Bisher glaube ich nicht, dass ich einen meiner Lieblingslieder berührt habe, Informatiksicherheitund ich glaube, dass dies das Thema sein wird, über das ich Ihnen heute erzählen werde. Ich hoffe, dass Sie nach diesem kurzen Artikel eine bessere Vorstellung davon haben, was Ihnen helfen kann, Ihre Risiken besser zu kontrollieren und wie viele gleichzeitig zu mildern.
Risiken überall
Es ist unvermeidlich, dass allein in diesem Jahr bereits mehr als 15000 Schwachstellen entdeckt und in gewisser Weise zugewiesen wurden Öffentlichkeit. Wie soll ich wissen? Da es Teil meiner Aufgabe ist, CVEs in den Programmen, die wir in Gentoo verwenden, zu überprüfen, um festzustellen, ob wir anfällige Software ausführen, können wir sie auf diese Weise aktualisieren und sicherstellen, dass jeder in der Distribution über sichere Geräte verfügt.
CVE
Häufige Schwachstellen und Gefährdungen Für das Akronym in Englisch sind dies die eindeutigen Kennungen, die jeder vorhandenen Sicherheitsanfälligkeit zugewiesen werden. Ich kann mit großer Freude sagen, dass mehrere Gentoo-Entwickler das Wohl der Menschheit unterstützen und ihre Ergebnisse recherchieren und veröffentlichen, damit sie korrigiert und korrigiert werden können. Einer der letzten Fälle, in denen ich das Vergnügen hatte zu lesen, war der von Optionsbluten; Eine Sicherheitslücke, von der Apache-Server weltweit betroffen waren. Warum sage ich, dass ich stolz darauf bin? Weil sie der Welt gut tun, kommt es nur wenigen zugute, Schwachstellen geheim zu halten, und die Folgen können je nach Ziel katastrophal sein.
CNA
CNAs sind Entitäten, die für das Anfordern und / oder Zuweisen von CVEs zuständig sind. Wir haben beispielsweise den CNA von Microsoft, der für das Gruppieren ihrer Schwachstellen, das Lösen und Zuweisen von a verantwortlich ist CVE für eine spätere Registrierung im Laufe der Zeit.
Arten von Maßnahmen
Beginnen wir mit der Klarstellung, dass keine Ausrüstung 100% sicher ist oder sein wird, und wie ein ziemlich allgemeines Sprichwort sagt:
Der einzige 100% sichere Computer ist ein Computer, der in einem Tresor eingeschlossen, vom Internet getrennt und ausgeschaltet ist.
Da es wahr ist, dass die Risiken immer da sind, bekannt oder unbekannt, ist es nur eine Frage der Zeit, so dass wir angesichts des Risikos Folgendes tun können:
Mildern Sie es
Ein Risiko zu mindern ist nichts anderes als es zu reduzieren (NEIN Sag es ab). Dies ist sowohl auf geschäftlicher als auch auf persönlicher Ebene ein wichtiger und entscheidender Punkt. Man möchte nicht "gehackt" werden, aber um die Wahrheit zu sagen, der schwächste Punkt in der Kette ist nicht der Computer, nicht das Programm, nicht einmal der Prozess , der Mensch.
Wir alle haben die Angewohnheit, andere zu beschuldigen, seien es Menschen oder Dinge, aber in der Computersicherheit liegt die Verantwortung beim Menschen und wird es immer sein. Vielleicht sind Sie es nicht direkt, aber wenn Sie nicht den richtigen Weg gehen, werden Sie es sein Teil des Problems. Später werde ich Ihnen einen kleinen Trick geben, um ein bisschen sicherer zu bleiben 😉
Übertragen Sie es
Dies ist ein bekanntes Prinzip, wir müssen es uns als ein vorstellen Bank. Wenn Sie sich um Ihr Geld kümmern müssen (ich meine physisch), ist es am sichersten, es jemandem zu überlassen, der die Fähigkeit hat, es viel besser zu schützen als Sie. Sie brauchen kein eigenes Gewölbe (obwohl es viel besser wäre), um sich um die Dinge kümmern zu können. Sie brauchen nur jemanden (dem Sie vertrauen), der etwas Besseres als Sie aufbewahrt.
Akzeptieren
Aber wenn der erste und der zweite nicht zutreffen, kommt hier die wirklich wichtige Frage ins Spiel. Wie viel ist mir diese Ressource / Daten / usw. wert? Wenn die Antwort viel ist, sollten Sie über die ersten beiden nachdenken. Aber wenn die Antwort a ist Also keinVielleicht müssen Sie nur das Risiko akzeptieren.
Es muss konfrontiert werden, nicht alles ist mildernd, und einige mildernde Dinge würden so viele Ressourcen kosten, dass es praktisch unmöglich wäre, eine echte Lösung anzuwenden, ohne viel Zeit und Geld ändern und investieren zu müssen. Wenn Sie jedoch analysieren können, was Sie schützen möchten, und es im ersten oder zweiten Schritt nicht seinen Platz findet, nehmen Sie es im besten Schritt einfach am besten, geben Sie ihm nicht mehr Wert als es hat, und Mischen Sie es nicht mit Dingen, die wirklich einen Wert haben.
Auf dem Laufenden halten
Dies ist eine Wahrheit, die Hunderten von Menschen und Unternehmen entgeht. Bei der Computersicherheit geht es nicht darum, Ihr Audit dreimal im Jahr einzuhalten und zu erwarten, dass in den anderen 3 Tagen nichts passiert. Dies gilt für viele Systemadministratoren. Ich konnte mich endlich als zertifizieren LFCS (Ich überlasse es Ihnen, herauszufinden, wo ich es getan habe 🙂) und dies ist ein kritischer Punkt während des Kurses. Es ist von entscheidender Bedeutung, Ihre Ausrüstung und ihre Programme auf dem neuesten Stand zu halten. wichtig, um die meisten Risiken zu vermeiden. Sicher werden mir viele hier sagen, Das von uns verwendete Programm funktioniert jedoch in der nächsten Version nicht oder ähnliches, denn die Wahrheit ist, dass Ihr Programm eine Zeitbombe ist, wenn es in der neuesten Version nicht funktioniert. Und das bringt uns zum vorherigen Abschnitt, Können Sie es mildern? Können Sie es übertragen? Können Sie es akzeptieren? ...
Um ehrlich zu sein, statistisch gesehen stammen 75% der Computersicherheitsangriffe von innen. Dies kann daran liegen, dass Sie ahnungslose oder böswillige Benutzer im Unternehmen haben. Oder dass ihre Sicherheitsprozesse es einem nicht schwer gemacht haben Hacker brechen Sie in Ihre Räumlichkeiten oder Netzwerke ein. Und fast mehr als 90% der Angriffe werden durch veraltete Software verursacht. nicht aufgrund von Schwachstellen von Tag Null.
Denken Sie wie eine Maschine, nicht wie ein Mensch
Dies wird ein kleiner Rat sein, den ich Ihnen von nun an überlasse:
Denken Sie wie Maschinen
Für diejenigen, die nicht verstehen, gebe ich Ihnen jetzt ein Beispiel.
Ich stelle dich vor John. Unter Sicherheitsliebhabern ist es einer der besten Ausgangspunkte, wenn Sie in der Welt von beginnen Ethik-Hacking. Peter Er versteht sich wunderbar mit unserem Freund Knirschen. Und im Grunde genommen greift er nach einer Liste, die ihm ausgehändigt wird, und beginnt, Kombinationen zu testen, bis er einen Schlüssel findet, der das gesuchte Passwort löst.
Crunch ist ein Generator von Kombinationen. Dies bedeutet, dass Sie crunch mitteilen können, dass Sie ein Passwort mit 6 Zeichen möchten, das Groß- und Kleinbuchstaben enthält, und crunch beginnt nacheinander mit dem Testen ... so etwas wie:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Und sie werden sich fragen, wie lange es sicher dauert, die ganze Liste durchzugehen ... es dauert nicht mehr als ein paar Protokoll. Für diejenigen, die mit offenem Mund zurückgelassen wurden, lassen Sie mich erklären. Wie wir zuvor besprochen haben, ist das schwächste Glied in der Kette der Mensch und seine Denkweise. Für einen Computer ist es nicht schwierig, Kombinationen zu testen, es wiederholt sich stark, und im Laufe der Jahre sind die Prozessoren so leistungsfähig geworden, dass es nicht länger als eine Sekunde dauert, um tausend Versuche oder sogar mehr durchzuführen.
Aber jetzt ist das Gute, das vorherige Beispiel ist mit dem menschliches Denken, jetzt machen wir es maschinelles Denken:
Wenn wir Crunch anweisen, mit just ein Passwort zu generieren 8 Ziffern, unter den gleichen vorherigen Anforderungen, sind wir von Minuten auf gegangen Stunden. Und raten Sie mal, was passiert, wenn wir Ihnen sagen, dass Sie mehr als 10 verwenden sollen Tag. Seit mehr als 12 sind wir schon dabei MonatZusätzlich zu der Tatsache, dass die Liste Proportionen haben würde, die nicht auf einem normalen Computer gespeichert werden könnten. Wenn wir 20 werden, sprechen wir über Dinge, die ein Computer in Hunderten von Jahren nicht mehr entziffern kann (natürlich mit aktuellen Prozessoren). Dies hat seine mathematische Erklärung, aber aus Platzgründen werde ich es hier nicht erklären, aber für die Neugierigsten hat es viel mit dem zu tun Permutationdas kombinatorisch und Kombinationen. Genauer gesagt, mit der Tatsache, dass wir für jeden Buchstaben, den wir zur Länge hinzufügen, fast 50 haben Möglichkeiten, also werden wir so etwas haben wie:
20^50 mögliche Kombinationen für unser letztes Passwort. Geben Sie diese Zahl in Ihren Taschenrechner ein, um zu sehen, wie viele Möglichkeiten es mit einer Schlüssellänge von 20 Symbolen gibt.
Wie kann ich wie eine Maschine denken?
Es ist nicht einfach, mehr als eine Person wird mir sagen, ich solle mir ein Passwort mit 20 aufeinander folgenden Buchstaben überlegen, insbesondere mit dem alten Konzept, dass Passwörter sind Text Schlüssel. Aber sehen wir uns ein Beispiel an:
dXfwHd
Dies ist für einen Menschen schwer zu merken, für eine Maschine jedoch äußerst einfach.
caballoconpatasdehormiga
Dies ist auf der anderen Seite für einen Menschen extrem leicht zu merken (sogar lustig), aber es ist die Hölle für Knirschen. Und jetzt wird mir mehr als einer sagen, aber ist es nicht ratsam, auch die Schlüssel hintereinander zu ändern? Ja, es wird empfohlen, also können wir jetzt zwei Fliegen mit einer Klappe schlagen. Angenommen, ich lese diesen Monat Don Quijote de la Mancha, Band I. In mein Passwort werde ich etwas einfügen wie:
ElQuijoteDeLaMancha1
20 Symbole, etwas ziemlich schwer zu entdecken, ohne mich zu kennen, und das Beste ist, dass sie nach Abschluss des Buches (vorausgesetzt, sie lesen ständig 🙂) wissen, dass sie ihr Passwort ändern müssen, sogar zu:
ElQuijoteDeLaMancha2
Es ist bereits ein Fortschritt 🙂 und es wird Ihnen sicherlich helfen, Ihre Passwörter sicher zu verwahren und Sie gleichzeitig daran zu erinnern, Ihr Buch fertig zu stellen.
Was ich geschrieben habe, ist genug, und obwohl ich gerne über viele weitere Sicherheitsprobleme sprechen würde, werden wir es für ein anderes Mal verlassen 🙂 Grüße
Sehr interessant!!
Ich hoffe, Sie können Tutorials zum Härten unter Linux hochladen, es wäre wunderbar.
Viele Grüße!
Hallo, nun, könnten Sie mir etwas Zeit geben, aber ich teile auch eine Ressource, die ich äußerst interessant finde
https://wiki.gentoo.org/wiki/Security_Handbook
Dieser ist nicht ins Spanische übersetzt, aber wenn jemand ermutigt wird, dabei zu helfen und zu helfen, wäre es großartig
Grüße
Sehr interessant, aber aus meiner Sicht sind Brute-Force-Angriffe veraltet, und die Generierung von Passwörtern wie "ElQuijoteDeLaMancha1" scheint ebenfalls keine praktikable Lösung zu sein, da mit ein wenig Social Engineering die Passwörter von gefunden werden können Bei diesem Typ geht es nur darum, die Person oberflächlich zu untersuchen, und sie wird es uns offenbaren, entweder in ihren sozialen Netzwerken, bei ihren Bekannten oder bei der Arbeit, ist Teil der menschlichen Natur.
Aus meiner Sicht ist die beste Lösung die Verwendung eines Passwort-Managers, da es sicherer ist, ein 100-stelliges Passwort als ein 20-stelliges zu verwenden. Außerdem besteht der Vorteil, dass das Master-Passwort nur bekannt ist. Es ist nicht möglich, die generierten Passwörter auch von Westen aus zu enthüllen, da sie nicht bekannt sind.
Dies ist mein Passwort-Manager, er ist Open Source und durch die Emulation einer Tastatur immun gegen Keyloger.
https://www.themooltipass.com
Nun, ich gebe nicht vor, eine absolut sichere Lösung (daran zu denken, dass nichts zu 100% undurchdringlich ist) in nur 1500 Wörtern zu geben 🙂 (ich möchte nicht mehr als das schreiben, es sei denn, es ist absolut notwendig), sondern genau so, wie Sie das sagen 100 ist besser als 20, gut 20 ist definitiv besser als 8 🙂 und wie wir zu Beginn sagten, ist das schwächste Glied der Mann, also wird dort immer die Aufmerksamkeit sein. Ich kenne mehrere "Sozialingenieure", die nicht viel über Technologie wissen, aber nur genug, um Sicherheitsberatung zu leisten. Viel schwieriger ist es, echte Hacker zu finden, die Fehler in Programmen finden (der bekannte Zero-Day).
Wenn wir über "bessere" Lösungen sprechen, geben wir bereits ein Thema für Fachleute ein, und ich teile es mit jedem Benutzertyp. Wenn Sie möchten, können wir zu einem anderen Zeitpunkt über "bessere" Lösungen sprechen. Und danke für den Link, sicher seine Vor- und Nachteile, aber er würde einem Passwort-Manager auch nicht viel antun. Sie wären überrascht von der Leichtigkeit und dem Wunsch, mit dem sie sie angreifen, schließlich ... ein einziger Sieg impliziert viele Schlüssel aufgedeckt.
Grüße
Interessanter Artikel, ChrisADR. Als Linux-Systemadministrator ist dies eine gute Erinnerung daran, dass Sie nicht die äußerste Wichtigkeit haben, die heute erforderlich ist, um Kennwörter auf dem neuesten Stand zu halten und die Sicherheit zu gewährleisten, die heutzutage erforderlich ist. Sogar dies ist ein Artikel, der für normale Menschen, die glauben, dass ein Passwort nicht die Ursache für 90% der Kopfschmerzen ist, einen langen Weg gehen würde. Ich würde gerne weitere Artikel über Computersicherheit und die Aufrechterhaltung der höchstmöglichen Sicherheit in unserem geliebten Betriebssystem sehen. Ich glaube, dass es immer mehr zu lernen gibt als das Wissen, das man durch Kurse und Schulungen erwirbt.
Darüber hinaus konsultiere ich immer diesen Blog, um mehr über ein neues Programm für Gnu Linux zu erfahren, mit dem ich es in die Hände bekommen kann.
Viele Grüße!
Können Sie mit Zahlen und Mengen etwas genauer erklären, warum "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" nicht existiert; p) sicherer ist als "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Ich weiß nichts über kombinatorische Mathematik, aber ich bin immer noch nicht von der oft wiederholten Idee überzeugt, dass ein langes Passwort mit einem einfachen Zeichensatz besser ist als ein kürzeres mit einem viel größeren Zeichensatz. Ist die Anzahl der möglichen Kombinationen nur mit lateinischen Buchstaben und Zahlen wirklich größer als mit allen UTF-8?
Grüße.
Hallo Dani, lass uns in Teilen gehen, um es klar zu machen ... hattest du jemals einen dieser Koffer mit Zahlenkombinationen als Schloss? Sehen wir uns den folgenden Fall an ... vorausgesetzt, sie erreichen neun, haben wir so etwas wie:
| 10 | | 10 | | 10 |
Jeder hat Diaz-Möglichkeiten. Wenn Sie also die Anzahl der möglichen Kombinationen wissen möchten, müssen Sie nur eine einfache Multiplikation durchführen, 10³ um genau zu sein, oder 1000.
Die ASCII-Tabelle enthält 255 wesentliche Zeichen, von denen wir normalerweise Zahlen, Kleinbuchstaben, Großbuchstaben und einige Satzzeichen verwenden. Angenommen, wir haben jetzt ein 6-stelliges Passwort mit ungefähr 70 Optionen (Großbuchstaben, Kleinbuchstaben, Zahlen und einige Symbole).
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Wie Sie sich vorstellen können, ist das eine ziemlich große Zahl, um genau zu sein 117. Und das sind alle möglichen Kombinationen, die für einen 649-stelligen Tastenraum existieren. Jetzt werden wir das Spektrum der Möglichkeiten viel weiter reduzieren. Lassen Sie uns fortfahren, dass wir nur 000 (Kleinbuchstaben, Zahlen und das gelegentliche Symbol vielleicht) verwenden, aber mit einem viel längeren Passwort vielleicht 000 Ziffern (das, was das Beispiel ist) hat wie 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Die Anzahl der Möglichkeiten wird… 1 159 445 329 576 199 417 209 625 244 140 625… Ich weiß nicht, wie diese Anzahl gezählt wird, aber für mich ist sie etwas länger :), aber wir werden sie noch weiter reduzieren Wir werden nur die Zahlen 0 bis 9 verwenden und mal sehen, was mit der Menge passiert
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Mit dieser einfachen Regel können Sie erstaunliche 100 Kombinationen erstellen :). Dies liegt daran, dass jede der Gleichung hinzugefügte Ziffer die Anzahl der Möglichkeiten exponentiell erhöht, während das Hinzufügen von Möglichkeiten innerhalb einer einzelnen Box diese linear erhöht.
Aber jetzt gehen wir zu dem, was für uns Menschen "am besten" ist.
Wie lange brauchen Sie, um praktisch „• M¡ ¢ 0nt®a $ 3Ñ @ •“ zu schreiben? Nehmen wir für eine Sekunde an, dass Sie es jeden Tag aufschreiben müssen, weil Sie es nicht gerne auf dem Computer speichern. Dies wird zu einer mühsamen Arbeit, wenn Sie Handkontraktionen auf ungewöhnliche Weise durchführen müssen. Viel schneller (aus meiner Sicht) ist es, Wörter zu schreiben, die Sie natürlich schreiben können, da ein weiterer wichtiger Faktor darin besteht, die Schlüssel regelmäßig zu ändern.
Und last but not least ... Es hängt stark von der Stimmung der Person ab, die Ihr System, Ihre Anwendung und Ihr Programm entwickelt hat und in der Lage ist, ALLE Zeichen von UTF-8 ruhig zu verwenden. In einigen Fällen kann es sogar die Verwendung deaktivieren Es zählt, weil die Anwendung einen Teil Ihres Passworts "konvertiert" und es unbrauchbar macht ... Vielleicht ist es besser, mit den Zeichen, von denen Sie immer wissen, dass sie verfügbar sind, auf Nummer sicher zu gehen.
Hoffe das hilft bei Zweifeln 🙂 Grüße