Sådan beskyttes din computer mod angreb

Meget godt for alle, før jeg går ind i hærdningen af ​​dit team, vil jeg fortælle dig, at installationsprogrammet, som jeg udvikler til Gentoo, allerede er i sin pre-alfa-fase 😀 det betyder, at prototypen er robust nok til at blive testet af andre brugere, men samtidig er der stadig en lang vej at gå, og feedback fra disse faser (pre-alpha, alpha, beta) hjælper med at definere vigtige funktioner i processen 🙂 For de interesserede ...

https://github.com/ChrisADR/installer

. Jeg har stadig den eneste engelske version, men forhåbentlig har den for beta allerede sin spanske oversættelse (jeg lærer dette af runtime-oversættelser i python, så der er stadig meget at opdage)

hærdning

Når vi taler om hærdning, vi henviser til en lang række handlinger eller procedurer, der forhindrer adgang til et computersystem eller netværk af systemer. Det er netop derfor, det er et stort emne fuld af nuancer og detaljer. I denne artikel vil jeg liste nogle af de vigtigste eller anbefalede ting, der skal tages i betragtning, når jeg beskytter et system, jeg vil forsøge at gå fra det mest kritiske til det mindst kritiske, men uden at gå meget ned i emnet, da hver af disse påpeger, at det ville være genstand for en egen artikel.

Fysisk adgang

Dette er utvivlsomt det første og vigtigste problem for hold, da hvis angriberen har let fysisk adgang til holdet, kan de allerede tælles som et tabt hold. Dette gælder både store datacentre og bærbare computere i en virksomhed. En af de vigtigste beskyttelsesforanstaltninger for dette problem er nøglerne på BIOS-niveau. For alle dem, som dette lyder nyt for, er det muligt at sætte en nøgle til BIOS'ens fysiske adgang på denne måde, hvis nogen vil ændre parametre for login og starte computeren fra et live system, vil det ikke være et let job.

Nu er dette noget grundlæggende, og det fungerer bestemt, hvis det virkelig er nødvendigt, jeg har været i flere virksomheder, hvor dette ikke betyder noget, fordi de mener, at dørens sikkerhedsvagt er mere end nok til at være i stand til at undgå fysisk adgang . Men lad os komme til et lidt mere avanceret punkt.

LUKS

Antag et øjeblik, at en "angriber" allerede har fået fysisk adgang til computeren, det næste trin er at kryptere hver eksisterende harddisk og partition. LUKS (Linux Unified Key Setup) Det er en krypteringsspecifikation, blandt andet LUKS tillader, at en partition krypteres med en nøgle, på denne måde, når systemet starter, hvis nøglen ikke er kendt, kan partitionen ikke monteres eller læses.

Paranoia

Bestemt er der mennesker, der har brug for et "maksimalt" sikkerhedsniveau, og dette fører til at beskytte selv det mindste aspekt af systemet, ja, dette aspekt når sit højdepunkt i kernen. Linux-kernen er den måde, hvorpå din software interagerer med hardwaren. Hvis du forhindrer din software i at "se" hardwaren, kan den ikke skade udstyret. For at give et eksempel ved vi alle, hvor "farlig" USB med vira er, når vi taler om Windows, for USB kan bestemt indeholde kode i Linux, der måske eller ikke er skadelig for et system, hvis vi får kernen til kun at genkende typen af usb (firmware), som vi ønsker, vil enhver anden type USB simpelthen blive ignoreret af vores team, noget helt sikkert lidt ekstremt, men det kan fungere afhængigt af omstændighederne.

Tjenester

Når vi taler om tjenester, er det første ord, der kommer til at tænke på, "tilsyn", og dette er noget ret vigtigt, da en af ​​de første ting, en angriber gør, når han går ind i et system, er at opretholde forbindelsen. Udførelse af periodiske analyser af indgående og især udgående forbindelser er meget vigtigt i et system.

iptables

Nu har vi alle hørt om iptables, det er et værktøj, der giver dig mulighed for at generere dataindtastnings- og udgangsregler på kerneniveau, dette er bestemt nyttigt, men det er også et dobbeltkantet sværd. Mange mennesker tror, ​​at ved at have "firewallen" er de allerede fri for enhver form for ind- eller udgang fra systemet, men intet er længere fra sandheden, dette kan kun fungere som en placebo-effekt i mange tilfælde. Det er kendt, at firewalls fungerer baseret på regler, og disse kan helt sikkert omgåes eller narres til at tillade, at data transporteres gennem porte og tjenester, for hvilke reglerne betragter det som "tilladt", det er bare et spørgsmål om kreativitet 🙂

Stabilitet vs rullende frigivelse

Nu er dette et ganske kontroversielt punkt mange steder eller situationer, men lad mig forklare mit synspunkt. Som medlem af et sikkerhedsteam, der holder øje med mange af problemerne i den stabile gren af ​​vores distribution, er jeg opmærksom på mange næsten alle de sårbarheder, der findes på vores brugers Gentoo-maskiner. Nu går distributioner som Debian, RedHat, SUSE, Ubuntu og mange andre gennem den samme ting, og deres reaktionstider kan variere afhængigt af mange omstændigheder.

Lad os gå til et klart eksempel, helt sikkert alle har hørt om Meltdown, Spectre og en hel række nyheder, der er fløjet rundt på internettet i disse dage, ja, den mest "rullende frigivelse" gren af ​​kernen er allerede patched, problemet ligger Ved at bringe disse rettelser til ældre kerner er backporting bestemt hårdt og hårdt arbejde. Nu efter det skal de stadig testes af distributionsudviklerne, og når testen er afsluttet, vil den kun være tilgængelig for normale brugere. Hvad vil jeg have med dette? Fordi rullende frigivelsesmodellen kræver, at vi ved mere om systemet og måder at redde det på, hvis noget mislykkes, men det er god, fordi opretholdelse af absolut passivitet i systemet har flere negative virkninger for både administratoren og brugerne.

Kend din software

Dette er en meget værdifuld tilføjelse, når du administrerer, ting så enkle som at abonnere på nyheden om den software, du bruger, kan hjælpe dig med at kende sikkerhedsmeddelelserne på forhånd, på denne måde kan du generere en reaktionsplan og samtidig se, hvor meget Det tager tid for hver distribution at løse problemerne. Det er altid bedre at være proaktiv i disse problemer, fordi mere end 70% af angrebene på virksomhederne udføres af forældet software.

refleksion

Når folk taler om hærdning, antages det ofte, at et "beskyttet" hold er bevis for alt, og der er ikke noget mere falsk. Som dens bogstavelige oversættelse indikerer hærdning indebærer at gøre tingene sværere, IKKE umulige ... men mange gange tror mange mennesker, at dette involverer mørk magi og mange tricks såsom honningpotter ... dette er en ekstra, men hvis du ikke kan gøre de mest basale ting som at holde en software sprogopdateret programmering ... der er ikke behov for at oprette fantomnetværk og hold med modforanstaltninger ... Jeg siger dette, fordi jeg har set flere virksomheder, hvor de beder om versioner af PHP 4 til 5 (åbenbart ophørt) ... ting, der i dag er kendt for at have hundreder, hvis ikke tusinder af mangler, men hvis virksomheden ikke kan følge med på teknologien, er det ubrugeligt, hvis de gør resten.

Også, hvis vi alle bruger gratis eller åben software, er reaktionstiden for sikkerhedsfejl normalt ret kort, problemet kommer, når vi har at gøre med proprietær software, men jeg overlader det til en anden artikel, som jeg stadig håber at skrive snart.

Mange tak for at komme her 🙂 hilsner


12 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   galopelado sagde han

    Fremragende

    1.    ChrisADR sagde han

      Mange tak 🙂 hilsner

  2.   norman sagde han

    Det, jeg bedst kan lide, er enkelheden, når jeg behandler dette problem, sikkerhed i disse tider. Tak, jeg bliver i Ubuntu, så længe det ikke er i stort behov, fordi jeg ikke besætter den partition, jeg har i Windows 8.1 på øjeblik. Hilsner.

    1.    ChrisADR sagde han

      Hej norma, helt sikkert Debian- og Ubuntu-sikkerhedsteamene er ret effektive 🙂 Jeg har set, hvordan de håndterer sager i en utrolig hastighed, og de får bestemt deres brugere til at føle sig sikre, i det mindste hvis jeg var på Ubuntu, ville jeg føle mig lidt mere sikker 🙂
      Hilsner, og sandt, det er et simpelt spørgsmål ... sikkerhed mere end mørk kunst er et spørgsmål om minimumskriterier 🙂

  3.   Alberto cardona sagde han

    Mange tak for dit bidrag!
    Meget interessant, især den del af Rolling-udgivelsen.
    Jeg havde ikke taget det i betragtning, nu skal jeg administrere en server med Gentoo for at se de forskelle, jeg har med Devuan.
    En stor hilsen og ps at dele denne post i mine sociale netværk, så denne information når ud til flere mennesker !!
    Tak!

    1.    ChrisADR sagde han

      Du er velkommen Alberto 🙂 Jeg var i gæld for at være den første til at besvare anmodningen fra den forrige blog 🙂 så hilsner og nu fortsætte med den ventende liste for at skrive 🙂

  4.   Rystelse2bolt sagde han

    Nå, anvendelse af hærdning med spøgelse derude, ville være som at lade pc'en være mere sårbar i tilfælde af f.eks. Brug af sanboxing. Mærkeligt nok vil dit udstyr være sikrere mod spøgelse, jo mindre sikkerhedslag du anvender ... sjovt, ikke?

    1.    ChrisADR sagde han

      dette minder mig om et eksempel, der kunne præsentere en hel artikel ... ved hjælp af -fsanitize = adresse i i kompilatoren kunne få os til at tro, at den kompilerede software ville være mere "sikker", men intet kunne være længere fra sandheden, jeg ved en udvikler, der prøvede en I stedet for at gøre det med hele teamet ... viste det sig at være lettere at angribe end en uden at bruge ASAN ... det samme gælder i forskellige aspekter ved at bruge de forkerte lag, når du ikke ved hvad det gør de, er mere skadeligt end ikke at bruge noget, det tror jeg, det er noget, som vi alle skal overveje, når vi prøver at beskytte et system ... hvilket bringer os tilbage til det faktum, at dette ikke er en mørk magi, men blot sund fornuft 🙂 tak for dit input

  5.   kra sagde han

    Efter min opfattelse er den mest alvorlige sårbarhed, der sidestilles med fysisk adgang og menneskelig fejl, stadig hardware, hvilket efterlader Meltdown og Spectre til side, siden man siden gamle tider har set, at varianter af LoveLetter-ormen skrev kode i udstyrets BIOS. , da visse firmwareversioner i SSD tillod fjernudførelse af kode og det værste fra mit synspunkt Intel Management Engine, som er en fuldstændig aberration for privatlivets fred og sikkerhed, fordi det ikke længere betyder noget, om udstyret har AES-kryptering, obfuscation eller nogen form af hærdning, for selvom computeren er slukket, vil IME skrue dig fast.

    Og paradoksalt nok er en Tinkpad X200 fra 2008, der bruger LibreBoot, sikrere end nogen nuværende computer.

    Det værste ved denne situation er, at den ikke har nogen løsning, fordi hverken Intel, AMD, Nvidia, Gygabite eller nogen moderat kendt hardwareproducent vil frigive under GPL eller nogen anden gratis licens, det nuværende hardwaredesign, for hvorfor investere millioner dollars for en anden at kopiere den sande idé.

    Smuk kapitalisme.

    1.    ChrisADR sagde han

      Meget sandt Kra 🙂 det er tydeligt, at du er ret dygtig i sikkerhedsspørgsmål 😀 fordi egentlig software og hardware er et spørgsmål om pleje, men desværre er der ikke meget at gøre med hensyn til "hærdning", da som du siger, det er noget der undslipper næsten alle dødelige, undtagen dem der kender programmering og elektronik.

      Hilsner og tak for deling 🙂

  6.   Anonymous sagde han

    Meget interessant, nu ville en tutorial for hver sektion være god xD

    Forresten, hvor farligt er det, hvis jeg sætter en Raspberry Pi og åbner de nødvendige porte til at bruge owncloud eller en webserver uden for hjemmet?
    Det er, at jeg er meget interesseret, men jeg ved ikke, om jeg har tid til at gennemgå adgangslogfiler, se på sikkerhedsindstillingerne fra tid til anden osv osv ...

  7.   juli sagde han

    Fremragende bidrag, tak for at dele din viden.