Jusqu'à présent, je ne pense pas avoir touché à l'une de mes chansons préférées, sécurité informatique, et je crois que ce sera le sujet que je viens vous raconter aujourd'hui 🙂 J'espère qu'après ce court article vous pourrez avoir une meilleure idée de ce qui peut vous aider à avoir une meilleure maîtrise de vos risques et comment atténuer plusieurs en même temps.
Des risques partout
C'est inévitable, rien que cette année, nous avons déjà plus de 15000 vulnérabilités découvertes et attribuées en quelque sorte public. Comment puis-je savoir? Parce qu'une partie de mon travail consiste à vérifier les CVE dans les programmes que nous utilisons dans Gentoo pour voir si nous exécutons des logiciels vulnérables, de cette façon nous pouvons les mettre à jour et nous assurer que tout le monde dans la distribution dispose d'un équipement sûr.
CVE
Vulnérabilités et expositions communes Pour son acronyme en anglais, ce sont les identifiants uniques qui sont attribués à chaque vulnérabilité existante. Je peux dire avec une grande joie que plusieurs développeurs Gentoo soutiennent le bien de l'humanité, recherchant et publiant leurs découvertes afin qu'elles puissent être corrigées et corrigées. L'un des derniers cas que j'ai eu le plaisir de lire est celui de Options purge ; une vulnérabilité qui a affecté les serveurs Apache dans le monde entier. Pourquoi est-ce que je dis que j'en suis fier? Parce qu'ils font le bien du monde, garder les vulnérabilités secrètes ne profite qu'à quelques-uns, et les conséquences peuvent être catastrophiques selon l'objectif.
L'AIIC
Les CNA sont des entités chargées de demander et / ou d'attribuer des CVE, par exemple, nous avons le CNA de Microsoft, chargé de regrouper leurs vulnérabilités, de les résoudre et de leur attribuer un CVE pour une inscription ultérieure au fil du temps.
Types de mesures
Commençons par préciser qu'aucun équipement n'est ou ne sera sûr à 100%, et comme un dicton assez courant disait:
Le seul ordinateur 100% sécurisé est celui qui est verrouillé dans un coffre-fort, déconnecté d'Internet et éteint.
Parce que c'est vrai, les risques seront toujours là, connus ou inconnus, ce n'est qu'une question de temps donc face au risque on peut faire ce qui suit:
Atténuez-le
Atténuer un risque n'est rien d'autre que le réduire (NON passer outre). C'est un point assez important et crucial tant sur le plan professionnel que personnel, on ne veut pas être "piraté", mais à vrai dire le point le plus faible de la chaîne n'est pas l'équipement, ni le programme, ni même le processus , il est l'humain.
Nous avons tous l'habitude de blâmer les autres, que ce soit des personnes ou des choses, mais en sécurité informatique, la responsabilité est et sera toujours celle de l'humain, ce n'est peut-être pas vous directement, mais si vous ne suivez pas le bon chemin, vous serez partie du problème. Plus tard je vous donnerai un petit truc pour rester un peu plus en sécurité 😉
Transférez-le
C'est un principe assez connu, il faut l'imaginer comme un banque. Lorsque vous devez prendre soin de votre argent (je veux dire physiquement), le plus sûr est de le laisser à quelqu'un qui a la capacité de le protéger beaucoup mieux que vous. Vous n'avez pas besoin d'avoir votre propre coffre-fort (même si ce serait bien mieux) pour pouvoir vous occuper des choses, il vous suffit d'avoir quelqu'un (en qui vous avez confiance) pour garder quelque chose de meilleur que vous.
Accepte-le
Mais quand le premier et le second ne s'appliquent pas, c'est là que la question vraiment importante entre en jeu. Quelle est la valeur de cette ressource / donnée / etc pour moi? Si la réponse est beaucoup, vous devriez penser aux deux premiers. Mais si la réponse est une pas autantPeut-être que vous devez simplement accepter le risque.
Il faut y faire face, tout n'est pas atténuable, et certaines choses atténuables coûteraient tellement de ressources qu'il serait pratiquement impossible d'appliquer une vraie solution sans avoir à changer et à investir beaucoup de temps et d'argent. Mais si vous pouvez analyser ce que vous essayez de protéger, et qu'il ne trouve pas sa place dans la première ou la deuxième étape, alors faites-le simplement dans la troisième étape de la meilleure façon, ne lui donnez pas plus de valeur qu'il n'en a, et ne le mélangez pas avec des choses qui ont vraiment de la valeur.
Se maintenir à jour
C'est une vérité qui échappe à des centaines de personnes et d'entreprises. La sécurité informatique ne consiste pas à se conformer à votre audit 3 fois par an et à ne rien attendre des 350 autres jours. Et cela est vrai pour de nombreux administrateurs système. J'ai finalement pu me certifier comme LFCS (Je vous laisse le soin de trouver où je l'ai fait 🙂) et c'est un point critique du cours. La mise à jour de votre équipement et de ses programmes est vitale crucial, pour éviter la plupart des risques. Bien sûr, beaucoup ici me diront, mais le programme que nous utilisons ne fonctionne pas dans la prochaine version ou quelque chose de similaire, car la vérité est que votre programme est une bombe à retardement s'il ne fonctionne pas dans la dernière version. Et cela nous amène à la section précédente, Pouvez-vous l'atténuer?, Pouvez-vous le transférer?, Pouvez-vous l'accepter? ...
À vrai dire, juste pour garder à l'esprit, statistiquement 75% des attaques de sécurité informatique proviennent de l'intérieur. Cela peut être dû au fait que l'entreprise compte des utilisateurs malveillants ou peu méfiants. Ou que leurs processus de sécurité n'ont pas rendu la tâche difficile pirate s'introduire dans vos locaux ou réseaux. Et presque plus de 90% des attaques sont causées par des logiciels obsolètes, aucune en raison des vulnérabilités de jour zéro.
Pensez comme une machine, pas comme un humain
Ce sera un petit conseil que je vous laisse à partir de maintenant:
Pensez comme des machines
Pour ceux qui ne comprennent pas, maintenant je vous donne un exemple.
Je te présente John. Parmi les amateurs de sécurité, c'est l'un des meilleurs points de départ lorsque vous commencez dans le monde de piratage ethicla. John il s'entend à merveille avec notre ami crise. Et en gros, il attrape une liste qui lui est remise et commence à tester les combinaisons jusqu'à ce qu'il trouve une clé qui résout le mot de passe qu'il cherche.
Croquer est un générateur de combinaisons. cela signifie que vous pouvez dire à crunch que vous voulez un mot de passe de 6 caractères, contenant des lettres majuscules et minuscules et que crunch commencera à tester un par un ... quelque chose comme:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Et ils se demanderont combien de temps il faut pour parcourir toute la liste à coup sûr ... il n'en faut pas plus que quelques-uns procès-verbal. Pour ceux qui sont restés la bouche ouverte, laissez-moi vous expliquer. Comme nous l'avons vu précédemment, le maillon le plus faible de la chaîne est l'homme et sa façon de penser. Pour un ordinateur, il n'est pas difficile de tester des combinaisons, c'est très répétitif et au fil des ans, les processeurs sont devenus si puissants qu'il ne faut pas plus d'une seconde pour faire mille tentatives, voire plus.
Mais maintenant la bonne chose, l'exemple précédent est avec le pensée humaine, maintenant on y va pensée machine:
Si nous disons à Crunch de commencer à générer un mot de passe avec juste 8 chiffres, sous les mêmes exigences précédentes, nous sommes passés de minutes à horas. Et devinez ce qui se passe si nous vous disons d'en utiliser plus de 10, ils deviennent journées. Depuis plus de 12 ans, nous sommes déjà moisEn plus du fait que la liste aurait des proportions qui ne pourraient pas être stockées sur un ordinateur normal. Si nous arrivons à 20, nous parlons de choses qu'un ordinateur ne pourra pas déchiffrer dans des centaines d'années (avec les processeurs actuels bien sûr). Cela a son explication mathématique, mais pour des raisons d'espace je ne vais pas l'expliquer ici, mais pour les plus curieux cela a beaucoup à voir avec le permutation, Le combinatoire et combinaisons. Pour être plus exact, avec le fait que pour chaque lettre que nous ajoutons à la longueur, nous avons près de 50 possibilités, nous aurons donc quelque chose comme:
20^50 combinaisons possibles pour notre dernier mot de passe. Entrez ce nombre dans votre calculatrice pour voir combien de possibilités il y a avec une longueur de clé de 20 symboles.
Comment penser comme une machine?
Ce n'est pas facile, plus d'une personne me dira de penser à un mot de passe de 20 lettres d'affilée, surtout avec l'ancien concept que les mots de passe sont mots mot de passe. Mais voyons un exemple:
dXfwHd
C'est difficile à retenir pour un humain, mais extrêmement facile pour une machine.
caballoconpatasdehormiga
Ceci d'un autre côté est extrêmement facile à retenir pour un humain (même drôle) mais c'est l'enfer pour crise. Et maintenant plus d'un me le dira, mais n'est-il pas conseillé de changer également les clés à la suite? Oui, c'est recommandé, donc maintenant nous pouvons faire d'une pierre deux coups. Supposons que ce mois-ci je lis Don Quichotte de la Mancha, volume I. Dans mon mot de passe, je mettrai quelque chose comme:
ElQuijoteDeLaMancha1
20 symboles, quelque chose d'assez difficile à découvrir sans me connaître, et la meilleure chose est que lorsque j'aurai fini le livre (en supposant qu'ils lisent constamment 🙂) ils sauront qu'ils doivent changer leur mot de passe, voire changer pour:
ElQuijoteDeLaMancha2
C'est déjà un progrès 🙂 et cela vous aidera sûrement à garder vos mots de passe en sécurité et en même temps à vous rappeler de terminer votre livre.
Ce que j'ai écrit est suffisant, et même si j'aimerais pouvoir parler de nombreux autres problèmes de sécurité, nous le laisserons une autre fois 🙂 Salutations
Très interessant!!
J'espère que vous pourrez télécharger des tutoriels sur le durcissement sous Linux, ce serait merveilleux.
Salutations!
Bonjour 🙂 eh bien, pourriez-vous me donner un peu de temps, mais je partage aussi une ressource que je trouve extrêmement intéressante 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Celui-ci n'est pas traduit en espagnol 🙁 mais si quelqu'un est encouragé à donner un coup de main et à l'aider, ce serait génial 🙂
salutations
Très intéressant, mais de mon point de vue, les attaques par force brute deviennent obsolètes, et la génération de mots de passe tels que "ElQuijoteDeLaMancha1" ne semble pas non plus une solution viable, car avec un peu d'ingénierie sociale il est possible de trouver les mots de passe de ce type, seulement vaste à enquêter superficiellement sur la personne et elle-même nous le révélera, soit dans ses réseaux sociaux, à ses connaissances ou au travail, fait partie de la nature humaine.
À mon avis, la meilleure solution est d'utiliser un gestionnaire de mots de passe, car il est plus sûr d'utiliser un mot de passe à 100 chiffres qu'un mot de passe à 20 chiffres.De plus, il y a l'avantage qu'en connaissant uniquement le mot de passe principal, il n'est pas possible de révéler même à l'ouest les mots de passe générés car ils ne sont pas connus.
C'est mon gestionnaire de mots de passe, il est open source et en émulant un clavier, il est immunisé contre les keylogers.
https://www.themooltipass.com
Eh bien, je ne prétends pas donner une solution totalement sûre (en me souvenant que rien n'est impénétrable à 100%) en seulement 1500 mots 🙂 (je ne veux pas écrire plus que ça sauf si c'est absolument nécessaire) mais comme tu dis ça 100 est meilleur que 20, bien 20 est définitivement meilleur que 8 🙂 et bien, comme nous l'avons dit au début, le maillon le plus faible est l'homme, c'est donc là que l'attention va toujours être. Je connais un certain nombre d '«ingénieurs sociaux» qui ne connaissent pas grand-chose à la technologie, mais juste assez pour faire du travail de conseil en sécurité. Beaucoup plus difficile est de trouver de vrais hackers qui trouvent des failles dans les programmes (le fameux zero-day).
Si nous parlons de «meilleures» solutions, nous abordons déjà un sujet pour les personnes ayant une expertise dans le domaine, et je partage avec n'importe quel type d'utilisateur 🙂 mais si vous voulez, nous pouvons parler de «meilleures» solutions à un autre moment. Et merci pour le lien, bien sûr ses avantages et ses inconvénients, mais cela ne ferait pas grand chose à un gestionnaire de mots de passe non plus, vous seriez surpris par la facilité et le désir avec lesquels ils les attaquent, après tout ... une seule victoire implique de nombreuses clés révélé.
salutations
Article intéressant, ChrisADR. En tant qu'administrateur système Linux, c'est un bon rappel de ne pas se laisser prendre à ne pas lui donner la plus grande importance requise aujourd'hui pour garder les mots de passe à jour et avec la sécurité requise par les temps d'aujourd'hui. Même cet article serait très utile aux gens ordinaires qui pensent qu'un mot de passe n'est pas la cause de 90% des maux de tête. J'aimerais voir plus d'articles sur la sécurité informatique et comment maintenir la sécurité la plus élevée possible dans notre système d'exploitation bien-aimé. Je crois qu'il y a toujours quelque chose à apprendre au-delà des connaissances que l'on acquiert à travers des cours et des formations.
Au-delà, je consulte toujours ce blog pour découvrir un nouveau programme pour Gnu Linux pour mettre la main dessus.
Salutations!
Pourriez-vous expliquer un peu en détail, avec des nombres et des quantités, pourquoi "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" n'existe pas; p) est plus sûr que "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Je ne sais rien sur les mathématiques combinatoires, mais je ne suis toujours pas convaincu par l'idée souvent répétée qu'un mot de passe long avec un jeu de caractères simple est meilleur qu'un mot de passe plus court avec un jeu de caractères beaucoup plus grand. Le nombre de combinaisons possibles est-il vraiment plus grand en utilisant uniquement des lettres et des chiffres latins que l'utilisation de tous les UTF-8?
Salutations.
Salut Dani, allons-y par parties pour que ce soit clair… avez-vous déjà eu une de ces valises avec des combinaisons de chiffres comme serrure? Voyons le cas suivant ... en supposant qu'ils atteignent neuf, nous avons quelque chose comme:
| 10 | | 10 | | 10 |
Chacun a des possibilités diaz, donc si vous voulez connaître le nombre de combinaisons possibles, il vous suffit de faire une simple multiplication, 10³ pour être exact ou 1000.
Le tableau ASCII contient 255 caractères essentiels, dont nous utilisons normalement des chiffres, des minuscules, des majuscules et des signes de ponctuation. Supposons que maintenant nous allons avoir un mot de passe à 6 chiffres avec environ 70 options (majuscules, minuscules, chiffres et quelques symboles)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Comme vous pouvez l'imaginer, c'est un chiffre assez élevé, 117 649 000 000 pour être exact. Et ce sont toutes les combinaisons possibles qui existent pour un espace de clé à 6 chiffres. Maintenant, nous allons réduire beaucoup plus le spectre des possibilités, continuons que nous n'utiliserons que 45 (minuscules, chiffres et le symbole occasionnel peut-être) mais avec un mot de passe beaucoup plus long, disons peut-être 20 chiffres (Celui dont l'exemple a comme 21).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Le nombre de possibilités devient… 1 159 445 329 576 199 417 209 625 244 140 625… Je ne sais pas comment ce nombre est compté, mais pour moi c'est un peu plus long :), mais on va le réduire encore plus , nous n'utiliserons que les nombres de 0 à 9, et voyons ce qu'il advient de la quantité
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Avec cette règle simple, vous pouvez trouver un nombre impressionnant de 100 000 000 000 000 000 000 de combinaisons :). En effet, chaque chiffre ajouté à l'équation augmente le nombre de possibilités de manière exponentielle, tandis que l'ajout de possibilités dans une seule case l'augmente linéairement.
Mais maintenant, nous allons vers ce qui est «meilleur» pour nous les humains.
Combien de temps vous faut-il pour écrire «• M¡ ¢ 0nt®a $ 3Ñ @ •» en termes pratiques? Supposons une seconde que vous deviez l'écrire tous les jours, car vous n'aimez pas l'enregistrer sur l'ordinateur. Cela devient un travail fastidieux si vous devez faire des contractions de la main de manière inhabituelle. Beaucoup plus rapide (à mon avis) est d'écrire des mots que vous pouvez écrire naturellement, car un autre facteur important est de changer les clés régulièrement.
Et le dernier mais non le moindre ... Cela dépend beaucoup de l'humeur de la personne qui a développé votre système, application, programme, être capable d'utiliser calmement TOUS les caractères UTF-8, dans certains cas, cela peut même désactiver l'utilisation de Cela compte parce que l'application "convertit" une partie de votre mot de passe et le rend inutilisable ... Alors peut-être qu'il vaut mieux jouer la sécurité avec les personnages dont vous savez toujours qu'ils sont disponibles.
J'espère que cela aide avec les doutes 🙂 Salutations