Kā pasargāt datoru no uzbrukumiem

ChrisADR

7 Minutos

Ļoti labs visiem, pirms ķerties pie savas komandas, es vēlos jums pateikt, ka instalētājs, kuru izstrādāju Gentoo, jau ir pirms-alfa fāzē 😀 tas nozīmē, ka prototips ir pietiekami izturīgs, lai to varētu pārbaudīt citi lietotājiem, taču tajā pašā laikā vēl ir tāls ceļš ejams, un atgriezeniskā saite no šiem posmiem (pirms-alfa, alfa, beta) palīdzēs definēt svarīgas procesa iezīmes 🙂 Interesentiem…

https://github.com/ChrisADR/installer

. Man joprojām ir tikai angļu valodas versija, bet, cerams, ka beta versijai jau ir arī tulkojums spāņu valodā (es to mācos no izpildlaika tulkojumiem pitonā, tāpēc vēl ir daudz ko atklāt)

Sacietēšana

Kad mēs runājam par sacietēšana, mēs atsaucamies uz daudzām darbībām vai procedūrām, kas kavē piekļuvi datorsistēmai vai sistēmu tīklam. Tieši tāpēc tas ir plašs, niansēm un detaļām bagāts objekts. Šajā rakstā es uzskaitīšu dažas no vissvarīgākajām vai ieteicamākajām lietām, kas jāņem vērā, aizsargājot sistēmu, es centīšos pāriet no vissvarīgākās uz vismazāk kritisko, taču daudz neiedziļinoties tēmā, jo katra no šīm norāda, ka par to būtu rakstīts pats.

Fiziskā piekļuve

Šī neapšaubāmi ir pirmā un vissvarīgākā komandu problēma, jo, ja uzbrucējam ir viegla fiziska piekļuve komandai, viņu jau var uzskatīt par zaudētu komandu. Tas attiecas gan uz lieliem datu centriem, gan uzņēmuma klēpjdatoriem. Viens no galvenajiem šīs problēmas aizsardzības pasākumiem ir atslēgas BIOS līmenī. Visiem, kam tas izklausās jauns, ir iespējams ievietot atslēgu uz fizisku piekļuvi BIOS, šādā veidā, ja kāds vēlas modificēt pieteikšanās parametriem un palaidiet aprīkojumu no tiešraides sistēmas, tas nebūs viegls darbs.

Tagad tas ir kaut kas pamata, un tas noteikti darbojas, ja tas patiešām tiek prasīts. Esmu bijis vairākos uzņēmumos, kur tam nav nozīmes, jo viņi uzskata, ka apsardzes "apsargs" pie durvīm ir vairāk nekā pietiekams, lai novērstu fizisku piekļuvi. Bet ķeramies pie nedaudz progresīvāka punkta.

greznība

Pieņemsim, ka uz brīdi "uzbrucējs" jau ir ieguvis fizisku piekļuvi datoram, nākamais solis ir katra esošā cietā diska un nodalījuma šifrēšana. LUKS (Linux vienotās atslēgas iestatīšana) Tā ir šifrēšanas specifikācija, cita starpā LUKS ļauj nodalījumu šifrēt ar atslēgu, šādā veidā, palaižot sistēmu, ja atslēga nav zināma, nodalījumu nevar uzstādīt vai nolasīt.

Paranoja

Noteikti ir cilvēki, kuriem nepieciešams "maksimāls" drošības līmenis, un tas noved pie tā, ka tiek aizsargāts pat mazākais sistēmas aspekts, un šis aspekts kodolā sasniedz savu maksimumu. Linux kodols ir veids, kā jūsu programmatūra mijiedarbosies ar aparatūru, ja jūs neļausiet programmatūrai "redzēt" aparatūru, tā nevarēs kaitēt iekārtai. Lai sniegtu piemēru, mēs visi zinām, cik "bīstami" ir USB, ar vīrusiem, kad mēs runājam par Windows, jo USB noteikti var saturēt kodu Linux, kas var būt vai var nebūt kaitīgs sistēmai, ja mēs liekam kodolam atpazīt tikai tipu usb (programmaparatūras), kuru mēs vēlamies, jebkura cita veida USB mūsu komanda vienkārši ignorēs, kaut kas noteikti ir mazliet ekstrēms, taču tas varētu darboties atkarībā no apstākļiem.

pakalpojumi

Kad mēs runājam par pakalpojumiem, pirmais vārds, kas ienāk prātā, ir "uzraudzība", un tas ir kaut kas diezgan svarīgs, jo viena no pirmajām lietām, ko uzbrucējs dara, ienākot sistēmā, ir uzturēt savienojumu. Sistēmā ir ļoti svarīgi veikt periodisku ienākošo un īpaši izejošo savienojumu analīzi.

iptables

Tagad mēs visi esam dzirdējuši par iptables, tas ir rīks, kas ļauj ģenerēt datu ievades un izejas noteikumus kodola līmenī, tas noteikti ir noderīgi, taču tas ir arī divvirzienu zobens. Daudzi cilvēki uzskata, ka ar "ugunsmūri" viņiem jau nav nekāda veida ieejas vai izejas no sistēmas, taču nekas nav tālāk no patiesības, tas daudzos gadījumos var kalpot tikai kā placebo efekts. Ir zināms, ka ugunsmūri darbojas, pamatojoties uz noteikumiem, un tos noteikti var apiet vai apmānīt, ļaujot datus transportēt caur ostām un pakalpojumiem, kuriem noteikumi tos uzskatītu par "atļautiem", tas ir tikai radošuma jautājums

Stabilitāte pret ritošo atbrīvošanu

Tagad tas ir diezgan strīdīgs jautājums daudzās vietās vai situācijās, bet ļaujiet man paskaidrot savu viedokli. Būdams drošības komandas loceklis, kas uzrauga daudzus jautājumus stabilajā izplatīšanas nozarē, es apzinos daudzas, gandrīz visas mūsu lietotāju Gentoo mašīnu ievainojamības. Tagad izplatījumi, piemēram, Debian, RedHat, SUSE, Ubuntu un daudzi citi, iziet to pašu, un to reakcijas laiks var atšķirties atkarībā no daudziem apstākļiem.

Pārejam pie skaidra piemēra, noteikti visi ir dzirdējuši par Meltdown, Spectre un veselu virkni ziņu, kas šajās dienās ir lidojušas pa internetu, labi, kodola visvairāk "ritošā-atbrīvošanas" filiāle jau ir salāpīta, problēma slēpjas Veicot šos labojumus vecākiem kodoliem, backporting noteikti ir smags un smags darbs. Tagad pēc tam tās joprojām ir jāpārbauda izplatīšanas izstrādātājiem, un, kad testēšana būs pabeigta, tā būs pieejama tikai parastajiem lietotājiem. Ko es vēlos iegūt ar šo? Tā kā ritošā atbrīvošanas modelis prasa mums uzzināt vairāk par sistēmu un veidiem, kā to glābt, ja kaut kas neizdodas, bet tas tā ir labs, jo absolūtās pasivitātes uzturēšana sistēmā rada vairākas negatīvas sekas gan administratoram, gan lietotājiem.

Pārziniet savu programmatūru

Tas ir ļoti vērtīgs papildinājums pārvaldības laikā. Tik vienkāršas lietas kā abonēšana izmantotās programmatūras jaunumiem var palīdzēt iepriekš zināt drošības paziņojumus, tādējādi veidojot reakcijas plānu un vienlaikus redzot, cik daudz Katram izplatījumam ir vajadzīgs laiks, lai atrisinātu problēmas, vienmēr ir labāk rīkoties proaktīvi šajos jautājumos, jo vairāk nekā 70% uzbrukumu uzņēmumiem veic novecojusi programmatūra.

Atspoguļošana

Kad cilvēki runā par rūdīšanos, bieži tiek uzskatīts, ka "aizsargāta" komanda ir pierādījums visam, un nav nekā viltus. Kā norāda burtiskais tulkojums, sacietēšana nozīmē padarīt lietas sarežģītākas, NAV neiespējamas ... bet daudzas reizes daudzi cilvēki domā, ka tas ir saistīts ar tumšo burvību un daudziem trikiem, piemēram, medus podi ... tas ir papildinājums, bet, ja jūs nevarat paveikt elementārākās lietas, piemēram, saglabāt programmatūru vai valodas atjaunināta programmēšana ... nav nepieciešams izveidot fantoma tīklus un komandas ar pretpasākumiem ... Es to saku tāpēc, ka esmu redzējis vairākus uzņēmumus, kur viņi prasa PHP 4 līdz 5 versijas (acīmredzami pārtraukta) ... lietas, kas šodien ir zināms, ka viņiem ir simtiem, ja ne tūkstošiem drošības trūkumu, taču, ja uzņēmums nespēj sekot līdzi tehnoloģijām, ir bezjēdzīgi, ja viņi dara visu pārējo.

Turklāt, ja mēs visi izmantojam bezmaksas vai atvērtu programmatūru, drošības kļūdu reakcijas laiks parasti ir diezgan īss, problēma rodas, kad mums ir darīšana ar patentētu programmatūru, bet es to atstāju citam rakstam, kuru es joprojām ceru drīz uzrakstīt.

Liels paldies par nokļūšanu šeit 🙂 sveicieni


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   gailis teica
    dara 6 gadi

    Lielisks

    Atbildēt gallopelado
    1.    KrissADR teica
      dara 6 gadi

      Liels paldies 🙂 sveicieni

      Atbildēt ChrisADR
  2.   Normans teica
    dara 6 gadi

    Man visvairāk patīk vienkāršība, risinot šo jautājumu, drošība šajos laikos. Paldies, es palikšu Ubuntu tik ilgi, kamēr tas nav ļoti nepieciešams, jo es neaizņemu nodalījumu, kas man ir pie Windows 8.1 pie brīdi. Sveiciens.

    Atbildēt Normanam
    1.    KrissADR teica
      dara 6 gadi

      Sveika norma, noteikti Debian un Ubuntu drošības komandas ir diezgan efektīvas 🙂 Esmu redzējis, kā viņi apbrīnojami ātri apstrādā lietas, un viņi noteikti liek lietotājiem justies droši, vismaz, ja es būtu Ubuntu, es justos mazliet drošāks secure
      Sveicieni, un taisnība, tas ir vienkāršs jautājums ... drošība vairāk nekā tumša māksla ir minimālo kritēriju jautājums 🙂

      Atbildēt ChrisADR
  3.   Alberto Kardona teica
    dara 6 gadi

    Liels paldies par ieguldījumu!
    Ļoti interesanta, īpaši Rolling izlaiduma daļa.
    Es to nebiju ņēmis vērā, tagad man jāpārvalda serveris ar Gentoo, lai redzētu atšķirības, kas man ir ar Devuan.
    Liels apsveikums un ps, lai kopīgotu šo ierakstu savos sociālajos tīklos, lai šī informācija nonāktu vairāk cilvēku !!
    Paldies!

    Atbildēt Alberto Cardona
    1.    KrissADR teica
      dara 6 gadi

      Jūs esat laipni gaidīti Alberto 🙂 Man bija parāds par to, ka pirmais atbildēju uz iepriekšējā emuāra udos pieprasījumu, tāpēc sveicieni un tagad turpinu rakstīt gaidāmo sarakstu 🙂

      Atbildēt ChrisADR
  4.   jolt2bolt teica
    dara 6 gadi

    Nu, pielieciet sacietēšanu ar rētu, tas būtu tāpat kā atstāt datoru neaizsargātāku, ja, piemēram, izmantotu sanboxing. Interesanti, ka jūsu aprīkojums būs drošāks pret rēgiem, jo ​​mazāk drošības slāņu jūs lietojat ... ziņkārīgs, vai ne?

    Atbildiet Jolt2bolt
    1.    KrissADR teica
      dara 6 gadi

      tas man atgādina piemēru, kas varētu iesniegt veselu rakstu ... izmantojot -fsanitize = adresi kompilatorā, mēs varētu domāt, ka sastādītā programmatūra būtu "drošāka", bet nekas nevar būt tālāk no patiesības, es zinu izstrādātājs, kurš mēģināja tā vietā, lai to izdarītu ar visu komandu ... izrādījās vieglāk uzbrukt nekā vienam, neizmantojot ASAN ... tas pats attiecas uz dažādiem aspektiem, izmantojot nepareizos slāņus, kad nezināt, ko viņi darīt, ir vairāk kaitīga nekā nekā neko neizmantot. Es domāju, ka tas ir kaut kas, kas mums visiem jāņem vērā, mēģinot aizsargāt sistēmu ... kas mūs atgriež pie fakta, ka tā nav tumšā maģija, bet tikai veselais saprāts 🙂 paldies par jūsu ieguldījumu

      Atbildēt ChrisADR
  5.   kra teica
    dara 6 gadi

    Manuprāt, visnopietnākā ievainojamība, kas tiek pielīdzināta fiziskai piekļuvei un cilvēku kļūdām, joprojām ir aparatūra, atstājot malā Meltdown un Spectre, kopš seniem laikiem ir redzams, ka tārpa LoveLetter varianti kodu BIOS ierakstīja iekārtas BIOS , tā kā noteiktas SSD programmaparatūras versijas ļāva veikt attālu koda izpildi un vissliktākais no mana viedokļa ir Intel Management Engine, kas ir pilnīga privātuma un drošības novirze, jo vairs nav nozīmes, vai iekārtai ir AES šifrēšana, neskaidra izmantošana vai kāds cits sacietēšanu, jo pat tad, ja dators ir izslēgts, IME gatavojas jūs ieskrūvēt.

    Paradoksāli ir arī tas, ka 200. gada Tinkpad X2008, kas izmanto LibreBoot, ir drošāks nekā jebkurš pašreizējais dators.

    Pats sliktākais šajā situācijā ir tas, ka tam nav risinājuma, jo ne Intel, ne AMD, Nvidia, Gygabite, ne kāds mēreni pazīstams aparatūras ražotājs netiks izlaists ar GPL vai kādu citu bezmaksas licenci, pašreizējo aparatūras dizainu, jo kāpēc gan ieguldīt miljonus dolāru lai kāds cits kopētu patieso ideju.

    Skaists kapitālisms.

    Atbildēt Kra
    1.    KrissADR teica
      dara 6 gadi

      Ļoti patiess Kra 🙂 ir skaidrs, ka jūs esat diezgan prasmīgs drošības jautājumos 😀, jo patiesībā patentēta programmatūra un aparatūra ir rūpējas, bet diemžēl pret to maz ir jādara attiecībā uz “sacietēšanu”, jo, kā jūs sakāt, tas ir kaut kas tāds, kas aizbēg gandrīz no visiem mirstīgajiem, izņemot tos, kuri zina programmēšanu un elektroniku.

      Sveiciens un paldies par dalīšanos 🙂

      Atbildēt ChrisADR
  6.   anonīms teica
    dara 6 gadi

    Ļoti interesanti, tagad pamācība katrai sadaļai būtu laba xD

    Starp citu, cik bīstami tas ir, ja es ievietoju Raspberry Pi un atveru nepieciešamās ostas, lai izmantotu owncloud vai tīmekļa serveri ārpus mājas?
    Tas ir tas, ka es esmu diezgan ieinteresēts, bet es nezinu, vai man būs laiks pārskatīt piekļuves žurnālus, laiku pa laikam apskatīt drošības iestatījumus utt. Utt.

    Atbildēt anonīmi
  7.   Hulio teica
    dara 6 gadi

    Lielisks ieguldījums, paldies par dalīšanos savās zināšanās.

    Atbildēt Hulio