Toistaiseksi en usko koskeneeni yhtä suosikkikappaleistani, tietoturva, ja uskon, että tästä aiheesta aion kertoa teille tänään 🙂 Toivon, että tämän lyhyen artikkelin jälkeen saatte paremman käsityksen siitä, mikä voi auttaa sinua hallitsemaan paremmin riskejäsi ja miten lievittää monia samanaikaisesti.
Riskit kaikkialla
Se on väistämätöntä, että pelkästään tänä vuonna meillä on jo yli 15000 XNUMX löydettyä ja osoitettua haavoittuvuutta julkinen. Mistä tiedän? Koska osa työstäni on tarkistaa CVE: t Gentoolla käyttämissämme ohjelmissa, jotta selvitämme, onko käytössä haavoittuvia ohjelmistoja, voimme tällä tavoin päivittää sen ja varmistaa, että kaikilla jakelun käyttäjillä on turvalliset laitteet.
CVE
Yhteiset haavoittuvuudet ja altistumiset Englanninkielisen lyhenteensä vuoksi ne ovat yksilöllisiä tunnisteita, jotka on määritetty jokaiselle olemassa olevalle haavoittuvuudelle. Voin sanoa suurella ilolla, että useat Gentoo-kehittäjät tukevat ihmiskunnan hyvää, tutkivat ja julkaisevat havaintonsa, jotta ne voidaan korjata ja korjata. Yksi viimeisistä tapauksista, joita minulla oli ilo lukea, oli Vaihtoehtoisesti vuotanut; haavoittuvuus, joka vaikutti Apache-palvelimiin maailmanlaajuisesti. Miksi sanon olevani ylpeä tästä? Koska he tekevät maailmalle hyvää, haavoittuvuuksien pitäminen salassa hyödyttää vain muutamia, ja tämän seuraukset voivat olla katastrofaalisia tavoitteesta riippuen.
CNA
CNA: t ovat yhteisöjä, jotka vastaavat CVE: iden pyytämisestä ja / tai osoittamisesta, esimerkiksi Microsoftin CNA vastaa niiden haavoittuvuuksien ryhmittelystä, ratkaisemisesta ja osoittamisesta CVE myöhempää rekisteröintiä varten ajan myötä.
Toimenpiteiden tyypit
Aloitetaan selvittämällä, että mikään laite ei ole tai tulee olemaan 100% turvallinen, ja melko yleisenä sanomana sanottiin:
Ainoa 100% turvallinen tietokone on tietokone, joka on lukittu holviin, irrotettu Internetistä ja sammutettu.
Koska on totta, riskit ovat aina olemassa, tunnettuja tai tuntemattomia, se on vain ajan kysymys, joten riskien edessä voimme tehdä seuraavaa:
Lievitä sitä
Riskin vähentäminen ei ole muuta kuin sen vähentäminen (EI peruuta se). Tämä on melko tärkeä ja ratkaiseva kohta sekä liike-elämän että henkilökohtaisella tasolla, ei haluta tulla "hakkeroiduksi", mutta totuuden mukaan ketjun heikoin kohta ei ole laitteisto, ohjelma eikä edes prosessi , se on ihminen.
Meillä kaikilla on tapana syyttää muita, olivatpa he ihmisiä tai muita asioita, mutta tietoturvassa vastuu on ja tulee aina olemaan ihmisen vastuulla, se ei ehkä ole sinä suoraan, mutta jos et seuraa oikeaa tietä, saat osa ongelmaa. Myöhemmin annan sinulle pienen temppun pysyäksesi hieman turvallisemmana 😉
Siirrä se
Tämä on hyvin tunnettu periaate, meidän on kuviteltava se a pankki. Kun sinun on huolehdittava rahoistasi (tarkoitan fyysisesti), turvallisin asia on jättää se jollekulle, jolla on kyky suojata sitä paljon paremmin kuin sinä. Sinun ei tarvitse omaa holviasi (vaikka se olisi paljon parempi) voidaksesi hoitaa asioita, sinun tarvitsee vain olla joku (luotat) pitämään jotain parempaa kuin sinä.
Hyväksy se
Mutta kun ensimmäinen ja toinen eivät koske, no, siinä tulee todella tärkeä kysymys. Kuinka paljon tämä resurssi / data / jne on minulle arvoista? Jos vastaus on paljon, sinun pitäisi miettiä kahta ensimmäistä. Mutta jos vastaus on a ei niin paljonEhkä sinun on vain hyväksyttävä riski.
Sinun on kohdattava se, kaikki ei ole lievennettävissä, ja jotkut lievitettävät asiat maksaisivat niin paljon resursseja, että todellisen ratkaisun soveltaminen käytännössä olisi mahdotonta ilman, että sinun tarvitsee muuttaa ja sijoittaa paljon aikaa ja rahaa. Mutta jos pystyt analysoimaan, mitä yrität suojata, mutta se ei löydä paikkaa ensimmäisessä tai toisessa vaiheessa, ota se parhaalla tavalla kolmannessa vaiheessa, älä anna sille enemmän arvoa kuin sillä on, ja älä sekoita sitä asioihin, joilla todella on arvoa.
Pitää ajantasalla
Tämä on totuus, joka pakenee satoja ihmisiä ja yrityksiä. Tietoturva ei tarkoita sitä, että noudatat tarkastustasi 3 kertaa vuodessa ja että mitään muuta ei tapahdu seuraavien 350 päivän aikana. Ja tämä pätee moniin järjestelmänvalvojiin. Pystyin vihdoin todistamaan itseni LFCS (Jätän teille löytää, missä tein sen 🙂) ja tämä on kriittinen kohta kurssin aikana. Laitteiden ja niiden ohjelmien ajan tasalla pitäminen on elintärkeää, ratkaiseva, useimpien riskien välttämiseksi. Toki monet täällä kertovat minulle, mutta käyttämämme ohjelma ei toimi seuraavassa versiossa tai jotain vastaavaa, koska totuus on, että ohjelmasi on aikapommi, jos se ei toimi uusimmassa versiossa. Ja se tuo meidät edelliseen osioon, Voitteko lieventää sitä, voitko siirtää sen, voitko hyväksyä sen? ...
Totta puhuen, vain mielessä, tilastollisesti 75% tietoturva-iskuista on peräisin sisältä. Tämä voi johtua siitä, että yrityksessäsi on epäilemättömiä tai haitallisia käyttäjiä. Tai että heidän turvallisuusprosessinsa eivät ole vaikeuttaneet a hakkeri murtautua tiloihisi tai verkkoihisi. Ja melkein yli 90% hyökkäyksistä johtuu vanhentuneista ohjelmistoista, Nro . haavoittuvuuden vuoksi päivä nolla.
Ajattele kuin kone, ei kuin ihminen
Tämä on pieni neuvo, jonka jätän teidät täältä:
Ajattele kuin koneet
Niille, jotka eivät ymmärrä, annan nyt sinulle esimerkin.
Esittelen sinut John. Turvallisuuden ystävien keskuudessa se on yksi parhaista lähtökohdista, kun aloitat maailmassa ethicla hakkerointi. Johannes sujuu upeasti ystävämme kanssa räsähdys. Pohjimmiltaan nappaat sinulle luovutetun luettelon ja aloitat yhdistelmien testaamisen, kunnes löydät avaimen, joka ratkaisee etsimäsi salasanan.
Räsähdys on yhdistelmien generaattori. tämä tarkoittaa, että voit kertoa crunchille, että haluat salasanan, joka on 6 merkkiä pitkä ja sisältää isoja ja pieniä kirjaimia, ja rypytys alkaa testata yksitellen ... jotain:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Ja he ihmettelevät, kuinka kauan koko luettelon läpikäyminen kestää varmasti ... se vie vain muutaman minutos. Niille, joille jäi suu auki, anna minun selittää. Kuten aiemmin keskustelimme, ketjun heikoin lenkki on ihminen ja hänen ajattelutapa. Tietokoneelle ei ole vaikeaa kokeilla yhdistelmiä, se on jotain erittäin toistuvaa, ja vuosien varrella prosessoreista on tullut niin voimakkaita, että tuhannen tai jopa useamman yrityksen suorittaminen vie yli sekunnin.
Mutta nyt hyvä asia, yllä oleva esimerkki on ihmisen ajattelu, nyt menemme siihen kone-ajattelu:
Jos käskemme crunchin aloittamaan salasanan luominen vain 8 numeroa, samojen edellisten vaatimusten mukaisesti olemme siirtyneet minuuteista toiseen tuntia. Ja arvaa mitä tapahtuu, jos käskemme sinua käyttämään enemmän kuin 10, niistä tulee päivää. Olemme jo yli 12 vuoden ajan kkSen lisäksi, että luettelo olisi mittasuhteita, joita ei voitu tallentaa tavalliseen tietokoneeseen. Jos saamme 20, puhumme asioista, joita tietokone ei pysty tulkitsemaan satojen vuosien aikana (tietysti nykyisillä prosessoreilla). Tällä on matemaattinen selitys, mutta avaruuteen liittyvistä syistä en aio selittää sitä tässä, mutta uteliaisimmilla sillä on paljon tekemistä permutaatio, The yhdistävä ja yhdistelmät. Tarkemmin sanottuna, sillä jokaisella pituudelle lisättävällä kirjaimella on melkein 50 mahdollisuuksia, joten meillä on jotain:
20^50 mahdolliset yhdistelmät viimeiselle salasanallemme. Syötä kyseinen numero laskimeesi nähdäksesi kuinka monta mahdollisuutta on käytettävissä 20 symbolin avaimen pituudella.
Kuinka voin ajatella kuin kone?
Se ei ole helppoa, useampi kuin yksi henkilö kehottaa minua ajattelemaan 20 kirjaimen peräkkäisen salasanan, varsinkin kun otetaan huomioon vanha käsite, että salasanat ovat sanat avain. Mutta katsotaanpa esimerkki:
dXfwHd
Tätä on vaikea muistaa ihmiselle, mutta erittäin helppo koneelle.
caballoconpatasdehormiga
Tämä on toisaalta ihmiselle erittäin helppo muistaa (jopa hauska), mutta se on helvetti räsähdys. Ja nyt useampi kuin yksi kertoo minulle, mutta eikö ole suositeltavaa vaihtaa myös avaimet peräkkäin? Kyllä, sitä suositellaan, joten nyt voimme tappaa kaksi lintua yhdellä kivellä. Oletetaan, että tässä kuussa luen Don Quijote de la Mancha, nide I. Salasanaani laitan jotain seuraavaa:
ElQuijoteDeLaMancha1
20 symbolia, jotain melko vaikeaa löytää tuntematta minua, ja parasta on, että kun olen valmis kirjan (olettaen, että he lukevat jatkuvasti 🙂), he tietävät, että heidän on vaihdettava salasanansa, jopa vaihtamalla:
ElQuijoteDeLaMancha2
Se on jo edistystä 🙂 ja se varmasti auttaa sinua pitämään salasanasi turvassa ja samalla muistuttamaan sinua kirjan viimeistelystä.
Se, mitä olen kirjoittanut, riittää, ja vaikka haluaisin mielelläni pystyä puhumaan monista muista turvallisuuskysymyksistä, jätämme sen toiselle kerralle 🙂 Terveisiä
Todella mielenkiintoista!!
Toivottavasti voit ladata opastuksia kovettumisesta Linuxiin, se olisi hienoa.
Tervehdys!
Hei 🙂, voisitteko antaa minulle aikaa, mutta jaan myös resurssin, joka on mielestäni erittäin mielenkiintoinen 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Tätä ei käännetä espanjaksi 🙁, mutta jos jotakuta kannustetaan antamaan käsi ja auttamaan sitä, se olisi hienoa 🙂
terveiset
Erittäin mielenkiintoinen, mutta mielestäni raakojen joukkojen hyökkäykset ovat vanhentuneet, eikä "ElQuijoteDeLaMancha1": n kaltaisten salasanojen luominen myöskään näytä toteuttamiskelpoiselta ratkaisulta, koska pienen sosiaalisen suunnittelun avulla on mahdollista löytää tämä tyyppi, joka on vain laaja tutkimalla henkilöä pinnallisesti, ja hän itse paljastaa sen meille joko sosiaalisissa verkostoissaan, tuttavilleen tai työssä, on osa ihmisluontoa.
Mielestäni paras ratkaisu on käyttää salasananhallintaa, koska on turvallisempaa käyttää 100-numeroista salasanaa kuin 20-numeroista, lisäksi on etuna, että koska pääsalasana tunnetaan vain, luotuja salasanoja ei ole mahdollista paljastaa edes länteen, koska niitä ei tunneta.
Tämä on salasananhallinta, se on avoimen lähdekoodin ja emuloimalla näppäimistöä, se on immuuni näppäinlukijoille.
https://www.themooltipass.com
No, en teeskentele antavanne täysin turvallista ratkaisua (muistan, ettei mikään ole 100% läpäisemätöntä) vain 1500 sanalla I (en halua kirjoittaa enempää, ellei se ole ehdottoman välttämätöntä), mutta aivan kuten sanot sen 100 on parempi kuin 20, hyvin 20 on ehdottomasti parempi kuin 8 🙂 ja hyvin, kuten sanoimme alussa, heikoin lenkki on mies, joten siellä huomio kiinnittyy aina. Tunnen joukon "sosiaalisia insinöörejä", jotka eivät tiedä paljoakaan tekniikasta, mutta vain tarpeeksi tietoturvakonsultointityön tekemiseen. Paljon vaikeampi on löytää todellisia hakkereita, jotka löytävät puutteita ohjelmissa (tunnettu nollapäivä).
Jos puhumme "paremmista" ratkaisuista, olemme jo kirjoittamassa aihetta ihmisille, joilla on alan asiantuntemusta, ja jaan kaiken tyyppisille käyttäjille 🙂, mutta jos haluat, voimme puhua "paremmista" ratkaisuista muulla kertaa. Ja kiitos linkistä, sillä on varmasti hyvät ja huonot puolensa, mutta se ei tekisi paljoakaan salasananhallinnalle, olisit yllättynyt siitä, kuinka helppoa ja halukas he hyökkäävät heitä vastaan ... yksi voitto merkitsee monia paljastettuja avaimia.
terveiset
Mielenkiintoinen artikkeli, ChrisADR. Linux-järjestelmän järjestelmänvalvojana tämä on hyvä muistutus siitä, ettei pidä kiinni siitä, että ei anneta sille nykyään erittäin tärkeää salasanojen ajan tasalla pitämistä ja nykypäivän edellyttämää turvallisuutta. Jopa tämä on artikkeli, joka menisi pitkälle tavallisille ihmisille, jotka ajattelevat, että salasana ei aiheuta 90% päänsärkyä. Haluaisin nähdä lisää artikkeleita tietoturvasta ja siitä, kuinka ylläpitää mahdollisimman korkeaa turvallisuutta rakkaassa käyttöjärjestelmässä. Uskon, että kursseilla ja koulutuksilla hankittavan tiedon lisäksi on aina opittavaa jotain muuta.
Sen lisäksi kuulen aina tätä blogia saadaksesi tietää uudesta ohjelmasta Gnu Linuxille, jotta pääsen käsiksi siihen.
Tervehdys!
Voisitko selittää hieman yksityiskohtaisesti numeroilla ja määrillä, miksi "DonQuijoteDeLaMancha1" ("DonQuijote de La Manchaa" ei ole olemassa; p) on turvallisempi kuin "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
En tiedä mitään kombinatorisesta matematiikasta, mutta en vieläkään ole vakuuttunut usein toistuvasta ajatuksesta, että pitkä salasana, jossa on yksinkertainen merkistö, on parempi kuin lyhyempi, jossa on paljon suurempi merkistö. Onko mahdollisten yhdistelmien määrä todella suurempi pelkästään latinalaisia kirjaimia ja numeroita käyttämällä kuin kaikki UTF-8?
Tervehdys.
Hei Dani, mennään osittain tekemään selväksi ... onko sinulla koskaan ollut yksi näistä matkalaukuista, joissa on numeroyhdistelmiä lukkona? Katsotaanpa seuraava tapaus ... olettaen, että he saavuttavat yhdeksän, meillä on jotain:
| 10 | | 10 | | 10 |
Jokaisella on diaz-mahdollisuuksia, joten jos haluat tietää mahdollisten yhdistelmien määrän, sinun tarvitsee vain tehdä yksinkertainen kertolasku, tarkalleen 10³ tai 1000.
ASCII-taulukko sisältää 255 olennaista merkkiä, joista käytämme yleensä numeroita, pieniä, isoja ja joitain välimerkkejä. Oletetaan, että nyt meillä on 6-numeroinen salasana, jossa on noin 70 vaihtoehtoa (isot, pienet, numerot ja jotkut symbolit)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Kuten voitte kuvitella, se on melko iso numero, tarkalleen 117 649 000 000. Ja nämä ovat kaikki mahdolliset yhdistelmät, jotka ovat olemassa 6-numeroisessa avaintilassa. Pienennämme nyt mahdollisuuksien kirjoa paljon enemmän, jatketaan, että aiomme käyttää vain 45: tä (ehkä pieniä kirjaimia, numeroita ja satunnaisia symboleja), mutta paljon pidemmällä salasanalla, sanotaan ehkä 20 numeroa on kuten 21).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Mahdollisuuksien lukumäärä kasvaa… 1 159 445 329 576 199 417 209 625 244 140 625… En tiedä kuinka tämä luku lasketaan, mutta minulle se on hieman pidempi :), mutta aiomme vähentää sitä vielä enemmän , käytämme vain numeroita 0-9, ja katsotaan mitä tapahtuu määrälle
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Tämän yksinkertaisen säännön avulla voit saada hämmästyttävän 100 000 000 000 000 000 000 yhdistelmää :). Tämä johtuu siitä, että jokainen yhtälöön lisätty numero lisää mahdollisuuksien määrää eksponentiaalisesti, kun taas mahdollisuuksien lisääminen yhden laatikon sisällä lisää sitä lineaarisesti.
Mutta nyt siirrymme siihen, mikä on "parasta" meille ihmisille.
Kuinka kauan kestää kirjoittaa “• M¡ ¢ 0nt®a $ 3Ñ @ •” käytännöllisessä muodossa? Oletetaan hetkeksi, että sinun on kirjoitettava se muistiin päivittäin, koska et halua tallentaa sitä tietokoneelle. Tästä tulee tylsiä työtä, jos joudut tekemään supistuksia epätavallisilla tavoilla. Paljon nopeammin (mielestäni) on kirjoittaa sanoja, jotka voit kirjoittaa luonnollisesti, koska toinen tärkeä tekijä on vaihtaa avaimet säännöllisesti.
Ja viimeisenä mutta ei vähäisimpänä ... Se riippuu paljon järjestelmän, sovelluksen, ohjelman kehittäneen henkilön mielialasta ja kyvystä käyttää rauhallisesti kaikkia UTF-8-merkkejä, joissakin tapauksissa se voi jopa estää käytön se laskee, koska sovellus "muuntaa" osan salasanastasi ja tekee siitä käyttökelvottoman ... Joten ehkä on parempi pelata se turvallisesti merkeillä, joiden tiedät aina olevan käytettävissä.
Toivottavasti tämä auttaa epäilyissä 🙂 Terveisiä