Sejauh ini saya rasa saya belum menyentuh salah satu lagu favorit saya, keamanan komputer, dan saya yakin ini akan menjadi topik yang akan saya ceritakan hari ini 🙂 Saya harap setelah artikel singkat ini Anda dapat memiliki gagasan yang lebih baik tentang apa yang dapat membantu Anda untuk memiliki kendali yang lebih baik atas risiko Anda dan bagaimana untuk mengurangi banyak orang pada saat yang bersamaan.
Resiko dimana-mana
Tidak dapat dipungkiri, di tahun ini saja, kami telah menemukan lebih dari 15000 kerentanan dan ditetapkan dengan cara tertentu publik. Bagaimana aku tahu? Karena bagian dari tugas saya adalah memeriksa CVE di program yang kami gunakan di Gentoo untuk melihat apakah kami menjalankan perangkat lunak yang rentan, dengan cara ini kami dapat memperbaruinya dan memastikan bahwa setiap orang dalam distribusi memiliki peralatan yang aman.
CVE
Kerentanan dan Eksposur Umum Untuk akronimnya dalam bahasa Inggris, mereka adalah pengidentifikasi unik yang ditetapkan untuk setiap kerentanan yang ada. Saya dapat mengatakan dengan penuh kegembiraan bahwa beberapa Pengembang Gentoo mendukung kebaikan umat manusia, meneliti dan menerbitkan temuan mereka sehingga dapat diperbaiki dan diperbaiki. Salah satu kasus terakhir yang saya senang membaca adalah kasus Pilihan berdarah; kerentanan yang memengaruhi server Apache di seluruh dunia. Mengapa saya mengatakan bahwa saya bangga dengan ini? Karena mereka melakukan kebaikan dunia, merahasiakan kerentanan hanya menguntungkan beberapa orang, dan konsekuensi dari hal ini bisa menjadi bencana besar tergantung pada tujuannya.
CNA
CNA adalah entitas yang bertanggung jawab untuk meminta dan / atau menetapkan CVE, misalnya, kami memiliki CNA Microsoft, yang bertanggung jawab untuk mengelompokkan kerentanan mereka, menyelesaikannya, dan menugaskannya CVE untuk pendaftaran nanti.
Jenis ukuran
Mari kita mulai dengan mengklarifikasi bahwa tidak ada peralatan yang atau akan 100% aman, dan seperti pepatah umum yang biasa mengatakan:
Satu-satunya komputer yang 100% aman adalah komputer yang terkunci di lemari besi, terputus dari internet dan dimatikan.
Karena memang benar resiko akan selalu ada, diketahui atau tidak diketahui, tinggal menunggu waktu saja jadi dalam menghadapi resiko kita bisa melakukan hal berikut:
Kurangi itu
Mengurangi risiko tidak lebih dari menguranginya (TIDAK batalkan). Ini adalah poin yang cukup penting dan krusial baik pada tingkat bisnis dan pribadi, seseorang tidak ingin "diretas", tetapi sejujurnya titik terlemah dalam rantai bukanlah peralatan, atau programnya, bahkan bukan prosesnya. , ini manusia.
Kita semua memiliki kebiasaan menyalahkan orang lain, baik itu orang atau benda, tetapi dalam keamanan komputer, tanggung jawab adalah dan akan selalu menjadi tanggung jawab manusia, mungkin bukan Anda secara langsung, tetapi jika Anda tidak mengikuti jalan yang benar, Anda akan menjadi bagian dari masalah. Nanti saya akan memberikan sedikit trik agar tetap sedikit lebih aman 😉
Pindahkan
Ini adalah prinsip yang cukup terkenal, kita harus membayangkannya sebagai a bank. Ketika Anda perlu menjaga uang Anda (maksud saya secara fisik), hal yang paling aman adalah menyerahkannya kepada seseorang yang memiliki kemampuan untuk melindunginya jauh lebih baik daripada Anda. Anda tidak perlu memiliki lemari besi sendiri (meskipun akan jauh lebih baik) untuk dapat mengurus berbagai hal, Anda hanya perlu memiliki seseorang (yang Anda percaya) untuk menjaga sesuatu yang lebih baik dari Anda.
Terima itu
Tetapi ketika yang pertama dan kedua tidak berlaku, di situlah pertanyaan yang sangat penting masuk. Berapa nilai resource / data / etc ini bagi saya? Jika jawabannya banyak, maka Anda harus memikirkan dua yang pertama. Tetapi jika jawabannya adalah a tidak begitu banyakMungkin Anda hanya harus menerima risikonya.
Anda harus menghadapinya, tidak semuanya dapat dikurangi, dan beberapa hal yang dapat dikurangi akan menghabiskan begitu banyak sumber daya sehingga secara praktis tidak mungkin untuk menerapkan solusi nyata tanpa harus mengubah dan menginvestasikan banyak waktu dan uang. Tetapi jika Anda dapat menganalisis apa yang Anda coba lindungi, dan tidak menemukan tempatnya di langkah pertama atau kedua, maka ambil saja di langkah ketiga dengan cara terbaik, jangan berikan nilai lebih dari yang dimilikinya, dan jangan mencampurnya dengan hal-hal yang benar-benar mereka hargai.
Untuk tetap up-to-date
Ini adalah kebenaran yang luput dari perhatian ratusan orang dan bisnis. Keamanan komputer bukanlah tentang mematuhi audit Anda 3 kali setahun dan tidak mengharapkan apa pun terjadi dalam 350 hari lainnya. Dan ini berlaku untuk banyak administrator sistem. Saya akhirnya bisa menyatakan diri saya sebagai LFC (Saya serahkan kepada Anda untuk menemukan di mana saya melakukannya 🙂) dan ini adalah poin kritis selama kursus. Menjaga peralatan Anda dan programnya selalu terbarui sangatlah penting, sangat penting, untuk menghindari sebagian besar risiko. Pasti banyak di sini yang akan memberitahuku, tetapi program yang kami gunakan tidak berfungsi di versi berikutnya atau yang serupa, karena sebenarnya program Anda adalah bom waktu jika tidak bekerja di versi terbaru. Dan itu membawa kita ke bagian sebelumnya, Bisakah Anda menguranginya?, Dapatkah Anda mentransfernya?, Dapatkah Anda menerimanya? ...
Sejujurnya, untuk diingat, secara statistik 75% serangan keamanan komputer berasal dari dalam. Ini mungkin karena Anda memiliki pengguna yang tidak menaruh curiga atau jahat di perusahaan. Atau bahwa proses keamanan mereka tidak mempersulit a hacker masuk ke tempat atau jaringan Anda. Dan hampir lebih dari 90% serangan disebabkan oleh perangkat lunak usang, tidak karena kerentanan hari nol.
Berpikirlah seperti mesin, bukan manusia
Ini akan menjadi sedikit nasihat yang saya tinggalkan untuk Anda mulai sekarang:
Berpikirlah seperti mesin
Bagi yang belum mengerti, sekarang saya beri contoh.
Saya memperkenalkan Anda John. Di antara pecinta keamanan, ini adalah salah satu titik awal terbaik saat Anda memulai dunia peretasan ethicla. John dia sangat rukun dengan teman kita kegentingan. Dan pada dasarnya dia mengambil daftar yang diberikan kepadanya dan mulai menguji kombinasi hingga dia menemukan kunci yang memecahkan kata sandi yang dia cari.
Kegentingan adalah generator kombinasi. ini berarti Anda dapat memberi tahu crunch bahwa Anda menginginkan kata sandi yang panjangnya 6 karakter, berisi huruf besar dan kecil dan crunch akan mulai menguji satu per satu ... sesuatu seperti:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Dan mereka bertanya-tanya berapa lama waktu yang dibutuhkan untuk memeriksa seluruh daftar dengan pasti ... tidak lebih dari beberapa minutos. Bagi mereka yang dibiarkan dengan mulut terbuka, izinkan saya menjelaskan. Seperti yang telah kita bahas sebelumnya, mata rantai terlemah dalam rantai ini adalah manusia, dan cara berpikirnya. Untuk komputer tidaklah sulit untuk menguji kombinasi, ini sangat berulang, dan selama bertahun-tahun prosesor telah menjadi begitu kuat sehingga tidak perlu lebih dari satu detik untuk membuat seribu percobaan, atau bahkan lebih.
Tapi sekarang hal yang baik, contoh sebelumnya adalah dengan pemikiran manusia, sekarang kita pergi untuk itu pemikiran mesin:
Jika kami memberi tahu crunch untuk mulai membuat kata sandi hanya dengan 8 digit, di bawah persyaratan sebelumnya yang sama, kami telah beralih dari menit ke jam. Dan coba tebak apa yang terjadi jika kami meminta Anda untuk menggunakan lebih dari 10, mereka menjadi hari-hari. Lebih dari 12 kita sudah masuk bulanSelain fakta bahwa daftar tersebut akan menjadi proporsi yang tidak dapat disimpan di komputer biasa. Jika kita mencapai 20 kita berbicara tentang hal-hal yang tidak akan dapat diuraikan oleh komputer dalam ratusan tahun (dengan prosesor saat ini tentunya). Ini memiliki penjelasan matematisnya, tetapi karena alasan ruang saya tidak akan menjelaskannya di sini, tetapi bagi yang paling ingin tahu ini banyak berkaitan dengan permutasi, The kombinatorial dan kombinasi. Lebih tepatnya, dengan fakta bahwa untuk setiap huruf yang kita tambahkan panjangnya kita memiliki hampir 50 kemungkinan, jadi kami akan memiliki sesuatu seperti:
20^50 kemungkinan kombinasi untuk kata sandi terakhir kami. Masukkan angka itu ke dalam kalkulator Anda untuk melihat berapa banyak kemungkinan dengan panjang kunci 20 simbol.
Bagaimana saya bisa berpikir seperti mesin?
Memang tidak mudah, lebih dari satu orang akan menyuruh saya untuk memikirkan kata sandi yang terdiri dari 20 huruf berturut-turut, terutama dengan konsep lama bahwa kata sandi adalah kata kunci. Tapi mari kita lihat contohnya:
dXfwHd
Ini sulit untuk diingat oleh manusia, tetapi sangat mudah untuk mesin.
caballoconpatasdehormiga
Ini di sisi lain sangat mudah bagi manusia untuk diingat (bahkan lucu) tapi itu neraka kegentingan. Dan sekarang lebih dari satu orang akan memberi tahu saya, tetapi bukankah disarankan untuk juga mengubah kunci secara berurutan? Ya, dianjurkan, jadi sekarang kita bisa membunuh dua burung dengan satu batu. Misalkan bulan ini saya sedang membaca Don Quixote de la Mancha, volume I. Dalam kata sandi saya, saya akan memasukkan sesuatu seperti:
ElQuijoteDeLaMancha1
20 simbol, sesuatu yang cukup sulit ditemukan tanpa saya mengenal saya, dan yang terbaik adalah ketika saya menyelesaikan buku (dengan asumsi mereka terus membaca 🙂) mereka akan tahu bahwa mereka harus mengubah kata sandi mereka, bahkan mengubah ke:
ElQuijoteDeLaMancha2
Ini adalah kemajuan 🙂 dan pasti akan membantu Anda menjaga kata sandi Anda tetap aman dan pada saat yang sama mengingatkan Anda untuk menyelesaikan buku Anda.
Apa yang saya tulis sudah cukup, dan meskipun saya ingin sekali dapat berbicara tentang lebih banyak masalah keamanan, kita akan meninggalkannya untuk lain waktu 🙂 Salam
Sangat menarik!!
Saya harap Anda dapat mengunggah tutorial tentang pengerasan di Linux, itu akan luar biasa.
Salam!
Halo 🙂 baik, bisakah Anda memberi saya waktu, tetapi saya juga membagikan sumber daya yang menurut saya sangat menarik 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Yang ini tidak diterjemahkan ke dalam bahasa Spanyol 🙁 tetapi jika seseorang didorong untuk memberikan bantuan dan itu akan sangat bagus 🙂
salam
Sangat menarik, tetapi dari sudut pandang saya serangan brute force menjadi usang, dan pembuatan kata sandi seperti "ElQuijoteDeLaMancha1" tampaknya juga bukan solusi yang layak, ini karena dengan sedikit manipulasi psikologis adalah mungkin untuk menemukan Kata Sandi tipe ini, hanya luas dengan menyelidiki orang secara dangkal dan dia sendiri akan mengungkapkannya kepada kita, baik di jejaring sosialnya, kepada kenalannya atau di tempat kerja, adalah bagian dari sifat manusia.
Menurut saya, solusi terbaik adalah menggunakan pengelola kata sandi, karena lebih aman menggunakan kata sandi 100 digit daripada kata sandi 20 digit, selain itu, ada keuntungannya karena kata sandi utama hanya diketahui, tidak mungkin untuk mengungkapkan bahkan oleh barat kata sandi yang dibuat karena mereka tidak diketahui.
Ini adalah pengelola kata sandi saya, ini open source dan dengan meniru keyboard, itu kebal terhadap keylogers.
https://www.themooltipass.com
Yah, saya tidak berpura-pura memberikan solusi yang sepenuhnya aman (mengingat bahwa tidak ada yang 100% tidak dapat ditembus) hanya dalam 1500 kata 🙂 (saya tidak ingin menulis lebih dari itu kecuali benar-benar diperlukan) tetapi seperti yang Anda katakan 100 lebih baik dari 20, baik 20 pasti lebih baik dari 8 🙂 dan yah, seperti yang kami katakan di awal, mata rantai terlemah adalah pria, jadi disitulah perhatian akan selalu berada. Saya kenal sejumlah "insinyur sosial" yang tidak tahu banyak tentang teknologi, tetapi hanya cukup untuk melakukan pekerjaan konsultasi keamanan. Jauh lebih sulit adalah menemukan peretas sejati yang menemukan kekurangan dalam program (yang dikenal sebagai zero-day).
Jika kita berbicara tentang solusi yang "lebih baik", kita sudah memasukkan topik untuk orang-orang dengan keahlian di bidang tersebut, dan saya berbagi dengan semua jenis pengguna 🙂 tetapi jika Anda mau, kita dapat membicarakan tentang solusi yang "lebih baik" di lain waktu. Dan terima kasih untuk tautannya, pasti pro dan kontra, tetapi itu juga tidak akan banyak membantu pengelola kata sandi, Anda akan terkejut dengan kemudahan dan keinginan yang mereka gunakan untuk menyerang mereka, lagipula ... satu kemenangan menyiratkan banyak kunci mengungkapkan.
salam
Artikel menarik, ChrisADR. Sebagai administrator sistem Linux, ini adalah pengingat yang baik untuk tidak terjebak dalam tidak memberikan hal yang paling penting saat ini untuk menjaga kata sandi tetap mutakhir dan dengan keamanan yang dibutuhkan oleh zaman sekarang. Bahkan ini adalah artikel yang akan sangat membantu orang awam yang menganggap bahwa sandi bukanlah penyebab 90% sakit kepala. Saya ingin melihat lebih banyak artikel tentang keamanan komputer dan cara menjaga keamanan setinggi mungkin dalam sistem operasi yang kita cintai. Saya percaya bahwa selalu ada sesuatu yang lebih untuk dipelajari di luar pengetahuan yang diperoleh seseorang melalui kursus dan pelatihan.
Selain itu, saya selalu berkonsultasi dengan blog ini untuk mencari tahu tentang program baru untuk Gnu Linux.
Salam!
Bisakah Anda menjelaskan sedikit secara detail, dengan angka dan kuantitas, mengapa "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" tidak ada; p) lebih aman daripada "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Saya tidak tahu apa-apa tentang matematika kombinatorial, tetapi saya masih tidak yakin dengan gagasan yang sering diulang-ulang bahwa kata sandi yang panjang dengan himpunan karakter sederhana lebih baik daripada yang lebih pendek dengan himpunan karakter yang jauh lebih besar. Apakah jumlah kombinasi yang mungkin benar-benar lebih banyak hanya menggunakan huruf dan angka Latin daripada menggunakan semua UTF-8?
Salam.
Hai Dani, mari kita pergi ke bagian untuk memperjelas ... apakah Anda pernah memiliki salah satu koper dengan kombinasi angka sebagai kunci? Mari kita lihat kasus berikut ... dengan asumsi mereka mencapai sembilan, kita memiliki sesuatu seperti:
| 10 | | 10 | | 10 |
Masing-masing memiliki kemungkinan diaz, jadi jika Anda ingin mengetahui jumlah kemungkinan kombinasi, Anda hanya perlu melakukan perkalian sederhana, 10³ tepatnya atau 1000.
Tabel ASCII berisi 255 karakter penting, yang biasanya kami gunakan angka, huruf kecil, huruf besar, dan beberapa tanda baca. Misalkan sekarang kita akan memiliki kata sandi 6 digit dengan sekitar 70 opsi (huruf besar, huruf kecil, angka dan beberapa simbol)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Seperti yang bisa Anda bayangkan, itu angka yang cukup besar, tepatnya 117. Dan itu semua adalah kemungkinan kombinasi yang ada untuk ruang tombol 649 digit. Sekarang kita akan mengurangi spektrum kemungkinan lebih banyak lagi, mari kita lanjutkan bahwa kita hanya akan menggunakan 000 (huruf kecil, angka dan simbol sesekali mungkin) tetapi dengan kata sandi yang lebih panjang, katakanlah mungkin 000 digit (Itu yang contohnya memiliki suka 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Jumlah kemungkinan menjadi… 1 159 445 329 576 199 417 209 625 244 140… Saya tidak tahu bagaimana cara menghitungnya, tapi bagi saya itu sedikit lebih lama :), tapi kita akan menguranginya lebih banyak lagi , kita hanya akan menggunakan angka 625 sampai 0, dan mari kita lihat apa yang terjadi pada kuantitasnya
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Dengan aturan sederhana ini, Anda dapat membuat kombinasi 100 yang mengejutkan :). Ini karena setiap digit yang ditambahkan ke persamaan meningkatkan jumlah kemungkinan secara eksponensial, sementara menambahkan kemungkinan dalam satu kotak akan meningkatkannya secara linier.
Tapi sekarang kita pergi ke apa yang "terbaik" bagi kita manusia.
Berapa lama waktu yang Anda butuhkan untuk menulis “• M¡ ¢ 0nt®a $ 3Ñ @ •” dalam istilah praktis? Mari kita asumsikan sejenak bahwa Anda harus menuliskannya setiap hari, karena Anda tidak suka menyimpannya ke komputer. Ini menjadi pekerjaan yang membosankan jika harus melakukan kontraksi tangan dengan cara yang tidak biasa. Jauh lebih cepat (menurut pandangan saya) adalah menulis kata-kata yang dapat Anda tulis secara alami, karena faktor penting lainnya adalah mengganti kunci secara teratur.
Dan yang tak kalah pentingnya ... Itu sangat tergantung pada suasana hati orang yang telah mengembangkan sistem, aplikasi, program Anda, dapat dengan tenang menggunakan SEMUA karakter UTF-8, dalam beberapa kasus bahkan dapat menonaktifkan penggunaan dari It dihitung karena aplikasi "mengubah" beberapa kata sandi Anda dan membuatnya tidak dapat digunakan ... Jadi mungkin lebih baik untuk bermain aman dengan karakter yang selalu Anda tahu tersedia.
Semoga ini bisa membantu dengan keraguan 🙂 Salam