Zatím si myslím, že jsem se nedotkl jedné ze svých oblíbených písní, počítačová bezpečnost, a věřím, že to bude téma, které vám dnes přijdu říct 🙂 doufám, že po tomto krátkém článku získáte lepší představu o tom, co vám může pomoci mít lepší kontrolu nad vašimi riziky a jak je zmírnit mnoho současně.
Rizika všude
Je to nevyhnutelné, pouze v tomto roce jsme již určitým způsobem objevili a přiřadili více než 15000 XNUMX zranitelných míst veřejnosti. Jak to mám vědět? Jelikož součástí mé práce je kontrolovat CVE v programech, které používáme v Gentoo, abychom zjistili, zda spouštíme zranitelný software, můžeme jej takto aktualizovat a zajistit, aby každý v distribuci měl bezpečné vybavení.
CVE
Společné zranitelnosti a expozice Pro jeho zkratku v angličtině jsou to jedinečné identifikátory, které jsou přiřazeny každé existující chybě zabezpečení. Mohu s velkou radostí říci, že několik vývojářů Gentoo podporuje dobro lidstva, zkoumá a publikuje svá zjištění, aby je bylo možné opravit a opravit. Jedním z posledních případů, které jsem měl to potěšení číst, byl případ Možnost krvácení; chyba zabezpečení, která ovlivnila servery Apache po celém světě. Proč říkám, že jsem na to hrdý? Protože světu prospívají, udržování tajemství zranitelných míst v tajnosti přináší výhody jen několika, a důsledky toho mohou být katastrofické v závislosti na cíli.
CNA
CNA jsou subjekty odpovědné za vyžádání a / nebo přiřazení CVE, například máme CNA společnosti Microsoft, která má na starosti seskupování jejich zranitelných míst, jejich řešení a přiřazování CVE pro pozdější registraci v průběhu času.
Druhy opatření
Začněme objasněním, že žádné zařízení není nebo nebude stoprocentně bezpečné, a jak se běžně říká:
Jediným 100% zabezpečeným počítačem je počítač uzamčený v trezoru, odpojený od internetu a vypnutý.
Protože je pravda, rizika zde budou vždy, ať již známá nebo neznámá, je jen otázkou času, takže tváří v tvář riziku můžeme udělat následující:
Zmírněte to
Zmírnění rizika není nic jiného než jeho snížení (NE přepsat). To je docela důležitý a zásadní bod na obchodní i osobní úrovni, člověk nechce být „hacknut“, ale pravdou je, že nejslabším bodem v řetězci není počítač, ani program, dokonce ani proces. , to je člověk.
Všichni máme ve zvyku obviňovat ostatní, ať už jsou to lidé nebo věci, ale v počítačové bezpečnosti je a vždy bude zodpovědnost člověka, možná to nebudete vy přímo, ale pokud se nebudete řídit správnou cestou, budete část problému. Později vám dám malý trik, abyste zůstali trochu bezpečnější 😉
Přeneste to
Toto je docela známý princip, musíme si jej představit jako banka. Když se potřebujete o své peníze postarat (myslím fyzicky), nejbezpečnější je nechat je někomu, kdo je schopen je chránit mnohem lépe než vy. Nemusíte mít svůj vlastní trezor (i když by to bylo mnohem lepší), abyste se mohli o věci postarat, stačí mít někoho (komu důvěřujete), aby si uchoval něco lepšího než vy.
Příjmout to
Ale když neplatí první a druhý, tak tady přichází na řadu opravdu důležitá otázka. Kolik stojí tento zdroj / data / atd. Pro mě? Pokud je odpověď hodně, měli byste přemýšlet o prvních dvou. Ale pokud je odpověď ne tak mocMožná prostě musíte přijmout riziko.
Musíte tomu čelit, ne všechno je zmírnitelné a některé zmírnitelné věci by stály tolik zdrojů, že by bylo prakticky nemožné použít skutečné řešení, aniž byste museli měnit a investovat spoustu času a peněz. Pokud však můžete analyzovat, co se snažíte chránit, a nenajde si své místo v prvním nebo druhém kroku, jednoduše to vezměte ve třetím kroku nejlepším způsobem, nedávejte tomu větší hodnotu, než má, a nemíchejte to s věcmi, které opravdu mají hodnotu.
Udržovat aktuální informace
To je pravda, která uniká stovkám lidí a podniků. Zabezpečení počítače není o dodržování vašeho auditu třikrát ročně a očekávání, že se v příštích 3 dnech nic nestane. A to platí pro mnoho správců systému. Nakonec jsem se mohl certifikovat jako LFCS (Nechám na vás, abyste zjistili, kde jsem to udělal 🙂) a toto je během kurzu kritický bod. Udržování aktuálního vybavení a jeho programů je zásadní, rozhodující, aby se zabránilo většině rizik. Určitě mi tu mnoho řekne, ale program, který používáme, nefunguje v příští verzi nebo něco podobného, protože pravdou je, že váš program je časovaná bomba, pokud nefunguje v nejnovější verzi. A to nás přivádí k předchozí části, Můžete to zmírnit? Můžete to převést? Můžete to přijmout? ...
Je třeba říci, že statisticky 75% počítačových bezpečnostních útoků pochází zevnitř. Může to být proto, že ve společnosti máte nic netušící nebo škodlivé uživatele. Nebo že jejich bezpečnostní procesy to neztěžovaly hacker proniknout do vašich prostor nebo sítí. A téměř více než 90% útoků je způsobeno zastaralým softwarem, Ne kvůli zranitelnosti den nula.
Mysli jako stroj, ne jako člověk
Bude to malá rada, kterou vám odtud nechám:
Přemýšlejte jako stroje
Pro ty, kteří nerozumí, vám nyní dávám příklad.
Představuji ti Jan. Mezi milovníky bezpečnosti je to jeden z nejlepších výchozích bodů, když začínáte ve světě hackování ethicla. Jan vychází skvěle s naším přítelem krize. A v podstatě popadne seznam, který mu je předán, a začne testovat kombinace, dokud nenajde klíč, který vyřeší hledané heslo.
Chroupat je generátor kombinací. to znamená, že můžete říci krizi, že chcete heslo o délce 6 znaků, obsahující velká a malá písmena a krize začne testovat jeden po druhém ... něco jako:
aaaaaa,aaaaab,aaaaac,aaaaad,....
A budou se divit, jak dlouho trvá projít celý seznam pro jistotu ... netrvá to víc než pár minut. Pro ty, kteří zůstali s otevřenými ústy, dovolte mi to vysvětlit. Jak jsme již dříve diskutovali, nejslabším článkem v řetězci je člověk a jeho způsob myšlení. Pro počítač není těžké otestovat kombinace, je to velmi opakující se a v průběhu let se procesory staly tak výkonnými, že to netrvá déle než sekundu, než provedete tisíc pokusů nebo dokonce více.
Ale dobrá věc, předchozí příklad je s lidské myšlení, teď jdeme na to strojové myšlení:
Pokud řekneme krizi, abychom začali generovat heslo jen 8 číslice, za stejných předchozích požadavků jsme přešli z minut na Horas. A hádejte, co se stane, když vám řekneme, abyste použili více než 10, se stanou dny. Již více než 12 jsme v měsícůKromě toho, že seznam by měl rozměry, které by nebylo možné uložit na běžný počítač. Pokud se dostaneme k 20, mluvíme o věcech, které počítač nebude schopen rozluštit za stovky let (samozřejmě se současnými procesory). Toto má své matematické vysvětlení, ale z důvodu prostoru to zde nebudu vysvětlovat, ale pro ty nejzvědavější to má hodně společného s permutace, kombinační a kombinace. Přesněji řečeno, s tím, že na každé písmeno, které přidáme k délce, máme téměř 50 možnosti, takže budeme mít něco jako:
20^50 možné kombinace pro naše poslední heslo. Zadejte toto číslo do kalkulačky a uvidíte, kolik možností existuje s délkou klíče 20 symbolů.
Jak mohu myslet jako stroj?
Není to snadné, více lidí mi řekne, abych vymyslel heslo o 20 písmenech v řadě, zejména se starým konceptem, že hesla jsou slova klíč. Ale podívejme se na příklad:
dXfwHd
To je pro člověka obtížné zapamatovat si, ale pro stroj extrémně snadné.
caballoconpatasdehormiga
Na druhou stranu je to pro člověka nesmírně snadné si zapamatovat (i vtipné), ale je to peklo krize. A teď mi to řekne více než jeden, ale není vhodné měnit také klíče v řadě? Ano, doporučuje se to, takže nyní můžeme zabít dva ptáky jedním kamenem. Předpokládejme, že tento měsíc čtu Don Quijote de la Mancha, svazek I. Do svého hesla vložím něco jako:
ElQuijoteDeLaMancha1
20 symbolů, něco docela těžkého na objevení, aniž byste mě znali, a nejlepší na tom je, že až knihu dokončím (za předpokladu, že čtou neustále 🙂), budou vědět, že si musí změnit heslo, dokonce i na:
ElQuijoteDeLaMancha2
Toto je pokrok 🙂 a určitě vám pomůže udržet vaše hesla v bezpečí a zároveň vám připomene, abyste dokončili svou knihu.
To, co jsem napsal, je dost, a přestože bych byl rád, kdybych mohl mluvit o mnoha dalších bezpečnostních tématech, necháme to na jindy 🙂 Zdravím
Velmi zajímavé!!
Doufám, že můžete nahrát výukové programy o zpevnění na Linuxu, bylo by to skvělé.
Zdravím!
Ahoj 🙂, mohl bys mi dát nějaký čas, ale také sdílím zdroj, který mi připadá nesmírně zajímavý 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Tento není přeložen do španělštiny 🙁, ale pokud je někdo vyzván, aby s tím pomohl a pomohl, bylo by skvělé 🙂
pozdravy
Velmi zajímavé, ale podle mého názoru jsou útoky hrubou silou zastaralé a generování hesel jako „ElQuijoteDeLaMancha1“ se také nezdá jako životaschopné řešení, je to proto, že s trochou sociálního inženýrství je možné najít hesla u tohoto typu jde pouze o povrchní vyšetřování osoby a ona nám to odhalí, ať už ve svých sociálních sítích, svým známým nebo v práci, je součástí lidské přirozenosti.
Z mého pohledu je nejlepším řešením použít správce hesel, protože je bezpečnější použít heslo o 100 číslicích než 20místné, navíc je tu výhoda, že když znáte pouze hlavní heslo, není možné odhalit ani na západ vygenerovaná hesla, protože nejsou známa.
Toto je můj správce hesel, je to open source a emulací klávesnice je imunní vůči keylogerům.
https://www.themooltipass.com
No, nepředstírám, že poskytnu zcela bezpečné řešení (pamatuji si, že nic není stoprocentně neproniknutelné) pouhými 100 slovy 🙂 (nechci psát víc než to, pokud to není nezbytně nutné), ale stejně, jak říkáte 1500 je lepší než 100, dobře 20 je určitě lepší než 20 🙂 a dobře, jak jsme řekli na začátku, nejslabším článkem je muž, takže tam se vždy bude soustředit pozornost. Znám několik „sociálních inženýrů“, kteří toho o technologii moc nevědí, ale jen tolik, aby mohli provádět bezpečnostní poradenskou činnost. Mnohem obtížnější je najít skutečné hackery, kteří najdou nedostatky v programech (známý nultý den).
Pokud mluvíme o „lepších“ řešeních, již zadáváme téma pro lidi s odbornými znalostmi v oboru a sdílím je s jakýmkoli typem uživatelů 🙂, ale pokud chcete, můžeme hovořit o „lepších“ řešeních jindy. A díky za odkaz, určitě jeho klady a zápory, ale to by také neudělalo moc pro správce hesel, byli byste překvapeni lehkostí a touhou, s jakou na ně útočí, koneckonců ... jediné vítězství znamená mnoho klíčů odhaleno.
pozdravy
Zajímavý článek, ChrisADR. Jako správce systému Linux je to dobrá připomínka, abyste se nenechali zmást tím, že mu nedáváte nejvyšší důležitost vyžadovanou dnes k udržování hesel aktuálních a se zabezpečením vyžadovaným dnešní dobou. I toto je článek, který by šel dlouhou cestu k obyčejným lidem, kteří si myslí, že heslo není příčinou 90% bolestí hlavy. Chtěl bych vidět více článků o počítačové bezpečnosti a o tom, jak udržovat nejvyšší možnou bezpečnost v našem milovaném operačním systému. Věřím, že vždy je co naučit se víc než znalosti, které člověk získá prostřednictvím kurzů a školení.
Kromě toho vždy konzultuji tento blog, abych se dozvěděl o novém programu pro Gnu Linux, abych se dostal do rukou.
Zdravím!
Mohl byste vysvětlit trochu podrobně, s čísly a množstvími, proč je „DonQuijoteDeLaMancha1“ („DonQuijote de La Mancha“ neexistuje; p) bezpečnější než „• M¡ ¢ 0nt®a $ 3Ñ @ •“?
Nevím nic o kombinatorické matematice, ale stále mě nepřesvědčuje často opakovaná myšlenka, že dlouhé heslo s jednoduchou znakovou sadou je lepší než kratší s mnohem větší znakovou sadou. Je množství možných kombinací skutečně větší pouze při použití latinských písmen a čísel než při použití všech UTF-8?
Zdravím.
Ahoj Dani, pojďme po částech, aby bylo jasné ... už jste někdy měli jeden z těch kufrů s číselnými kombinacemi jako zámek? Podívejme se na následující případ ... za předpokladu, že dosáhnou devíti, máme něco jako:
| 10 | | 10 | | 10 |
Každý z nich má diaz možnosti, takže pokud chcete znát počet možných kombinací, musíte udělat jednoduchou násobení, přesněji 10³ nebo 1000.
Tabulka ASCII obsahuje 255 základních znaků, z nichž běžně používáme čísla, malá, velká a některá interpunkční znaménka. Předpokládejme, že nyní budeme mít 6místné heslo s přibližně 70 možnostmi (velká, malá, číslice a některé symboly)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Jak si dokážete představit, je to docela velké číslo, konkrétně 117 649 000 000. A to jsou všechny možné kombinace, které existují pro šestimístný klíčový prostor. Nyní budeme mnohem více zmenšovat spektrum možností, pokračujme, že použijeme pouze 6 (možná malá písmena, číslice a příležitostný symbol), ale s mnohem delším heslem, řekněme možná 45 číslic (To, které příklad má jako 20).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Počet možností se stává ... 1 159 445 329 576 199 417 209 625 244 140 625 ... nevím, jak se to číslo počítá, ale pro mě je to o něco delší :), ale budeme ho ještě snižovat, použijeme pouze čísla 0 až 9, a podívejme se, co se stane s množstvím
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
S tímto jednoduchým pravidlem můžete přijít s ohromujícími 100 000 000 000 000 000 000 kombinací :). Je to proto, že každá číslice přidaná do rovnice zvyšuje počet možností exponenciálně, zatímco přidávání možností v jednom poli zvyšuje lineárně.
Ale teď jdeme k tomu, co je pro nás lidi „nejlepší“.
Jak dlouho vám bude v praxi psát „• M¡ ¢ 0nt®a $ 3Ñ @ •“? Předpokládejme na chvilku, že si to musíte každý den zapisovat, protože se vám nelíbí ukládání do počítače. To se stává zdlouhavou prací, pokud musíte provádět kontrakce rukou neobvyklým způsobem. Mnohem rychlejší (podle mého názoru) je psaní slov, která můžete psát přirozeně, protože dalším důležitým faktorem je pravidelná změna kláves.
A v neposlední řadě ... Záleží hodně na náladě osoby, která vyvinula váš systém, aplikaci, program a je schopná klidně používat VŠECHNY znaky UTF-8, v některých případech může dokonce zakázat použití Počítá se to, protože aplikace „převádí“ vaše heslo a činí jej nepoužitelným ... Takže možná je lepší hrát na jistotu s postavami, o kterých vždy víte, že jsou k dispozici.
Doufám, že to pomůže s pochybnostmi 🙂 Zdravím