Jak chránit počítač před útoky

ChrisADR

7 minut

Velmi dobré pro všechny, než vstoupíte do posílení vašeho týmu, chci vám říci, že instalační program, který vyvíjím pro Gentoo, je již v pre-alfa fázi 😀 to znamená, že prototyp je dostatečně robustní, aby ho mohli otestovat ostatní uživatelé, ale zároveň je před námi ještě dlouhá cesta a zpětná vazba z těchto fází (pre-alfa, alfa, beta) pomůže definovat důležité vlastnosti procesu 🙂 Pro zájemce…

https://github.com/ChrisADR/installer

. Stále mám verzi pouze pro angličtinu, ale doufejme, že pro beta verzi již má svůj španělský překlad (učím se to z runtime překladů v pythonu, takže je stále co objevovat)

Kalení

Když o tom mluvíme vytvrzování, odkazujeme na širokou škálu akcí nebo postupů, které brání v přístupu k počítačovému systému nebo síti systémů. Právě proto je to obrovský předmět plný nuancí a detailů. V tomto článku uvedu některé z nejdůležitějších nebo doporučených věcí, které je třeba vzít v úvahu při ochraně systému, pokusím se přejít od nejkritičtějšího k nejméně kritickému, ale aniž bych se podrobně zabýval tématem, protože každý z těchto bodů bylo by předmětem vlastního článku.

Fyzický přístup

Toto je bezpochyby první a nejdůležitější problém pro týmy, protože pokud má útočník k týmu snadný fyzický přístup, lze jej již počítat jako ztracený tým. To platí jak pro velká datová centra, tak pro notebooky ve společnosti. Jedním z hlavních ochranných opatření pro tento problém jsou klíče na úrovni systému BIOS, pro všechny, kterým to zní jako nové, je možné dát klíč k fyzickému přístupu k systému BIOS, tímto způsobem, pokud někdo chce upravit parametry přihlaste se a spusťte počítač ze živého systému, nebude to snadná práce.

Nyní je to něco zásadního a určitě to funguje, pokud je to opravdu nutné, byl jsem v několika společnostech, kde to nevadí, protože věří, že bezpečnostní „strážce“ dveří je víc než dost, aby se mohl vyhnout fyzickému přístupu . Pojďme ale k trochu pokročilejšímu bodu.

ŠTĚSTÍ

Předpokládejme na okamžik, že „útočník“ již získal fyzický přístup k počítači, dalším krokem je zašifrování každého existujícího pevného disku a oddílu. ŠTĚSTÍ (Nastavení jednotného klíče Linux) Jedná se o specifikaci šifrování, mimo jiné LUKS umožňuje šifrování oddílu klíčem, tímto způsobem při spuštění systému, pokud klíč není znám, nelze oddíl připojit nebo číst.

Paranoia

Určitě existují lidé, kteří potřebují „maximální“ úroveň zabezpečení, což vede k zabezpečení i těch nejmenších aspektů systému, tento aspekt dosahuje svého vrcholu v jádře. Linuxové jádro je způsob, jakým bude váš software interagovat s hardwarem. Pokud svému softwaru zabráníte „vidět“ hardware, nebude schopen poškodit zařízení. Abychom uvedli příklad, všichni víme, jak „nebezpečná“ je USB s viry, když mluvíme o Windows, protože USB může v Linuxu určitě obsahovat kód, který může nebo nemusí být pro systém škodlivý, pokud jádro rozeznáme pouze typ z USB (firmwaru), který chceme, by jakýkoli jiný typ USB náš tým jednoduše ignoroval, což je určitě trochu extrémní, ale mohlo by to fungovat v závislosti na okolnostech.

služby

Když mluvíme o službách, první slovo, které nás napadne, je „dohled“, a to je něco docela důležitého, protože jednou z prvních věcí, které útočník dělá při vstupu do systému, je udržovat spojení. Provádění periodické analýzy příchozích a zejména odchozích připojení je v systému velmi důležité.

Iptables

Nyní jsme všichni slyšeli o iptables, je to nástroj, který umožňuje generovat pravidla pro zadávání a opuštění dat na úrovni jádra, což je jistě užitečné, ale je to také meč s dvojitým ostřím. Mnoho lidí věří, že díky „firewallu“ již nemají žádný typ vstupu ani výstupu ze systému, ale nic není dále od pravdy, může to v mnoha případech sloužit pouze jako placebo efekt. Je známo, že brány firewall fungují na základě pravidel, a ty lze určitě obejít nebo napálit tak, aby umožňovaly přenos dat přes porty a služby, pro které by je pravidla považovala za „povolené“, je to jen otázka kreativity 🙂

Stabilita vs. uvolnění

Nyní je to na mnoha místech nebo v různých situacích docela sporný bod, dovolte mi však vysvětlit můj názor. Jako člen bezpečnostního týmu, který bdí nad mnoha problémy stabilní pobočky naší distribuce, vím o mnoha, téměř všech zranitelnostech, které existují na počítačích Gentoo našich uživatelů. Nyní distribuce jako Debian, RedHat, SUSE, Ubuntu a mnoho dalších procházejí stejnou věcí a jejich reakční časy se mohou lišit v závislosti na mnoha okolnostech.

Pojďme k jasnému příkladu, určitě každý slyšel o Meltdown, Spectre a celé řadě novinek, které v dnešní době obletěly internet, no, ta nejvíce „válcovací“ větev jádra je již opravená, problém spočívá Přenesení těchto oprav do starších jader je backporting určitě tvrdá a tvrdá práce. Nyní je ještě musí testovat vývojáři distribuce a po dokončení testování bude k dispozici pouze běžným uživatelům. Co s tím chci získat? Protože model s postupným uvolňováním vyžaduje, abychom věděli více o systému a způsobech jeho záchrany, pokud něco selže, ale to je tak dobrý, protože udržování absolutní pasivity v systému má několik negativních dopadů jak pro správce, tak pro uživatele.

Poznejte svůj software

Jedná se o velmi cenný doplněk při správě, jednoduché věci jako přihlašování k odběru novinek o softwaru, který používáte, vám pomohou předem poznat bezpečnostní upozornění, tímto způsobem můžete vygenerovat plán reakce a současně zjistit, kolik Řešení každé distribuce nějakou dobu trvá, vždy je lepší být v těchto otázkách proaktivní, protože více než 70% útoků na společnosti je prováděno zastaralým softwarem.

Reflexe

Když se mluví o otužování, často se věří, že „chráněný“ tým je důkazem všeho, a není nic falešnějšího. Jak naznačuje jeho doslovný překlad, vytvrzování znamená dělat věci obtížnějšími, NE nemožnými ... ale mnohokrát si mnoho lidí myslí, že to zahrnuje temnou magii a mnoho triků, jako jsou honeypoty ... toto je další, ale pokud nemůžete dělat ty nejzákladnější věci, jako je aktualizace softwaru nebo jazyka programování ... není třeba vytvářet fantomové sítě a týmy s protiopatřeními ... Říkám to proto, že jsem viděl několik společností, kde žádají o verze PHP 4 až 5 (zjevně přerušené) ... věci, o nichž je dnes známo, že mají stovky, ne-li tisíce nedostatků zabezpečení, ale pokud společnost nedokáže držet krok s technologiemi, je zbytečné, když udělají zbytek.

Také, pokud všichni používáme bezplatný nebo otevřený software, je reakční doba na bezpečnostní chyby obvykle poměrně krátká, problém nastává, když máme co do činění s proprietárním softwarem, ale to nechávám na další článek, o kterém doufám, že ho brzy napíšu.

Moc děkuji, že jste se sem dostali 🙂 pozdravy


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   cválal řekl
    před 6 let

    Vynikající

    Odpovědět gallopelado
    1.    ChrisADR řekl
      před 6 let

      Děkuji moc 🙂 pozdravy

      Odpověď ChrisADR
  2.   Norman řekl
    před 6 let

    Nejvíc se mi líbí jednoduchost při řešení tohoto problému, bezpečnost v těchto dobách. Děkuji, zůstanu v Ubuntu, pokud to nepotřebuji, protože momentálně neobsazuji oddíl, který mám v systému Windows 8.1. Zdravím.

    Odpověď normanovi
    1.    ChrisADR řekl
      před 6 let

      Dobrý den, normálně, jistě jsou bezpečnostní týmy Debianu a Ubuntu celkem efektivní 🙂 Viděl jsem, jak zvládají případy úžasnou rychlostí a určitě se díky nim uživatelé cítí bezpečně, alespoň kdybych byl v Ubuntu, cítil bych se trochu bezpečněji 🙂
      Zdravím, a je to jednoduchá záležitost ... bezpečnost více než temné umění je otázkou minimálních kritérií 🙂

      Odpověď ChrisADR
  3.   Alberto cardona řekl
    před 6 let

    Velice vám děkuji za váš příspěvek!
    Velmi zajímavá, zejména ta část Rolling vydání.
    Nebral jsem to v úvahu, teď musím spravovat server s Gentoo, abych viděl rozdíly, které mám s Devuan.
    Velký pozdrav a ps pro sdílení tohoto záznamu v mých sociálních sítích, aby se tato informace dostala k více lidem !!
    Děkuji vám!

    Odpověď Alberto Cardona
    1.    ChrisADR řekl
      před 6 let

      Nemáte zač, Alberto 🙂 Byl jsem v dluhu za to, že jsem jako první odpověděl na požadavek předchozího blogu 🙂, takže zdravím a nyní pokračujte v tomto seznamu čekajících na psaní 🙂

      Odpověď ChrisADR
  4.   otřes 2bolt řekl
    před 6 let

    No, použijte kalení s přízrakem, bylo by to jako nechat počítač zranitelnější v případě použití například sanboxingu. Je zajímavé, že vaše vybavení bude bezpečnější proti strašidlu, čím méně vrstev zabezpečení použijete ... legrační, že?

    Odpovědět Jolt2bolt
    1.    ChrisADR řekl
      před 6 let

      to mi připomíná příklad, který by mohl představit celý článek ... použití -fsanitize = address in v kompilátoru by nás mohlo přimět si myslet, že kompilovaný software by byl „bezpečnější“, ale nic by nemohlo být dále od pravdy, znám vývojáře, který zkusil Místo toho, abychom to dělali s celým týmem ... ukázalo se, že je snazší zaútočit než jeden bez použití ASAN ... totéž platí v různých aspektech, použití špatných vrstev, když nevíte, co dělají, je škodlivější než nic nepoužívat 😛 něco, co bychom měli všichni zvážit, když se snažíme chránit systém ... což nás přivádí zpět k tomu, že to není temná magie, ale pouhý zdravý rozum 🙂 díky za váš příspěvek

      Odpověď ChrisADR
  5.   kra řekl
    před 6 let

    Z mého pohledu je nejzávažnější zranitelností srovnatelnou s fyzickým přístupem a lidskou chybou stále hardware, který ponechává Meltdown a Spectre stranou, protože za starých časů bylo vidět, že varianty červa LoveLetter zapsaly kód do systému BIOS zařízení, protože některé verze firmwaru v SSD umožňovaly vzdálené spuštění kódu a z mého pohledu nejhorší Intel Management Engine, což je úplná aberace ochrany soukromí a bezpečnosti, protože už nezáleží na tom, jestli má zařízení šifrování AES, zmatek nebo jakýkoli druh kalení, protože i když je počítač vypnutý, editor IME vás pošle.

    A také paradoxně Tinkpad X200 z roku 2008, který používá LibreBoot, je bezpečnější než jakýkoli současný počítač.

    Nejhorší na této situaci je, že nemá žádné řešení, protože ani Intel, AMD, Nvidia, Gygabite ani žádný středně známý výrobce hardwaru nevydá pod GPL nebo jinou bezplatnou licencí současný design hardwaru, protože proč investovat milion dolarů, aby někdo jiný kopíroval skutečnou myšlenku.

    Krásný kapitalismus.

    Odpověď Kra
    1.    ChrisADR řekl
      před 6 let

      Velmi pravdivý Kra 🙂 je zřejmé, že v bezpečnostních záležitostech jste docela zdatní 😀, protože ve skutečnosti je proprietární software a hardware otázkou péče, ale bohužel proti tomu není co do činění s „kalením“, protože jak říkáte, to je něco který unikne téměř všem smrtelníkům, kromě těch, kteří znají programování a elektroniku.

      Zdravím a děkuji za sdílení 🙂

      Odpověď ChrisADR
  6.   anonymní řekl
    před 6 let

    Velmi zajímavé, nyní by návod pro každou sekci byl dobrý xD

    Mimochodem, jak nebezpečné je, když vložím Raspberry Pi a otevřu porty potřebné k používání vlastního cloudu nebo webového serveru mimo domov?
    Je to tím, že mě docela zajímá, ale nevím, jestli budu mít čas zkontrolovat přístupové protokoly, občas zkontrolovat nastavení zabezpečení atd. Atd ...

    Odpovědět Anonymous
  7.   Julio řekl
    před 6 let

    Skvělý příspěvek, děkujeme za sdílení vašich znalostí.

    Odpovědět Julio