Seachain a bheith hacked leis na 3 chéim

Go dtí seo ní dóigh liom gur bhain mé le ceann de na hamhráin is fearr liom, slándála ríomhaire, agus creidim gurb é seo an t-ábhar a bheidh mé ag insint duit faoi inniu 🙂 Tá súil agam go mbeidh smaoineamh níos fearr agat tar éis an ailt ghairid seo faoi na rudaí a chabhróidh leat smacht níos fearr a bheith agat ar do rioscaí agus conas go leor a mhaolú ag an am céanna.

Rioscaí i ngach áit

Tá sé dosheachanta, i mbliana amháin, tá níos mó ná 15000 leochaileachtaí aimsithe agus sannta againn ar bhealach cheana féin poiblí. Conas a bheidh a fhios agam? Toisc gur cuid de mo phost CVEanna a sheiceáil sna cláir a úsáidimid i Gentoo le fáil amach an bhfuil bogearraí leochaileacha á reáchtáil againn, ar an mbealach seo is féidir linn é a nuashonrú agus a chinntiú go bhfuil trealamh sábháilte ag gach duine sa dáileadh.

CVE

Leochaileachtaí Coiteanna agus Nochtadh Coiteann Maidir lena acrainm i mBéarla, is iad na haitheantóirí uathúla a shanntar do gach leochaileacht atá ann. Is féidir liom a rá le háthas mór go dtacaíonn roinnt Forbróirí Gentoo le maitheas na daonnachta, ag déanamh taighde agus ag foilsiú a gcuid torthaí ionas gur féidir iad a cheartú agus a shocrú. Ceann de na cásanna deireanacha a raibh áthas orm a léamh ba ea Roghnaithe; leochaileacht a chuaigh i bhfeidhm ar fhreastalaithe Apache ar fud an domhain. Cén fáth a ndeirim go bhfuilim bródúil as seo? Toisc go ndéanann siad maitheas don domhan, ní thairbhíonn ach leochaileachtaí faoi rún ach cúpla, agus is féidir leis na hiarmhairtí a bhaineann leis seo a bheith tubaisteach ag brath ar an gcuspóir.

CNA

Is eintitis iad CNAnna atá i gceannas ar CVEanna a iarraidh agus / nó a shannadh, mar shampla, tá CNA Microsoft againn, atá i gceannas ar a leochaileachtaí a ghrúpáil, iad a réiteach agus a shannadh a CVE le haghaidh clárúcháin níos déanaí le himeacht ama.

Cineálacha beart

Tosaímid trí shoiléiriú nach bhfuil nó nach mbeidh aon trealamh 100% sábháilte, agus mar a deir focal coitianta go leor:

Is é an t-aon ríomhaire slán 100% ná ceann atá faoi ghlas i cruinneachán, dícheangailte ón idirlíon agus a mhúchadh.

Toisc go bhfuil sé fíor, beidh na rioscaí ann i gcónaí, ar eolas nó anaithnid, níl ann ach ceist ama agus mar sin i bhfianaise riosca is féidir linn na rudaí seo a leanas a dhéanamh:

Maolaigh é

Níl i gceist le riosca a mhaolú ach é a laghdú (NÍL cuir ar ceal é). Is pointe tábhachtach agus ríthábhachtach é seo ar leibhéal gnó agus pearsanta araon, níl duine ag iarraidh go ndéanfaí “haiceáil” air, ach chun an fhírinne a rá ní hé an trealamh, ná an clár, an pointe is laige sa slabhra, ní fiú an próiseas , Is é an duine.

Tá sé de nós againn go léir an milleán a chur ar dhaoine eile, bíodh siad ina ndaoine nó ina rudaí, ach i slándáil ríomhaire, is é an duine atá freagrach as agus beidh sé i gcónaí, b’fhéidir nach tusa go díreach é, ach mura leanann tú an cosán ceart, beidh tú chuid den fhadhb. Níos déanaí tabharfaidh mé cleas beag duit chun fanacht rud beag níos sábháilte 😉

Aistrigh é

Is prionsabal aitheanta é seo, ní mór dúinn é a shamhlú mar bainc. Nuair is gá duit aire a thabhairt do d’airgead (ciallóidh mé go fisiciúil) is é an rud is sábháilte é a fhágáil le duine a bhfuil sé de chumas aige é a chosaint i bhfad níos fearr ná tusa. Ní gá duit do cruinneachán féin a bheith agat (cé go mbeadh sé i bhfad níos fearr) a bheith in ann aire a thabhairt do rudaí, ní gá duit ach duine (muinín agat) a bheith agat chun rud éigin a choinneáil níos fearr ná tusa.

Glac Leis

Ach nuair nach mbaineann an chéad agus an dara ceann, bhuel sin an áit a dtagann an cheist an-tábhachtach isteach. Cé mhéid is fiú dom an acmhainn / sonraí / srl seo? Má tá an freagra go leor, ansin ba cheart duit smaoineamh ar an gcéad dá cheann. Ach más freagra a nach bhfuil an oiread sinB’fhéidir nach bhfuil ort ach glacadh leis an riosca.

Caithfidh tú aghaidh a thabhairt air, níl gach rud intuaslagtha, agus chosnódh roinnt rudaí maolaithe an oiread sin acmhainní go mbeadh sé dodhéanta go praiticiúil réiteach ceart a chur i bhfeidhm gan go leor ama agus airgid a athrú agus a infheistiú. Ach más féidir leat anailís a dhéanamh ar a bhfuil tú ag iarraidh a chosaint, agus mura bhfaigheann sé a áit sa chéad nó sa dara céim, ansin déan é a thógáil sa tríú céim ar an mbealach is fearr, ná tabhair níos mó luach dó ná atá aige, agus ná déan é a mheascadh le rudaí atá i ndáiríre tá luach acu.

A choinneáil suas chun dáta

Is fírinne í seo a éalaíonn leis na céadta daoine agus gnólachtaí. Ní bhaineann slándáil ríomhaire le d’iniúchadh a chomhlíonadh 3 huaire sa bhliain agus a bheith ag súil nach dtarlóidh aon rud sna 350 lá eile. Agus tá sé seo fíor i gcás go leor riarthóirí córais. Faoi dheireadh bhí mé in ann mé féin a dheimhniú mar LFCS (Fágaim duit é a fháil cá ndearna mé é 🙂) agus is pointe ríthábhachtach é seo le linn an chúrsa. Tá sé ríthábhachtach do threalamh agus a chláir a choinneáil suas chun dáta, ríthábhachtach, chun an chuid is mó de na rioscaí a sheachaint. Cinnte inseoidh go leor anseo dom, ach ní oibríonn an clár a úsáidimid sa chéad leagan eile nó rud éigin cosúil leis, toisc gurb í an fhírinne gur buama ama é do chlár mura n-oibríonn sé sa leagan is déanaí. Agus tugann sé sin muid go dtí an chuid roimhe seo, An féidir leat é a mhaolú?, An féidir leat é a aistriú? An féidir leat glacadh leis? ...

Fírinne a insint, ach a choinneáil i gcuimhne, go staitistiúil go dtagann 75% de na hionsaithe slándála ríomhaire ón taobh istigh. B’fhéidir go bhfuil sé seo toisc go bhfuil úsáideoirí mí-ionraice nó mailíseacha agat sa chuideachta. Nó nach ndearna a bpróisis slándála deacair do hacker briseadh isteach i d’áitreabh nó líonraí. Agus bogearraí atá as dáta is cúis le beagnach níos mó ná 90% d’ionsaithe, uimh mar gheall ar leochaileachtaí lá nialas.

Smaoinigh cosúil le meaisín, ní cosúil le duine

Is comhairle bheag í seo a fhágfaidh mé as seo tú ar:

Smaoinigh cosúil le meaisíní

Dóibh siúd nach dtuigeann, anois tugaim sampla duit.

Toradh íomhá do bhogearraí na ripper

Tugaim isteach tú John. I measc lucht na slándála tá sé ar cheann de na pointí tosaigh is fearr nuair a thosaíonn tú ar domhan hacking ethicla. John éiríonn go hiontach lenár gcara géarchor. Agus go bunúsach glacann sé liosta a thugtar dó agus tosaíonn sé ag tástáil na teaglamaí go dtí go bhfaighidh sé eochair a réitíonn an focal faire atá á lorg aige.

Géarchor Is gineadóir teaglaim é. ciallaíonn sé seo gur féidir leat géarchor a rá go dteastaíonn pasfhocal uait atá 6 charachtar ar fad, ina mbeidh litreacha cás uachtair agus íochtair agus tosóidh géarchor ag tástáil ceann ar cheann ... rud éigin mar:

aaaaaa,aaaaab,aaaaac,aaaaad,....

Agus n’fheadar cá fhad a thógann sé dul tríd an liosta iomlán go cinnte ... ní thógann sé níos mó ná cúpla ceann minutos. Dóibh siúd agaibh a bhfuil jaw-dropping orthu, lig dom a mhíniú. Mar a phléamar níos luaithe, is é an nasc is laige sa slabhra ná fear, agus a bhealach smaointeoireachta. Maidir le ríomhaire níl sé deacair teaglaim a thriail, is rud thar a bheith athchleachtach é, agus thar na blianta tá na próiseálaithe chomh cumhachtach sin nach dtógann sé níos mó ná an dara míle iarracht, nó níos mó fós, a dhéanamh.

Ach anois an rud maith, tá an sampla roimhe seo leis an smaointeoireacht an duine, anois téimid ar a shon smaoineamh meaisín:

Má deirimid le géarchor tús a chur le pasfhocal a ghiniúint le díreach 8 digití, faoi na ceanglais chéanna roimhe seo, táimid imithe ó nóiméid go uair an chloig. Agus buille faoi thuairim cad a tharlóidh má deirimid leat níos mó ná 10 a úsáid, éiríonn siad laethanta. Tá níos mó ná 12 againn cheana féin míonnaChomh maith leis go mbeadh an liosta de chomhréireanna nach bhféadfaí a stóráil ar ghnáth ríomhaire. Má shroicheann muid 20 labhraímid faoi rudaí nach mbeidh ríomhaire in ann a chinneadh sna céadta bliain (le próiseálaithe reatha ar ndóigh). Tá a mhíniú matamaiticiúil air seo, ach ar chúiseanna spáis nílim chun é a mhíniú anseo, ach don té is aisteach tá baint mhór aige leis an permutation, An combinatorial agus teaglaim. Le bheith níos cruinne, agus beagnach 50 i gcás gach litreach a chuireann muid leis an bhfad féidearthachtaí, mar sin beidh rud éigin mar seo againn:

20^50 teaglaim fhéideartha dár bhfocal faire deireanach. Cuir an uimhir sin isteach i d’áireamhán le fáil amach cé mhéad féidearthacht atá ann le fad eochair 20 siombail.

Conas is féidir liom smaoineamh mar mheaisín?

Níl sé éasca, inseoidh níos mó ná duine amháin dom smaoineamh ar phasfhocal 20 litir as a chéile, go háirithe leis an seanchoincheap go bhfuil pasfhocail ann focail eochair. Ach feicfimid sampla:

dXfwHd

Tá sé seo deacair do dhuine cuimhneamh air, ach thar a bheith éasca do mheaisín.

caballoconpatasdehormiga

Tá sé seo thar a bheith éasca do dhuine cuimhneamh air (fiú greannmhar) ach is ifreann é géarchor. Agus anois inseoidh níos mó ná duine dom, ach nach bhfuil sé inmholta na heochracha a athrú i ndiaidh a chéile? Sea, moltar, mar sin anois is féidir linn dhá éan a mharú le cloch amháin. Cuir i gcás an mhí seo go bhfuilim ag léamh Don Quixote de la Mancha, imleabhar I. Cuirfidh mé rud mar seo i mo phasfhocal:

ElQuijoteDeLaMancha1

20 siombail, rud atá deacair go leor a fháil amach i ngan fhios dom, agus an rud is fearr ná nuair a chríochnóidh mé an leabhar (ag glacadh leis go léann siad i gcónaí 🙂) beidh a fhios acu go gcaithfidh siad a bhfocal faire a athrú, fiú ag athrú go:

ElQuijoteDeLaMancha2

Is dul chun cinn é seo 🙂 agus is cinnte go gcuideoidh sé leat d’fhocail faire a choinneáil slán agus ag an am céanna cuir i gcuimhne duit do leabhar a chríochnú.

Is leor an méid atá scríofa agam, agus cé gur bhreá liom a bheith in ann labhairt faoi go leor saincheisteanna slándála eile, fágfaimid é go ceann tamaill eile Beannachtaí


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

7 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú.

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   Penguin a dúirt

    An-súimiúil!!
    Tá súil agam gur féidir leat ranganna teagaisc maidir le hardening a uaslódáil ar Linux, bheadh ​​sé iontach.
    Beannachtaí!

    1.    ChrisADR a dúirt

      Dia duit 🙂 bhuel, an bhféadfá roinnt ama a thabhairt dom, ach roinnim acmhainn atá an-spéisiúil 🙂 freisin

      https://wiki.gentoo.org/wiki/Security_Handbook

      Ní aistrítear an ceann seo go Spáinnis 🙁 ach más maith le duine lámh a thabhairt leis sin agus cuidiú bheadh ​​sé go hiontach 🙂

      Maidir is

  2.   XoX a dúirt

    An-spéisiúil, ach ó mo thaobhsa tá ionsaithe fórsa bruit ag dul i léig, agus ní cosúil gur réiteach inmharthana é giniúint pasfhocail mar "ElQuijoteDeLaMancha1", is é seo toisc go bhfuil sé indéanta na Pasfhocail a fháil le beagán innealtóireachta sóisialta. den chineál seo, nach bhfuil ach an-mhór le himscrúdú dromchla a dhéanamh ar an duine agus nochtfaidh sí dúinn féin é, ina líonraí sóisialta, dá lucht aitheantais nó ag an obair, gur cuid de nádúr an duine é.

    Is é mo thuairim gurb é an réiteach is fearr ná bainisteoir pasfhocail a úsáid, toisc go bhfuil sé níos sábháilte pasfhocal 100-dhigit a úsáid ná ceann 20-dhigit, ina theannta sin, tá an buntáiste ann ós rud é nach bhfuil ach an máistirfhocal faire ar eolas, nach féidir é a nochtadh fiú trí siar na pasfhocail a gineadh toisc nach bhfuil siad ar eolas.

    Is é seo mo bhainisteoir pasfhocail, is foinse oscailte é agus trí aithris a dhéanamh ar mhéarchlár, tá sé imdhíonachta ar keylogers.

    https://www.themooltipass.com

    1.    ChrisADR a dúirt

      Bhuel, ní ligim réiteach iomlán sábháilte a thabhairt (ag cuimhneamh nach bhfuil aon rud 100% do-airithe) i díreach 1500 focal 🙂 (níl mé ag iarraidh níos mó ná sin a scríobh mura bhfuil sé riachtanach go hiomlán) ach díreach mar a deir tú sin Is fearr 100 ná 20, bhuel tá 20 níos fearr ná 8 🙂 agus bhuel, mar a dúirt muid ag an tús, is é an nasc is laige an fear, mar sin is é sin an áit a mbeidh an aird i gcónaí. Tá aithne agam ar roinnt “innealtóirí sóisialta” nach bhfuil mórán eolais acu faoin teicneolaíocht, ach nach bhfuil go leor acu chun obair chomhairliúcháin slándála a dhéanamh. Tá sé i bhfad níos deacra fíor-hackers a aimsiú a aimsíonn lochtanna i gcláir (an lá nialasach ar a dtugtar).
      Má labhraímid faoi réitigh “níos fearr” táimid ag dul isteach ar ábhar cheana féin do dhaoine a bhfuil saineolas acu sa réimse, agus táim á roinnt le haon chineál úsáideora 🙂 ach más maith leat is féidir linn labhairt faoi réitigh “níos fearr” ag am eile. Agus go raibh maith agat as an nasc, cinnte na buntáistí agus na míbhuntáistí a bhaineann leis, ach ní dhéanfadh sé mórán do bhainisteoir pasfhocail ach an oiread, chuirfeadh sé iontas ort an éascaíocht agus an fonn a ionsaíonn siad orthu, tar éis an tsaoil ... tugann bua amháin tuiscint ar go leor eochracha nochtaithe.
      Maidir is

  3.   Anasáis a dúirt

    Alt spéisiúil, ChrisADR. Mar riarthóir córais Linux, is meabhrúchán maith é seo gan a bheith gafa gan an tábhacht is mó a theastaíonn uaidh inniu chun pasfhocail a choinneáil suas chun dáta agus leis an tslándáil a theastaíonn faoi aimsir an lae inniu. Fiú is alt é seo a rachadh i bhfad ar ghnáthdhaoine a shíleann nach é pasfhocal is cúis le 90% de thinneas cinn. Ba mhaith liom níos mó alt a fheiceáil ar shlándáil ríomhaire agus conas an tslándáil is airde is féidir a choinneáil laistigh dár gcóras oibriúcháin grá. Creidim go bhfuil rud éigin níos mó le foghlaim i gcónaí seachas an t-eolas a fhaigheann duine trí chúrsaí agus oiliúint.
    Taobh amuigh de sin bím i gcónaí i gcomhairle leis an mblag seo chun a fháil amach faoi chlár nua do Gnu Linux chun mo lámha a fháil air.

    Beannachtaí!

  4.   Dani a dúirt

    An bhféadfá beagán a mhíniú go mion, le huimhreacha agus cainníochtaí, cén fáth nach bhfuil "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" ann; p) níos sábháilte ná "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
    Níl a fhios agam rud ar bith faoi mhatamaitic chomhcheangailteach, ach nílim cinnte fós faoin smaoineamh a dhéantar arís agus arís eile gur fearr pasfhocal fada le tacar carachtar simplí ná ceann níos giorra le tacar carachtar i bhfad níos mó. An bhfuil líon na gcomhcheangail fhéideartha níos mó i ndáiríre ach litreacha agus uimhreacha Laidine a úsáid ná gach UTF-8 a úsáid?

    Beannachtaí.

    1.    ChrisADR a dúirt

      Hi Dani, déanaimis dul i gcodanna chun é a dhéanamh soiléir ... an raibh ceann de na suitcases sin agat riamh le teaglaim uimhreacha mar ghlas? A ligean ar a fheiceáil an cás seo a leanas ... ag glacadh leis go sroicheann siad naoi tá rud éigin cosúil le:

      | 10 | | 10 | | 10 |

      Tá féidearthachtaí diaz ag gach ceann acu, mar sin más mian leat líon na gcomhcheangail fhéideartha a fháil, níl le déanamh agat ach iolrú simplí a dhéanamh, 10³ le bheith cruinn nó 1000.

      Tá 255 carachtar riachtanach sa tábla ASCII, a mbainimid úsáid astu de ghnáth uimhreacha, litreacha beaga, uachtair agus roinnt marcanna poncaíochta. Má ghlactar leis go mbeidh pasfhocal 6 dhigit againn anois le thart ar 70 rogha (uachtair, litreacha beaga, uimhreacha agus roinnt siombailí)

      | 70 | | 70 | | 70 | | 70 | | 70 | | 70 |

      Mar is féidir leat a shamhlú, sin líon measartha mór, 117 le bheith cruinn. Agus sin iad na teaglamaí uile is féidir a dhéanamh le haghaidh spás eochair 649 dhigit. Anois agus muid chun speictream na bhféidearthachtaí a laghdú i bhfad níos mó, leanaimis ar aghaidh nach bhfuilimid ag úsáid ach 000 (litreacha beaga, uimhreacha agus an tsiombail ócáideach b’fhéidir) ach le pasfhocal i bhfad níos faide, abair b’fhéidir 000 dhigit (Sin é atá sa sampla cosúil le 6).

      | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |

      Éiríonn líon na bhféidearthachtaí ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Níl a fhios agam conas a dhéantar an uimhir sin a chomhaireamh, ach domsa tá sé rud beag níos faide :), ach táimid chun í a laghdú níos mó, ní úsáidfimid ach uimhreacha 0 go 9, agus feicfimid cad a tharlóidh don chainníocht

      | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |

      Leis an riail shimplí seo is féidir leat teacht ar 100 teaglaim :). Tarlaíonn sé seo toisc go méadaíonn gach dhigit a chuirtear leis an gcothromóid líon na bhféidearthachtaí go heaspónantúil, agus má chuirtear féidearthachtaí leis i mbosca amháin méadaítear go líneach é.

      Ach anois téimid chuig an rud is "fearr" dúinn.

      Cá fhad a thógann sé ort “• M¡ ¢ 0nt®a $ 3Ñ @ •” a scríobh i dtéarmaí praiticiúla? Glacaimid leis ar feadh soicind go gcaithfidh tú é a scríobh síos gach lá, mar ní maith leat é a shábháil ar an ríomhaire. Is obair tadhlach é seo má bhíonn ort crapthaí láimhe a dhéanamh ar bhealaí neamhghnácha. I bhfad níos gasta (dar liomsa) is ea focail a scríobh ar féidir leat a scríobh go nádúrtha, ós rud é gur fachtóir tábhachtach eile na heochracha a athrú go rialta.

      Agus go deireanach ach ní a laghad ... Braitheann sé go mór ar mheon an duine a d’fhorbair do chóras, d’iarratas, do chlár, a bheith in ann GACH carachtar UTF-8 a úsáid go socair, i gcásanna áirithe d’fhéadfadh sé fiú úsáid an Áiríonn sé toisc go n-athraíonn an feidhmchlár cuid de do phasfhocal agus nach féidir é a úsáid ... Mar sin b’fhéidir go mbeadh sé níos fearr é a imirt sábháilte leis na carachtair a bhfuil a fhios agat i gcónaí go bhfuil siad ar fáil.

      Tá súil agam go gcabhróidh sé seo le hamhrais 🙂 Beannachtaí

bool (fíor)