Molt bones amb tothom, abans d'entrar a l'hardening del teu equip, vull explicar-los que l'instal·lador que estic desenvolupant per Gentoo ja està en la seva fase pre-alpha 😀 això vol dir que el prototip és prou robust com per a poder ser provat per altres usuaris, però a el mateix temps encara falta molt per recórrer, i el feedback d'aquestes etapes (pre-alpha, alfa, beta) ajudarà a definir trets importants sobre el procés 🙂 per als interessats ...
https://github.com/ChrisADR/installer
PS. encara tinc la versió exclusivament en anglès, però espero que per al beta ja tingui la seva traducció a espanyol també (estic aprenent això de les traduccions en temps d'execució en python, així que encara hi ha molt per descobrir)
Enduriment
Quan parlem de enduriment, Ens referim a una gran varietat d'accions o procediments que dificulten l'accés a un sistema informàtic, o xarxa de sistemes. Precisament per això és que és un tema vast i ple de matisos i detalls. En aquest article vaig a llistar algunes de les coses més importants o recomanables per tenir en compte a l'hora de protegir un sistema, intentaré anar d'allò més crític ben bé crític, però sense aprofundir molt en el tema ja que cada un d'aquests punts seria motiu d'un article propi.
accés físic
Aquest és sens dubte el primer i més important problema dels equips, ja que si l'atacant està ben comunicat físic a l'equip, ja pot explicar-se com un equip perdut. Això és veritat tant en grans centres de data com en portàtils dins d'una empresa. Una de les principals mesures de protecció per a aquest problema són les claus a nivell de BIOS, per a tots aquells als quals soni nou això, és possible posar una clau a l'accés físic de la BIOS, d'aquesta manera si algú vol modificar els paràmetres de inici de sessió i arrencar l'equip des d'un sistema live, no serà feina senzilla.
Ara bé, això és una cosa bàsica i certament funciona si és realment requerit, jo he estat en diverses empreses en què no importa això, perquè creuen que el «guàrdia» de seguretat de la porta és més que suficient per poder evitar l'accés físic . Però anem a un punt una mica més avançat.
luxe
Suposem per un segon que un «atacant» ja ha aconseguit accés físic a l'equip, el següent pas és xifrar cada disc dur i partició existent. LUKS (Linux Unified Key Setup) és una especificació de xifrat, entre altres coses LUKS permet xifrar amb clau una partició, d'aquesta manera, a l'iniciar el sistema si no es coneix la clau, la partició no pot ser muntada ni llegida.
Paranoia
Certament hi ha gent que necessita un nivell «màxim» de seguretat, i això porta a protegir fins l'aspecte més mínim de sistema, doncs bé, aquest aspecte arriba a la seva cúspide en el nucli. El nucli de linux és la manera en què el teu programari va a interactuar amb el maquinari, si el teu evites que el teu programari «vegi» a el maquinari, aquest no podrà fer mal a l'equip. Per posar un exemple, tots coneixem el «perillosos» que són els USB amb vírus quan parlem de Windows, ja que certament els usb poden contenir codi en linux que podria o no ser perjudicial per a un sistema, si fem que el nucli només reconegui el tipus de usb (firmware) que desitgem, qualsevol altre tipus d'USB simplement seria obviat pel nostre equip, alguna cosa certament una mica extrem, però podria servir depenent de les circumstàncies.
Serveis
Quan parlem de serveis, la primera paraula que em ve al cap és «supervisió», i això és una cosa bastant important, ja que una de les primeres coses que fa un atacant a l'entrar a un sistema és mantenir la connexió. Realitzar anàlisis periòdiques de les connexions entrants i sobretot sortints és una cosa molt important en un sistema.
iptables
Ara bé, tots hem sentit sobre iptables, és una eina que permet generar regles d'ingrés i sortida de data a nivell de nucli, això és certament útil, però també és una arma de doble tall. Moltes persones creuen que per tenir el «tallafocs» ja estan lliures de qualsevol tipus d'ingrés o sortida de el sistema, però res més allunyat de la realitat, això només pot servir d'efecte placebo en molts casos. És conegut que els tallafocs funcionen a base de regles, i aquestes certament poden ser evitades o enganyades per permetre transportar data per ports i serveis pels quals les regles considerarien que és una cosa «permès», només és qüestió de creativitat 🙂
Estabilitat vs rolling-release
Ara aquest és un punt bastant polèmic en molts llocs o situacions, però permetin-me explicar el meu punt de vista. Com a membre d'un equip de seguretat que vetlla per molts dels problemes de la branca estable de la nostra distribució, estic a la diana de moltes, gairebé totes les vulnerabilitats existents en els equips Gentoo dels nostres usuaris. Ara bé, distribucions com Debian, RedHat, SUSE, Ubuntu i moltes altres passen pel mateix, i els seus temps de reacció poden variar depenent de moltes circumstàncies.
Anem a un exemple clar, segur tots han sentit a parlar de Meltdown, Spectre i tot un seguit de notícies que han volat per internet en aquests dies, doncs bé, la branca més «rolling-release» de l'nucli ja està parchada, el problema rau en portar aquestes correccions a nuclis anteriors, certament el «backporting» és una feina feixuga i difícil. Ara bé, després d'això, encara han de ser provats pels desenvolupadors de la distribució, i una vegada que s'han completat les proves, recentment estarà a disposició dels usuaris normals. A què vull arribar amb això? A que el model rolling-release ens exigeix conèixer més sobre el sistema i formes de rescatar-si alguna cosa falla, però això és bo, Perquè mantenir la passivitat absoluta en el sistema té diversos efectes negatius tant per a qui l'administra com per als usuaris.
Coneix el teu programari
Aquest és un addicional bastant valuós a l'hora d'administrar, coses tan simples com subscriure a les notícies de l'programari que utilitzes pot ajudar a conèixer per endavant els avisos de seguretat, d'aquesta manera es pot generar un pla de reacció i a el mateix temps veure quant temps pren per a cada distribució resoldre els problemes, sempre és millor proactiu en aquests temes perquè més de l'70% dels atacs a empreses es duen a terme per programari no actualitzat.
Reflexió
Quan la gent parla de hardening, moltes vegades es creu que un equip «protegit» és a prova de tot, i no hi ha res més fals. Com el seu traducció literal ho indica, enduriment implica fer les coses més difícils, NO impossibles ... però moltes vegades molta gent pensa que això comporta màgia fosca i molts trucs com els honeypots ... això és un addicional, però si no es pot amb el més bàsic com mantenir actualitzat un programari o un llenguatge de programació ... no hi ha necessitat de crear xarxes fantasma i equips amb contramesures ... ho dic perquè he vist diverses empreses on pregunten per versions de PHP 4 a 5 (evidentment descontinuadas) ... coses que ara per ara són conegudes per tenir centenars sinó milers de falles de seguretat, però si l'empresa no pot seguir el ritme de la tecnologia, ja que de res serveix que facin la resta.
A més, si tots estem fent servir programari lliure o obert, el temps de reacció per als errors de seguretat sol ser bastant curt, el problema ve quan estem tractant amb programari privatiu, però això ho deixo per a un altre article que segueixo esperant poder escriure aviat.
Moltes gràcies per arribar fins aquí 🙂 salutacions
Excel · lent
Moltes gràcies 🙂 salutacions
El que més m'agrada és la simplicitat a l'tractar aquest tema, la seguretat en aquests tiempos.Gracias vaig a mantenir-me en ubuntu mentre no sigui d'extrema necessitat per que a windows 8.1 la partició que tinc no la va ocupar pel momento.Saludos.
Hola norma, certament els equips de seguretat de Debian i Ubuntu són prou eficients 🙂 he vist com manegen casos a una velocitat sorprenent i certament fan sentir als seus usuaris assegurances, al menys si jo estigués en Ubuntu, em sentiria una mica més segur 🙂
Salutacions, i cert, és un tema simple ... la seguretat més que un art fosca és un tema de criteri mínim 🙂
Moltes gràcies per la teva aportació!
Molt interessant, sobretot la part de l'Rolling release.
No hi havia pres en compte això, ara em toca administrar un server amb Gentoo per veure les diferències que tinc amb Devuan.
Un gran salutació i ps a compartir aquesta entrada a les meves xarxes socials perquè aquesta informació arribi a més persones !!
Gràcies!
De res Alberto 🙂 estava en deute per ser el primer a contestar la petició de l'bloc anterior 🙂 així que salutacions i ara a seguir amb aquesta llista de pendents per escriure 🙂
Doncs aplicar hardening amb spectre alla fora, seria com deixar la pc masvulnerable en cas de l'ús de sanboxing per exemple. Curiosament el teu equip estarà més segur contra spectre mentre menys capes de seguretat aplics ... curiós, no?
això em recorda un exemple que podria presentar tot un article ... utilitzar -fsanitize = address en al compilador podria fer-nos pensar que el programari compilat seria més «segur», però res més allunyat de la veritat, jo conec a un developer que va intentar una vegada fer-ho amb tot l'equip ... va resultar sent més fàcil d'atacar que un sense utilitzar ASAN ... el mateix aplica en diversos aspectes, utilitzar les capes incorrectes quan no se sap el que fan, és més perjudicial que no utilitzar res 😛 suposo que això és cosa que tots hauríem de considerar a l'intentar protegir un sistema ... el que ens torna a que això no és una màgia fosca, sinó mer sentit comú 🙂 gràcies per la teva aportació
Per el meu punt de vista la vulnerabilitat més greu equiparada amb l'accés físic i l'error humà, segueix sent el maquinari deixant a Meltdown i Spectre de costat, ja des vells temps s'ha vist com a variants de l'cuc LoveLetter escrivien codi a la BIOS de l' equip, com certes versions de firmware en SSD permetien l'execució de codi remot i el pitjor des del meu punt de vista l'Intel Management de cerca, que és una completa aberració per a la privacitat i seguretat, perquè ja no importa si l'equip té xifrat AES, ofuscació o qualsevol tipus de hardening, perquè fins i tot si l'equip aquesta apagat l'IME et va a fotre.
I també paradoxalment 200 Tinkpad X2008 de l'any XNUMX que fa servir LibreBoot és mes segura que qualsevol equip actual.
El pitjor d'aquesta situació és que no té solució, a causa que ni Intel, AMD, Nvidia, Gygabite o qualsevol fabricant de maquinari mitjanament conegut va alliberar sota GPL o qualsevol altra llicència lliure, el disseny de maquinari actual, perquè perquè invertir milions de dòlars perquè un altre et copiï la idea veritat.
Bell capitalisme.
Molt cert Kra 🙂 és evident que domines bastant els temes de seguretat 😀 doncs efectivament el programari i maquinari privatius són un tema de cura, Però lamentablement contra això hi ha poc per fer respecte a «hardening», ja que com tu dius, això és una cosa que escapa a gairebé tots els mortals, excepte els que saben de programació i electrònica.
Salutacions i gràcies per compartir 🙂
Molt interessant, ara estaria bé un tutorial per a cada apartat xD
Per cert, com de perillós és si hi poso una Raspberry Pi i li obro els ports necessaris per utilitzar owncloud o un servidor web des de fora de casa?
És que m'interessa bastant però no sé si tindré temps de revisar logs d'accés, mirar de tant en tant la configuració de seguretat, etc etc ...
Exelente aportació, gràcies per compartir els teus coneixements.