Molto bene a tutti, prima di entrare nell'hardening del vostro team, voglio dirvi che l'installatore che sto sviluppando per Gentoo è già nella sua fase pre-alpha 😀 questo significa che il prototipo è abbastanza robusto da essere testato da altri utenti , ma allo stesso tempo c'è ancora molta strada da fare e il feedback di queste fasi (pre-alpha, alpha, beta) aiuterà a definire importanti caratteristiche del processo 🙂 Per chi è interessato ...
https://github.com/ChrisADR/installer
. Ho ancora la versione solo in inglese, ma spero che per la beta abbia già la sua traduzione in spagnolo (lo sto imparando dalle traduzioni in runtime in python, quindi c'è ancora molto da scoprire)
Hardening
Quando parliamo tempra, ci riferiamo a una grande varietà di azioni o procedure che ostacolano l'accesso a un sistema informatico o rete di sistemi. Proprio per questo si tratta di un argomento vasto e ricco di sfumature e dettagli. In questo articolo elencherò alcune delle cose più importanti o consigliate da tenere in considerazione quando si protegge un sistema, cercherò di andare dal più critico al meno critico, ma senza approfondire molto l'argomento poiché ognuno di questi punti sarebbe oggetto di un articolo a sé stante.
Accesso fisico
Questo è senza dubbio il primo e più importante problema per le squadre, poiché se l'attaccante ha un facile accesso fisico alla squadra, può già essere conteggiato come una squadra persa. Questo vale sia per i grandi data center che per i laptop all'interno di un'azienda. Una delle principali misure di protezione per questo problema sono le chiavi a livello di BIOS, per tutti coloro a cui questo suona nuovo, è possibile mettere una chiave per l'accesso fisico al BIOS, in questo modo se qualcuno vuole modificare il parametri di login e avvio del computer da un sistema live, non sarà un lavoro facile.
Ora questo è qualcosa di basilare e sicuramente funziona se è davvero richiesto, sono stato in diverse aziende dove questo non ha importanza, perché ritengono che il "guardiano" di sicurezza della porta sia più che sufficiente per poter evitare l'accesso fisico . Ma veniamo a un punto leggermente più avanzato.
LUSSO
Supponiamo per un secondo che un "aggressore" abbia già ottenuto l'accesso fisico al computer, il passo successivo è crittografare ogni disco rigido e partizione esistente. LUKS (Configurazione chiave unificata Linux) È una specifica di crittografia, tra le altre cose LUKS consente di crittografare una partizione con una chiave, in questo modo, quando il sistema si avvia, se la chiave non è nota, la partizione non può essere montata o letta.
Paranoia
Certamente ci sono persone che hanno bisogno di un livello di sicurezza "massimo", e questo porta a salvaguardare anche il più piccolo aspetto del sistema, beh, questo aspetto raggiunge il suo apice nel kernel. Il kernel Linux è il modo in cui il tuo software interagirà con l'hardware, se impedisci al tuo software di "vedere" l'hardware, non sarà in grado di danneggiare l'apparecchiatura. Per fare un esempio, sappiamo tutti quanto sia "pericolosa" l'USB con i virus quando parliamo di Windows, perché certamente l'USB può contenere codice in Linux che può o meno essere dannoso per un sistema, se facciamo in modo che il kernel riconosca solo il tipo di usb (firmware) che vogliamo, qualsiasi altro tipo di USB verrebbe semplicemente ignorato dal nostro team, cosa sicuramente un po 'estrema, ma potrebbe funzionare a seconda delle circostanze.
Servizi
Quando si parla di servizi, la prima parola che viene in mente è "supervisione", e questo è qualcosa di molto importante, poiché una delle prime cose che un utente malintenzionato fa quando entra in un sistema è mantenere la connessione. L'esecuzione di analisi periodiche delle connessioni in entrata e soprattutto in uscita è molto importante in un sistema.
iptables
Ora, abbiamo tutti sentito parlare di iptables, è uno strumento che permette di generare regole di entrata e uscita dati a livello di kernel, questo è sicuramente utile, ma è anche un'arma a doppio taglio. Molte persone credono che avendo il "firewall" siano già liberi da qualsiasi tipo di entrata o uscita dal sistema, ma nulla è più lontano dalla verità, questo può servire solo come effetto placebo in molti casi. È noto che i firewall funzionano in base a regole e queste possono certamente essere aggirate o indotte con l'inganno a consentire il trasporto dei dati attraverso porte e servizi per i quali le regole lo considererebbero "consentito", è solo una questione di creatività 🙂
Stabilità vs rilascio a rotazione
Questo è un punto piuttosto controverso in molti luoghi o situazioni, ma lasciatemi spiegare il mio punto di vista. Come membro di un team di sicurezza che sorveglia molti dei problemi nel ramo stabile della nostra distribuzione, sono a conoscenza di molte, quasi tutte le vulnerabilità che esistono sulle macchine Gentoo dei nostri utenti. Ora, distribuzioni come Debian, RedHat, SUSE, Ubuntu e molte altre attraversano la stessa cosa ei loro tempi di reazione possono variare a seconda di molte circostanze.
Facciamo un esempio chiaro, sicuramente tutti hanno sentito parlare di Meltdown, Spectre e di tutta una serie di notizie che sono volate in giro per internet in questi giorni, beh, il ramo più "rolling-release" del kernel è già patchato, il problema sta Nel portare queste correzioni ai kernel più vecchi, il backport è sicuramente un lavoro duro e duro. Dopodiché, devono ancora essere testati dagli sviluppatori della distribuzione e, una volta completato il test, saranno disponibili solo per gli utenti normali. Cosa voglio ottenere con questo? Perché il modello a rilascio progressivo ci richiede di saperne di più sul sistema e sui modi per salvarlo se qualcosa non funziona, ma lo è buono, perché mantenere la passività assoluta nel sistema ha diversi effetti negativi sia per l'amministratore che per gli utenti.
Conosci il tuo software
Questa è un'aggiunta molto preziosa nella gestione, cose semplici come iscriversi alle notizie del software che usi possono aiutarti a conoscere in anticipo gli avvisi di sicurezza, in questo modo puoi generare un piano di reazione e allo stesso tempo vedere quanto Ci vuole tempo perché ogni distribuzione risolva i problemi, è sempre meglio essere proattivi in questi problemi perché oltre il 70% degli attacchi alle aziende sono effettuati da software obsoleto.
Riflessione
Quando si parla di indurimento, si crede spesso che una squadra "protetta" sia a prova di tutto, e non c'è niente di più falso. Come indica la sua traduzione letterale, tempra implica rendere le cose più difficili, NON impossibili ... ma molte volte molte persone pensano che ciò implichi la magia nera e molti trucchi come gli honeypot ... questo è un ulteriore, ma se non puoi fare le cose più basilari come mantenere un software o linguaggio di programmazione aggiornato ... non c'è bisogno di creare reti fantasma e team con contromisure ... dico questo perché ho visto diverse aziende dove chiedono versioni di PHP da 4 a 5 (ovviamente fuori produzione) ... cose che oggi sono noti per avere centinaia se non migliaia di difetti di sicurezza, ma se l'azienda non riesce a stare al passo con la tecnologia, è inutile che facciano il resto.
Inoltre, se utilizziamo tutti software libero o aperto, il tempo di reazione ai bug di sicurezza è solitamente piuttosto breve, il problema arriva quando abbiamo a che fare con software proprietario, ma lo lascio per un altro articolo che spero ancora di scrivere presto.
Grazie mille per essere arrivato qui 🙂 saluti
Eccellente
Grazie mille 🙂 saluti
Quello che mi piace di più è la semplicità nell'affrontare questo problema, la sicurezza in questi tempi. Grazie rimarrò in Ubuntu fintanto che non ne ha un disperato bisogno perché non occupo la partizione che ho a Windows 8.1 al momento. Saluti.
Ciao norma, sicuramente i team di sicurezza Debian e Ubuntu sono abbastanza efficienti 🙂 Ho visto come gestiscono i casi a una velocità incredibile e sicuramente fanno sentire i loro utenti al sicuro, almeno se fossi su Ubuntu, mi sentirei un po 'più sicuro 🙂
Saluti, e vero, è una questione semplice ... la sicurezza più che un'arte oscura è una questione di criteri minimi 🙂
Grazie mille per il tuo contributo!
Molto interessante, soprattutto la parte del rilascio Rolling.
Non lo avevo tenuto in considerazione, ora devo gestire un server con Gentoo per vedere le differenze che ho con Devuan.
Un grande saluto e ps a condividere questa voce nei miei social network in modo che questa informazione raggiunga più persone !!
Grazie!
Prego Alberto 🙂 Ero in debito per essere stato il primo a rispondere alla richiesta del blog precedente 🙂 quindi saluti e ora per continuare con quella lista in sospeso da scrivere 🙂
Bene, applicare l'hardening con lo spettro là fuori, sarebbe come lasciare il PC più vulnerabile in caso di utilizzo del sanboxing, ad esempio. Curiosamente, la tua attrezzatura sarà più sicura contro lo spettro, meno livelli di sicurezza applicherai ... divertente, vero?
questo mi ricorda un esempio che potrebbe presentare un intero articolo ... usare -fsanitize = address nel compilatore potrebbe farci pensare che il software compilato sarebbe più "sicuro", ma niente potrebbe essere più lontano dalla verità, lo so uno sviluppatore che ha provato un Invece di farlo con tutto il team ... si è rivelato più facile attaccare di uno senza usare ASAN ... lo stesso vale per vari aspetti, usando i livelli sbagliati quando non sai cosa lo fanno, è più dannoso che non usare nulla immagino che sia qualcosa che dovremmo considerare tutti quando proviamo a proteggere un sistema ... il che ci riporta al fatto che questa non è una magia oscura, ma mero buon senso 🙂 grazie per il tuo contributo
Per il mio punto di vista, la vulnerabilità più grave equiparata all'accesso fisico e all'errore umano, è ancora l'hardware, lasciando da parte Meltdown e Spectre, sin dai tempi antichi è stato visto come varianti del worm LoveLetter che scriveva codice nel BIOS dell'apparecchiatura , poiché alcune versioni del firmware su SSD consentivano l'esecuzione di codice remoto e il peggio dal mio punto di vista Intel Management Engine, che è un'aberrazione completa per la privacy e la sicurezza, perché non importa più se l'apparecchiatura ha crittografia AES, offuscamento o qualsiasi tipo di indurimento, perché anche se il computer è spento l'IME ti fotterà.
E anche paradossalmente un Tinkpad X200 del 2008 che utilizza LibreBoot è più sicuro di qualsiasi computer attuale.
La cosa peggiore di questa situazione è che non ha soluzione, perché né Intel, AMD, Nvidia, Gygabite o qualsiasi produttore di hardware moderatamente noto rilasceranno sotto GPL o qualsiasi altra licenza gratuita, l'attuale design hardware, perché perché investire milioni di dollari che qualcun altro copi la vera idea.
Bellissimo capitalismo.
Verissimo Kra 🙂 è evidente che sei abbastanza esperto in materia di sicurezza 😀 perché in effetti software e hardware proprietari sono una questione di cura, ma sfortunatamente contro questo c'è poco da fare rispetto all '"hardening", poiché come dici questo è qualcosa che sfugge a quasi tutti i mortali, tranne quelli che conoscono la programmazione e l'elettronica.
Saluti e grazie per la condivisione 🙂
Molto interessante, ora un tutorial per ogni sezione andrebbe bene xD
A proposito, quanto è pericoloso se metto un Raspberry Pi e apro le porte necessarie per utilizzare owncloud o un server web da fuori casa?
È che sono piuttosto interessato ma non so se avrò tempo per rivedere i log di accesso, controllare di tanto in tanto le impostazioni di sicurezza, ecc.
Ottimo contributo, grazie per aver condiviso la tua conoscenza.