Siiani arvan, et ma pole ühtegi oma lemmiklaulu puudutanud, arvuti turvalisus, ja ma usun, et see on teema, mida täna teile ütlen. Loodan, et pärast seda lühikest artiklit saate paremini mõista, mis aitab teil paremini kontrollida oma riske ja kuidas neid leevendada paljud korraga.
Riskid igal pool
See on paratamatu, ainuüksi selle aastaga on meil juba üle 15000 XNUMX haavatavuse avastatud ja omistatud avalik. Kuidas ma tean? Kuna osa minu tööst on kontrollida CVE-sid Gentoo's kasutatavates programmides, et kontrollida, kas meil on haavatav tarkvara, siis saame seda värskendada ja tagada, et kõikidel levitatavatel inimestel oleks turvaline varustus.
CVE
Üldised haavatavad ja ekspositsioonid Selle ingliskeelse lühendi puhul on need unikaalsed identifikaatorid, mis määratakse igale olemasolevale haavatavusele. Võin suure rõõmuga öelda, et mitmed Gentoo arendajad toetavad inimkonna head, uurides ja avaldades oma leide, et neid saaks parandada ja parandada. Üks viimaseid juhtumeid, mida mul oli rõõm lugeda, oli see Valitud verejooks; haavatavus, mis mõjutas Apache servereid kogu maailmas. Miks ma ütlen, et olen selle üle uhke? Kuna nad teevad maailmale head, on haavatavuste saladuses hoidmisest kasu vaid vähestele ja selle tagajärjed võivad sõltuvalt eesmärgist olla katastroofilised.
CNA
CNA-d on üksused, kes vastutavad CVE-de taotlemise ja / või määramise eest. Näiteks on meil Microsofti CNA, kes vastutab nende haavatavuste rühmitamise, nende lahendamise ja määramise eest. CVE aja jooksul hilisemaks registreerimiseks.
Meetmete tüübid
Alustuseks selgitame, et ükski varustus pole ega ole 100% ohutu ja üsna tavapärase ütlusena öeldi:
Ainus sajaprotsendiliselt turvaline arvuti on lukustatud hoidlasse, lahti ühendatud Internetist ja välja lülitatud.
Kuna see on tõsi, on riskid alati olemas, teada või teadmata, see on ainult aja küsimus, nii et riskide korral saame teha järgmist:
Leevendage seda
Riski maandamine pole midagi muud kui selle vähendamine (EI tühistada). See on üsna oluline ja ülioluline punkt nii äri- kui ka isiklikul tasandil, ei taheta, et teda hakataks häkkima, kuid tõtt-öelda ei ole ahela nõrgim koht seadmed, programm ega isegi protsess , see on inimene.
Meil kõigil on kombeks süüdistada teisi, olgu need inimesed või asjad, kuid arvutiturvalisuses on ja jääb alati vastutus inimesele, see ei pruugi olla teie otsene, kuid kui te ei lähe õiget rada, siis osa probleemist. Hiljem annan teile väikese nipi, et veidi turvalisem püsida 😉
Viige see üle
See on üsna tuntud põhimõte, me peame seda ette kujutama kui pank. Kui peate oma raha eest hoolitsema (ma mõtlen seda füüsiliselt), on kõige kindlam jätta see kellelegi, kellel on võimalus seda kaitsta palju paremini kui teie. Asjade eest hoolitsemiseks pole teil vaja oma varahoidlat (kuigi see oleks palju parem), teil peab olema ainult keegi (usaldate), kes hoiab midagi paremat kui teie.
Nõustuge sellega
Aga kui esimene ja teine ei kehti, siis tõepoolest tuleb see tõeliselt oluline küsimus. Kui palju see ressurss / andmed / vms minu jaoks väärt on? Kui vastust on palju, siis peaksite mõtlema kahele esimesele. Aga kui vastus on a mitte nii paljuVõib-olla peate lihtsalt riskiga leppima.
Te peate sellega silmitsi seisma, kõik pole leevendatav ja mõned leevendatavad asjad läheksid maksma nii palju ressursse, et reaalset lahendust oleks praktiliselt võimatu rakendada, ilma et peaksite palju aega ja raha muutma ja investeerima. Kuid kui saate analüüsida, mida proovite kaitsta, ja see ei leia oma kohta esimeses ega teises etapis, siis tehke see parimal viisil lihtsalt kolmandas etapis, ärge andke sellele suuremat väärtust kui see on ja ärge segage seda asjadega, millel on tegelikult väärtus.
Et end kursis hoida
See on tõde, mis pääseb sadadest inimestest ja ettevõtetest. Arvutiturvalisus ei tähenda teie auditi järgimist 3 korda aastas ja eeldust, et ülejäänud 350 päeva jooksul midagi ei juhtu. Ja see kehtib paljude süsteemiadministraatorite kohta. Sain lõpuks end tõendada kui LFCS (Jätan teile ülesandeks leida, kus ma seda tegin 🙂) ja see on kursuse kriitiline punkt. Oma seadmete ja nende programmide ajakohasena hoidmine on ülitähtis, otsustav, et vältida enamikku riske. Muidugi ütlevad paljud siin mulle, kuid meie kasutatav programm ei tööta järgmises versioonis või midagi sarnast, sest tõsi on see, et teie programm on viitsütikuga pomm, kui see ei tööta uusimas versioonis. Ja see viib meid eelmisele jaotisele, Kas saate seda leevendada? Kas saate seda üle kanda? Kas saate sellega nõustuda? ...
Tõesõna, lihtsalt meeles pidamiseks on statistiliselt 75% arvuti turvarünnakutest pärit seestpoolt. Selle põhjuseks võib olla see, et ettevõttes on pahaaimamatuid või pahatahtlikke kasutajaid. Või et nende julgeolekuprotsessid pole a häkker tungida oma ruumidesse või võrkudesse. Ja peaaegu enam kui 90% rünnakutest on põhjustatud vananenud tarkvarast, ei - haavatavuse tõttu nullpäev.
Mõtle nagu masin, mitte nagu inimene
See on väike nõuanne, mille jätan teid siit edasi:
Mõtle nagu masinad
Neile, kes aru ei saa, toon nüüd ühe näite.
Ma tutvustan teile John. Turvasõprade seas on see üks parimaid lähtepunkte, kui alustate maailmas ethicla häkkimine. John ta saab meie sõbraga suurepäraselt läbi prõks. Ja põhimõtteliselt haarab ta nimekirja, mis talle antakse, ja hakkab kombinatsioone testima, kuni leiab võtme, mis lahendab otsitava parooli.
Prõks on kombinatsioonide generaator. see tähendab, et võite öelda crunchile, et soovite parooli, mis on 6 tähemärki pikk, sisaldades suuri ja väikesi tähti, ja krõbinat hakatakse testima ükshaaval ... umbes:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Ja nad imestavad, kui kaua võtab kogu loendi kindel läbimine aega ... see ei võta rohkem kui paar protokoll. Neile, kes jäid suu lahti, lubage mul selgitada. Nagu me varem arutasime, on ahela nõrgim lüli inimene ja tema mõtteviis. Arvuti jaoks pole kombinatsioone keeruline proovida, see on midagi äärmiselt korduvat ning aastate jooksul on protsessorid muutunud nii võimsaks, et tuhande või isegi enama katse tegemine ei nõua rohkem kui sekundit.
Aga nüüd on hea, eelmine näide on inimese mõtlemine, nüüd läheme selle poole masinmõtlemine:
Kui ütleme crunchile, et hakake parooli looma lihtsalt 8 numbrit, samade varasemate nõuete kohaselt oleme liikunud minutitest tööaeg. Ja arvake, mis juhtub, kui ütleme teile, et kasutage rohkem kui 10, neist saavad päeva. Üle 12 aasta oleme juba sees kuudLisaks sellele, et loendis oleks proportsioonid, mida tavalises arvutis ei oleks võimalik salvestada. Kui jõuame 20-ni, räägime asjadest, mida arvuti ei suuda sadade aastate jooksul dešifreerida (muidugi praeguste protsessorite korral). Sellel on oma matemaatiline seletus, kuid ma ei hakka seda ruumilistel põhjustel siin selgitama, kuid kõige uudishimulikumate jaoks on see palju pistmist permutatsioon, kombinatoorne ja kombinatsioonid. Täpsemalt öeldes - asjaoluga, et iga tähe kohta, mille lisame pikkusele, on meil peaaegu 50 võimalusi, nii et meil on midagi sellist:
20^50 meie viimase parooli võimalikud kombinatsioonid. Sisestage see number oma kalkulaatorisse, et näha, kui palju võimalusi on 20 sümboliga võtme pikkusega.
Kuidas ma saan mõelda nagu masin?
See ei ole lihtne, rohkem kui üks inimene ütleb mulle, et peaksin mõtlema paroolile, mis koosneb 20 tähest järjest, eriti vana kontseptsiooni korral, et paroolid on sõnad võti. Kuid vaatame näite:
dXfwHd
Inimesele on seda raske meelde jätta, kuid masinale väga lihtne.
caballoconpatasdehormiga
Seda seevastu on inimesel äärmiselt lihtne meelde jätta (isegi naljakas), kuid see on paganama prõks. Ja nüüd ütleb mulle rohkem kui üks, aga kas pole soovitav ka võtmeid järjest vahetada? Jah, see on soovitatav, nii et nüüd saame kaks lindu ühe kiviga tappa. Oletame, et sel kuul loen Don Quijote de la Mancha, I köide Panen oma parooli midagi sellist:
ElQuijoteDeLaMancha1
20 sümbolit, mida on mind tundmata üsna keeruline avastada, ja kõige parem on see, et kui ma raamatu lõpetan (eeldades, et nad loevad pidevalt 🙂), teavad nad, et peavad oma parooli muutma, muutes isegi:
ElQuijoteDeLaMancha2
See on edasiminek 🙂 ja see aitab teil kindlasti oma paroole hoida ja samal ajal meelde tuletada oma raamatu lõpetamist.
Minu kirjutatust piisab ja kuigi ma tahaksin rääkida veel paljudest turvalisuse teemadest, jätame selle teiseks korraks 🙂 Tervitused
Väga huvitav!!
Loodan, et saate Linuxi üles laadida kõvenemise õpetusi, see oleks tore.
Tervitused!
Tere, noh, kas saaksite mulle natuke aega anda, aga jagan ka ressurssi, mis on minu arvates äärmiselt huvitav 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Seda ei tõlgita hispaania keelde 🙁, aga kui kedagi julgustatakse sellega kätt andma ja aitama, oleks tore 🙂
seoses
Väga huvitav, kuid minu arvates on toorjõurünnakud vananenud ja paroolide genereerimine, näiteks "ElQuijoteDeLaMancha1", ei tundu ka otstarbekas lahendus, sest väikese sotsiaalse inseneritöö abil on võimalik leida paroole see tüüp, ainult inimese pealiskaudse uurimisega, on tohutult suur ja ta ise paljastab selle meile kas oma sotsiaalsetes võrgustikes, tuttavatele või tööl, on osa inimloomusest.
Minu arvates on parim lahendus kasutada paroolihaldurit, sest turvalisem on kasutada 100-kohalist parooli kui 20-kohalist, lisaks on eelis, et kuna põhiparool on teada ainult siis, seda pole võimalik luua isegi loodud paroolide abil, kuna need on tundmatud.
See on minu paroolihaldur, see on avatud lähtekoodiga ja klaviatuuri jäljendades on see klahvilogeritele immuunne.
https://www.themooltipass.com
Noh, ma ei teeskle, et annaksin täiesti ohutu lahenduse (pidades meeles, et miski pole 100% läbimatu) vaid 1500 sõnaga 🙂 (ma ei taha sellest rohkem kirjutada, kui see pole hädavajalik), vaid just nii, nagu te seda ütlete 100 on parem kui 20, noh 20 on kindlasti parem kui 8 🙂 ja noh, nagu me alguses ütlesime, on nõrgim lüli mees, nii et see on see koht, kus tähelepanu alati jääb. Ma tean mitut "sotsiaalinseneri", kes ei tea tehnikast kuigi palju, kuid piisab vaid ohutuskonsultatsiooni töö tegemiseks. Palju keerulisem on leida tõelisi häkkerid, kes leiavad programmides vigu (tuntud nullpäev).
Kui räägime "parematest" lahendustest, oleme juba sisestamas teemat selle valdkonna asjatundlikele inimestele ja ma jagan seda igat tüüpi kasutajatega 🙂 aga kui soovite, võime "parematest" lahendustest rääkida ka muul ajal. Ja aitäh lingi eest, veenduge selle plussides ja miinustes, kuid ka paroolihaldurile ei teeks see palju, teid üllataks lõppude lõpuks nende kergus ja soov, millega nad neid ründavad ... ainus võit tähendab paljusid võtmeid paljastatud.
seoses
Huvitav artikkel, ChrisADR. Linuxi süsteemiadministraatorina on see hea meeldetuletus mitte vahele jääda, kui ei anna talle parimatega ajakohasena ja tänapäeval nõutava turvalisusega ülitähtsat tähtsust. Isegi see on artikkel, mis läheks kaugele tavalistele inimestele, kes arvavad, et parool ei ole 90% peavalu põhjus. Tahaksin näha rohkem artikleid arvutiturbe kohta ja selle kohta, kuidas säilitada meie armastatud operatsioonisüsteemis võimalikult kõrget turvalisust. Usun, et alati on veel midagi õppida lisaks teadmistele, mille inimene omandab kursuste ja koolituste kaudu.
Peale selle pöördun alati selle ajaveebi poole, et saada teada Gnu Linuxi uuest programmist, et oma käed külge panna.
Tervitused!
Kas saaksite veidi üksikasjalikult, arvude ja kogustega selgitada, miks on "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" pole olemas; p) on ohutum kui "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Ma ei tea kombinatoorse matemaatika kohta midagi, kuid siiski ei veena mind sageli korduv mõte, et lihtsa tähemärgikomplektiga pikk parool on parem kui palju suurema märgistikuga lühem parool. Kas ladina tähtede ja numbrite kasutamisel on võimalike kombinatsioonide arv tõesti suurem kui kogu UTF-8 kasutamine?
Tervitused.
Tere, Dani, läheme osade kaupa selgeks ... kas sul on kunagi olnud üks neist numbrikombinatsioonidega kohvritest lukuna? Vaatame järgmist juhtumit ... eeldades, et nad jõuavad üheksani, on meil midagi sellist:
| 10 | | 10 | | 10 |
Igal neist on diaz-võimalused, nii et kui soovite teada võimalike kombinatsioonide arvu, peate lihtsalt tegema korrutamise, täpsemalt 10³ või 1000.
ASCII tabel sisaldab 255 olulist tähemärki, millest tavaliselt kasutame numbreid, väiketähti, suurtähti ja mõningaid kirjavahemärke. Oletame, et nüüd on meil umbes 6 valikuga kuuekohaline parool (suurtähed, väiketähed, numbrid ja mõned sümbolid)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Nagu võite ette kujutada, on see päris suur arv, täpsemalt 117 649 000 000. Ja need on kõik võimalikud kombinatsioonid, mis eksisteerivad kuuekohalises võtmeruumis. Nüüd vähendame võimaluste spektrit palju rohkem, jätkame, et kasutame ainult 6 (võib-olla väiketähed, numbrid ja juhuslik sümbol), kuid palju pikema parooliga, ütleme võib-olla 45 numbrit (see, mis näites on nagu 20).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Võimaluste arv muutub ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Ma ei tea, kuidas seda arvu loetakse, kuid minu jaoks on see natuke pikem :), kuid me vähendame seda veelgi , kasutame lihtsalt numbreid 0 kuni 9 ja vaatame, mis kogusega juhtub
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Selle lihtsa reegli abil saate välja mõelda hämmastavad 100 000 000 000 000 000 000 kombinatsiooni :). Seda seetõttu, et iga võrrandile lisatud number suurendab võimaluste arvu eksponentsiaalselt, samas kui võimaluste lisamine ühe kasti piires suurendab seda lineaarselt.
Kuid nüüd läheme selle juurde, mis on meie inimeste jaoks "parim".
Kui kaua võtab teil kirjalikult “• M¡ ¢ 0nt®a $ 3Ñ @ •” kirjutamine praktilises mõttes? Oletame hetkeks, et peate selle iga päev üles kirjutama, sest teile ei meeldi seda arvutisse salvestada. See muutub tüütuks tööks, kui peate käte kokkutõmbeid tegema ebatavalisel viisil. Palju kiiremini (minu arvates) on kirjutada sõnu, mida saate kirjutada loomulikult, kuna teine oluline tegur on võtmete regulaarne muutmine.
Ja last but not least ... See sõltub paljuski teie süsteemi, rakenduse, programmi arendanud inimese meeleolust, osates rahulikult KÕIKI UTF-8 märke kasutada, mõnel juhul võib see isegi kasutamise keelata. sellest loeb, sest rakendus "teisendab" osa teie paroolist ja muudab selle kasutuskõlbmatuks ... Nii et võib-olla on parem mängida seda turvaliselt märkidega, mille kohta teate alati, et need on saadaval.
Loodetavasti aitab see kahtluste korral 🙂 Tervitused