Kiel protekti vian komputilon kontraŭ atakoj

Tre bone al ĉiuj, antaŭ ol eniri la obstinigon de via teamo, mi volas diri al vi, ke la instalilo, kiun mi disvolvas por Gentoo, jam estas en sia antaŭ-alfa fazo, tio signifas, ke la prototipo estas sufiĉe fortika por esti testita de aliaj uzantoj. , sed samtempe restas ankoraŭ longa vojo, kaj la reagoj de ĉi tiuj etapoj (antaŭ-alfa, alfa, beta) helpos difini gravajn ecojn de la procezo 🙂 Por interesatoj ...

https://github.com/ChrisADR/installer

. Mi ankoraŭ havas la nur anglan version, sed espereble por la beta ĝi jam havas sian hispanan tradukon ankaŭ (mi lernas ĉi tion per rultempaj tradukoj en python, do restas ankoraŭ multe por malkovri)

Malhelpado

Kiam ni parolas obstinigxo, ni rilatas al granda vario de agoj aŭ proceduroj, kiuj malhelpas aliron al komputila sistemo aŭ reto de sistemoj. Ĝuste tial ĝi estas vasta temo plena de nuancoj kaj detaloj. En ĉi tiu artikolo mi listigos iujn el la plej gravaj aŭ rekomendindaj aferoj konsiderindaj por protekti sistemon, mi provos iri de la plej kritika al la malplej kritika, sed sen enprofundiĝi multe pri la temo, ĉar ĉiu el ĉi tiuj atentigas, ke ĝi estus la temo de propra artikolo.

Fizika aliro

Ĉi tio estas sendube la unua kaj plej grava problemo por teamoj, ĉar se la atakanto havas facilan fizikan aliron al la teamo, ili jam povas esti kalkulitaj kiel perdita teamo. Ĉi tio validas kaj pri grandaj datumcentroj kaj porteblaj komputiloj en kompanio. Unu el la ĉefaj protektaj rimedoj por ĉi tiu problemo estas la klavoj ĉe la BIOS-nivelo, por ĉiuj tiuj, al kiuj tio sonas nova, eblas meti ŝlosilon al la fizika aliro de la BIOS, tiamaniere se iu volas modifi la parametroj de ensaluto kaj startigo de la komputilo de viva sistemo, ĝi ne estos facila laboro.

Nun ĉi tio estas io baza kaj ĝi certe funkcias, se ĝi vere necesas, mi estis en pluraj kompanioj, kie tio ne gravas, ĉar ili kredas, ke la sekureca "gardisto" de la pordo estas pli ol sufiĉa por povi eviti fizikan aliron. . Sed ni alvenu al iomete pli progresinta punkto.

LUKS

Supozu dum sekundo, ke "atakanto" jam akiris fizikan aliron al la komputilo, la sekva paŝo estas ĉifri ĉiun ekzistantan malmolan diskon kaj subdiskon. LUKS (Linukso-Unigita Ŝlosila Agordo) Ĝi estas ĉifra specifo, interalie LUKS permesas ĉifri subdiskon per ŝlosilo, tiamaniere, kiam la sistemo startas, se la ŝlosilo ne estas konata, la subdisko ne povas esti muntita aŭ legata.

Paranoia

Certe estas homoj, kiuj bezonas "maksimuman" nivelon de sekureco, kaj tio kondukas al protektado eĉ de la plej malgranda aspekto de la sistemo, nu, ĉi tiu aspekto atingas sian pinton en la kerno. La linuksa kerno estas la maniero, kiel via programaro interagos kun la aparataro, se vi malhelpas vian programon "vidi" la aparataron, ĝi ne povos damaĝi la ekipaĵon. Por doni ekzemplon, ni ĉiuj scias, kiom "danĝera" estas USB kun virusoj, kiam ni parolas pri Vindozo, ĉar certe USB povas enhavi kodon en Linukso, kiu povas aŭ ne esti malutila al sistemo, se ni igas la kernon nur rekoni la tipon de usb (firmvaro), kiun ni volas, iu ajn alia USB-tipo estus simple ignorata de nia teamo, io certe iomete ekstrema, sed ĝi povus funkcii laŭ la cirkonstancoj.

servoj

Kiam ni parolas pri servoj, la unua vorto, kiu venas al mi en la kapon, estas "superrigardo", kaj ĉi tio estas io sufiĉe grava, ĉar unu el la unuaj aferoj, kiujn atakanto faras enirante sistemon, estas konservi la konekton. Prezenti periodan analizon de enirantaj kaj precipe elirantaj konektoj tre gravas en sistemo.

Iptables

Nun ni ĉiuj aŭdis pri iptables, ĝi estas ilo, kiu permesas generi datenajn enirajn kaj elirajn regulojn ĉe la kerna nivelo, tio certe estas utila, sed ĝi ankaŭ estas duoble randa glavo. Multaj homoj kredas, ke havante la "fajromuron" ili jam estas liberaj de ajna speco de eniro aŭ eliro de la sistemo, sed nenio estas pli for de la vero, ĉi tio povas servi nur kiel efekto placebo en multaj kazoj. Oni scias, ke fajromuroj funkcias surbaze de reguloj, kaj ĉi tiuj certe povas esti preterirataj aŭ trompitaj por permesi transporti datumojn tra havenoj kaj servoj, por kiuj la reguloj konsiderus ĝin "permesita", temas nur pri kreemo 🙂

Stabileco kontraŭ ruliĝado

Nun ĉi tio estas sufiĉe disputiga punkto en multaj lokoj aŭ situacioj, sed mi klarigu mian vidpunkton. Kiel membro de sekureca teamo, kiu prizorgas multajn el la problemoj en la stabila branĉo de nia distribuo, mi konscias pri multaj, preskaŭ ĉiuj malfortaĵoj en la maŝinoj Gentoo de niaj uzantoj. Nun, distribuoj kiel Debian, RedHat, SUSE, Ubuntu kaj multaj aliaj trapasas la samon, kaj iliaj reagaj tempoj povas varii laŭ multaj cirkonstancoj.

Ni iru al klara ekzemplo, certe ĉiuj aŭdis pri Meltdown, Spectre kaj tuta serio de novaĵoj, kiuj flugis ĉirkaŭ la interreto ĉi-tage, nu, la plej "ruliĝanta" branĉo de la kerno jam estas flikita, la problemo kuŝas Alportante tiujn korektojn al pli malnovaj kernoj, malantaŭa subtenado certe estas malfacila kaj malfacila laboro. Nun post tio, ili ankoraŭ devas esti testitaj de la programistoj de la distribuo, kaj post kiam la testado finiĝos, ĝi estos disponebla nur por normalaj uzantoj. Kion mi volas ricevi per ĉi tio? Ĉar la ruliĝema modelo postulas, ke ni sciu pli pri la sistemo kaj manieroj savi ĝin se io malsukcesas, sed tio estas bonan, ĉar konservi absolutan pasivecon en la sistemo havas plurajn negativajn efikojn kaj por la administranto kaj uzantoj.

Sciu vian programon

Ĉi tio estas tre valora aldono dum administrado, aferoj tiel simplaj kiel aboni la novaĵojn pri la uzata programaro povas helpi vin scii anticipe la sekurecajn avizojn, tiamaniere vi povas generi reagplanon kaj samtempe vidi kiom multe Necesas tempo por ĉiu distribuo por solvi la problemojn, estas ĉiam pli bone esti iniciatema pri ĉi tiuj aferoj, ĉar pli ol 70% de atakoj al kompanioj estas farataj de malmoderna programaro.

Reflekto

Kiam homoj parolas pri malmoliĝo, oni ofte kredas, ke "ŝirmita" teamo estas pruvo kontraŭ ĉio, kaj ekzistas nenio pli falsa. Kiel ĝia laŭvorta traduko indikas, obstinigxo implicas fari aferojn pli malfacilaj, NE maleblaj ... sed multfoje multaj homoj opinias, ke ĉi tio implikas malhelan magion kaj multajn lertaĵojn kiel ekzemple mielpotoj ... ĉi tio estas aldonaĵo, sed se vi ne povas fari la plej bazajn aferojn kiel konservi programon aŭ lingva ĝisdatigita programado ... ne necesas krei fantomajn retojn kaj teamojn kun kontraŭiniciatoj ... Mi diras ĉi tion ĉar mi vidis plurajn kompaniojn, kie ili petas versiojn de PHP 4 ĝis 5 (evidente nuligitaj) ... aferoj, kiuj hodiaŭ estas konate, ke ili havas centojn, se ne milojn da difektoj, sed se la kompanio ne povas resti flank-al-flanke kun teknologio, ĝi estas senutila se ili faras la reston.

Ankaŭ, se ni ĉiuj uzas liberan aŭ malfermitan programon, la reaga tempo por sekurecaj eraroj kutime estas sufiĉe mallonga, la problemo venas kiam ni traktas proprietajn programojn, sed mi lasas tion por alia artikolo, kiun mi ankoraŭ esperas verki baldaŭ.

Koran dankon pro via alveno 🙂 salutojn


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

12 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   galopelado diris

    Excelente

    1.    ChrisADR diris

      Koran dankon 🙂 salutojn

  2.   normano diris

    Kio plej plaĉas al mi estas la simpleco dum traktado de ĉi tiu afero, sekureco en ĉi tiuj tempoj. Dankon, mi restos en Ubuntu tiel longe kiel ĝi ne tre bezonos, ĉar mi ne okupas la vandon, kiun mi havas ĉe Windows 8.1 ĉe la momento. Salutojn.

    1.    ChrisADR diris

      Saluton norma, certe la sekurecaj teamoj de Debian kaj Ubuntu estas sufiĉe efikaj 🙂 Mi vidis kiel ili traktas kazojn kun mirinda rapideco kaj ili certe igas siajn uzantojn sekuraj, almenaŭ se mi estus ĉe Ubuntu, mi sentus min iom pli sekura 🙂
      Salutojn, kaj vere, ĝi estas simpla afero ... sekureco pli ol malluma arto estas afero de minimumaj kriterioj 🙂

  3.   Alberto cardona diris

    Koran dankon pro via kontribuo!
    Tre interesa, precipe la parto de la eldono de Rolling.
    Mi ne konsideris tion, nun mi devas administri servilon kun Gentoo por vidi la diferencojn, kiujn mi havas kun Devuan.
    Grandan saluton kaj ps por dividi ĉi tiun enskribon en miaj sociaj retoj por ke ĉi tiu informo atingu pli da homoj !!
    Gracias!

    1.    ChrisADR diris

      Bonvenon Alberto 🙂 Mi ŝuldis pro esti la unua respondi la peton de la antaŭa blogo 🙂 do salutojn kaj nun daŭrigi kun tiu pritraktata listo por skribi 🙂

  4.   jolt2bolt diris

    Nu, apliki malmoligon kun fantomo tie ekstere estus kiel lasi la komputilon pli vundebla kaze de uzo de sanboksado ekzemple. Kurioze via ekipaĵo estos pli sekura kontraŭ spektro ju malpli da sekurecaj tavoloj vi aplikos ... scivolema, ĉu ne?

    1.    ChrisADR diris

      ĉi tio memorigas min pri ekzemplo, kiu povus prezenti tutan artikolon ... uzi -fsanitize = adreson en la kompililo povus pensigi nin, ke la kompilita programaro estus pli "sekura", sed nenio povus esti pli malproksima de la vero, mi scias programisto, kiu provis Anstataŭ fari ĝin kun la tuta teamo ... rezultis pli facile ataki ol unu sen uzi ASAN ... la samo validas en diversaj aspektoj, uzante la malĝustajn tavolojn kiam vi ne scias kion ili faras, estas pli damaĝa ol ne uzi ion ajn, mi supozas, ke tion ni ĉiuj devas konsideri provante protekti sistemon ... kio revenigas nin al tio, ke tio ne estas malluma magio, sed nura prudento 🙂 dankon pro via kontribuo

  5.   Kra diris

    Laŭ mia vidpunkto, la plej grava vundebleco egaligita kun fizika aliro kaj homa eraro, estas ankoraŭ la aparataro, lasante Meltdown kaj Specter flankenmetite, ekde malnovaj tempoj oni vidis, ke variantoj de la vermo LoveLetter skribis kodon en la BIOS de la teamo. , ĉar iuj firmvaraj versioj en SSD permesis ekzekuton de fora kodo kaj la plej malbonan laŭ mia vidpunkto la Intel Management Management, kiu estas kompleta aberacio por privateco kaj sekureco, ĉar ĝi ne plu gravas, ĉu la ekipaĵo havas AES-ĉifradon, malklarigon aŭ ian de malmoliĝo, ĉar eĉ se la komputilo estas malŝaltita, la IME fuŝos vin.

    Kaj ankaŭ paradokse Tinkpad X200 de 2008, kiu uzas LibreBoot, estas pli sekura ol iu ajn aktuala komputilo.

    La plej malbona pri ĉi tiu situacio estas, ke ĝi ne havas solvon, ĉar nek Intel, AMD, Nvidia, Gygabite aŭ iu modere konata aparataro fabrikos sub GPL aŭ iu ajn alia senpaga licenco, la aktuala aparataro, ĉar kial investi milionojn da dolaroj por ke iu alia kopiu la veran ideon.

    Bela kapitalismo.

    1.    ChrisADR diris

      Tre vera Kra is evidentiĝas, ke vi estas sufiĉe lerta pri sekurecaj problemoj 😀 ĉar fakte proprietaj programoj kaj aparataro estas zorga afero, sed bedaŭrinde kontraŭ tio malmultas fari pri "malmoligo", ĉar kiel vi diras, ke Estas tio, ke eskapas preskaŭ ĉiuj mortemuloj, krom tiuj, kiuj scias programadon kaj elektronikon.

      Saluton kaj dankon pro dividado 🙂

  6.   anonima diris

    Tre interesa, nun lernilo por ĉiu sekcio estus bona xD

    Cetere, kiom danĝere estas se mi metas Raspberry Pi kaj malfermas la necesajn havenojn por uzi owncloud aŭ retservilon de ekster la hejmo?
    Estas ke mi tre interesiĝas sed mi ne scias ĉu mi havos tempon por revizii alirajn protokolojn, rigardi la sekurecajn agordojn de tempo al tempo, ktp ktp ...

  7.   Julio diris

    Bonega kontribuo, dankon pro interŝanĝo de viaj scioj.