עד כה אני לא חושב שנגעתי באחד השירים האהובים עלי, אבטחה במחשבואני מאמין שזה יהיה הנושא שעליו אספר לך היום 🙂 אני מקווה שאחרי מאמר קצר זה תוכל לקבל מושג טוב יותר מה יכול לעזור לך לשלוט טוב יותר בסיכונים שלך וכיצד למתן רבים במקביל.
סיכונים בכל מקום
זה בלתי נמנע, רק השנה הזו כבר גילינו יותר מ -15000 נקודות תורפה שהוקצו בדרך ציבורי. מאיפה אני יודע? מכיוון שחלק מתפקידי הוא לבדוק קורות חיים בתוכניות בהן אנו משתמשים בג'נטו כדי לראות אם אנו מריצים תוכנות פגיעות, כך נוכל לעדכן אותה ולהבטיח שלכל אחד מההפצות יהיה ציוד בטוח.
CVE
פגיעויות וחשיפות נפוצות על ראשי התיבות שלו באנגלית, הם המזהים הייחודיים המוקצים לכל פגיעות קיימת. אני יכול לומר בשמחה רבה שכמה מפתחי ג'נטו תומכים בטובת האנושות, חוקרים ומפרסמים את ממצאיהם כך שניתן יהיה לתקן ולתקן. אחד המקרים האחרונים שהיה לי העונג לקרוא היה זה Optionsbled; פגיעות שהשפיעה על שרתי אפאצ'י ברחבי העולם. מדוע אני אומר שאני גאה בכך? מכיוון שהם עושים טוב לעולם, שמירת סודות הפגיעות מועילה רק למעטים, וההשלכות של זה יכולות להיות קטסטרופליות בהתאם למטרה.
CNA
רשתות CNA הן גופים המופקדים על בקשת ו / או הקצאת קורות חיים, למשל, יש לנו את ה- CNA של מיקרוסופט, האחראי על קיבוץ הפגיעות שלהם, פתרונן והקצאתן CVE לרישום מאוחר יותר לאורך זמן.
סוגי אמצעים
נתחיל בהבהרה כי שום ציוד אינו בטוח או יהיה בטוח ב 100%, וכפי שנאמר נהוג לומר:
המחשב המאובטח היחיד ב 100% הוא מחשב הנעול בכספת, מנותק מהאינטרנט וכובה.
מכיוון שזה נכון, הסיכונים תמיד יהיו שם, ידועים או לא ידועים, זה רק עניין של זמן ולכן לנוכח הסיכון נוכל לעשות את הפעולות הבאות:
מקלים את זה
הפחתת סיכון אינה אלא להפחית אותו (לא לבטל את זה). זו נקודה די חשובה ומכריעה הן ברמה העסקית והן ברמה האישית, לא רוצים "להיפרץ", אבל אם לומר את האמת הנקודה החלשה ביותר בשרשרת היא לא הציוד, ולא התוכנית, אפילו לא התהליך. , זה האדם.
לכולנו יש הרגל להאשים אחרים, בין אם הם אנשים או דברים, אך באבטחת המחשב האחריות היא ותמיד תהיה של האדם, יתכן שזה לא אתה באופן ישיר, אבל אם לא תלך בדרך הנכונה, אתה תהיה חלק מהבעיה. בהמשך אתן לך טריק קטן כדי להישאר קצת יותר בטוחים 😉
העבר אותו
זהו עיקרון ידוע למדי, עלינו לדמיין אותו כ- בנק. כשאתה צריך לדאוג לכסף שלך (כלומר פיזית) הדבר הכי בטוח הוא להשאיר אותו אצל מישהו שיש לו את היכולת לשמור עליו הרבה יותר טוב ממך. אתה לא צריך שיהיה לך קמרון משלך (למרות שזה יהיה הרבה יותר טוב) כדי להיות מסוגל לטפל בדברים, אתה רק צריך שיהיה מישהו (שאתה סומך עליו) שישמור על משהו טוב ממך.
לקבל זאת
אך כאשר הראשון והשני אינם חלים, ובכן שם נכנסת השאלה החשובה באמת. כמה שווה לי המשאב / נתונים / וכו 'זה? אם התשובה היא רבה, אז כדאי שתחשבו על השניים הראשונים. אבל אם התשובה היא א לא כל כך הרבהאולי אתה פשוט צריך לקבל את הסיכון.
אתה צריך להתמודד עם זה, לא הכל ניתן למיתון, וכמה דברים ניתנים למיתון יעלו כל כך הרבה משאבים שזה יהיה כמעט בלתי אפשרי ליישם פיתרון אמיתי מבלי שתצטרך לשנות ולהשקיע הרבה זמן וכסף. אבל אם אתה יכול לנתח את מה שאתה מנסה להגן, והוא לא מוצא את מקומו בשלב הראשון או השני, אז פשוט קח אותו בשלב השלישי בצורה הטובה ביותר, אל תיתן לו יותר ערך ממה שיש לו, ו אל תערבב את זה עם דברים שבאמת יש להם ערך.
להתעדכן
זו אמת שחומקת ממאות אנשים ועסקים. אבטחת מחשבים אינה עמידה בביקורת שלך 3 פעמים בשנה וצפויה ששום דבר לא יקרה במהלך 350 הימים האחרים. וזה נכון עבור מנהלי מערכות רבים. סוף סוף הצלחתי לאשר את עצמי כ- LFCS (אני משאיר לך למצוא היכן עשיתי את זה 🙂) וזו נקודה קריטית במהלך הקורס. חשוב לעדכן את הציוד והתוכניות שלו, מכריע, כדי למנוע את רוב הסיכונים. בטח שרבים כאן יגידו לי, אך התוכנית בה אנו משתמשים אינה פועלת בגרסה הבאה או משהו דומה, מכיוון שהאמת היא שהתוכנית שלך היא פצצת זמן אם היא לא עובדת בגרסה האחרונה. וזה מביא אותנו לסעיף הקודם, אתה יכול למתן את זה?, אתה יכול להעביר את זה?, אתה יכול לקבל את זה? ...
האמת, רק כדי לזכור, סטטיסטית 75% מהתקפות אבטחת המחשבים מקורן מבפנים. זה יכול להיות בגלל שיש לך משתמשים תמימים או זדוניים בחברה. או שתהליכי האבטחה שלהם לא הקשו על א האקר לפרוץ לחצרים או לרשתות שלך. וכמעט יותר מ -90% מהתקיפות נגרמות על ידי תוכנות מיושנות, לא עקב נקודות תורפה של יום אפס.
תחשוב כמו מכונה, לא כמו בן אדם
זו תהיה עצה קטנה שאשאיר אותך מכאן והלאה:
תחשוב כמו מכונות
למי שלא מבין, עכשיו אני נותן לך דוגמה.
אני מציג אותך ג'ון. בקרב חובבי האבטחה זו אחת מנקודות ההתחלה הטובות ביותר כשאתה מתחיל בעולם של פריצת אתיקה. ג'ון הוא מסתדר נפלא עם חברנו לכסוס. ובעצם הוא תופס רשימה שמועברת לו ומתחיל לבדוק את הצירופים עד שימצא מפתח הפותר את הסיסמה שהוא מחפש.
לכסוס הוא מחולל של שילובים. זה אומר שאתה יכול להגיד קראנץ 'שאתה רוצה סיסמה שאורכה 6 תווים, המכילה אותיות קטנות וקטנות והתחנקות תתחיל לבדוק אחת אחת ... משהו כמו:
aaaaaa,aaaaab,aaaaac,aaaaad,....
והם תוהים כמה זמן לוקח לעבור על כל הרשימה בוודאות ... זה לא לוקח יותר מכמה minutos. למי שנשאר בפה פעור, הרשה לי להסביר. כפי שדנו קודם, החוליה החלשה ביותר בשרשרת היא האדם, וצורת החשיבה שלו. עבור מחשב לא קשה לבדוק שילובים, הוא חוזר על עצמו מאוד, ועם השנים המעבדים הפכו כל כך חזקים שלוקח לא יותר משנייה לבצע אלף ניסיונות, או אפילו יותר.
אבל עכשיו הדבר הטוב, הדוגמה הקודמת היא עם ה- חשיבה אנושית, עכשיו אנחנו הולכים על זה מחשבת מכונה:
אם אנו אומרים לקרנץ להתחיל ליצור סיסמה באמצעות סתם 8 ספרות, באותן דרישות קודמות, עברנו מדקות ל Horas. ונחש מה קורה אם נגיד לך להשתמש ביותר מ -10, הם הופכים להיות ימים. במשך יותר מ 12 אנחנו כבר נמצאים חודשיםבנוסף לעובדה שהרשימה תהיה בפרופורציות שלא ניתן היה לאחסן במחשב רגיל. אם נגיע ל -20 נדבר על דברים שמחשב לא יוכל לפענח בעוד מאות שנים (עם מעבדים קיימים כמובן). יש לזה את ההסבר המתמטי שלו, אבל מטעמי מקום אני לא מתכוון להסביר את זה כאן, אבל לסקרנים ביותר זה קשור הרבה ל תְמוּרָה, קומבינטורי ו - שילובים. ליתר דיוק, עם העובדה שלכל אות שנוסיף לאורכה יש לנו כמעט 50 אפשרויות, כך שיהיה לנו משהו כמו:
20^50 שילובים אפשריים לסיסמה האחרונה שלנו. הזן את המספר הזה במחשבון שלך כדי לראות כמה אפשרויות יש באורך מפתח של 20 סמלים.
איך אוכל לחשוב כמו מכונה?
זה לא קל, יותר מאדם אחד יגיד לי לחשוב על סיסמה של 20 אותיות ברציפות, במיוחד עם הרעיון הישן שהסיסמאות הן מילים מַפְתֵחַ. אבל בואו נראה דוגמה:
dXfwHd
זה קשה לאדם לזכור, אך קל מאוד למכונה.
caballoconpatasdehormiga
זה לעומת זאת קל מאוד לאדם לזכור (אפילו מצחיק) אבל זה לעזאזל לכסוס. ועכשיו יגידו לי יותר מאחד, אבל האם לא מומלץ להחליף גם את המפתחות ברצף? כן, מומלץ, אז עכשיו נוכל להרוג שתי ציפורים במכה אחת. נניח שהחודש אני קורא דון קישוט דה לה מנצ'ה, כרך א '. בסיסמה שלי אשים משהו כמו:
ElQuijoteDeLaMancha1
20 סמלים, משהו די קשה לגלות מבלי להכיר אותי, והדבר הטוב ביותר הוא שכאשר אסיים את הספר (בהנחה שהם קוראים כל הזמן 🙂) הם יידעו שהם חייבים לשנות את הסיסמה שלהם, ואפילו לשנות ל:
ElQuijoteDeLaMancha2
זו התקדמות 🙂 וזה בוודאי יעזור לך לשמור על הסיסמאות שלך ובאותה עת להזכיר לך לסיים את הספר שלך.
זה מספיק מה שכתבתי ולמרות שאשמח להיות מסוגלים לדבר על נושאים ביטחוניים רבים נוספים, נעזוב את זה לפעם אחרת 🙂 ברכות
מעניין מאוד!!
אני מקווה שתוכלו להעלות הדרכות בנושא התקשות בלינוקס, זה יהיה נפלא.
ברכות!
שלום 🙂 ובכן, היית יכול לתת לי קצת זמן, אבל אני גם חולק משאב שנראה לי מעניין ביותר 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
זה לא מתורגם לספרדית 🙁 אבל אם מישהו מעז לתת יד עם זה ולעזור זה יהיה נהדר 🙂
לגבי
מעניין מאוד, אך מנקודת המבט שלי התקפות כוח אכזרי הולכות ומתיישנות, ויצירת סיסמאות כמו "ElQuijoteDeLaMancha1" גם לא נראית פיתרון בר-קיימא, זאת מכיוון שעם מעט הנדסה חברתית אפשר למצוא את הסיסמאות של הסוג הזה, רק עצום עם חקירה שטחית של האדם והיא עצמה תגלה לנו את זה, בין ברשתות החברתיות שלה, בפני מכריה או בעבודה, הוא חלק מהטבע האנושי.
לדעתי, הפיתרון הטוב ביותר הוא להשתמש במנהל סיסמאות, מכיוון שיותר בטוח להשתמש בסיסמה של 100 ספרות מאשר 20 ספרות, בנוסף, יש יתרון שמאחר וסיסמת האב ידועה רק, לא ניתן לחשוף אפילו מערבית את הסיסמאות שנוצרו מכיוון שהן אינן ידועות.
זהו מנהל הסיסמאות שלי, הוא קוד פתוח ועל ידי חיקוי של מקלדת, הוא חסין בפני מקשי מפתח.
https://www.themooltipass.com
ובכן, אני לא מתיימר לתת פיתרון בטוח לחלוטין (כשאני זוכר ששום דבר אינו בלתי חדיר) ב 100 מילים בלבד 🙂 (אני לא רוצה לכתוב יותר מזה אלא אם כן זה הכרחי בהחלט) אלא בדיוק כמו שאתה אומר את זה 1500 עדיף על 100, ובכן 20 עדיף על 20 🙂 ובכן, כמו שאמרנו בהתחלה, החוליה החלשה ביותר היא האיש, כך ששם תשומת הלב תמיד תהיה. אני מכיר כמה "מהנדסים חברתיים" שלא יודעים הרבה על טכנולוגיה, אך מספיקים רק לעבודות ייעוץ בטיחות. הרבה יותר קשה למצוא האקרים אמיתיים שמגלים פגמים בתוכניות (יום האפס הידוע).
אם אנחנו מדברים על פתרונות "טובים יותר" אנחנו כבר נכנסים לנושא לאנשים עם מומחיות בתחום, ואני משתף את כל סוג המשתמשים 🙂 אבל אם תרצה נוכל לדבר על פתרונות "טובים יותר" במועד אחר. ותודה על הקישור, בטוח היתרונות והחסרונות שלו, אבל זה גם לא יעשה הרבה למנהל סיסמאות, אתה תופתע מהקלות והרצון שבהם הם תוקפים אותם, אחרי הכל ... ניצחון יחיד מרמז על מפתחות רבים. גילה.
לגבי
מאמר מעניין, ChrisADR. כמנהל מערכת לינוקס, זו תזכורת טובה לא להיתפס בכך שלא נותנים לה את החשיבות הגבוהה ביותר הנדרשת כיום בכדי לשמור על סיסמאות מעודכנות ועם האבטחה הנדרשת בימינו. אפילו זה מאמר שיעזור מאוד לאנשים רגילים שחושבים שסיסמה אינה הסיבה ל 90% מכאבי הראש. ברצוני לראות מאמרים נוספים בנושא אבטחת מחשבים וכיצד לשמור על האבטחה הגבוהה ביותר האפשרית במערכת ההפעלה האהובה שלנו. אני מאמין שתמיד יש עוד מה ללמוד מעבר לידע שרוכשים באמצעות קורסים והכשרות.
מעבר לכך אני תמיד מתייעץ עם הבלוג הזה כדי לברר אודות תוכנית חדשה עבור Gnu Linux כדי לשים עליה את היד.
ברכות!
האם תוכל להסביר מעט בפירוט, עם מספרים וכמויות, מדוע "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" אינו קיים; p) בטוח יותר מאשר "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
אני לא יודע כלום על מתמטיקה קומבינטורית, אבל אני עדיין לא משוכנע מהרעיון שחוזר על עצמו לעתים קרובות כי סיסמה ארוכה עם ערכת תווים פשוטה עדיפה על זו קצרה יותר עם ערכת תווים גדולה בהרבה. האם מספר הצירופים האפשריים באמת גדול יותר רק בשימוש באותיות ומספרים לטיניים מאשר בכל UTF-8?
ברכות.
הי דני, בוא נלך בחלקים כדי להבהיר ... האם אי פעם הייתה לך אחת מאותם מזוודות עם שילובי מספרים כמנעול? בואו נראה את המקרה הבא ... בהנחה שהם מגיעים לתשע יש לנו משהו כמו:
| 10 | | 10 | | 10 |
לכל אחד יש אפשרויות דיאז, כך שאם אתה רוצה לדעת את מספר הצירופים האפשריים, אתה רק צריך לעשות מכפל פשוט, 10³ ליתר דיוק או 1000.
טבלת ASCII מכילה 255 תווים חיוניים, מתוכם אנו משתמשים בדרך כלל במספרים, באותיות קטנות, באותיות גדולות ובכמה סימני פיסוק. נניח שעכשיו תהיה לנו סיסמה בת 6 ספרות עם כ -70 אפשרויות (אותיות רישיות, קטנות, מספרים וכמה סמלים)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
כפי שאתה יכול לדמיין, זה מספר די גדול, 117 ליתר דיוק. ואלה כל השילובים האפשריים שקיימים עבור מרחב מקשים בן 649 ספרות. עכשיו אנחנו הולכים לצמצם את ספקטרום האפשרויות הרבה יותר, בואו נמשיך שנשתמש רק ב 000 (אותיות קטנות, מספרים וסמל מזדמן אולי) אבל עם סיסמה ארוכה בהרבה, נגיד אולי 000 ספרות (זה שהדוגמה יש כמו 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
מספר האפשרויות הופך ... 1 159 445 329 576 199 417 209 625 244 140 625 ... אני לא יודע לספור את המספר הזה, אבל מבחינתי הוא קצת יותר ארוך :), אבל אנחנו הולכים לצמצם אותו עוד יותר נשתמש רק במספרים 0 עד 9, ונראה מה קורה לכמות
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
עם הכלל הפשוט הזה אתה יכול להגיע לשילובים מדהימים של 100 :). הסיבה לכך היא שכל ספרה שנוספה למשוואה מגדילה את מספר האפשרויות באופן אקספוננציאלי, ואילו הוספת אפשרויות בתוך תיבה אחת מגדילה אותה באופן ליניארי.
אבל עכשיו נלך למה ש"הכי טוב "עבורנו בני האדם.
כמה זמן לוקח לך לכתוב "• M¡ ¢ 0nt®a $ 3Ñ @ •" במונחים מעשיים? בואו נניח לרגע שעליכם לרשום אותו כל יום מכיוון שאינכם אוהבים לשמור אותו במחשב. זה הופך לעבודה מייגעת אם אתה צריך לעשות כיווץ ידיים בדרכים יוצאות דופן. הרבה יותר מהיר (לדעתי) לכתוב מילים שתוכלו לכתוב באופן טבעי, מכיוון שגורם חשוב נוסף הוא החלפת המפתחות באופן קבוע.
ואחרון חביב ... זה תלוי הרבה במצב הרוח של האדם שפיתח את המערכת, האפליקציה, התוכנית, היכולת להשתמש בשלווה בכל התווים של UTF-8, במקרים מסוימים זה עשוי אפילו להשבית את השימוש של זה נחשב מכיוון שהיישום "ממיר" חלק מהסיסמה שלך והופך אותו לבלתי שמיש ... אז אולי עדיף לנגן אותו בבטחה עם הדמויות שאתה תמיד יודע שיש.
מקווה שזה עוזר בספקות reet ברכות