0 a el 9, i vegem què passa amb la quantitat
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Amb aquesta simple regla es pot arribar a la sorprenent quantitat de 100 000 000 000 000 000 000 combinacions :). Això es deu al fet que cada dígit que s'afegeix a l'equació incrementa el nombre de possibilitats de forma exponencial, mentre que el afegir possibilitats dins d'una sola casella l'incrementa de forma lineal.
Però ara anem al que és «millor» per a nosaltres humans.
Quant et pren escriure "• M¡ ¢ 0nt®a $ 3n @ •" en termes pràctics? Assumim per un segon que has de escriure-ho cada dia, perquè no t'agrada guardar a l'ordinador. Aquest es converteix en un treball tediós si has de fer contraccions de mans de maneres poc usuals. Molt més ràpid (al meu punt de vista) és escriure paraules que pots escriure amb naturalitat, ja que un altre factor important és canviar les claus amb regularitat.
I finalment, però no per això menys important ... Depèn molt de l'humor de qui ha desenvolupat el teu sistema, aplicatiu, programa, el poder utilitzar tranquil·lament tots TOTS els caràcters de UTF-8, en alguns casos fins i tot et pot inhabilitar l'ús de la compte perquè l'aplicació «converteix» alguna cosa de la teva clau i la fa inutilitzable ... Per això potser és millor anar al segur amb els caràcters que sempre saps que estan disponibles.
Espero que això ajudi amb els dubtes 🙂 Salutacions