지금까지 제가 가장 좋아하는 노래를 건드리지 않은 것 같습니다. 컴퓨터 보안, 이것이 제가 오늘 여러분에게 말씀 드리는 주제가 될 것이라고 믿습니다 🙂이 짧은 기사 이후에 위험을 더 잘 통제하는 데 도움이 될 수있는 것과 동시에 많은 것을 완화하는 방법에 대해 더 나은 아이디어를 얻을 수 있기를 바랍니다.
모든 곳의 위험
올해 만해도 이미 15000 개 이상의 취약점이 발견되고 할당되었습니다. 공공의. 내가 어떻게 알아? 제 업무의 일부는 Gentoo에서 사용하는 프로그램의 CVE를 확인하여 취약한 소프트웨어를 실행하는지 확인하는 것이므로, 이렇게하면 업데이트하고 배포에있는 모든 사람이 안전한 장비를 가지고 있는지 확인할 수 있습니다.
CVE
일반적인 취약점 및 노출 영어로 된 약어의 경우 각 기존 취약점에 할당 된 고유 식별자입니다. 여러 젠투 개발자가 인류의 선을지지하고, 발견 한 결과를 수정하고 수정할 수 있도록 연구하고 게시하는 것을 큰 기쁨으로 말할 수 있습니다. 제가 마지막으로 읽는 즐거움을 느꼈던 사례 중 하나는 옵션블리드; 전 세계의 Apache 서버에 영향을 준 취약점. 내가 자랑스러워하는 이유는 무엇입니까? 그들은 세상에 좋은 일을하기 때문에 취약점을 비밀로 유지하는 것은 몇 가지 혜택 만받을 뿐이며, 그 결과는 목표에 따라 재앙이 될 수 있습니다.
CNA
CNA는 CVE 요청 및 / 또는 할당을 담당하는 주체입니다. 예를 들어 Microsoft의 CNA는 취약성을 그룹화하고 해결하며 할당하는 업무를 담당합니다. CVE 나중에 등록 할 수 있습니다.
측정 유형
장비가 100 % 안전하거나 안전하지 않을 것이라는 점을 명확히하고 다음과 같은 일반적인 말로 시작하겠습니다.
유일한 100 % 안전한 컴퓨터는 금고에 잠겨 인터넷 연결이 끊긴 후 꺼진 컴퓨터입니다.
사실이기 때문에 위험은 항상 알려 지거나 알려지지 않았거나 시간 문제이므로 위험에 직면하여 다음을 수행 할 수 있습니다.
완화
위험을 줄이는 것은 위험을 줄이는 것 이상입니다 (아니 우세하다). 이것은 비즈니스 및 개인 차원에서 매우 중요하고 중요한 점입니다. "해킹"을 당하고 싶지는 않지만 사실을 말하면 체인에서 가장 약한 점은 컴퓨터도 아니고 프로그램도 아니고 프로세스도 아닙니다. 인간.
우리 모두는 사람이든 사물이든 타인을 비난하는 습관이 있습니다. 그러나 컴퓨터 보안에서 책임은 항상 인간의 것입니다. 직접적으로는 아닐 수도 있지만 올바른 길을 따르지 않으면 문제의 일부입니다. 나중에 조금 더 안전하게 유지하기 위해 약간의 트릭을 줄 것입니다 😉
전송
이것은 잘 알려진 원리입니다. 우리는 그것을 은행. 돈을 관리해야 할 때 (물리적으로) 가장 안전한 방법은 돈을 자신보다 훨씬 더 잘 보호 할 수있는 사람에게 맡기는 것입니다. 사물을 처리하기 위해 자신의 금고를 가질 필요는 없지만 (훨씬 더 좋을지라도), 당신보다 더 나은 것을 유지할 수있는 누군가 (신뢰하는) 만 있으면됩니다.
수락
그러나 첫 번째와 두 번째가 적용되지 않을 때 정말 중요한 질문이 들어옵니다. 이 리소스 / 데이터 등은 나에게 얼마나 가치가 있습니까? 대답이 많으면 처음 두 가지에 대해 생각해야합니다. 그러나 대답이 따라서 없음위험을 감수해야 할 수도 있습니다.
모든 것을 완화 할 수있는 것은 아닙니다. 일부 완화 할 수있는 것에는 많은 리소스가 소모되어 많은 시간과 비용을 투자하고 변경하지 않고 실제 솔루션을 적용하는 것이 사실상 불가능할 것입니다. 그러나 보호하려는 내용을 분석 할 수 있고 첫 번째 또는 두 번째 단계에서 그 자리를 찾지 못한 경우, 가장 좋은 방법으로 세 번째 단계로 가져 가서 보유한 것보다 더 많은 가치를 부여하지 마십시오. 실제로 가치가있는 것과 혼합하지 마십시오.
최신 상태로 유지하려면
이것은 수백 명의 사람과 기업에서 벗어나는 진실입니다. 사이버 보안은 3 년에 350 번 감사를 준수하고 다른 XNUMX 일 동안 아무 일도 일어나지 않을 것이라고 기대하는 것이 아닙니다. 그리고 이것은 많은 시스템 관리자에게 해당됩니다. 나는 마침내 자신을 다음과 같이 증명할 수있었습니다. LFCS (내가 어디에서했는지 찾기 위해 당신에게 맡기고 🙂) 이것은 코스 중 중요한 포인트입니다. 장비와 프로그램을 최신 상태로 유지하는 것이 중요합니다. 결정적인, 대부분의 위험을 피하기 위해. 여기 많은 사람들이 나에게 말할 것입니다. 하지만 우리가 사용하는 프로그램은 다음 버전에서 작동하지 않습니다. 또는 그와 비슷한 것입니다. 왜냐하면 진실은 당신의 프로그램이 최신 버전에서 작동하지 않는다면 시한 폭탄이라는 것입니다. 그러면 이전 섹션으로 이동합니다. 완화 할 수 있습니까?, 양도 할 수 있습니까?, 수락 할 수 있습니까? ...
사실을 기억하자면, 통계적으로 컴퓨터 보안 공격의 75 %는 내부에서 발생합니다. 회사에 의심하지 않거나 악의적 인 사용자가 있기 때문일 수 있습니다. 또는 보안 프로세스로 인해 해커 구내 또는 네트워크에 침입하십시오. 거의 90 % 이상의 공격이 오래된 소프트웨어로 인해 발생합니다. 아니 취약점으로 인해 XNUMX 일.
인간이 아닌 기계처럼 생각하세요
이것은 제가 여기서 여러분에게 남기는 작은 조언이 될 것입니다.
기계처럼 생각하세요
이해하지 못하는 사람들을 위해 이제 예를 들어 보겠습니다.
당신을 소개합니다 남자. 보안 애호가들 사이에서 세계에서 시작할 때 가장 좋은 출발점 중 하나입니다. ethicla 해킹. 요한 복음 그는 우리 친구와 훌륭하게 어울립니다. 결정적시기. 그리고 기본적으로 그는 그에게 전달 된 목록을 잡고 그가 찾고있는 암호를 해결하는 키를 찾을 때까지 조합 테스트를 시작합니다.
아삭 아삭 먹다 조합의 생성기입니다. 즉, 대문자와 소문자가 포함 된 6 자 길이의 비밀번호를 원한다는 것을 crunch에 알릴 수 있으며 crunch는 하나씩 테스트를 시작합니다.
aaaaaa,aaaaab,aaaaac,aaaaad,....
그리고 그들은 전체 목록을 확실히 살펴 보는 데 시간이 얼마나 걸리는지 궁금 할 것입니다 ... 몇 개 이상 걸리지 않습니다 분. 입을 벌리고 남겨진 사람들을 위해 설명하겠습니다. 앞서 논의했듯이 사슬에서 가장 약한 고리는 사람과 사고 방식입니다. 컴퓨터의 경우 조합을 시도하는 것은 어렵지 않고 매우 반복적이며 수년에 걸쳐 프로세서가 너무 강력 해져 XNUMX 번 이상 시도하는 데 XNUMX 초 이상 걸리지 않습니다.
하지만 이제 좋은 점은 이전 예제는 인간의 사고, 이제 우리는 그것을 위해 간다 기계 사고:
크런치에게 암호 생성을 시작하도록 지시하면 8 동일한 이전 요구 사항에 따라 몇 분에서 시간. 그리고 10 개 이상 사용하라고하면 어떻게 될지 추측 해보세요. 일. 12 개 이상 우리는 이미 개월목록이 일반 컴퓨터에 저장 될 수없는 비율이라는 사실 외에도. 20 개가되면 컴퓨터가 수백 년 안에 해독 할 수없는 것들에 대해 이야기합니다 (물론 현재 프로세서 사용). 이것은 수학적 설명이 있지만 공간상의 이유로 여기에서는 설명하지 않겠습니다.하지만 가장 궁금한 점은 순열, 조합의 과 조합. 더 정확하게 말하면 길이에 추가하는 각 문자에 대해 거의 50 개가 가능성, 그래서 우리는 다음과 같은 것을 가질 것입니다.
20^50 마지막 암호의 가능한 조합. 그 숫자를 계산기에 입력하여 키 길이가 20 개의 기호로 얼마나 많은 가능성을 확인하십시오.
어떻게 기계처럼 생각할 수 있습니까?
쉽지 않습니다. 한 명 이상이 나에게 연속으로 20 개의 문자로 된 암호를 생각하라고 말할 것입니다. 특히 암호가 말 키. 하지만 예를 보겠습니다.
dXfwHd
이것은 사람이 기억하기 어렵지만 기계로서는 매우 쉽습니다.
caballoconpatasdehormiga
반면에 이것은 인간이 기억하기가 매우 쉽지만 (재미 있더라도) 결정적시기. 그리고 이제 하나 이상이 나에게 말하지만 연속적으로 키를 변경하는 것이 좋지 않습니까? 예, 권장됩니다. 이제 한 돌로 두 마리의 새를 죽일 수 있습니다. 이번 달에 내가 읽고 있다고 가정하자 Don Quixote de la Mancha, 볼륨 I. 내 비밀번호에 다음과 같이 입력합니다.
ElQuijoteDeLaMancha1
20 개의 기호, 나를 알지 못하면 발견하기가 매우 어려우며, 가장 좋은 점은 내가 책을 다 읽었을 때 (계속 읽는다고 가정 할 때) 그들은 암호를 변경해야한다는 것을 알게 될 것입니다.
ElQuijoteDeLaMancha2
현재 진행 중입니다 🙂 그리고 암호를 안전하게 유지하는 데 도움이되며 동시에 책을 완성하도록 상기시켜줍니다.
내가 쓴 내용으로 충분하며 더 많은 보안 문제에 대해 이야기하고 싶지만 다음 시간 동안 남겨 두겠습니다 🙂 인사말
매우 흥미로운!!
Linux 강화 자습서를 업로드 할 수 있기를 바랍니다.
안녕하십니까!
안녕하세요 🙂 글쎄요, 저에게 시간을 주시겠습니까?하지만 저는 또한 제가 매우 흥미로운 자료를 공유합니다 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
이것은 스페인어로 번역되지 않았지만 누군가 감히 손을 내밀고 도움을 준다면 좋을 것입니다 🙂
안부
매우 흥미롭지 만, 내 관점에서 무차별 대입 공격은 쓸모 없어지고 있으며 "ElQuijoteDeLaMancha1"과 같은 암호 생성도 실행 가능한 솔루션처럼 보이지 않습니다. 이것은 약간의 사회 공학으로도 찾을 수 있기 때문입니다. 이 유형의 암호는 그 사람을 표면적으로 조사하는 문제 일 뿐이며 그녀는 소셜 네트워크에서, 지인에게 또는 직장에서 우리에게 공개하는 것이 인간 본성의 일부입니다.
제 관점에서 가장 좋은 해결책은 비밀번호 관리자를 사용하는 것입니다. 100 자리 비밀번호보다 20 자리 비밀번호를 사용하는 것이 더 안전하기 때문이며, 마스터 비밀번호 만 알고 있어도 공개 할 수 없다는 장점이 있습니다. 알 수 없기 때문에 생성 된 암호입니다.
이것은 내 암호 관리자이며 오픈 소스이며 키보드를 에뮬레이션하여 키로거에 영향을받지 않습니다.
https://www.themooltipass.com
글쎄, 나는 단 100 단어로 완전히 안전한 해결책을 제공하는 척하지 않습니다 (1500 % 뚫을 수 없다는 것을 기억하십시오) 🙂 (절대적으로 필요하지 않는 한 그 이상을 쓰고 싶지 않습니다) 그러나 당신이 말하는 것처럼 100은 20보다 낫고, 20은 확실히 8보다 낫다. 우리가 처음에 말했듯이, 가장 약한 고리는 남자 다. 그래서 항상주의를 기울일 곳이다. 저는 기술에 대해 잘 모르지만 안전 컨설팅 작업을 수행하기에 충분할 정도로만 많은 "소셜 엔지니어"를 알고 있습니다. 훨씬 더 어려운 것은 프로그램 (잘 알려진 제로 데이)에서 결함을 발견하는 진정한 해커를 찾는 것입니다.
"더 나은"솔루션에 대해 이야기하면 우리는 이미 해당 분야의 전문 지식을 가진 사람들을위한 주제에 들어가고 있으며 저는 모든 유형의 사용자와 공유하고 있습니다 🙂하지만 원하신다면 "더 나은"솔루션에 대해 나중에 이야기 할 수 있습니다. 그리고 링크에 감사드립니다. 장단점을 확인하십시오.하지만 암호 관리자에게도 많은 영향을 미치지 않을 것입니다. 결국 그들이 공격하는 용이성과 열망에 놀랄 것입니다. 결국 단일 승리는 많은 열쇠를 의미합니다 공개.
안부
흥미로운 기사, ChrisADR. Linux 시스템 관리자로서 이것은 오늘날 암호를 최신 상태로 유지하고 오늘날에 필요한 보안을 유지하는 데 필요한 가장 중요한 중요성을 제공하지 않는 것에 휩쓸 리지 않도록하는 좋은 알림입니다. 이 글조차도 비밀번호가 골칫거리의 90 %가 아니라고 생각하는 평범한 사람들에게는 먼 길을 갈 기사입니다. 컴퓨터 보안에 대한 더 많은 기사와 우리가 사랑하는 운영 체제 내에서 가능한 최고의 보안을 유지하는 방법을보고 싶습니다. 코스와 훈련을 통해 습득하는 지식을 넘어서 배울 것이 항상 있다고 생각합니다.
그 외에도 저는 항상이 블로그를 참조하여 Gnu Linux를위한 새로운 프로그램에 대해 알아 봅니다.
안녕하십니까!
"DonQuijoteDeLaMancha1"( "DonQuijote de La Mancha"가 존재하지 않음, p)가 "• M¡ ¢ 0nt®a $ 3Ñ @ •"보다 안전한 이유를 숫자와 수량으로 조금 자세히 설명해 주시겠습니까?
나는 조합 수학에 대해 아무것도 모르지만, 단순한 문자 집합을 가진 긴 암호가 훨씬 더 큰 문자 집합을 가진 짧은 암호보다 낫다는 자주 반복되는 생각에 여전히 확신하지 못합니다. 가능한 조합의 양이 모든 UTF-8을 사용하는 것보다 라틴 문자와 숫자를 사용하는 것만으로 정말 더 많습니까?
인사말.
안녕하세요 다니, 명확하게하기 위해 부분으로 가자 ... 숫자 조합이있는 여행 가방 중 하나를 자물쇠로 사용해 본 적이 있습니까? 다음과 같은 경우를 보겠습니다. XNUMX에 도달했다고 가정하면 다음과 같습니다.
| 10 | | 10 | | 10 |
각각 디아즈 가능성이 있으므로 가능한 조합의 수를 알고 싶다면 간단한 곱셈을 수행하면됩니다. 10³은 정확하거나 1000입니다.
ASCII 테이블에는 255 개의 필수 문자가 포함되어 있으며 일반적으로 숫자, 소문자, 대문자 및 일부 구두점을 사용합니다. 이제 약 6 개의 옵션 (대문자, 소문자, 숫자 및 일부 기호)이있는 70 자리 비밀번호가 있다고 가정합니다.
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
당신이 상상할 수 있듯이 그것은 꽤 큰 숫자로 정확히 117입니다. 그리고 그것들은 649 자리 키 공간에 존재하는 가능한 모든 조합입니다. 이제 우리는 가능성의 범위를 훨씬 더 줄일 것입니다. 계속해서 000 개 (소문자, 숫자 및 가끔 사용되는 기호) 만 사용하지만 훨씬 더 긴 암호를 사용하여 000 자리 숫자 (예제에는 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
가능성의 수는 다음과 같습니다. 1 159 445 329 576… 그 숫자가 어떻게 계산되는지는 모르겠지만 저에게는 조금 더 깁니다. , 199에서 417까지의 숫자 만 사용하고 수량에 어떤 일이 발생하는지 살펴 보겠습니다.
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
이 간단한 규칙을 사용하면 엄청난 100 조합을 얻을 수 있습니다. :). 이는 방정식에 추가 된 각 숫자가 기하 급수적으로 가능성의 수를 증가시키는 반면 단일 상자 내에 가능성을 추가하면 선형 적으로 증가하기 때문입니다.
그러나 이제 우리는 우리 인간에게 "최고"인 것을 찾아갑니다.
“• M¡ ¢ 0nt®a $ 3Ñ @ •”를 실제 용어로 쓰는 데 얼마나 걸립니까? 컴퓨터에 저장하는 것을 좋아하지 않기 때문에 매일 기록해야한다고 잠시 가정 해 봅시다. 비정상적인 방법으로 손 수축을해야하는 경우 이것은 지루한 작업이됩니다. 또 다른 중요한 요소는 키를 정기적으로 변경하는 것이므로 자연스럽게 쓸 수있는 단어를 쓰는 것이 훨씬 빠릅니다.
그리고 마지막으로 중요한 것은 ... 시스템, 응용 프로그램, 프로그램을 개발 한 사람의 기분에 따라 다르며 모든 UTF-8 문자를 차분하게 사용할 수 있는지 여부에 따라 다르며 경우에 따라 사용을 비활성화 할 수도 있습니다. 응용 프로그램이 암호의 일부를 "변환"하여 사용할 수 없게하기 때문에 중요합니다. 따라서 항상 사용할 수있는 문자로 안전하게 플레이하는 것이 좋습니다.
이것이 의심에 도움이되기를 바랍니다 🙂 인사말