Do sada mislim da nisam dodirnuo jednu od svojih najdražih pjesama, računalnu sigurnost, i vjerujem da će ovo biti tema o kojoj ću vam danas reći 🙂 Nadam se da ćete nakon ovog kratkog članka imati bolju predodžbu o tome što vam može pomoći u boljoj kontroli vaših rizika i kako kako bi istovremeno ublažili mnoge.
Rizici posvuda
Neizbježno je da smo samo u ovoj godini otkrili i na neki način dodijelili više od 15000 XNUMX ranjivosti javni. Kako ja znam? Budući da je dio mog posla provjeriti CVE-ove u programima koje koristimo u Gentoo-u kako bismo vidjeli pokrećemo li ranjivi softver, na ovaj način ga možemo ažurirati i osigurati da svi u distribuciji imaju sigurnu opremu.
CVE
Zajedničke ranjivosti i izloženosti Zbog svoje kratice na engleskom jeziku, oni su jedinstveni identifikatori koji se dodjeljuju svakoj postojećoj ranjivosti. S velikom radošću mogu reći da nekoliko razvojnih programera Gentoo podržava dobro čovječanstva, istražujući i objavljujući svoja otkrića kako bi ih se moglo ispraviti i popraviti. Jedan od posljednjih slučajeva koje sam imao zadovoljstvo čitati bio je onaj Mogućnosti krvarenja; ranjivost koja je utjecala na Apacheove poslužitelje širom svijeta. Zašto kažem da sam ponosan na ovo? Budući da čine svijet dobrim, čuvanje ranjivosti u tajnosti koristi samo nekima, a posljedice toga mogu biti katastrofalne, ovisno o cilju.
CNA
CNA su entiteti zaduženi za zahtjev i / ili dodjelu CVE-a, na primjer, imamo Microsoftov CNA, zadužen za grupiranje njihovih ranjivosti, njihovo rješavanje i dodjeljivanje CVE za kasniju registraciju s vremenom.
Vrste mjera
Počnimo s pojašnjenjem da niti jedna oprema nije ili neće biti 100% sigurna, i kao prilično uobičajena izreka znala je reći:
Jedino 100% sigurno računalo je ono koje je zaključano u trezoru, odvojeno od interneta i isključeno.
Budući da je to istina, rizici će uvijek biti, poznati ili nepoznati, samo je pitanje vremena, tako da suočeni s rizikom možemo učiniti sljedeće:
Ublažite to
Ublažavanje rizika nije ništa drugo nego njegovo smanjenje (NE otkazati). Ovo je prilično važna i presudna točka kako na poslovnoj, tako i na osobnoj razini, ne želi se "hakirati", ali istini za volju najslabija točka u lancu nije računalo, program, čak ni proces , čovjek.
Svi imamo naviku kriviti druge, bili oni ljudi ili stvari, ali u računalnoj sigurnosti odgovornost je i uvijek će biti čovjekova, možda to nećete biti izravno vi, ali ako ne slijedite pravi put, bit ćete dio problema. Kasnije ću vam dati mali trik kako biste ostali malo sigurniji 😉
Prenesite ga
Ovo je dobro poznato načelo, moramo ga zamisliti kao banka. Kada se trebate pobrinuti za svoj novac (mislim fizički), najsigurnije je ostaviti ga nekome tko ga ima mogućnost puno bolje zaštititi od vas. Ne trebate imati vlastiti trezor (iako bi bilo puno bolje) da biste se mogli brinuti o stvarima, trebate samo imati nekoga (u koga imate povjerenja) da zadrži nešto bolje od vas.
Prihvati to
Ali kad se prvo i drugo ne primjenjuju, eto, tu dolazi stvarno važno pitanje. Koliko mi vrijede ovi resursi / podaci / itd.? Ako je odgovor puno, onda biste trebali razmisliti o prva dva. Ali ako je odgovor a ne tolikoMožda jednostavno moraš prihvatiti rizik.
Morate se suočiti s tim, nije sve ublaživo, a neke ublažavajuće stvari koštale bi toliko resursa da bi bilo praktički nemoguće primijeniti stvarno rješenje bez promjene i ulaganja puno vremena i novca. Ali ako možete analizirati ono što pokušavate zaštititi, a ono ne pronađe svoje mjesto u prvom ili drugom koraku, onda ga jednostavno uzmite u trećem koraku na najbolji način, ne dajte mu veću vrijednost nego što ima, i nemojte ga miješati sa stvarima koje zaista imaju vrijednost.
Da biste bili u toku
Ovo je istina koja pobjegne stotinama ljudi i tvrtkama. Cybersecurity ne podrazumijeva poštivanje revizije 3 puta godišnje i očekivanje da se ništa neće dogoditi u ostalih 350 dana. I to vrijedi za mnoge administratore sustava. Napokon sam se mogao potvrditi kao LFCS (Ostavljam vama da pronađete gdje sam to učinio 🙂) i ovo je kritična točka tijekom tečaja. Održavanje ažurnosti opreme i njenih programa je od vitalne važnosti, presudan, kako bi se izbjegla većina rizika. Sigurno će mi mnogi ovdje reći, ali program koji koristimo ne radi u sljedećoj verziji ili nešto slično, jer istina je da je vaš program tempirana bomba ako ne radi u najnovijoj verziji. I to nas dovodi do prethodnog odjeljka, Možete li to ublažiti?, Možete li ga prenijeti?, Možete li ga prihvatiti? ...
Istini za volju, samo da imamo na umu, statistički 75% napada na računalnu sigurnost potječe iznutra. To je možda zato što u tvrtki imate nesumnjive ili zlonamjerne korisnike. Ili da im njihovi sigurnosni procesi nisu otežali haker provaliti u vaše prostorije ili mreže. I gotovo više od 90% napada uzrokuje zastarjeli softver, Ne zbog ranjivosti dan nula.
Razmišljajte poput stroja, a ne kao čovjek
Ovo će biti mali savjet koji ću vam ostaviti odavde:
Razmišljajte poput strojeva
Za one koji ne razumiju, sad vam dajem primjer.
Upoznajem te Ivan. Među ljubiteljima sigurnosti jedno je od najboljih polazišta kad započnete u svijetu etičko hakiranje. Jovan divno se slaže s našim prijateljem krckanje. I u osnovi zgrabi popis koji mu se uručuje i započinje testiranje kombinacija dok ne pronađe ključ koji rješava lozinku koju traži.
Škripanje je generator kombinacija. to znači da možete reći crunchu da želite lozinku dugu 6 znakova koja sadrži velika i mala slova i crunch će započeti testiranje jedno po jedno ... nešto poput:
aaaaaa,aaaaab,aaaaac,aaaaad,....
I pitaju se koliko je vremena potrebno da sigurno prođete kroz cijeli popis ... ne treba više od nekoliko zapisnik. Za one koji su ostali otvorenih usta, objasnim. Kao što smo ranije razgovarali, najslabija karika u lancu je čovjek i njegov način razmišljanja. Za računalo nije teško testirati kombinacije, vrlo se ponavlja, a s godinama su procesori postali toliko moćni da ne treba više od sekunde da napravi tisuću pokušaja, pa čak i više.
Ali sada je dobra stvar, prethodni primjer je s ljudsko razmišljanje, sad idemo na to strojno razmišljanje:
Ako kažemo crunchu da započne generirati lozinku sa samo 8 znamenki, pod istim prethodnim zahtjevima, prošli smo od minuta do Horas. I pogodite što će se dogoditi ako vam kažemo da koristite više od 10, oni postaju dana. Već više od 12 već smo u mjeseciUz činjenicu da bi popis bio proporcija koje se ne bi mogle pohraniti na uobičajeno računalo. Ako dođemo do 20, govorimo o stvarima koje računalo neće moći dešifrirati stotinama godina (naravno s trenutnim procesorima). Ovo ima svoje matematičko objašnjenje, ali zbog svemira ga ovdje neću objašnjavati, ali za najzanimljivije to ima puno veze s permutacija, kombinatorni i kombinacije. Točnije, s činjenicom da za svako slovo koje dodamo duljini imamo gotovo 50 mogućnosti, pa ćemo imati nešto poput:
20^50 moguće kombinacije za našu posljednju lozinku. Unesite taj broj u svoj kalkulator da biste vidjeli koliko mogućnosti postoji s duljinom ključa od 20 simbola.
Kako mogu razmišljati poput stroja?
Nije lako, više od jedne osobe će mi reći da smislim lozinku od 20 slova zaredom, posebno sa starim konceptom da su lozinke riječi ključ. No, pogledajmo primjer:
dXfwHd
Ovo je čovjeku teško zapamtiti, ali izuzetno lako za stroj.
caballoconpatasdehormiga
S druge strane, ovo je izuzetno lako za pamtiti (čak i smiješno), ali za to je pakao krckanje. I sada će mi reći više od jednog, ali nije li preporučljivo mijenjati i tipke u nizu? Da, preporučuje se, pa sada jednim kamenom možemo ubiti dvije ptice. Pretpostavimo da ovaj mjesec čitam Don Quijote de la Mancha, svezak I. U lozinku ću staviti nešto poput:
ElQuijoteDeLaMancha1
20 simbola, nešto prilično teško otkriti bez poznavanja mene, a najbolja stvar je da kad završim knjigu (pod pretpostavkom da neprestano čitaju 🙂) znat će da moraju promijeniti lozinku, čak i mijenjajući u:
ElQuijoteDeLaMancha2
Već je napredak 🙂 i sigurno će vam pomoći u zaštiti lozinki i istovremeno podsjetiti vas da završite knjigu.
Dovoljno je ovo što sam napisao i premda bih volio da mogu razgovarati o još mnogim sigurnosnim pitanjima, ostavit ćemo to za drugi put 🙂 Pozdrav
Vrlo zanimljivo!!
Nadam se da možete prenijeti Linux tutoriale za otvrdnjavanje, to bi bilo prekrasno.
Pozdrav!
Pozdrav 🙂 dobro, možete li mi dati malo vremena, ali dijelim i resurs koji mi se čini izuzetno zanimljivim 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Ovaj nije preveden na španjolski 🙁, ali ako se netko usudi pružiti ruku i pomoći, bilo bi sjajno 🙂
pozdravi
Vrlo zanimljivo, ali po mom stajalištu napadi grube sile zastarijevaju, a generiranje lozinki poput "ElQuijoteDeLaMancha1" ne čini se ni održivim rješenjem, jer je s malo socijalnog inženjeringa moguće pronaći lozinke ove vrste, samo ogromno površno istražujući tu osobu i ona će nam to sama otkriti, bilo u svojim društvenim mrežama, svojim poznanicima ili u svom poslu, dio je ljudske prirode.
S mojeg gledišta, najbolje rješenje je uporaba upravitelja lozinki, jer je sigurnije koristiti 100-znamenkastu lozinku nego 20-znamenkovnu, osim toga, tu je prednost što je glavna lozinka poznata samo, čak ni prema zapadu nije moguće otkriti generirane lozinke jer nisu poznate.
Ovo je moj upravitelj lozinki, otvoren je izvor i oponašanjem tipkovnice imun je na keyloger-e.
https://www.themooltipass.com
Pa, ne pretvaram se da dajem potpuno sigurno rješenje (sjećajući se da ništa nije 100% neprobojno) u samo 1500 riječi 🙂 (ne želim pisati više od toga, osim ako je to prijeko potrebno), ali baš kao što vi to kažete 100 je bolje od 20, pa 20 je definitivno bolje od 8 🙂 i dobro, kao što smo rekli na početku, najslabija karika je čovjek, pa će tamo pažnja uvijek biti. Znam nekoliko "socijalnih inženjera" koji ne znaju puno o tehnologiji, ali dovoljno samo za obavljanje sigurnosnih poslova. Puno je teže pronaći istinske hakere koji pronalaze nedostatke u programima (dobro poznati nulti dan).
Ako govorimo o "boljim" rješenjima, već uvodimo temu za ljude koji imaju stručnost u tom području, a dijelim s bilo kojom vrstom korisnika 🙂, ali ako želite, možemo razgovarati o "boljim" rješenjima u neko drugo vrijeme. I hvala na vezi, sigurni je za i protiv, ali to ne bi puno pomoglo niti upravitelju lozinki, napokon biste bili iznenađeni lakoćom i željom s kojom ih napadaju ... jedna pobjeda podrazumijeva mnogo ključeva otkrio.
pozdravi
Zanimljiv članak, ChrisADR. Kao administrator Linux sustava, ovo je dobar podsjetnik da se ne uhvatite u tome što mu ne dajete najveću važnost potrebnu danas za održavanje ažurnih lozinki i sigurnosti koju zahtijeva današnje vrijeme. Čak je i ovo članak koji bi uvelike pomogao običnim ljudima koji misle da lozinka nije uzrok 90% glavobolje. Želio bih vidjeti više članaka o računalnoj sigurnosti i kako održati najvišu moguću sigurnost u našem voljenom operativnom sustavu. Vjerujem da se uvijek može nešto više naučiti izvan znanja koje se stječe tečajevima i treninzima.
Osim toga, uvijek se posavjetujem s ovim blogom kako bih saznao o novom programu za Gnu Linux koji će ga dočepati.
Pozdrav!
Možete li objasniti malo detalja, brojevima i količinama, zašto je "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" ne postoji; p) sigurniji od "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Ne znam ništa o kombinatornoj matematici, ali još uvijek me ne uvjerava često ponavljana ideja da je dugačka lozinka s jednostavnim skupom znakova bolja od kraće s puno većim skupom znakova. Je li broj mogućih kombinacija zaista veći samo korištenjem latiničnih slova i brojeva nego korištenjem svih UTF-8?
Pozdrav.
Pozdrav Dani, idemo dijelom da to pojasnimo ... jesi li ikad imao jedan od onih kofera s kombinacijama brojeva kao bravu? Pogledajmo sljedeći slučaj ... pod pretpostavkom da dosegnu devet imamo nešto poput:
| 10 | | 10 | | 10 |
Svaka ima mogućnosti dijaza, pa ako želite znati broj mogućih kombinacija, jednostavno trebate množiti, točnije 10³ ili 1000.
ASCII tablica sadrži 255 bitnih znakova, od kojih obično koristimo brojeve, mala, velika i neka interpunkcijska znaka. Pretpostavimo da ćemo sada imati šestoznamenkastu lozinku s otprilike 6 opcija (velika, mala, brojevi i neki simboli)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Kao što možete zamisliti, to je prilično velik broj, točnije 117. I to su sve moguće kombinacije koje postoje za 649-znamenkasti prostor tipki. Sada ćemo smanjiti spektar mogućnosti puno više, nastavimo da ćemo koristiti samo 000 (mala slova, brojevi i poneki simbol možda), ali s puno dužom lozinkom, recimo možda 000 znamenki (Ono što primjer ima oko 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Broj mogućnosti postaje ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Ne znam kako izbrojati taj broj, ali za mene je to malo duže :), ali smanjit ćemo ga još više , koristit ćemo samo brojeve od 0 do 9, pa da vidimo što će se dogoditi s količinom
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Ovim jednostavnim pravilom možete smisliti nevjerojatnih 100 000 000 000 000 000 000 kombinacija :). To je zato što svaka znamenka dodana u jednadžbu eksponencijalno povećava broj mogućnosti, dok ga dodavanje mogućnosti unutar jednog okvira linearno povećava.
Ali sada idemo na ono što je za nas ljude "najbolje".
Koliko vam treba vremena da u praktičnom smislu napišete “• M¡ ¢ 0nt®a $ 3Ñ @ •”? Pretpostavimo na trenutak da to morate zapisovati svaki dan jer ne volite spremati na računalo. To postaje dosadan posao ako kontrakcije ruku morate raditi na neobične načine. Mnogo brže (s moje točke gledišta) je pisanje riječi koje možete napisati prirodno, jer je još jedan važan čimbenik redovito mijenjanje tipki.
I posljednje, ali ne najmanje važno ... To puno ovisi o raspoloženju osobe koja je razvila vaš sustav, aplikaciju, program, koja može mirno koristiti SVE UTF-8 znakove, u nekim slučajevima može čak i onemogućiti upotrebu To se računa jer aplikacija "pretvara" neku vašu lozinku i čini je neupotrebljivom ... Stoga je možda bolje igrati na sigurno s likovima za koje uvijek znate da su dostupni.
Nadam se da ovo pomaže kod dvojbi 🙂 Pozdrav