Līdz šim es nedomāju, ka esmu pieskāries vienai no savām iecienītākajām dziesmām, datoru drošība, un es uzskatu, ka šī būs tēma, par kuru es jums šodien pastāstīšu 🙂 Es ceru, ka pēc šī īsa raksta jums būs labāka ideja par to, kas var jums palīdzēt labāk kontrolēt savus riskus un kā vienlaikus mazināt daudzus.
Riski visur
Tas ir neizbēgami, jo tikai šajā gadā mums jau ir atklāti un piešķirti vairāk nekā 15000 XNUMX ievainojamību valsts. Kā lai es zinu? Tā kā mana darba daļa ir pārbaudīt CVE programmās, kuras izmantojam Gentoo, lai pārliecinātos, vai mēs izmantojam neaizsargātu programmatūru, šādā veidā mēs varam to atjaunināt un nodrošināt, lai ikvienam izplatītājam būtu drošs aprīkojums.
CVE
Kopējās neaizsargātības un iedarbības Akronīmam angļu valodā tie ir unikālie identifikatori, kas tiek piešķirti katrai esošajai ievainojamībai. Ar lielu prieku varu teikt, ka vairāki Gentoo izstrādātāji atbalsta cilvēces labumu, pēta un publicē savus atklājumus, lai tos varētu labot un labot. Viens no pēdējiem gadījumiem, kuru man bija prieks lasīt, bija tas, ka Opciju asiņošana; ievainojamība, kas ietekmēja Apache serverus visā pasaulē. Kāpēc es saku, ka ar to lepojos? Tā kā viņi dara labu pasaulei, ievainojamību paturot noslēpumā, ieguvēji ir tikai daži, un tā sekas var būt katastrofālas atkarībā no mērķa.
CNA
CNA ir vienības, kas atbild par CVE pieprasīšanu un / vai piešķiršanu, piemēram, mums ir Microsoft CNA, kas atbild par viņu ievainojamību grupēšanu, to novēršanu un piešķiršanu CVE vēlākai reģistrācijai laika gaitā.
Pasākumu veidi
Sāksim, precizējot, ka neviens aprīkojums nav vai nebūs 100% drošs, un kā diezgan izplatīts teiciens mēdza teikt:
Vienīgais 100% drošais dators ir bloķēts seifā, atvienots no interneta un izslēgts.
Tā kā tā ir taisnība, riski vienmēr būs, zināmi vai nezināmi, tas ir tikai laika jautājums, tāpēc, saskaroties ar risku, mēs varam rīkoties šādi:
To mazināt
Riska mazināšana ir nekas cits kā tā samazināšana (NĒ to atcelt). Tas ir diezgan svarīgs un izšķirošs punkts gan biznesa, gan personīgā līmenī, nevēlas, lai viņu "uzlauztu", bet patiesību sakot, ķēdes vājākā vieta nav aprīkojums, ne programma, pat ne process, tas cilvēku.
Mums visiem ir ieradums vainot citus, neatkarīgi no tā, vai tie ir cilvēki, vai lietas, taču datoru drošībā atbildība ir un vienmēr būs cilvēka ziņā, iespējams, tā neesat tieši jūs, bet, ja neiet pareizo ceļu, jūs būsiet daļa no problēmas. Vēlāk es jums došu nelielu triku, lai jūs būtu mazliet drošāks 😉
Pārsūtiet to
Tas ir labi zināms princips, mums tas ir jāiedomājas kā banka. Kad jums ir jārūpējas par savu naudu (es domāju fiziski), visdrošākais ir atstāt to kādam, kurš spēj to aizsargāt daudz labāk nekā jūs. Jums nav jābūt savam glabātuvei (lai gan tas būtu daudz labāk), lai varētu kārtot lietas, jums vienkārši ir jābūt kādam (kuram uzticaties), lai saglabātu kaut ko labāku par sevi.
Pieņemiet to
Bet, kad pirmais un otrais neattiecas, tad tieši tur rodas patiešām svarīgais jautājums. Cik daudz šis resurss / dati / utt man ir vērts? Ja atbilde ir daudz, tad jums vajadzētu domāt par pirmajiem diviem. Bet, ja atbilde ir a ne tik daudzVarbūt jums vienkārši jāpieņem risks.
Jums jāsaskaras ar to, ka ne viss ir mazināms, un dažas mazināmas lietas izmaksātu tik daudz resursu, ka praktiski būtu neiespējami piemērot reālu risinājumu, ja nebūtu jāmaina un jāiegulda daudz laika un naudas. Bet, ja jūs varat analizēt to, ko mēģināt aizsargāt, un tas neatrod savu vietu pirmajā vai otrajā solī, tad vienkārši veiciet to vislabākajā veidā trešajā solī, nedodiet tam lielāku vērtību nekā tas ir un nejauciet to ar lietām, kurām patiešām ir vērtība.
Lai būtu lietas kursā
Šī ir patiesība, kas aizbēg simtiem cilvēku un uzņēmumu. Datoru drošība nenozīmē atbilstību jūsu revīzijai 3 reizes gadā un cerību, ka pārējās 350 dienas nekas nenotiks. Un tas attiecas uz daudziem sistēmas administratoriem. Beidzot varēju sevi apliecināt kā LFCS (Es atstāju jums atrast to, kur es to izdarīju 🙂), un tas ir kritiskais punkts kursa laikā. Ir ļoti svarīgi atjaunināt aprīkojumu un tā programmas, izšķirošs, lai izvairītos no lielākās daļas risku. Protams, daudzi šeit man pateiks, taču mūsu izmantotā programma nedarbojas nākamajā versijā vai kaut kas līdzīgs, jo patiesība ir tāda, ka jūsu programma ir laika bumba, ja tā nedarbojas jaunākajā versijā. Un tas mūs noved pie iepriekšējās sadaļas, Vai jūs varat to mazināt? Vai varat to nodot? Vai jūs varat to pieņemt? ...
Patiesībā, tikai paturot prātā, saskaņā ar statistiku 75% datoru drošības uzbrukumu rodas no iekšpuses. Tas var notikt tāpēc, ka uzņēmumā ir nenojaušoši vai ļaunprātīgi lietotāji. Vai arī to drošības procesi nav apgrūtinājuši a hakeris iekļūt jūsu telpās vai tīklos. Gandrīz vairāk nekā 90% uzbrukumu izraisa novecojusi programmatūra, Nē vājās vietas dēļ nulles diena.
Domā kā mašīna, nevis kā cilvēks
Šis būs mazs padoms, ko es jūs atstāju šeit:
Domā kā mašīnas
Tiem, kas nesaprot, tagad es jums sniedzu piemēru.
Es jūs iepazīstinu Džons. Drošības cienītāju vidū tas ir viens no labākajiem sākumpunktiem, kad sākat ethicla uzlaušana. John viņš lieliski sadzīvo ar mūsu draugu gurkstēšana. Un būtībā viņš paķer sarakstu, kas viņam tiek pasniegts, un sāk testēt kombinācijas, līdz atrod atslēgu, kas atrisina meklēto paroli.
Gurkstēšana ir kombināciju ģenerators. tas nozīmē, ka jūs varat pateikt crunch, ka vēlaties paroli, kas ir 6 rakstzīmes gara un satur lielos un mazos burtus, un gurkstēšana tiks sākta pēc kārtas ... kaut kas līdzīgs:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Un viņi brīnās, cik ilgs laiks ir vajadzīgs, lai droši izietu cauri visam sarakstam ... tas neprasa vairāk kā dažus protokols. Tiem, kas palika ar vaļā muti, ļaujiet man paskaidrot. Kā mēs iepriekš apspriedām, ķēdes vājākais posms ir cilvēks un viņa domāšanas veids. Datoram nav grūti izmēģināt kombinācijas, tas ir kaut kas ārkārtīgi atkārtots, un gadu gaitā procesori ir kļuvuši tik spēcīgi, ka tūkstoš mēģinājumu veikšana neprasa vairāk nekā sekundi vai pat vairāk.
Bet tagad ir labi, iepriekšējais piemērs ir ar cilvēka domāšana, tagad mēs ejam pēc tā mašīndoma:
Ja mēs sakām crunch, lai sāktu ģenerēt paroli ar tikai 8 cipari, saskaņā ar tām pašām iepriekšējām prasībām mēs esam pārvietojušies no minūtēm līdz stundas. Un uzminiet, kas notiek, ja mēs jums sakām, ka jāizmanto vairāk nekā 10, tie kļūst dienas. Vairāk nekā 12 mēs jau esam mēnešiPapildus tam, ka saraksts būtu proporcijas, kuras nevarētu saglabāt parastā datorā. Ja tiekam līdz 20 gadiem, mēs runājam par lietām, kuras dators nespēs atšifrēt simtiem gadu laikā (protams, ar pašreizējiem procesoriem). Tam ir savs matemātiskais skaidrojums, taču kosmosa apsvērumu dēļ es to šeit neskaidrošu, bet interesantākajiem tas ir daudz saistīts ar permutācija, kombinatorisks un kombinācijas. Pareizāk sakot, ar to, ka katram burtam, ko mēs pievienojam garumam, mums ir gandrīz 50 iespējas, tāpēc mums būs kaut kas līdzīgs:
20^50 iespējamās mūsu pēdējās paroles kombinācijas. Ievadiet šo numuru kalkulatorā, lai redzētu, cik daudz iespēju ir ar atslēgas garumu 20 simboli.
Kā es varu domāt kā mašīna?
Tas nav viegli, vairāk nekā viena persona man liks izdomāt paroli ar 20 burtiem pēc kārtas, it īpaši ar veco koncepciju, ka paroles ir vārdi taustiņu. Bet redzēsim piemēru:
dXfwHd
Cilvēkam to ir grūti atcerēties, bet mašīnai tas ir ārkārtīgi viegli.
caballoconpatasdehormiga
No otras puses, to ir ļoti viegli atcerēties cilvēkam (pat smieklīgi), bet tas ir ellē gurkstēšana. Un tagad vairāk nekā viens man pateiks, bet vai nav ieteicams mainīt arī atslēgas pēc kārtas? Jā, tas ir ieteicams, tāpēc tagad mēs varam nogalināt divus putnus ar vienu akmeni. Pieņemsim, ka šomēnes es lasu Dons Kihots de la Manča, I sējums Parolē es ievietošu kaut ko līdzīgu:
ElQuijoteDeLaMancha1
20 simboli, kaut ko diezgan grūti atklāt, mani nepazīstot, un labākais ir tas, ka, pabeidzot grāmatu (pieņemot, ka viņi pastāvīgi lasa 🙂), viņi zinās, ka viņiem ir jāmaina parole, pat mainot uz:
ElQuijoteDeLaMancha2
Tas ir progress 🙂, un tas noteikti palīdzēs jums saglabāt paroles drošībā un vienlaikus atgādinās jums pabeigt grāmatu.
Ar to, ko esmu uzrakstījis, pietiek, un, kaut arī es labprāt varētu runāt par vēl daudzām drošības problēmām, mēs to atstāsim citai reizei 🙂 Sveiciens
Ļoti interesanti!!
Es ceru, ka jūs varat augšupielādēt apmācības par sacietēšanu Linux, tas būtu brīnišķīgi.
Sveicieni!
Labdien, labi, vai jūs varētu man veltīt laiku, bet es arī dalos ar resursu, kas man šķiet ārkārtīgi interesants 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Šis nav tulkots spāņu valodā 🙁, bet, ja kāds tiek mudināts dot roku un palīdzēt, tas būtu lieliski 🙂
Sveicieni
Ļoti interesanti, bet no mana viedokļa raupja spēka uzbrukumi kļūst novecojuši, un tādu paroļu ģenerēšana kā "ElQuijoteDeLaMancha1" arī nešķiet reāls risinājums, jo tāpēc, ka ar nelielu sociālo inženieriju ir iespējams atrast Šāda veida paroles, kuru virspusēja izmeklēšana ir ļoti plaša, un viņa pati to atklās mums savos sociālajos tīklos, paziņās vai darbā, ir daļa no cilvēka rakstura.
Manuprāt, labākais risinājums ir paroļu pārvaldnieka izmantošana, jo drošāk ir izmantot 100 ciparu paroli, nevis 20 ciparu paroli, turklāt ir priekšrocība, ka, tā kā galvenā parole ir tikai zināma, to nav iespējams atklāt pat pēc uz rietumiem ģenerētās paroles, jo tās nav zināmas.
Šis ir mans paroļu pārvaldnieks, tas ir atvērts avots, un, atdarinot tastatūru, tas ir neaizsargāts pret taustiņlogotājiem.
https://www.themooltipass.com
Es neizliekos, ka sniedzu pilnīgi drošu risinājumu (atceroties, ka nekas nav 100% necaurejams) tikai ar 1500 vārdiem 🙂 (es negribu rakstīt vairāk, ja vien tas nav absolūti nepieciešams), bet tāpat kā jūs sakāt, ka 100 ir labāks par 20, labi 20 noteikti ir labāks par 8 🙂, un labi, kā mēs teicām sākumā, vājākā saikne ir vīrietis, tāpēc uzmanība vienmēr būs tur. Es pazīstu vairākus "sociālos inženierus", kuri neko daudz nezina par tehnoloģijām, bet ir pietiekami, lai veiktu drošības konsultāciju darbu. Daudz grūtāk ir atrast patiesus hakerus, kuri atrod trūkumus programmās (labi zināmā nulles diena).
Ja mēs runājam par "labākiem" risinājumiem, mēs jau ievadām tēmu cilvēkiem ar pieredzi šajā jomā, un es dalos ar visiem lietotājiem 🙂, bet, ja jums patīk, mēs varam runāt par "labākiem" risinājumiem citā laikā. Un paldies par saiti, pārliecinieties, ka tā ir plusi un mīnusi, taču arī paroļu pārvaldniekam tas neko daudz nedarītu, jūs galu galā pārsteigtu par vieglumu un vēlmi, ar kādu viņi viņiem uzbrūk ... viena uzvara nozīmē daudzus atklātus taustiņus.
Sveicieni
Interesants raksts, ChrisADR. Kā Linux sistēmas administrators tas ir labs atgādinājums, ka nevajag aizķerties, nepiešķirot tam šodien vislielāko nozīmi, kas nepieciešama paroļu atjaunināšanai un mūsdienu drošībai nepieciešamajai drošībai. Pat šis ir raksts, kas tālu aiziet līdz vienkāršiem cilvēkiem, kuri domā, ka parole nav 90% galvassāpju cēlonis. Es gribētu redzēt vairāk rakstu par datoru drošību un to, kā saglabāt visaugstāko iespējamo drošību mūsu mīļajā operētājsistēmā. Es uzskatu, ka vienmēr ir kaut kas vairāk jāmācās ārpus tām zināšanām, kuras cilvēks apgūst kursos un apmācībās.
Papildus tam es vienmēr konsultējos ar šo emuāru, lai uzzinātu par kādu jaunu programmu Gnu Linux, lai to izmantotu.
Sveicieni!
Vai jūs varētu nedaudz detalizēti izskaidrot ar skaitļiem un daudzumiem, kāpēc "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" nepastāv; p) ir drošāks par "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Es neko nezinu par kombinatorisko matemātiku, taču mani joprojām nepārliecina bieži atkārtotā ideja, ka gara parole ar vienkāršu rakstzīmju kopu ir labāka nekā īsāka parole ar daudz lielāku rakstzīmju kopu. Vai tiešām, izmantojot tikai latīņu burtus un ciparus, iespējamo kombināciju skaits ir lielāks nekā visu UTF-8 lietojot?
Sveicieni.
Sveiks, Dani, iesim pa daļām, lai tas būtu skaidrs ... vai jums kādreiz ir bijusi kāda no šīm koferēm ar ciparu kombinācijām kā slēdzene? Apskatīsim šādu gadījumu ... pieņemot, ka viņi sasniedz deviņus, mums ir kaut kas līdzīgs:
| 10 | | 10 | | 10 |
Katram no tiem ir diaz iespējas, tādēļ, ja vēlaties uzzināt iespējamo kombināciju skaitu, jums vienkārši jāveic vienkārša reizināšana, precīzāk - 10³ vai 1000.
ASCII tabulā ir 255 būtiskas rakstzīmes, no kurām parasti mēs izmantojam ciparus, mazos, lielos un dažus pieturzīmes. Pieņemsim, ka tagad mums būs sešciparu parole ar aptuveni 6 opcijām (lielie, mazie, cipari un daži simboli)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Kā jūs varat iedomāties, tas ir diezgan liels skaitlis, precīzāk - 117 649 000 000. Šīs ir visas iespējamās kombinācijas, kas pastāv sešciparu taustiņu telpā. Tagad mēs daudz vairāk samazināsim iespēju spektru, turpināsim, ka mēs izmantosim tikai 6 (varbūt mazie burti, skaitļi un varbūt gadījuma simbols), bet ar daudz garāku paroli, pieņemsim, ka varbūt 45 cipari (Tas, kas ir piemērā piemēram, 20).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Iespēju skaits kļūst ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Es nezinu, kā šis skaitlis tiek skaitīts, bet man tas ir mazliet garāks :), bet mēs to vēl vairāk samazināsim, mēs izmantosim tikai skaitļi no 0 līdz 9, un redzēsim, kas notiks ar daudzumu
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Izmantojot šo vienkāršo likumu, jūs varat nākt klajā ar satriecošām 100 000 000 000 000 000 000 kombinācijām :). Tas ir tāpēc, ka katrs vienādojumam pievienotais cipars eksponenciāli palielina iespēju skaitu, bet iespēju pievienošana vienā lodziņā to palielina lineāri.
Bet tagad mēs ejam pie tā, kas mums, cilvēkiem, ir "labākais".
Cik ilgs laiks jums vajadzīgs, lai rakstītu “• M¡ ¢ 0nt®a $ 3Ñ @ •” praktiski? Uz brīdi pieņemsim, ka jums tas katru dienu ir jāpieraksta, jo jums nepatīk to saglabāt datorā. Tas kļūst par garlaicīgu darbu, ja jums ir jāveic roku kontrakcijas neparastos veidos. Daudz ātrāk (manā skatījumā) ir rakstīt vārdus, kurus jūs varat rakstīt dabiski, jo vēl viens svarīgs faktors ir regulāra taustiņu maiņa.
Un visbeidzot, bet ne mazāk svarīgi ... Tas ir ļoti atkarīgs no tā cilvēka noskaņojuma, kurš ir izstrādājis jūsu sistēmu, lietojumprogrammu, programmu, spējot mierīgi izmantot VISAS UTF-8 rakstzīmes, dažos gadījumos tas var pat atspējot tas skaitās tāpēc, ka lietojumprogramma daļu no jūsu paroles "pārveido" un padara to nelietojamu ... Tāpēc varbūt labāk to droši atskaņot ar rakstzīmēm, par kurām vienmēr zināt, ka ir pieejamas.
Ceru, ka tas palīdzēs ar šaubām 🙂 Sveiciens