כיצד להגן על המחשב מפני התקפות

ChrisADR

7 דקות

טוב מאוד לכולם, לפני שנכנסתי להתקשות הצוות שלך, אני רוצה לומר לך שהמתקין שאני מפתח עבור ג'נטו כבר נמצא בשלב הקדם-אלפא its זה אומר שהאב-טיפוס מספיק חזק כדי להיבדק על ידי משתמשים אחרים , אך יחד עם זאת יש עוד דרך ארוכה לעבור, והמשוב משלבים אלה (טרום אלפא, אלפא, בטא) יסייע בהגדרת מאפיינים חשובים של התהליך 🙂 למתעניינים ...

https://github.com/ChrisADR/installer

. עדיין יש לי את הגרסה האנגלית בלבד, אבל אני מקווה שלגרסת הבטא כבר יש לה את התרגום לספרדית (אני לומד את זה מתרגומי ריצה בפייתון, אז יש עוד הרבה מה לגלות)

מתקשה

כשאנחנו מדברים התקשות, אנו מתייחסים למגוון גדול של פעולות או פרוצדורות המפריעות את הגישה למערכת מחשב, או לרשת מערכות. זו בדיוק הסיבה שזה נושא עצום מלא בניואנסים ופרטים. במאמר זה אפרט כמה מהדברים החשובים ביותר או המומלצים ביותר שיש לקחת בחשבון בעת ​​הגנה על מערכת, אנסה לעבור מהקריטיים ביותר לקשים ביותר, אך מבלי להתעמק בנושא מכיוון שכל אחד מאלה מציין שזה יהיה הנושא של מאמר משלו.

גישה פיזית

זו ללא ספק הבעיה הראשונה והחשובה ביותר עבור קבוצות, שכן אם לתוקף יש גישה פיזית קלה לקבוצה, הם כבר יכולים להיחשב כקבוצה אבודה. זה נכון גם לגבי מרכזי נתונים גדולים וגם מחשבים ניידים בתוך חברה. אחד מאמצעי ההגנה העיקריים לבעיה זו הם המפתחות ברמת ה- BIOS, לכל אלה שזה נשמע חדש להם, ניתן לשים מפתח לגישה הפיזית של ה- BIOS, בדרך זו אם מישהו רוצה לשנות את פרמטרים של כניסה והפעלת המחשב ממערכת חיה, זו לא תהיה עבודה קלה.

עכשיו זה משהו בסיסי וזה בהחלט עובד אם זה באמת נדרש, הייתי בכמה חברות שבהן זה לא משנה, מכיוון שהן מאמינות ש"מאבטח "הדלת הוא די והותר בכדי למנוע גישה פיזית. אבל בואו נגיע לנקודה קצת יותר מתקדמת.

מוּתָרוּת

נניח לרגע ש"תוקף "כבר זכה לגישה פיזית למחשב, השלב הבא הוא להצפין כל כונן קשיח ומחיצה קיימים. LUKS (הגדרת מפתח מאוחד של לינוקס) זהו מפרט הצפנה, בין היתר LUKS מאפשר להצפין מחיצה עם מפתח, באופן זה, כאשר המערכת מתחילה, אם המפתח אינו ידוע, לא ניתן להתקין או לקרוא את המחיצה.

פרנויה

בוודאי שיש אנשים שזקוקים לרמת אבטחה "מקסימאלית" וזה מוביל לשמירה אפילו על ההיבט הקטן ביותר של המערכת, ובכן, היבט זה מגיע לשיאו בגרעין. ליבת הלינוקס היא האופן שבו התוכנה שלך תקשר עם החומרה, אם תמנע מהתוכנה שלך "לראות" את החומרה, היא לא תוכל לפגוע בציוד. כדי לתת דוגמה, כולנו יודעים עד כמה USB "מסוכן" עם וירוסים כאשר אנו מדברים על Windows, מכיוון שבוודאי USB יכול להכיל קוד בלינוקס שעשוי להזיק למערכת או לא, אם אנו גורמים לליבה לזהות רק את הסוג של USB (קושחה) שאנחנו רוצים, כל סוג אחר של USB פשוט יתעלם מהצוות שלנו, משהו בהחלט קצת קיצוני, אבל זה יכול לעבוד בהתאם לנסיבות.

שירותים

כשאנחנו מדברים על שירותים, המילה הראשונה שעולה בראש היא "פיקוח", וזה משהו די חשוב, שכן אחד הדברים הראשונים שתוקף עושה כשנכנס למערכת הוא לשמור על הקשר. ביצוע ניתוח תקופתי של חיבורים נכנסים ובעיקר יוצאים חשוב מאוד במערכת.

איפטבלים

כעת, כולנו שמענו על iptables, זהו כלי המאפשר ליצור כללי כניסה ויציאה של נתונים ברמת הליבה, זה בהחלט שימושי, אך זו גם חרב פיפיות. אנשים רבים מאמינים כי באמצעות "חומת האש" הם כבר נקיים מכל סוג של כניסה או יציאה מהמערכת, אך שום דבר אינו רחוק יותר מהאמת, הדבר יכול לשמש רק אפקט פלצבו במקרים רבים. ידוע כי חומות אש עובדות על בסיס כללים, וניתן בהחלט לעקוף את אלה או להטעות אותם בכדי לאפשר העברת נתונים דרך יציאות ושירותים שהחוקים רואים בהם "מותרים", זה רק עניין של יצירתיות 🙂

יציבות לעומת שחרור מתגלגל

עכשיו זו נקודה שנויה במחלוקת למדי במקומות רבים או במצבים, אבל הרשו לי להסביר את נקודת המבט שלי. כחבר בצוות אבטחה המשגיח על רבים מהנושאים בענף היציב של ההפצה שלנו, אני מודע לפגיעות רבות, כמעט לכל, הקיימות במכונות הגנטו של המשתמשים שלנו. כעת, הפצות כמו דביאן, RedHat, SUSE, אובונטו ורבים אחרים עוברות את אותו הדבר, וזמני התגובה שלהם יכולים להשתנות בהתאם לנסיבות רבות.

בואו נלך לדוגמא ברורה, בוודאי שכולם שמעו על Meltdown, Specter ועל סדרה שלמה של חדשות שטסו ברחבי האינטרנט בימינו, ובכן, הענף הכי "משחרר מתגלגל" של הגרעין כבר תוקנו, הבעיה נעוצה. בהבאת התיקונים לגרעינים ישנים יותר, הובלה אחורית היא בהחלט עבודה קשה וקשה. כעת לאחר מכן, הם עדיין צריכים להיבדק על ידי מפתחי ההפצה, ולאחר סיום הבדיקה, זה יהיה זמין רק למשתמשים רגילים. מה אני רוצה לקבל עם זה? מכיוון שמודל השחרור המתגלגל דורש מאיתנו לדעת יותר על המערכת ודרכים להציל אותה אם משהו נכשל, אך זהו טובמכיוון שלשמירה על פסיביות מוחלטת במערכת יש כמה השפעות שליליות הן למנהל והן למשתמשים.

דע את התוכנה שלך

זו תוספת חשובה מאוד בעת הניהול, דברים פשוטים כמו מנוי לחדשות התוכנה בה אתה משתמש יכולים לעזור לך לדעת מראש את הודעות האבטחה, באופן זה תוכל ליצור תוכנית תגובה ובאותה עת לראות כמה לוקח לכל זמן הפצה לפתור את הבעיות, עדיף תמיד להיות פרואקטיביות בנושאים אלה מכיוון שיותר מ -70% מהתקיפות על חברות מתבצעות על ידי תוכנות מיושנות.

השתקפות

כשאנשים מדברים על התקשות, לעתים קרובות מאמינים שצוות "מוגן" הוא הוכחה כנגד הכל, ואין שום דבר שקרי יותר. כפי שמעיד התרגום המילולי שלו, התקשות מרמז על כך שהדברים קשים יותר, לא בלתי אפשריים ... אך פעמים רבות אנשים רבים חושבים שמדובר בקסם אפל וטריקים רבים כגון סירי דבש ... זה תוספת, אך אם אינך יכול לעשות את הדברים הבסיסיים ביותר כמו שמירה על תוכנה או תכנות מעודכנת בשפה ... אין צורך ליצור רשתות פנטום וצוותים עם אמצעי נגד ... אני אומר זאת כי ראיתי כמה חברות בהן הם מבקשים גרסאות של PHP 4 עד 5 (ברור שהופסקו) ... דברים שהיום ידוע שיש להם מאות אם לא אלפי פגמים, אך אם החברה לא יכולה לעמוד בקצב הטכנולוגיה, אין בכך תועלת אם הם עושים את השאר.

כמו כן, אם כולנו משתמשים בתוכנה חופשית או פתוחה, זמן התגובה לשגיאות אבטחה בדרך כלל קצר למדי, הבעיה מגיעה כאשר אנו מתעסקים בתוכנות קנייניות, אך אני משאיר זאת למאמר אחר שאני עדיין מקווה לכתוב בקרוב.

תודה רבה שהגעת לכאן 🙂 ברכות


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   גאלאפלדו דיג'ו
    hace 6 שנים

    מצוין

    השב לתגלית
    1.    ChrisADR דיג'ו
      hace 6 שנים

      תודה רבה 🙂 ברכות

      השב ל- ChrisADR
  2.   נורמן דיג'ו
    hace 6 שנים

    מה שאני הכי אוהב זה הפשטות כשעוסקים בנושא זה, אבטחה בזמנים האלה. תודה אני אשאר באובונטו כל עוד זה לא זקוק מאוד כי אני לא תופס את המחיצה שיש לי בחלונות 8.1 ברכה.

    תשובה לנורמן
    1.    ChrisADR דיג'ו
      hace 6 שנים

      שלום נורמה, בוודאי שצוותי האבטחה של דביאן ואובונטו יעילים למדי 🙂 ראיתי איך הם מטפלים בתיקים במהירות מדהימה והם בהחלט גורמים למשתמשים שלהם להרגיש בטוחים, לפחות אם הייתי באובונטו, הייתי מרגיש קצת יותר בטוח 🙂
      ברכות, ונכון, זה נושא פשוט ... ביטחון יותר מאשר אמנות אפלה הוא עניין של קריטריונים מינימליים 🙂

      השב ל- ChrisADR
  3.   אלברטו קרדונה דיג'ו
    hace 6 שנים

    תודה רבה על תרומתך!
    מעניין מאוד, במיוחד החלק במהדורת הרולינג.
    לא לקחתי את זה בחשבון, עכשיו אני צריך לנהל שרת עם Gentoo כדי לראות את ההבדלים שיש לי עם Devuan.
    ברכה גדולה ו ps לחלוק את הערך הזה ברשתות החברתיות שלי כדי שהמידע הזה יגיע ליותר אנשים !!
    תודה!

    תשובה לאלברטו קרדונה
    1.    ChrisADR דיג'ו
      hace 6 שנים

      אתה מוזמן אלברטו was הייתי חוב על היותי הראשון לענות לבקשת הבלוג הקודם - אז ברכות ועכשיו להמשיך עם הרשימה הממתינה לכתוב.

      השב ל- ChrisADR
  4.   jolt2bolt דיג'ו
    hace 6 שנים

    ובכן, יישום התקשות עם רפאים שם, יהיה כמו להשאיר את המחשב פגיע יותר במקרה של שימוש בסאנבוקסינג למשל. באופן מוזר, הציוד שלך יהיה בטוח יותר מפני ספקטרום שכמויות האבטחה שאתה מחיל פחות ... מצחיק נכון

    תשובה ל- Jolt2bolt
    1.    ChrisADR דיג'ו
      hace 6 שנים

      זה מזכיר לי דוגמה שיכולה להציג מאמר שלם ... שימוש ב- -fsanitize = כתובת בתוך המהדר יכול לגרום לנו לחשוב שהתוכנה המהודרת תהיה "מאובטחת" יותר, אבל שום דבר לא יכול להיות רחוק יותר מהאמת, אני יודע מפתח שניסה א במקום לעשות את זה עם כל הצוות ... התברר שהיה קל יותר לתקוף מאשר אחד מבלי להשתמש ב- ASAN ... הדבר תקף בהיבטים שונים, תוך שימוש בשכבות הלא נכונות כשלא יודעים מה הם עושים, זה יותר מזיק מאשר לא להשתמש בשום דבר. אני מניח שזה מה שכולנו צריכים לשקול כשמנסים להגן על מערכת ... מה שמחזיר אותנו לעובדה שזה לא קסם אפל, אלא שכל ישר. 🙂 תודה על הקלט שלך

      השב ל- ChrisADR
  5.   קרא דיג'ו
    hace 6 שנים

    לדעתי הפגיעות החמורה ביותר המשווה גישה פיזית וטעויות אנושיות, היא עדיין החומרה שמשאירה את Meltdown ו- Spectre בצד, שכן בתקופות ישנות היא נתפסה כגרסאות של תולעת LoveLetter שכתבה קוד ב- BIOS של הציוד, כ גרסאות קושחה מסוימות ב- SSD אפשרו ביצוע קוד מרחוק והכי גרוע מנקודת מבטי מנוע הניהול של אינטל, שהוא סטייה מוחלטת לפרטיות ואבטחה, מכיוון שכבר לא משנה אם הציוד כולל הצפנת AES, ערפול או כל סוג של התקשות , כי גם אם המחשב כבוי ה- IME הולך לדפוק אותך.

    וגם באופן פרדוקסלי Tinkpad X200 משנת 2008 המשתמש ב- LibreBoot בטוח יותר מכל מחשב נוכחי.

    הדבר הגרוע ביותר במצב זה הוא שאין לו פיתרון, מכיוון שלא אינטל, AMD, Nvidia, Gygabite או יצרנית חומרה ידועה למדי מתכוונים לשחרר תחת GPL או כל רישיון חינם אחר, את עיצוב החומרה הנוכחי, כי מדוע להשקיע מיליון דולר שמישהו אחר יעתיק את הרעיון האמיתי.

    קפיטליזם יפה.

    תשובה ל- Kra
    1.    ChrisADR דיג'ו
      hace 6 שנים

      נכון מאוד Kra 🙂 ניכר שאתה די מיומן בענייני אבטחה 😀 מכיוון שלמעשה תוכנה וחומרה קנייניות הם עניין של טיפול, אך למרבה הצער כנגד זה אין מה לעשות ביחס ל"הקשחה ", שכן כמו שאתה אומר, זה משהו שחומק כמעט מכל בני התמותה, למעט אלה שיודעים תכנות ואלקטרוניקה.

      ברכות ותודה על השיתוף 🙂

      השב ל- ChrisADR
  6.   אנונימי דיג'ו
    hace 6 שנים

    מעניין מאוד, עכשיו הדרכה לכל קטע תהיה טובה xD

    אגב, כמה זה מסוכן אם אני שם פטל פטל ואפתח את היציאות הדרושות לשימוש ב- owncloud או בשרת אינטרנט מחוץ לבית?
    זה שאני די מעוניין אבל אני לא יודע אם יהיה לי זמן לבדוק יומני גישה, להסתכל על הגדרות האבטחה מעת לעת וכו 'וכו' ...

    תשובה לאנונימי
  7.   חוליו דיג'ו
    hace 6 שנים

    תרומה מעולה, תודה ששיתפת את הידע שלך.

    תשובה לחוליו