Como protexer o ordenador contra ataques

Moi ben para todos, antes de entrar no endurecemento do teu equipo, quero dicirche que o instalador que estou desenvolvendo para Gentoo xa está na súa fase pre-alfa 😀 isto significa que o prototipo é o suficientemente robusto como para ser probado por outros usuarios , pero ao mesmo tempo aínda hai moito camiño por percorrer e os comentarios destas etapas (pre-alfa, alfa, beta) axudarán a definir características importantes do proceso features Para os interesados ​​...

https://github.com/ChrisADR/installer

. Aínda teño a versión só en inglés, pero espero que para a beta xa teña a súa tradución ao español (estou aprendendo isto coas traducións en tempo de execución en python, así que aínda hai moito por descubrir)

Endurecemento

Cando falamos endurecemento, referímonos a unha gran variedade de accións ou procedementos que dificultan o acceso a un sistema informático ou rede de sistemas. É precisamente por iso que é un vasto tema cheo de matices e detalles. Neste artigo vou enumerar algunhas das cousas máis importantes ou recomendadas a ter en conta á hora de protexer un sistema, intentarei ir do máis crítico ao menos crítico, pero sen afondar moito no tema xa que cada unha destas sinala que sería motivo dun artigo propio

acceso físico

Este é sen dúbida o primeiro e máis importante problema para os equipos, xa que se o atacante ten fácil acceso físico ao equipo, xa se pode contar como un equipo perdido. Isto é certo tanto nos grandes centros de datos como nos portátiles dunha empresa. Unha das principais medidas de protección para este problema son as claves no nivel da BIOS, para todos aqueles aos que isto soa novo, é posible poñer unha clave para o acceso físico da BIOS, deste xeito se alguén quere modificar o parámetros de inicio de sesión e inicio do ordenador desde un sistema activo, non será un traballo doado.

Agora isto é algo básico e sen dúbida funciona se realmente se require, estiven en varias empresas onde isto non importa, porque cren que o "garda" de seguridade na porta é máis que suficiente para impedir o acceso físico. Pero imos un pouco máis alá.

LUKS

Supoñamos por un segundo que un "atacante" xa obtivo acceso físico á computadora, o seguinte paso é cifrar todos os discos duros e particións existentes. LUKS (Configuración de chave unificada de Linux) É unha especificación de cifrado, entre outras cousas, LUKS permite cifrar unha partición cunha clave, deste xeito, cando o sistema arranca, se a clave non se coñece, a partición non se pode montar nin ler.

Paranoia

Certamente hai xente que precisa un nivel "máximo" de seguridade, e isto leva a salvagardar incluso o aspecto máis pequeno do sistema. Ben, este aspecto alcanza o seu máximo no núcleo. O núcleo linux é a forma en que o seu software interactuará co hardware, se impide que o seu software "vexa" o hardware, non poderá danar o equipo. Por poñer un exemplo, todos sabemos o "perigoso" que é o USB con virus cando falamos de Windows, porque certamente o USB pode conter código en Linux que pode ser ou non prexudicial para un sistema, se facemos que o núcleo só recoñeza o tipo do USB (firmware) que queremos, calquera outro tipo de USB sería simplemente ignorado polo noso equipo, algo certamente un pouco extremo, pero podería funcionar segundo as circunstancias.

servizos

Cando falamos de servizos, a primeira palabra que se nos ocorre é "supervisión", e isto é algo bastante importante, xa que unha das primeiras cousas que fai un atacante cando entra nun sistema é manter a conexión. Realizar análises periódicas das conexións entrantes e especialmente saíntes é moi importante nun sistema.

iptables

Agora xa escoitamos falar de iptables, é unha ferramenta que permite xerar regras para introducir e saír datos a nivel de núcleo, isto é certamente útil, pero tamén é unha arma de dobre fío. Moita xente cre que ao ter o "cortalumes" está libre de calquera tipo de entrada ou saída do sistema, pero nada máis lonxe da verdade, isto só pode servir como efecto placebo en moitos casos. Sábese que os cortalumes funcionan en base a regras, e certamente pódense evitar ou enganar para permitir o transporte de datos a través de portos e servizos para os cales as regras consideran que está "permitido", é só unha cuestión de creatividade

Estabilidade vs liberación de rolamento

Agora este é un punto bastante conflitivo en moitos lugares ou situacións, pero déixeme explicar o meu punto de vista. Como membro dun equipo de seguridade que vela por moitos dos problemas na rama estable da nosa distribución, son consciente de moitas, case todas as vulnerabilidades que existen nas máquinas Gentoo dos nosos usuarios. Agora, distribucións como Debian, RedHat, SUSE, Ubuntu e moitos outros pasan polo mesmo, e os seus tempos de reacción poden variar dependendo de moitas circunstancias.

Imos a un claro exemplo, seguramente todo o mundo escoitou falar de Meltdown, Spectre e toda unha serie de noticias que pasaron por internet estes días. Ben, a rama máis "lanzadora" do núcleo xa está remendada, o problema está Ao traer esas correccións aos núcleos máis antigos, o backporting é certamente un traballo duro e duro. Despois diso, aínda teñen que ser probados polos desenvolvedores da distribución e, unha vez completada a proba, só estará dispoñible para usuarios normais. Que quero conseguir con isto? Porque o modelo de lanzamento continuo require que coñezamos máis sobre o sistema e as formas de rescatalo se falla algo, pero é certo bo, porque manter unha pasividade absoluta no sistema ten varios efectos negativos tanto para o administrador como para os usuarios.

Coñece o teu software

Este é un engadido moi valioso á hora de xestionar, cousas tan sinxelas como subscribirse ás novas do software que usa poden axudarche a coñecer de antemán os avisos de seguridade, deste xeito pode xerar un plan de reacción e ao mesmo tempo ver canto Leva tempo para cada distribución resolver os problemas, sempre é mellor ser proactivo nestes problemas porque máis do 70% dos ataques ás empresas realízanse con software obsoleto.

Reflexión

Cando a xente fala de endurecemento, moitas veces crese que un equipo "protexido" é a proba de todo e non hai nada máis falso. Como a súa tradución literal indica, endurecemento implica facer as cousas máis difíciles, NON imposibles ... pero moitas veces moita xente pensa que isto implica maxia escura e moitos trucos como os honeypots ... este é un adicional, pero se non podes facer as cousas máis básicas como manter un software ou programación actualizada de linguaxe ... non hai necesidade de crear redes fantasma e equipos con contramedidas ... Digo isto porque vin varias empresas onde solicitan versións de PHP 4 a 5 (obviamente descontinuadas) ... cousas que hoxe en día sábese que teñen centos, se non miles de fallos de seguridade, pero se a empresa non pode seguir a tecnoloxía, non serve de nada se fan o resto.

Ademais, se todos estamos usando software libre ou aberto, o tempo de reacción para os erros de seguridade adoita ser bastante curto, o problema vén cando estamos a tratar con software privativo, pero déixoo para outro artigo que aínda espero escribir en breve.

Moitas grazas por chegar aquí 🙂 saúdos


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

12 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   galopelado dixo

    Excelente

    1.    ChrisADR dixo

      Moitas grazas 🙂 saúdos

  2.   normando dixo

    O que máis me gusta é a sinxeleza á hora de tratar este problema, a seguridade nestes tempos. Grazas, vou estar en Ubuntu mentres non teña moita necesidade porque non ocupo a partición que teño en Windows 8.1 no momento. Saúdos.

    1.    ChrisADR dixo

      Ola norma, sen dúbida os equipos de seguridade de Debian e Ubuntu son bastante eficientes have Vin como manexan os casos a unha velocidade incrible e seguramente fan que os seus usuarios se sintan seguros, polo menos se estivese en Ubuntu, sentiríame un pouco máis seguro 🙂
      Un saúdo, e certo, é un problema sinxelo ... a seguridade máis que unha arte escura é unha cuestión de criterios mínimos 🙂

  3.   Alberto cardona dixo

    Moitas grazas pola túa contribución.
    Moi interesante, sobre todo a parte do lanzamento de Rolling.
    Non o tivera en conta, agora teño que xestionar un servidor con Gentoo para ver as diferenzas que teño con Devuan.
    Un gran saúdo e ps para compartir esta entrada nas miñas redes sociais para que esta información chegue a máis xente !!
    Grazas!

    1.    ChrisADR dixo

      Benvido Alberto 🙂 Estaba en débeda por ser o primeiro en atender a petición do anterior blog 🙂 así que saúdos e agora continuar con esa lista pendente para escribir 🙂

  4.   sacudida2bolt dixo

    Ben, aplicar endurecemento con espectro por aí sería como deixar o PC máis vulnerable no caso do uso de sanboxing por exemplo. Curiosamente, o teu equipo será máis seguro fronte ao espectro cantas menos capas de seguridade apliques ... divertido, non?

    1.    ChrisADR dixo

      isto lémbrame un exemplo que podería presentar un artigo enteiro ... usar -fsanitize = address no compilador podería facernos pensar que o software compilado sería máis "seguro", pero nada máis lonxe da verdade, sei un desenvolvedor que probou un En vez de facelo con todo o equipo ... resultou máis doado atacar que un sen usar ASAN ... o mesmo aplícase en varios aspectos, usando capas incorrectas cando non sabes que o fan, é máis prexudicial que non usar nada 😛 Supoño que iso é algo que todos debemos considerar ao intentar protexer un sistema ... o que nos devolve ao feito de que isto non é maxia escura, senón mero sentido común 🙂 grazas por a túa entrada

  5.   Kra dixo

    Para o meu punto de vista, a vulnerabilidade máis grave equiparada co acceso físico e o erro humano segue sendo o hardware, deixando a un lado Meltdown e Spectre, xa que antigamente se vía como variantes do gusano LoveLetter escribía código na BIOS do equipo , xa que certas versións de firmware en SSD permitiron a execución de código remoto e o peor dende o meu punto de vista o Intel Management Engine, que é unha completa aberración para a privacidade e a seguridade, porque xa non importa se o equipo ten cifrado AES, ofuscamento ou calquera tipo de endurecemento, porque aínda que o ordenador estea apagado, o IME vaiche a atornillar.

    E tamén paradoxalmente un Tinkpad X200 do 2008 que usa LibreBoot é máis seguro que calquera outro ordenador actual.

    O peor desta situación é que non ten solución, porque nin Intel, AMD, Nvidia, Gygabite nin ningún fabricante de hardware moderadamente coñecido lanzarán baixo GPL ou calquera outra licenza gratuíta, o deseño de hardware actual, porque por que investir millóns de dólares para que outra persoa copie a verdadeira idea.

    Fermoso capitalismo.

    1.    ChrisADR dixo

      Moi certo Kra 🙂 é evidente que es bastante competente en cuestións de seguridade 😀 porque de feito o software e o hardware privativos son unha cuestión de coidado, pero desgraciadamente contra iso hai pouco que ver con respecto ao "endurecemento", xa que como dis, iso é algo que escapa a case todos os mortais, agás aos que saben programación e electrónica.

      Saúdos e grazas por compartir 🙂

  6.   Anónimo dixo

    Moi interesante, agora sería bo un tutorial para cada sección xD

    Por certo, canto de perigoso é se poño un Raspberry Pi e abro os portos necesarios para usar owncloud ou un servidor web desde fóra da casa?
    É que me interesa bastante pero non sei se vou ter tempo para revisar os rexistros de acceso, mirar a configuración de seguridade de cando en vez, etc etc ...

  7.   Xullo dixo

    Excelente contribución, grazas por compartir os teus coñecementos.