Venkite įsilaužimo atlikdami šiuos 3 veiksmus

Iki šiol nemanau, kad paliečiau vieną iš savo mėgstamų dainų, kompiuterio saugumas, ir aš tikiu, kad tai bus tema, apie kurią šiandien jums pasakosiu 🙂 Tikiuosi, kad po šio trumpo straipsnio galėsite geriau įsivaizduoti, kas gali padėti geriau kontroliuoti riziką ir kaip vienu metu sušvelninti daugelį.

Rizika visur

Tai neišvengiama, kad vien šiais metais jau atrasta ir priskirta daugiau nei 15000 XNUMX pažeidžiamumų visuomenės. Iš kur aš galiu žinoti? Kadangi mano darbas yra tikrinti CVE programose, kurias naudojame „Gentoo“, kad patikrintume, ar vykdome pažeidžiamą programinę įrangą, galime ją atnaujinti ir užtikrinti, kad visi platintojai turėtų saugią įrangą.

CVE

Bendrieji pažeidžiamumai ir ekspozicijos Akronimas anglų kalba yra unikalūs identifikatoriai, priskiriami kiekvienam esamam pažeidžiamumui. Su džiaugsmu galiu pasakyti, kad keli „Gentoo“ kūrėjai palaiko žmonijos gėrybes, tiria ir skelbia savo išvadas, kad jas būtų galima pataisyti ir pataisyti. Vienas iš paskutinių atvejų, kurį man buvo malonu skaityti, buvo tas „Optionsbleed“; pažeidžiamumas, kuris paveikė „Apache“ serverius visame pasaulyje. Kodėl sakau, kad tuo didžiuojuosi? Kadangi jie daro gera pasauliui, pažeidžiamumo paslaptyje laikymasis naudingas tik nedaugeliui, o to pasekmės gali būti katastrofiškos, atsižvelgiant į tikslą.

ak

CNA yra subjektai, atsakingi už CVE prašymą ir (arba) priskyrimą, pavyzdžiui, mes turime „Microsoft“ CNA, atsakingą už jų pažeidžiamumų grupavimą, pašalinimą ir priskyrimą CVE vėlesnei registracijai per tam tikrą laiką.

Priemonių rūšys

Pradėkime išaiškindami, kad jokia įranga nėra ar nebus 100% saugi, ir kaip sakoma gana paplitusiame posakyje:

Vienintelis 100% saugus kompiuteris yra užrakintas saugykloje, atjungtas nuo interneto ir išjungtas.

Kadangi tiesa, rizika visada bus, žinoma ar nežinoma, tai tik laiko klausimas, todėl susidūrę su rizika galime atlikti šiuos veiksmus:

Sušvelninkite tai

Rizikos sušvelninimas yra ne kas kita, kaip jos mažinimas (NE atšaukti). Tai gana svarbus ir lemiamas momentas tiek verslo, tiek asmeniniame lygmenyje, nesinori būti „įsilaužta“, tačiau tiesą sakant, silpniausia grandinės vieta yra ne įranga, ne programa, net ne procesas, tai yra žmogus.

Mes visi turime įprotį kaltinti kitus, nesvarbu, ar tai žmonės, ar daiktai, tačiau kompiuterių saugumo srityje atsakomybė tenka ir bus visada žmogui, galbūt tai ne jūs tiesiogiai, bet jei neseksite teisingu keliu, būsite problemos dalis. Vėliau pateiksiu jums nedidelę gudrybę, kad būtumėte šiek tiek saugesni 😉

Perkelkite jį

Tai gana gerai žinomas principas, mes turime jį įsivaizduoti kaip bankas. Kai jums reikia pasirūpinti savo pinigais (turiu omenyje fiziškai), saugiausia palikti juos tiems, kurie sugeba juos apsaugoti daug geriau nei jūs. Jums nereikia turėti savo skliauto (nors tai būtų daug geriau), kad galėtumėte susitvarkyti reikalus, jums reikia tik turėti ką nors (kuriuo pasitikite), kad išlaikytų kažką geresnio už jus.

Priimti tai

Bet kai pirmas ir antras netaikomi, gerai, čia kyla tikrai svarbus klausimas. Kiek man vertas šis šaltinis / duomenys / ir pan. Jei atsakymo yra daug, tuomet turėtumėte pagalvoti apie pirmuosius du. Bet jei atsakymas yra a ne tiek daugGalbūt jūs tiesiog turite prisiimti riziką.

Jūs turite su tuo susidurti, ne viską galima sušvelninti, o kai kurie sušvelninami dalykai kainuotų tiek daug išteklių, kad praktiškai būtų neįmanoma pritaikyti realaus sprendimo, jei nereikėtų keisti ir investuoti daug laiko ir pinigų. Bet jei jūs galite išanalizuoti tai, ką bandote apsaugoti, ir tai neranda savo vietos pirmajame ar antrame žingsnyje, tada paprasčiausiai atlikite tai geriausiu būdu trečiajame žingsnyje, nesuteikite jam didesnės vertės nei turi ir nemaišykite su daiktais, kurie iš tikrųjų turi vertę.

Kad būtų atnaujinta

Tai tiesa, išvengianti šimtų žmonių ir verslo. Kompiuterių sauga nėra susijusi su jūsų audito laikymusi 3 kartus per metus ir tikėjimusi, kad nieko nebus per kitas 350 dienų. Tai galioja daugeliui sistemos administratorių. Pagaliau galėjau patvirtinti, kad esu LFCS (Palieku jums sužinoti, kur aš tai padariau 🙂) ir tai yra kritinis taškas kurso metu. Labai svarbu nuolat atnaujinti įrangą ir jos programas, lemiamas, siekiant išvengti daugumos rizikos. Žinoma, daugelis čia man pasakys, bet mūsų naudojama programa neveikia kitoje versijoje ar kažkas panašaus, nes tiesa ta, kad jūsų programa yra laiko bomba, jei ji neveikia naujausia versija. Tai atveda mus į ankstesnį skyrių, Ar galite jį sušvelninti? Ar galite jį perkelti? Ar galite priimti? ...

Tiesa sakant, kad tik atmintume, statistiškai 75% kompiuterio saugumo atakų kyla iš vidaus. Taip gali nutikti todėl, kad įmonėje turite nieko neįtariančių ar kenkėjiškų vartotojų. Arba kad jų saugumo procesai neapsunkino a hakeris įsilaužti į jūsų patalpas ar tinklus. Beveik daugiau nei 90% atakų sukelia pasenusi programinė įranga, ne dėl pažeidžiamumo nulio diena.

Galvok kaip mašina, o ne kaip žmogus

Tai bus nedidelis patarimas, kurį paliksiu čia:

Galvok kaip mašinos

Tiems, kurie nesupranta, dabar pateikiu jums pavyzdį.

John Ripper programinės įrangos vaizdo rezultatas

Pristatau tave Jonas Tarp saugumo mėgėjų tai yra vienas geriausių atspirties taškų, kai pradedate pasaulį „ethicla“ įsilaužimas. Jonas jis nuostabiai sutaria su mūsų draugu girgždesys. Ir iš esmės jis griebia jam įteiktą sąrašą ir pradeda testuoti derinius, kol randa raktą, kuris išsprendžia ieškomą slaptažodį.

girgždesys yra derinių generatorius. tai reiškia, kad galite pasakyti „Crunch“, kad norite turėti 6 simbolių ilgio slaptažodį, kuriame būtų didžiosios ir mažosios raidės, o „Crunch“ bus pradedami tikrinti po vieną ... kažkas panašaus:

aaaaaa,aaaaab,aaaaac,aaaaad,....

Jie stebisi, per kiek laiko reikia tiksliai perskaityti visą sąrašą ... tam nereikia daugiau nei kelių protokolas. Tiems, kurie liko atmerkę burną, leiskite man paaiškinti. Kaip aptarėme anksčiau, silpniausia grandinės grandis yra žmogus ir jo mąstymo būdas. Kompiuteriui nėra sunku išbandyti derinius, jis labai kartojasi, o bėgant metams procesoriai tapo tokie galingi, kad tūkstančiui bandymų ar net daugiau nereikia sekundės.

Bet dabar geras dalykas, aukščiau pateiktas pavyzdys yra žmogaus mąstymas, dabar mes to siekiame mašininis mąstymas:

Jei sakysime „crunch“, kad pradėtumėte generuoti slaptažodį naudodami tiesiog 8 skaitmenų, pagal tuos pačius ankstesnius reikalavimus pereidavome nuo minučių iki valandos. Ir atspėkite, kas nutiks, jei mes jums liepsime naudoti daugiau nei 10, jie tampa dienų. Daugiau nei 12 mes jau esame mėnesiųBe to, kad sąrašas būtų proporcijų, kurių negalima išsaugoti įprastame kompiuteryje. Jei sulauksime 20, kalbėsime apie dalykus, kurių per šimtus metų kompiuteris negalės iššifruoti (žinoma, su dabartiniais procesoriais). Tai turi savo matematinį paaiškinimą, tačiau dėl erdvės aš to čia nepaaiškinsiu, tačiau pačiam smalsiausiam jis turi daug bendro su permutacija, kombinatoriškas ir deriniai. Tiksliau, su tuo, kad kiekvienai raidei, kurią pridedame prie ilgio, turime beveik 50 galimybių, todėl turėsime kažką panašaus:

20^50 galimi mūsų paskutinio slaptažodžio deriniai. Įveskite tą skaičių į savo skaičiuoklę, kad pamatytumėte, kiek galimybių yra su 20 simbolių ilgio raktu.

Kaip aš galiu galvoti kaip mašina?

Tai nėra lengva, daugiau nei vienas žmogus man liepia sugalvoti 20 raidžių iš eilės slaptažodį, ypač pagal seną koncepciją, kad slaptažodžiai yra žodžiai Raktas. Bet pažiūrėkime pavyzdį:

dXfwHd

Žmogui tai sunku prisiminti, bet mašinai - labai lengva.

caballoconpatasdehormiga

Kita vertus, tai nepaprastai lengva atsiminti žmogui (net juokinga), bet tai pragaras girgždesys. Ir dabar ne vienas man pasakys, bet ar nepatartina keisti raktų iš eilės? Taip, rekomenduojama, todėl dabar vienu akmeniu galime nužudyti du paukščius. Tarkime, šį mėnesį skaitau „Don Kichotas de la Manča“, I tomas. Į savo slaptažodį įdėsiu kažką panašaus:

ElQuijoteDeLaMancha1

20 simbolių, kuriuos gana sunku atrasti manęs nepažįstant, o geriausia tai, kad kai baigsiu knygą (darant prielaidą, kad jie nuolat skaito 🙂), jie žinos, kad turi pakeisti savo slaptažodį, net pakeisdami į:

ElQuijoteDeLaMancha2

Tai pažanga 🙂 ir ji tikrai padės apsaugoti slaptažodžius ir tuo pačiu primins jums pabaigti knygą.

Užtenka to, ką parašiau, ir, nors norėčiau, kad galėčiau kalbėti dar daugeliu saugumo klausimų, paliksime tai kitam kartui 🙂 Sveikinimai


7 komentarai, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   pingvinas sakė

    Labai įdomu!!
    Tikiuosi, kad galite įkelti „Linux“ grūdinimo pamokų, būtų nuostabu.
    Sveiki atvykę!

    1.    ChrisADR sakė

      Sveiki, gerai, gal galėtumėte skirti šiek tiek laiko, bet aš taip pat dalinuosi šaltiniu, kuris man atrodo labai įdomus 🙂

      https://wiki.gentoo.org/wiki/Security_Handbook

      Šis nėra išverstas į ispanų kalbą 🙁, bet jei kas nors būtų skatinamas paduoti tai ir padėti, būtų puiku

      saludos

  2.   XoX sakė

    Labai įdomu, bet, mano požiūriu, žiaurios jėgos atakos tampa nebereikalingos, o tokių slaptažodžių generavimas, kaip „ElQuijoteDeLaMancha1“, taip pat neatrodo perspektyvus sprendimas, nes su šiek tiek socialinės inžinerijos įmanoma rasti šis tipas, tik labai paviršutiniškai tiriantis asmenį, ir ji pati tai atskleis mums savo socialiniuose tinkluose, pažįstamiems ar darbe, yra žmogaus prigimties dalis.

    Mano požiūriu, geriausias sprendimas yra naudoti slaptažodžių tvarkytuvę, nes saugiau naudoti 100 skaitmenų slaptažodį nei 20 skaitmenų, be to, yra privalumas, kad kadangi pagrindinis slaptažodis yra žinomas tik todėl, jo negalima atskleisti net į vakarus sugeneruoti slaptažodžiai, nes jie nėra žinomi.

    Tai mano slaptažodžių tvarkyklė, ji yra atviro kodo ir, mėgdžiodama klaviatūrą, ji yra apsaugota nuo klaviatūros įrašų.

    https://www.themooltipass.com

    1.    ChrisADR sakė

      Na, aš neapsimetu, kad pateikiu visiškai saugų sprendimą (prisimindamas, kad niekas nėra 100% neįveikiama) tik 1500 žodžių 🙂 (nenoriu rašyti daugiau, nebent tai yra absoliučiai būtina), bet kaip jūs sakote 100 yra geriau nei 20, na ir 20 yra tikrai geriau nei 8 🙂, ir gerai, kaip sakėme pradžioje, silpniausia grandis yra vyras, todėl visada ten bus dėmesys. Pažįstu keletą „socialinių inžinierių“, kurie daug neišmano apie technologijas, bet tik tiek, kad galėtų atlikti saugos konsultavimo darbus. Daug sunkiau yra surasti tikrus įsilaužėlius, kurie randa programų trūkumų (gerai žinoma „nulinės dienos“).
      Jei kalbėsime apie „geresnius“ sprendimus, mes jau įvedame temą žmonėms, turintiems šios srities patirties, o aš dalinuosi su bet kokio tipo vartotojais 🙂 bet jei jums patinka, apie „geresnius“ sprendimus galime kalbėti kitu metu. Ačiū už nuorodą, įsitikinkite jos privalumais ir trūkumais, bet ir slaptažodžių tvarkytuvei tai nepadarytų daug, nustebsite, ar lengvai ir noriai jie juos puola ... viena pergalė reiškia daug raktų atskleista.
      saludos

  3.   Anassis sakė

    Įdomus straipsnis, ChrisADR. Tai, kaip „Linux“ sistemos administratorius, yra geras priminimas, kad nereikia susigaudyti tuo, kad jam nepateikiama svarbiausia svarba šiandien, norint išlaikyti slaptažodžius atnaujintus ir užtikrinančius šių dienų saugumą. Net tai yra straipsnis, kuris būtų labai naudingas paprastiems žmonėms, manantiems, kad slaptažodis nėra 90% galvos skausmo priežastis. Norėčiau pamatyti daugiau straipsnių apie kompiuterių saugumą ir apie tai, kaip išlaikyti aukščiausią įmanomą saugumą mūsų mylimoje operacinėje sistemoje. Manau, kad visada yra ko daugiau išmokti, išskyrus žinias, kurias žmogus įgyja per kursus ir mokymus.
    Be to, aš visada kreipiuosi į šį tinklaraštį, norėdamas sužinoti apie naują programą, skirtą „Gnu Linux“, kad galėčiau ją rasti.

    Sveiki atvykę!

  4.   dani sakė

    Ar galėtumėte truputį išsamiai paaiškinti skaičiais ir kiekiais, kodėl „DonQuijoteDeLaMancha1“ („DonQuijote de La Mancha“ nėra; p) yra saugiau nei „• M¡ ¢ 0nt®a $ 3Ñ @ •“?
    Nieko nežinau apie kombinatorinę matematiką, bet vis dar neįtikina dažnai kartojama mintis, kad ilgas slaptažodis su paprastu simbolių rinkiniu yra geriau nei trumpesnis su daug didesniu simbolių rinkiniu. Ar iš tikrųjų galimų derinių skaičius didesnis tik naudojant lotyniškas raides ir skaičius, nei naudojant visus UTF-8?

    Sveikinimai.

    1.    ChrisADR sakė

      Sveiki, Dani, eikime dalimis, kad būtų aišku ... ar jūs kada nors turėjote vieną iš tų lagaminų su skaičių kombinacijomis kaip spyną? Pažiūrėkime šį atvejį ... darant prielaidą, kad jie pasieks devynis, mes turime kažką panašaus:

      | 10 | | 10 | | 10 |

      Kiekvienas iš jų turi diaz galimybes, taigi, jei norite sužinoti galimų derinių skaičių, jums tereikia atlikti paprastą dauginimą, tiksliau - 10³ arba 1000.

      ASCII lentelėje yra 255 esminiai simboliai, iš kurių paprastai naudojame skaičius, mažąsias, didžiąsias ir kai kuriuos skyrybos ženklus. Tarkime, kad dabar turėsime 6 skaitmenų slaptažodį su maždaug 70 parinkčių (didžiosios, mažosios, skaičiai ir kai kurie simboliai)

      | 70 | | 70 | | 70 | | 70 | | 70 | | 70 |

      Kaip galite įsivaizduoti, tai gana didelis skaičius, tiksliau - 117 649 000 000. Tai visi galimi 6 skaitmenų klavišų deriniai. Dabar mes dar labiau sumažinsime galimybių spektrą, tęskime, kad naudosime tik 45 (galbūt mažosios raidės, skaičiai ir kartais simbolis), bet turėdami daug ilgesnį slaptažodį, tarkime, galbūt 20 skaitmenų (tai, ką turi pavyzdys) kaip 21).

      | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |

      Galimybių skaičius tampa ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Aš nežinau, kaip tas skaičius skaičiuojamas, bet man jis yra šiek tiek ilgesnis :), bet mes jį dar labiau sumažinsime , naudosime tik skaičius nuo 0 iki 9 ir pažiūrėkime, kas nutiks kiekiui

      | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |

      Pagal šią paprastą taisyklę galite sugalvoti stulbinančius 100 000 000 000 000 000 000 derinius :). Taip yra todėl, kad kiekvienas prie lygties pridėtas skaitmuo eksponentiškai padidina galimybių skaičių, o pridedant galimybes viename langelyje - tiesiškai.

      Bet dabar einame prie to, kas „žmonėms“ yra „geriausia“.

      Kiek laiko užtruksite, kol parašysite „• M¡ ¢ 0nt®a $ 3Ñ @ •“ praktiškai? Tarkime, sekundę, kad jūs turite tai užsirašyti kiekvieną dieną, nes jums nepatinka ją išsaugoti kompiuteryje. Tai tampa varginančiu darbu, jei turite atlikti rankos susitraukimus neįprastais būdais. Daug greičiau (mano požiūriu) rašyti žodžius, kuriuos galite rašyti natūraliai, nes dar vienas svarbus veiksnys yra reguliarus klavišų keitimas.

      Ir paskutinis, bet ne mažiau svarbus dalykas ... Tai labai priklauso nuo jūsų sistemą, programą, programą sukūrusio žmogaus nuotaikos, galinčio ramiai naudoti VISUS UTF-8 simbolius, kai kuriais atvejais tai gali net išjungti naudojimą Tai skaičiuojama, nes programa „paverčia“ dalį jūsų slaptažodžio ir daro jį netinkamu naudoti ... Taigi galbūt geriau žaisti saugiai su simboliais, kuriuos visada žinote.

      Tikiuosi, kad tai padės su abejonėmis 🙂 Sveikinimai