Evite ser pirateado con estes 3 pasos

Ata o de agora non creo tocar unha das miñas cancións favoritas, seguridade informática, e creo que este será o tema que che vou a contar hoxe 🙂 Espero que despois deste pequeno artigo poida ter unha mellor idea do que pode axudar a ter un mellor control dos seus riscos e como mitigar moitos ao mesmo tempo.

Riscos en todas partes

É inevitable, só neste ano temos máis de 15000 vulnerabilidades descubertas e asignadas dalgún xeito pública. Como o sei? Debido a que parte do meu traballo consiste en comprobar CVE nos programas que empregamos en Gentoo para ver se executamos software vulnerable, deste xeito podemos actualizalo e asegurarnos de que todos os distribuidores dispoñan de equipos seguros.

CVE

Vulnerabilidades e exposicións comúns Pola súa sigla en inglés, son os identificadores únicos que se asignan a cada vulnerabilidade existente. Podo dicir con moita alegría que varios desenvolvedores de Gentoo apoian o ben da humanidade, investigando e publicando os seus achados para que poidan ser corrixidos e corrixidos. Un dos últimos casos que tiven o pracer de ler foi o de Opcións de sangrado; unha vulnerabilidade que afectou aos servidores Apache de todo o mundo. Por que digo que estou orgulloso disto? Porque fan o ben ao mundo, manter as vulnerabilidades en segredo só beneficia a algúns e as consecuencias disto poden ser catastróficas dependendo do obxectivo.

NAC

Os CNA son entidades encargadas de solicitar e / ou asignar CVE, por exemplo, temos o CNA de Microsoft, encargado de agrupar as súas vulnerabilidades, resolvelas e asignarlles un CVE para un rexistro posterior co paso do tempo.

Tipos de medidas

Comecemos por aclarar que ningún equipo é ou será 100% seguro, e como dicía un dito bastante común:

O único ordenador 100% seguro é o que está bloqueado nunha bóveda, desconectado de internet e apagado.

Porque é certo, os riscos sempre estarán alí, coñecidos ou descoñecidos, só é cuestión de tempo, polo que ante o risco podemos facer o seguinte:

Mitigalo

Mitigar un risco non é máis que reducilo (NON cancelalo). Este é un punto bastante importante e crucial tanto a nivel empresarial como persoal, non se quere "piratear", pero para dicir a verdade o punto máis feble da cadea non é o equipo, nin o programa, nin sequera o proceso, é o humano.

Todos temos o costume de botar a culpa a outros, sexan persoas ou cousas, pero en seguridade informática, a responsabilidade é e será sempre do ser humano, pode que non sexas ti directamente, pero se non segues o camiño correcto, serás parte do problema. Máis tarde dareiche un pequeno truco para estar un pouco máis seguro 😉

Trasládao

Este é un principio ben coñecido, temos que imaxinalo como un base. Cando necesitas coidar o teu diñeiro (refírome fisicamente), o máis seguro é deixalo con alguén que teña a capacidade de protexelo moito mellor ca ti. Non é preciso ter a súa propia bóveda (aínda que sería moito mellor) para poder coidar as cousas, só precisa ter alguén (de confianza) que garde algo mellor ca vostede.

Aceptalo

Pero cando o primeiro e o segundo non se aplican, ben, é aí onde entra a cuestión realmente importante. Canto me vale este recurso / datos / etc? Se a resposta é moita, entón debes pensar nos dous primeiros. Pero se a resposta é a non tantoQuizais só ten que aceptar o risco.

Hai que afrontalo, non todo é atenuable e algunhas cousas atenuables custarían tantos recursos que sería practicamente imposible aplicar unha solución real sen ter que cambiar e investir moito tempo e diñeiro. Pero se pode analizar o que está a tratar de protexer e non atopa o seu lugar no primeiro ou segundo paso, simplemente tómao no terceiro paso do mellor xeito, non lle dea máis valor do que ten e non o mesture con cousas que realmente teñen valor.

Para estar ao día

Esta é unha verdade que escapa a centos de persoas e empresas. A ciberseguridade non consiste en cumprir a súa auditoría 3 veces ao ano e esperar que non pase nada nos outros 350 días. E isto é certo para moitos administradores de sistemas. Finalmente puiden certificarme como LFCS (Déixovos atopar onde o fixen 🙂) e este é un punto crítico durante o curso. Manter o seu equipo e os seus programas actualizados é vital, crucial, para evitar a maioría dos riscos. Seguro que moitos aquí me dirán, pero o programa que usamos non funciona na seguinte versión ou algo similar, porque o certo é que o teu programa é unha bomba de reloxería se non funciona na última versión. E iso lévanos á sección anterior, Podes mitigalo ?, podes transferilo ?, podes aceptalo? ...

A verdade, só para telo presente, estatisticamente o 75% dos ataques de seguridade informática orixínanse desde dentro. Isto pode deberse a que na empresa ten usuarios desconfiados ou malintencionados. Ou que os seus procesos de seguridade non o dificultaron hackers irrumpir nas súas instalacións ou redes. E case máis do 90% dos ataques son causados ​​por software obsoleto, non debido a vulnerabilidades de día cero.

Pensa como unha máquina, non coma un humano

Este será un pequeno consello que vos deixo a partir de aquí:

Pense como máquinas

Para os que non entendan, agora douche un exemplo.

Resultado da imaxe do programa John the Ripper

Preséntovos Xoán. Entre os amantes da seguridade é un dos mellores puntos de partida cando comeza no mundo de hacking ethicla. John lévase de marabilla co noso amigo crise. E basicamente colle unha lista que se lle entrega e comeza a probar as combinacións ata atopar unha clave que resolva o contrasinal que busca.

Crunch é un xerador de combinacións. Isto significa que pode dicir a crunch que quere un contrasinal de 6 caracteres, que conteña letras maiúsculas e minúsculas e que o crunch comece a probar un por un ... algo así como:

aaaaaa,aaaaab,aaaaac,aaaaad,....

E pregúntanse canto tarda en percorrer toda a lista con certeza ... non leva máis que uns poucos Actas. Para os que quedaron coa boca aberta, déixeme explicar. Como comentamos anteriormente, o elo máis débil da cadea é o home e a súa forma de pensar. Para un ordenador non é difícil probar combinacións, é moi repetitivo e co paso dos anos os procesadores volvéronse tan poderosos que non leva máis dun segundo facer mil intentos, ou incluso máis.

Pero agora o bo, o exemplo anterior está co pensamento humano, agora imos por el pensar en máquina:

Se lle dicimos a crunch que comece a xerar un contrasinal con só 8 díxitos, baixo os mesmos requisitos anteriores, pasamos de minutos a horas. E adiviña que pasa se lle dicimos que use máis de 10, convértense en días. Xa levamos máis de 12 anos mesesAdemais do feito de que a lista tería proporcións que non se poderían almacenar nun ordenador normal. Se chegamos aos 20 falamos de cousas que un ordenador non poderá descifrar en centos de anos (cos procesadores actuais, por suposto). Isto ten a súa explicación matemática, pero por razóns de espazo non o vou explicar aquí, pero para os máis curiosos ten moito que ver co permutación, The combinatoria e combinacións. Para ser máis exactos, co feito de que por cada letra que engadimos á lonxitude temos case 50 posibilidades, así que teremos algo así como:

20^50 posibles combinacións para o noso último contrasinal. Insira ese número na calculadora para ver cantas posibilidades hai cunha lonxitude clave de 20 símbolos.

Como podo pensar coma unha máquina?

Non é doado, máis dunha persoa me dirá que pense nun contrasinal de 20 letras seguidas, especialmente co antigo concepto de que as contrasinais son palabras clave. Pero vexamos un exemplo:

dXfwHd

Isto é difícil de recordar para un humano, pero é moi sinxelo para unha máquina.

caballoconpatasdehormiga

Por outra banda, isto é moi doado de recordar por un humano (incluso divertido), pero é un inferno crise. E agora mo dirá máis dun, pero non é aconsellable cambiar tamén as teclas seguidas? Si, recoméndase, polo que agora podemos matar dous paxaros cunha soa pedra. Supoñamos que este mes estou lendo Don Quixote da Mancha, volume I. No meu contrasinal vou poñer algo así como:

ElQuijoteDeLaMancha1

20 símbolos, algo bastante difícil de descubrir sen coñecerme, e o mellor é que cando remate o libro (supoñendo que len constantemente 🙂) saberán que deben cambiar o seu contrasinal, incluso cambiando a:

ElQuijoteDeLaMancha2

Agora é un progreso 🙂 e seguramente axudarache a manter os teus contrasinais seguros e ao mesmo tempo recordarche que remates o teu libro.

O que escribín é suficiente e, aínda que me encantaría poder falar de moitos máis problemas de seguridade, deixarémolo para outra vez 🙂 Saúdos


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

7 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   Pinguim dixo

    Moi interesante!!
    Espero que poida subir titoriais sobre endurecemento en Linux, sería marabilloso.
    Saúdos!

    1.    ChrisADR dixo

      Ola 🙂 ben, poderíasme dar un tempo, pero tamén comparto un recurso que me parece moi interesante 🙂

      https://wiki.gentoo.org/wiki/Security_Handbook

      Este non se traduce ao castelán if pero se alguén se anima a botar unha man con iso e axudaríalle great

      lembranzas

  2.   XoX dixo

    Moi interesante, pero dende o meu punto de vista os ataques de forza bruta están quedando obsoletos e a xeración de contrasinais como "ElQuijoteDeLaMancha1" tampouco parece unha solución viable, isto débese a que cun pouco de enxeñaría social é posible atopar o Contrasinais deste tipo, só extensas con investigacións superficiais sobre a persoa e ela mesma revelaranos, xa sexa nas súas redes sociais, aos seus coñecidos ou no traballo, é parte da natureza humana.

    No meu punto de vista, a mellor solución é empregar un xestor de contrasinais, porque é máis seguro usar un contrasinal de 100 díxitos que un de 20 díxitos, ademais existe a vantaxe de que só coñecendo o contrasinal mestre, non é posible revelalo nin sequera por contrasinais xerados porque son descoñecidos.

    Este é o meu xestor de contrasinais, é de código aberto e emulando un teclado é inmune aos keylogers.

    https://www.themooltipass.com

    1.    ChrisADR dixo

      Ben, non pretendo dar unha solución totalmente segura (lembrando que nada é 100% impenetrable) en só 1500 palabras 🙂 (non quero escribir máis que iso a non ser que sexa absolutamente necesario) pero igual que dis que 100 é mellor que 20, ben 20 é definitivamente mellor que 8 🙂 e ben, como dixemos ao principio, o elo máis débil é o home, polo que é onde sempre vai estar a atención. Coñezo a varios "enxeñeiros sociais" que non saben moito sobre tecnoloxía, pero só o suficiente para facer consultas de seguridade. Moito máis difícil é atopar auténticos hackers que atopen fallos nos programas (o coñecido día cero).
      Se falamos de solucións "mellores" xa estamos entrando nun tema para persoas con experiencia no campo, e estou compartindo con calquera tipo de usuario 🙂 pero se che gusta, podemos falar de solucións "mellores" noutro momento. E grazas pola ligazón, seguro que ten os seus pros e os seus contras, pero tampouco lle faría moito ao xestor de contrasinais, ao cabo de todo sorprenderíache a facilidade e o desexo de atacalos ... unha única vitoria implica moitas claves reveladas.
      lembranzas

  3.   Anásase dixo

    Interesante artigo, ChrisADR. Como administrador do sistema Linux, este é un bo recordatorio para non deixarse ​​atrapar por non darlle a máxima importancia que se require hoxe para manter os contrasinais actualizados e coa seguridade requirida polos tempos actuais. Mesmo este é un artigo que sería moi útil para a xente común que pensa que un contrasinal non é a causa do 90% das dores de cabeza. Gustaríame ver máis artigos sobre seguridade informática e como manter a maior seguridade posible dentro do noso querido sistema operativo. Creo que sempre hai algo máis que aprender máis alá do coñecemento que un adquire a través de cursos e formacións.
    Máis alá diso, sempre consulto este blog para coñecer un novo programa para que Gnu Linux poña mans nel.

    Saúdos!

  4.   Dani dixo

    ¿Podería explicarse un pouco en detalle, con números e cantidades, por que "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" non existe; p) é máis seguro que "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
    Non sei nada de matemáticas combinatorias, pero aínda non me convence a idea que a miúdo se repite de que é mellor un contrasinal longo cun conxunto de caracteres sinxelo que outro máis curto cun conxunto de caracteres moito maior. O número de combinacións posibles é realmente maior só usando letras e números latinos que empregando todos os UTF-8?

    Saúdos.

    1.    ChrisADR dixo

      Ola Dani, imos por partes para deixalo claro ... Algunha vez tiveches algunha desas maletas con combinacións de números como pechadura? Vexamos o seguinte caso ... supoñendo que chegan a nove temos algo así como:

      | 10 | | 10 | | 10 |

      Cada un ten posibilidades diaz, polo que se queres saber o número de combinacións posibles, só tes que facer unha multiplicación simple, 10³ para ser exactos ou 1000.

      A táboa ASCII contén 255 caracteres esenciais, dos que normalmente usamos números, minúsculas, maiúsculas e algúns signos de puntuación. Supoñamos que agora imos ter un contrasinal de 6 díxitos con aproximadamente 70 opcións (maiúsculas, minúsculas, números e algúns símbolos)

      | 70 | | 70 | | 70 | | 70 | | 70 | | 70 |

      Como podes imaxinar, ese é un número bastante grande, 117 para ser exactos. E esas son todas as combinacións posibles que existen para un espazo de teclas de 649 díxitos. Agora imos reducir moito máis o espectro de posibilidades, sigamos que só imos usar 000 (letras minúsculas, números e algún que outro símbolo quizais) pero cun contrasinal moito máis longo, digamos quizais 000 díxitos (O que ten o exemplo como 6).

      | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |

      O número de posibilidades convértese en ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Non sei como contar ese número, pero para min é un pouco máis longo :), pero imos reducilo aínda máis, só o usaremos números do 0 ao 9 e vexamos que pasa coa cantidade

      | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |

      Con esta sinxela regra podes chegar a unha sorprendente combinación de 100 :). Isto débese a que cada díxito engadido á ecuación aumenta o número de posibilidades exponencialmente, mentres que engadir posibilidades dentro dunha soa caixa aumenta linealmente.

      Pero agora imos ao que é "mellor" para nós os humanos.

      Canto tardas en escribir “• M¡ ¢ 0nt®a $ 3Ñ @ •” en termos prácticos? Supoñamos por un segundo que o tes que anotar todos os días, porque non che gusta gardalo no ordenador. Isto convértese en tedioso se tes que facer contraccións das mans de formas pouco comúns. Moito máis rápido (no meu punto de vista) é escribir palabras que podes escribir de forma natural, xa que outro factor importante é cambiar as teclas regularmente.

      E por último, pero non menos importante ... Depende moito do estado de ánimo da persoa que desenvolveu o seu sistema, aplicación, programa, sendo capaz de usar con calma todos os caracteres UTF-8, nalgúns casos pode incluso desactivar o uso do Conta porque a aplicación "converte" parte do teu contrasinal e o fai inutilizable ... Entón, quizais sexa mellor xogalo seguro cos personaxes que sempre sabes que están dispoñibles.

      Espero que isto axude con dúbidas 🙂 Saúdos