Comment protéger votre ordinateur contre les attaques

ChrisADR

Minutes 7

Très bien pour tout le monde, avant d'entrer dans le durcissement de votre équipe, je tiens à vous dire que l'installateur que je développe pour Gentoo est déjà dans sa phase pré-alpha 😀 cela signifie que le prototype est suffisamment robuste pour être testé par d'autres utilisateurs, mais en même temps il y a encore un long chemin à parcourir, et le retour d'expérience de ces étapes (pré-alpha, alpha, bêta) aidera à définir les caractéristiques importantes du processus 🙂 Pour ceux qui sont intéressés…

https://github.com/ChrisADR/installer

. J'ai toujours la version anglaise uniquement, mais j'espère que pour la version bêta, elle a déjà sa traduction en espagnol (j'apprends cela grâce aux traductions d'exécution en python, il y a donc encore beaucoup à découvrir)

Durcissement

Quand on parle de durcissement, nous faisons référence à une grande variété d'actions ou de procédures qui entravent l'accès à un système informatique, ou à un réseau de systèmes. C'est précisément pourquoi c'est un vaste sujet plein de nuances et de détails. Dans cet article, je vais énumérer certaines des choses les plus importantes ou recommandées à prendre en compte lors de la protection d'un système, je vais essayer de passer du plus critique au moins critique, mais sans approfondir le sujet puisque chacun de ces points ce serait la raison pour un article de son propre chef.

Accès physique

C'est sans aucun doute le premier et le plus important problème pour les équipes, car si l'attaquant a un accès physique facile à l'équipe, il peut déjà être considéré comme une équipe perdue. Cela est vrai à la fois pour les grands centres de données et les ordinateurs portables au sein d'une entreprise. L'une des principales mesures de protection pour ce problème sont les clés au niveau du BIOS, pour tous ceux pour qui cela semble nouveau, il est possible de mettre une clé à l'accès physique du BIOS, de cette manière si quelqu'un veut modifier le paramètres de connexion et démarrer l'ordinateur à partir d'un système en direct, ce ne sera pas une tâche facile.

Maintenant, c'est quelque chose de basique et cela fonctionne certainement si c'est vraiment nécessaire, j'ai été dans plusieurs entreprises où cela n'a pas d'importance, car ils pensent que le «gardien» de sécurité de la porte est plus que suffisant pour pouvoir éviter l'accès physique . Mais passons à un point un peu plus avancé.

LUKS

Supposons pendant une seconde qu'un "attaquant" a déjà obtenu un accès physique à l'ordinateur, l'étape suivante consiste à crypter chaque disque dur et partition existants. LUKS (Configuration de la clé unifiée Linux) Il s'agit d'une spécification de chiffrement, entre autres, LUKS permet de chiffrer une partition avec une clé, de cette manière, lorsque le système démarre, si la clé n'est pas connue, la partition ne peut pas être montée ou lue.

Paranoïa

Il y a certainement des gens qui ont besoin d'un niveau de sécurité "maximum", et cela conduit à sauvegarder même le plus petit aspect du système, eh bien, cet aspect atteint son apogée dans le noyau. Le noyau Linux est la façon dont votre logiciel interagira avec le matériel, si vous empêchez votre logiciel de "voir" le matériel, il ne pourra pas endommager l'équipement. Pour donner un exemple, nous savons tous à quel point l'USB avec des virus est «dangereux» lorsque nous parlons de Windows, car certainement l'USB peut contenir du code sous Linux qui peut ou non être nocif pour un système, si nous faisons en sorte que le noyau ne reconnaisse que le type d'USB (firmware) que nous voulons, tout autre type d'USB serait simplement ignoré par notre équipe, ce qui est certainement un peu extrême, mais cela pourrait fonctionner selon les circonstances.

Services

Lorsque nous parlons de services, le premier mot qui vient à l'esprit est «supervision», et c'est quelque chose d'assez important, car l'une des premières choses qu'un attaquant fait en entrant dans un système est de maintenir la connexion. Effectuer une analyse périodique des connexions entrantes et en particulier sortantes est très important dans un système.

Iptables

Maintenant, nous avons tous entendu parler d'iptables, c'est un outil qui permet de générer des règles d'entrée et de sortie de données au niveau du noyau, c'est certainement utile, mais c'est aussi une épée à double tranchant. Beaucoup de gens pensent qu'en ayant le «pare-feu», ils sont déjà libres de tout type d'entrée ou de sortie du système, mais rien n'est plus éloigné de la vérité, cela ne peut que servir d'effet placebo dans de nombreux cas. On sait que les pare-feu fonctionnent sur la base de règles, et celles-ci peuvent certainement être contournées ou trompées pour permettre aux données d'être transportées via des ports et des services pour lesquels les règles le considéreraient comme «autorisé», c'est juste une question de créativité 🙂

Stabilité vs libération progressive

Maintenant, c'est un point assez controversé dans de nombreux endroits ou situations, mais laissez-moi vous expliquer mon point de vue. En tant que membre d'une équipe de sécurité qui surveille de nombreux problèmes dans la branche stable de notre distribution, je suis conscient de la plupart, presque toutes les vulnérabilités qui existent sur les machines Gentoo de nos utilisateurs. Désormais, les distributions comme Debian, RedHat, SUSE, Ubuntu et bien d'autres subissent la même chose, et leurs temps de réaction peuvent varier en fonction de nombreuses circonstances.

Allons à un exemple clair, tout le monde a sûrement entendu parler de Meltdown, Spectre et de toute une série de nouvelles qui ont volé sur Internet ces jours-ci, eh bien, la branche la plus «roll-release» du noyau est déjà corrigée, le problème réside En apportant ces correctifs aux noyaux plus anciens, le backporting est certainement un travail difficile. Maintenant, après cela, ils doivent encore être testés par les développeurs de la distribution, et une fois le test terminé, il ne sera disponible que pour les utilisateurs normaux. Qu'est-ce que je veux obtenir avec ça? Parce que le modèle de lancement progressif nous oblige à en savoir plus sur le système et les moyens de le sauver en cas de défaillance, mais c'est bon, car le maintien d'une passivité absolue dans le système a plusieurs effets négatifs tant pour l'administrateur que pour les utilisateurs.

Connaissez votre logiciel

C'est un ajout très précieux lors de la gestion, des choses aussi simples que de s'abonner à l'actualité du logiciel que vous utilisez peuvent vous aider à connaître à l'avance les avis de sécurité, de cette manière vous pouvez générer un plan de réaction et en même temps voir combien Il faut du temps à chaque distribution pour résoudre les problèmes, il vaut toujours mieux être proactif sur ces problématiques car plus de 70% des attaques contre les entreprises sont menées par des logiciels obsolètes.

Réflexion

Quand les gens parlent de durcissement, on pense souvent qu'une équipe «protégée» est à l'épreuve de tout, et il n'y a rien de plus faux. Comme sa traduction littérale l'indique, durcissement implique de rendre les choses plus difficiles, PAS impossibles ... mais souvent, beaucoup de gens pensent que cela implique de la magie noire et de nombreuses astuces telles que les pots de miel ... c'est un supplément, mais si vous ne pouvez pas faire les choses les plus élémentaires comme garder un logiciel ou programmation mise à jour du langage ... il n'est pas nécessaire de créer des réseaux fantômes et des équipes avec des contre-mesures ... Je dis cela parce que j'ai vu plusieurs entreprises où elles demandent des versions de PHP 4 à 5 (évidemment abandonnées) ... des choses qui aujourd'hui sont connus pour avoir des centaines, voire des milliers de failles de sécurité, mais si l'entreprise ne peut pas suivre la technologie, cela ne sert à rien s'ils font le reste.

De plus, si nous utilisons tous des logiciels libres ou ouverts, le temps de réaction aux erreurs de sécurité est généralement assez court, le problème vient quand nous avons affaire à des logiciels propriétaires, mais je laisse cela pour un autre article que j'espère encore écrire bientôt.

Merci beaucoup d'être venu 🙂 salutations


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   galopelado dit
    il ya 6 ans.

    Excellent

    Répondre à gallopelado
    1.    ChrisADR dit
      il ya 6 ans.

      Merci beaucoup 🙂 salutations

      Répondre à ChrisADR
  2.   Normand dit
    il ya 6 ans.

    Ce que j'aime le plus, c'est la simplicité face à ce problème, la sécurité en ces temps. Merci, je vais rester dans Ubuntu tant que ce n'est pas dans le besoin, car je n'occupe pas la partition que j'ai à Windows 8.1 à la moment. Salutations.

    Répondre à norman
    1.    ChrisADR dit
      il ya 6 ans.

      Bonjour Norma, les équipes de sécurité Debian et Ubuntu sont certainement assez efficaces 🙂 J'ai vu comment elles gèrent les cas à une vitesse incroyable et elles font certainement sentir leurs utilisateurs en sécurité, du moins si j'étais sur Ubuntu, je me sentirais un peu plus en sécurité 🙂
      Salutations, et c'est vrai, c'est une question simple ... la sécurité plus qu'un art sombre est une question de critères minimaux 🙂

      Répondre à ChrisADR
  3.   Alberto cardona dit
    il ya 6 ans.

    Merci beaucoup pour votre contribution!
    Très intéressant, surtout la partie de la version Rolling.
    Je n'avais pas pris cela en compte, maintenant je dois gérer un serveur avec Gentoo pour voir les différences que j'ai avec Devuan.
    Un grand salut et ps pour partager cette entrée dans mes réseaux sociaux afin que cette information atteigne plus de gens !!
    Merci!

    Répondre à Alberto Cardona
    1.    ChrisADR dit
      il ya 6 ans.

      Vous êtes le bienvenu Alberto 🙂 J'étais endetté d'avoir été le premier à répondre à la demande du blog précédent 🙂 alors salutations et maintenant de continuer avec cette liste en attente à écrire 🙂

      Répondre à ChrisADR
  4.   secousse2boulon dit
    il ya 6 ans.

    Eh bien, appliquer le durcissement avec spectre là-bas, ce serait comme laisser le pc plus vulnérable en cas d'utilisation de sanboxing par exemple. Curieusement, votre équipement sera plus sûr contre le spectre moins vous appliquez de couches de sécurité ... drôle, non?

    Répondre à Jolt2bolt
    1.    ChrisADR dit
      il ya 6 ans.

      cela me rappelle un exemple qui pourrait présenter un article entier ... en utilisant -fsanitize = address dans le compilateur pourrait nous faire penser que le logiciel compilé serait plus "sécurisé", mais rien ne pourrait être plus éloigné de la vérité, je sais un développeur qui a essayé un au lieu de le faire avec toute l'équipe ... il s'est avéré plus facile d'attaquer qu'un sans utiliser ASAN ... la même chose s'applique à divers aspects, en utilisant les mauvaises couches lorsque vous ne savez pas quoi ils le font, c'est plus dommageable que de ne rien utiliser.Je suppose que c'est ce que nous devrions tous considérer lorsque nous essayons de protéger un système ... ce qui nous ramène au fait que ce n'est pas de la magie noire, mais du simple bon sens 🙂 merci pour votre contribution

      Répondre à ChrisADR
  5.   kra dit
    il ya 6 ans.

    De mon point de vue, la vulnérabilité la plus grave assimilée à l'accès physique et à l'erreur humaine, reste le matériel, laissant Meltdown et Spectre de côté, depuis les temps anciens, on a vu que des variantes du ver LoveLetter écrivaient du code dans le BIOS de l'équipement. , comme certaines versions de firmware dans SSD permettaient l'exécution de code à distance et le pire de mon point de vue, l'Intel Management Engine, qui est une aberration complète pour la confidentialité et la sécurité, car peu importe si l'équipement a un cryptage AES, une obfuscation ou tout autre type de durcissement, car même si l'ordinateur est éteint, l'IME va vous visser.

    Et aussi paradoxalement un Tinkpad X200 de 2008 qui utilise LibreBoot est plus sûr que n'importe quel ordinateur actuel.

    Le pire dans cette situation est qu'elle n'a pas de solution, car ni Intel, AMD, Nvidia, Gygabite ou tout autre fabricant de matériel moyennement connu ne sortira sous GPL ou toute autre licence gratuite, la conception matérielle actuelle, car pourquoi investir des millions de dollars pour quelqu'un d'autre de copier la vraie idée.

    Beau capitalisme.

    Répondre à Kra
    1.    ChrisADR dit
      il ya 6 ans.

      Très vrai Kra 🙂 il est évident que vous êtes assez compétent en matière de sécurité 😀 car en fait les logiciels et le matériel propriétaires sont une question de prudence, mais malheureusement par contre il n'y a pas grand-chose à faire en ce qui concerne le «durcissement», puisque comme vous le dites, c'est quelque chose qui échappe à presque tous les mortels, sauf ceux qui connaissent la programmation et l'électronique.

      Salutations et merci pour le partage 🙂

      Répondre à ChrisADR
  6.   anonyme dit
    il ya 6 ans.

    Très intéressant, maintenant un tutoriel pour chaque section serait bien xD

    À propos, à quel point est-il dangereux de mettre un Raspberry Pi et d'ouvrir les ports nécessaires pour utiliser owncloud ou un serveur Web de l'extérieur de la maison?
    C'est que je suis assez intéressé mais je ne sais pas si je vais avoir le temps de revoir les journaux d'accès, de regarder les paramètres de sécurité de temps en temps, etc etc ...

    Répondre à Anonymous
  7.   Juillet dit
    il ya 6 ans.

    Excellente contribution, merci de partager vos connaissances.

    Répondre à Julio