今のところ、好きな曲には触れていないと思いますが、 コンピュータセキュリティ、そしてこれが今日お話しするトピックになると信じています🙂この短い記事の後で、リスクをより適切に管理するのに何が役立つのか、そしてどのように役立つのかについてより良いアイデアが得られることを願っています同時に多くを軽減します。
どこでもリスク
避けられないことですが、今年だけでも、すでに15000以上の脆弱性が発見され、ある方法で割り当てられています。 公共。 どうすればわかりますか? 私の仕事の一部は、Gentooで使用しているプログラムのCVEをチェックして、脆弱なソフトウェアを実行しているかどうかを確認することです。このようにして、ソフトウェアを更新し、ディストリビューション内のすべての人が安全な機器を使用できるようにします。
CVE
共通の脆弱性および脆弱性 英語での頭字語の場合、これらは既存の各脆弱性に割り当てられる一意の識別子です。 何人かのGentoo開発者が人類の善を支持し、調査結果を調査して公開し、修正と修正ができるようになったことを非常に嬉しく思います。 私が読んだことを楽しんだ最後のケースのXNUMXつは オプションブリード; 世界中のApacheサーバーに影響を与えた脆弱性。 なぜ私はこれを誇りに思っていると言うのですか? 彼らは世界に良いことをしているので、脆弱性を秘密にしておくことはほんの少しの利益しかありません、そしてこれの結果は目的によっては壊滅的である可能性があります。
CNA
CNAは、CVEの要求および/または割り当てを担当するエンティティです。たとえば、脆弱性のグループ化、解決、および割り当てを担当するMicrosoftのCNAがあります。 CVE 後で登録するため。
対策の種類
まず、100%安全な機器はない、または今後も安全になることを明確にすることから始めましょう。かなり一般的なことわざとして、次のように述べています。
100%安全なコンピューターは、ボールトにロックされ、インターネットから切断され、電源がオフになっているコンピューターだけです。
それは真実であるため、リスクは既知または未知を問わず常に存在します。時間の問題であるため、リスクに直面した場合、次のことができます。
それを緩和する
リスクを軽減することは、リスクを軽減することに他なりません(NO オーバーライド)。 これは、ビジネスレベルと個人レベルの両方で非常に重要で重要なポイントです。「ハッキング」されたくないのですが、実を言うと、チェーンの最も弱い点は、機器でもプログラムでも、プロセスでもありません。 、それは 人間。
私たちは皆、人であれ物であれ、他人を非難する習慣がありますが、コンピューターのセキュリティでは、責任は常に人間にあり、直接ではないかもしれませんが、正しい道をたどらないと、問題の一部になります。 後で、もう少し安全を保つためのちょっとしたコツを紹介します😉
転送する
これはかなりよく知られている原則であり、私たちはそれを次のように想像する必要があります ベンチ。 あなたがあなたのお金の世話をする必要があるとき(私は物理的に意味します)、最も安全なことはあなたよりはるかによくそれを保護する能力を持っている誰かにそれを残すことです。 あなたは物事の世話をすることができるためにあなた自身の金庫を持っている必要はありません(それははるかに良いでしょうが)、あなたはあなたより良いものを保つために誰か(あなたが信頼する)を持っている必要があります。
受け入れ
しかし、最初とXNUMX番目が当てはまらない場合、それが本当に重要な質問の出番です。 このリソース/データなどは私にとってどのくらいの価値がありますか? 答えが多い場合は、最初のXNUMXつについて考える必要があります。 しかし、答えが それほどではない多分あなたはただリスクを受け入れる必要があります。
あなたはそれに直面しなければなりません、すべてが軽減できるわけではありません、そしていくつかの軽減できるものは非常に多くのリソースを必要とするので、変更して多くの時間とお金を投資する必要なしに実際のソリューションを適用することは事実上不可能です。 しかし、保護しようとしているものを分析でき、最初またはXNUMX番目のステップでその場所が見つからない場合は、XNUMX番目のステップで最善の方法でそれを取得し、それ以上の価値を与えないでください。また、実際にあるものと混合しないでください。彼らには価値があります。
最新の状態に保つために
これは何百人もの人々や企業から逃れる真実です。 コンピューターのセキュリティとは、年に3回監査に準拠し、他の350日間は何も起こらないことを期待することではありません。 そして、これは多くのシステム管理者に当てはまります。 私はついに自分自身を次のように証明することができました LFCS (私がどこでそれをしたかを見つけるのはあなたに任せます🙂)そしてこれはコース中の重要なポイントです。 機器とそのプログラムを最新の状態に保つことは非常に重要です。 重大な、ほとんどのリスクを回避するため。 確かにここの多くは私に言うでしょう、 しかし、私たちが使用するプログラムは次のバージョンでは機能しません 真実は、最新バージョンで機能しない場合、プログラムは時限爆弾であるということです。 これで前のセクションに進みます。 あなたはそれを軽減することができますか?、あなたはそれを転送することができますか?、あなたはそれを受け入れることができますか?...
正直なところ、念頭に置いておくと、統計的にコンピュータセキュリティ攻撃の75%は内部から発生しています。 これは、社内に無防備なユーザーや悪意のあるユーザーがいることが原因である可能性があります。 または、彼らのセキュリティプロセスが ハッカー 構内やネットワークに侵入します。 また、攻撃の90%以上は、古いソフトウェアが原因です。 いいえ の脆弱性による ゼロ日.
人間のようではなく、機械のように考えてください
これは私がここからあなたに残す少しのアドバイスになります:
機械のように考える
わからない人のために、例を挙げましょう。
紹介します ジョン セキュリティ愛好家の間では、それはあなたがの世界で始めるときの最良の出発点のXNUMXつです ethiclaハッキング. John Redfern 彼は私たちの友人と素晴らしく仲良くしています クランチ。 そして基本的に彼は彼に渡されたリストをつかみ、彼が探しているパスワードを解決するキーを見つけるまで組み合わせをテストし始めます。
クランチ 組み合わせのジェネレータです。 これは、大文字と小文字を含む6文字のパスワードが必要であることをクランチに伝えることができることを意味し、クランチはXNUMXつずつテストを開始します...次のようなものです。
aaaaaa,aaaaab,aaaaac,aaaaad,....
そして、あなたは確かにリスト全体を通過するのにどれくらいの時間がかかるのか疑問に思います...それは数回以上かかることはありません 分。 口を開けたままにしておいた方のために、説明させていただきます。 前に説明したように、チェーンの中で最も弱いリンクは人間と彼の考え方です。 コンピュータにとって、組み合わせをテストすることは難しくありません。それは非常に反復的なものであり、プロセッサは何年にもわたって非常に強力になり、XNUMX回以上の試行を行うのにXNUMX秒もかかりません。
しかし、今は良いことです。前の例は 人間の思考、 今、私たちはそれのために行きます 機械思考:
クランチにパスワードの生成を開始するように指示すると、 8 数字、以前の同じ要件の下で、分から 営業時間。 そして、10個以上使用するように指示するとどうなるかを推測します。 日。 12年以上の間、私たちはすでに ヶ月リストは通常のコンピューターでは保存できない比率であるという事実に加えて。 20に達すると、コンピューターが数百年で解読できないことについて話します(もちろん現在のプロセッサーでは)。 これには数学的な説明がありますが、スペースの理由からここでは説明しませんが、最も興味深いのは、 順列、 コンビナトリアル と 組み合わせ。 より正確に言うと、長さに追加する文字ごとに、ほぼ50があります。 可能性があるので、次のようなものがあります。
20^50 最後のパスワードの可能な組み合わせ。 その数値を計算機に入力して、20シンボルのキー長でいくつの可能性があるかを確認します。
どうすれば機械のように考えることができますか?
簡単なことではありません。特に、パスワードは20文字であるという古い概念では、複数の人が連続してXNUMX文字のパスワードを考えるように指示します。 言葉 キー。 しかし、例を見てみましょう:
dXfwHd
これは人間にとっては覚えにくいですが、機械にとっては非常に簡単です。
caballoconpatasdehormiga
一方、これは人間が覚えるのは非常に簡単です(面白いことさえあります)が、それは地獄です クランチ。 そして今、複数の人が教えてくれますが、キーも続けて変更することをお勧めしませんか? はい、お勧めです。これで、XNUMXつの石でXNUMX羽の鳥を殺すことができます。 今月私が読んでいるとしましょう ドン・キホーテ・デ・ラ・マンチャ、第XNUMX巻。 私のパスワードには、次のようなものを入れます。
ElQuijoteDeLaMancha1
20のシンボル、私を知らずに発見するのは非常に難しいことです。そして最も良いことは、私が本を読み終えると(彼らが常に読んでいると仮定して🙂)、パスワードを変更する必要があることを知っていることです。
ElQuijoteDeLaMancha2
それはすでに進歩しています🙂そしてそれは確かにあなたがあなたのパスワードを安全に保つのを助けると同時にあなたにあなたの本を終えることを思い出させるでしょう。
私が書いたもので十分です。さらに多くのセキュリティ問題について話したいと思いますが、また別の機会に残しておきます🙂ご挨拶
とても興味深い!!
Linuxでの強化に関するチュートリアルをアップロードしていただければ幸いです。すばらしいと思います。
ご挨拶!
こんにちは🙂まあ、少し時間をいただけますが、私は非常に興味深いと思うリソースも共有しています🙂
https://wiki.gentoo.org/wiki/Security_Handbook
これはスペイン語に翻訳されていません🙁しかし、誰かがそれを手に入れて助けてくれるように勧められたら、それは素晴らしいことです🙂
よろしく
非常に興味深いですが、私の観点からは、ブルートフォース攻撃は時代遅れになりつつあり、「ElQuijoteDeLaMancha1」などのパスワードの生成も実行可能な解決策ではないようです。これは、少しのソーシャルエンジニアリングで次のパスワードを見つけることができるためです。このタイプは、その人を表面的に調査するだけで広大であり、彼女自身が、ソーシャルネットワーク、知人、または職場のいずれかで、人間の本性の一部であることがわかります。
私の見解では、100桁のパスワードよりも20桁のパスワードを使用する方が安全であるため、パスワードマネージャーを使用するのが最善の解決策です。さらに、マスターパスワードを知っているだけで、次のような利点があります。生成されたパスワードは不明であるため、西側でも明らかにすることはできません。
これは私のパスワードマネージャーです。オープンソースであり、キーボードをエミュレートすることで、キーロガーの影響を受けません。
https://www.themooltipass.com
まあ、私はたった100語で完全に安全な解決策(1500%侵入できないものは何もないことを思い出してください)を与えるふりをしません🙂(絶対に必要でない限りそれ以上書きたくないです)しかしあなたが言うように100は20よりも優れています。20は間違いなく8よりも優れています🙂そして、冒頭で述べたように、最も弱いリンクは男性であるため、常に注意が向けられます。 私は、テクノロジーについてあまり知らないが、安全コンサルティングの仕事をするのに十分なだけの「ソーシャルエンジニア」を何人か知っています。 はるかに難しいのは、プログラムの欠陥を見つける真のハッカーを見つけることです(よく知られているゼロデイ)。
「より良い」ソリューションについて話す場合、私たちはすでにその分野の専門知識を持つ人々のためのトピックを入力しています、そして私はあらゆるタイプのユーザーと共有しています🙂しかしあなたが好きなら私たちは別の時に「より良い」ソリューションについて話すことができます。 そして、リンクのおかげで、その長所と短所は確かですが、パスワードマネージャーにもあまり効果がありません、結局のところ、彼らがそれらを攻撃する容易さと欲求に驚かれることでしょう...単一の勝利は多くの鍵を意味します明らかにした。
よろしく
興味深い記事、ChrisADR。 Linuxシステム管理者として、これは、パスワードを最新の状態に保ち、今日の時代に必要なセキュリティを維持するために、今日必要な最重要事項を与えないことに巻き込まれないようにするための良い注意です。 これでも、パスワードが頭痛の90%の原因ではないと考える一般の人々にとって非常に役立つ記事です。 コンピューターのセキュリティと、愛するオペレーティングシステム内で可能な限り最高のセキュリティを維持する方法についての記事をもっと見たいと思います。 コースやトレーニングで得た知識以外にも、学ぶべきことが常にあると思います。
それを超えて、私は常にこのブログを参照して、GnuLinuxがそれを手に入れるための新しいプログラムについて調べます。
ご挨拶!
「DonQuijoteDeLaMancha1」(「DonQuijote de La Mancha」が存在しない、p)が「•M¡¢0nt®a$3Ñ@•」より安全である理由を、数と数量で少し詳しく説明していただけますか?
組み合わせ数学については何も知りませんが、単純な文字セットを使用した長いパスワードの方が、はるかに大きな文字セットを使用した短いパスワードよりも優れているという、よく繰り返される考えにはまだ確信が持てません。 可能な組み合わせの数は、すべてのUTF-8を使用するよりも、ラテン文字と数字を使用するだけで本当に多いのでしょうか。
ご挨拶。
こんにちはダニ、それを明確にするために部分的に行きましょう...あなたはロックとして番号の組み合わせを持つそれらのスーツケースのXNUMXつを持ったことがありますか? 次のケースを見てみましょう... XNUMXに達したと仮定すると、次のようになります。
| 10 | | 10 | | 10 |
それぞれにdiazの可能性があるため、可能な組み合わせの数を知りたい場合は、単純な乗算を行う必要があります。正確には10³、または1000です。
ASCIIテーブルには255個の必須文字が含まれており、通常、数字、小文字、大文字、およびいくつかの句読点を使用します。 ここで、約6のオプション(大文字、小文字、数字、およびいくつかの記号)を含む70桁のパスワードを使用するとします。
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
ご想像のとおり、これはかなり大きな数値であり、正確には117です。 そして、これらは649桁のキースペースに存在するすべての可能な組み合わせです。 ここで、可能性の範囲をさらに減らします。引き続き、000(小文字、数字、場合によっては記号)のみを使用しますが、パスワードははるかに長く、たとえば000桁(この例では6)のようにしています。
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
可能性の数は次のようになります…1 159 445 329 576 199 417 209 625 244 140…その数がどのようにカウントされるかはわかりませんが、私にとっては少し長くなります:)、しかし私たちはそれをさらに減らすつもりです、625から0までの数字のみを使用し、数量がどうなるか見てみましょう。
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
この単純なルールを使用すると、驚異的な100の組み合わせを思い付くことができます:)。 これは、方程式に追加された各桁が可能性の数を指数関数的に増加させるのに対し、単一のボックス内に可能性を追加すると線形的に増加するためです。
しかし今、私たちは私たち人間にとって「最良」のものに行きます。
「•M¡¢0nt®a$3Ñ@•」を実用的に書くのにどれくらい時間がかかりますか? あなたはそれをコンピュータに保存するのが好きではないので、あなたがそれを毎日書き留めなければならないことを少しの間仮定しましょう。 異常な方法で手の収縮をしなければならない場合、これは退屈な作業になります。 もうXNUMXつの重要な要素はキーを定期的に変更することであるため、(私の観点では)はるかに高速なのは、自然に書くことができる単語を書くことです。
そして最後に大事なことを言い忘れましたが...それはあなたのシステム、アプリケーション、プログラムを開発した人の気分に大きく依存し、UTF-8のすべてのキャラクターを落ち着いて使用できるかどうか、場合によっては使用を無効にすることさえありますアプリケーションがパスワードの一部を「変換」して使用できなくなるため、カウントされます...したがって、常に使用可能であることがわかっている文字を使用して安全にプレイすることをお勧めします。
これが疑問に役立つことを願っています🙂ご挨拶