Sejauh ini saya rasa saya belum menyentuh salah satu lagu kegemaran saya, keselamatan komputer, dan saya percaya bahawa ini akan menjadi topik yang akan saya sampaikan kepada anda hari ini 🙂 Saya harap selepas artikel pendek ini, anda dapat mempunyai idea yang lebih baik mengenai apa yang dapat membantu anda untuk mengawal risiko anda dengan lebih baik dan bagaimana mengurangkan banyak pada masa yang sama.
Risiko di mana sahaja
Tidak dapat dielakkan, dalam tahun ini saja, kita telah menemui lebih dari 15000 kelemahan yang dapat dijumpai dan ditentukan awam. Bagaimana saya tahu? Kerana sebahagian daripada tugas saya adalah memeriksa CVE dalam program yang kami gunakan di Gentoo untuk melihat apakah kami menjalankan perisian yang rentan, dengan cara ini kami dapat memperbaruinya dan memastikan bahawa semua orang dalam pengedaran mempunyai peralatan yang selamat.
CVE
Kerentanan dan pendedahan biasa Untuk akronimnya dalam bahasa Inggeris, mereka adalah pengecam unik yang diberikan kepada setiap kelemahan yang ada. Saya dapat mengatakan dengan gembira bahawa beberapa Pembangun Gentoo menyokong kebaikan kemanusiaan, meneliti dan menerbitkan penemuan mereka sehingga dapat diperbaiki dan diperbaiki. Salah satu kes terakhir yang saya gemari membaca ialah Pilihan berpakaian; kerentanan yang mempengaruhi pelayan Apache di seluruh dunia. Mengapa saya mengatakan bahawa saya bangga dengan perkara ini? Kerana mereka melakukan kebaikan dunia, menjaga kerentanan sebagai rahsia hanya menguntungkan beberapa orang, dan akibatnya boleh menjadi bencana bergantung pada objektifnya.
CNA
CNA adalah entiti yang bertanggungjawab untuk meminta dan / atau menetapkan CVE, misalnya, kami memiliki Microsoft CNA, yang bertanggung jawab untuk mengelompokkan kelemahan mereka, menyelesaikannya dan memberikan mereka CVE untuk pendaftaran kemudian dari masa ke masa.
Jenis langkah
Mari kita mulakan dengan menjelaskan bahawa tidak ada peralatan yang selamat atau 100% selamat, dan sebagai pepatah yang biasa digunakan untuk mengatakan:
Satu-satunya komputer yang selamat 100% adalah komputer yang terkunci di dalam peti besi, terputus dari internet dan dimatikan.
Kerana memang benar, risikonya akan selalu ada, diketahui atau tidak diketahui, hanya perlu waktu sehingga dalam menghadapi risiko kita dapat melakukan hal berikut:
Kurangkannya
Mengurangkan risiko tidak lebih dari sekadar mengurangkannya (TIDAK membatalkannya). Ini adalah perkara yang sangat penting dan penting baik di peringkat perniagaan dan peribadi, seseorang tidak mahu "digodam", tetapi untuk mengatakan yang sebenarnya titik paling lemah dalam rantai ini bukanlah peralatan, atau program, bahkan prosesnya, itu adalah manusia.
Kita semua mempunyai kebiasaan untuk menyalahkan orang lain, baik itu orang atau benda, tetapi dalam keselamatan komputer, tanggungjawabnya adalah dan akan selalu menjadi milik manusia, mungkin bukan anda secara langsung, tetapi jika anda tidak mengikuti jalan yang betul, anda akan menjadi sebahagian daripada masalah tersebut. Nanti saya akan beri anda sedikit muslihat untuk kekal lebih selamat 😉
Pindahkannya
Ini adalah prinsip yang cukup terkenal, kita harus membayangkannya sebagai bank. Apabila anda perlu mengurus wang anda (maksud saya secara fizikal), perkara yang paling selamat adalah meninggalkannya dengan seseorang yang mempunyai kemampuan untuk melindunginya jauh lebih baik daripada anda. Anda tidak perlu mempunyai peti besi sendiri (walaupun akan lebih baik) untuk mengurus sesuatu, anda hanya perlu mempunyai seseorang (yang anda percayai) untuk menjaga sesuatu yang lebih baik daripada anda.
Terimalah
Tetapi apabila yang pertama dan kedua tidak berlaku, di situlah persoalan yang sangat penting masuk. Berapa nilai sumber / data / dll ini untuk saya? Sekiranya jawapannya banyak, maka anda harus memikirkan dua yang pertama. Tetapi jika jawapannya adalah tidak banyakMungkin anda hanya perlu menerima risikonya.
Anda harus menghadapinya, tidak semuanya dapat diatasi, dan beberapa perkara yang dapat ditangguhkan akan memakan banyak sumber sehingga praktikal mustahil untuk menerapkan penyelesaian yang sebenarnya tanpa harus mengubah dan melaburkan banyak masa dan wang. Tetapi jika anda dapat menganalisis apa yang ingin anda lindungi, dan ia tidak mendapat tempat di langkah pertama atau kedua, maka cukuplah mengambilnya pada langkah ketiga dengan cara yang terbaik, jangan berikan nilai lebih dari yang ada, dan jangan mencampurkannya dengan perkara-perkara yang benar-benar mereka mempunyai nilai.
Untuk mengikuti perkembangan terkini
Inilah kebenaran yang melarikan diri dari ratusan orang dan perniagaan. Keselamatan komputer bukan untuk mematuhi audit anda 3 kali dalam setahun dan menjangkakan tidak akan berlaku dalam 350 hari yang lain. Dan ini berlaku untuk banyak pentadbir sistem. Saya akhirnya dapat mengesahkan diri saya sebagai LFCS (Saya serahkan kepada anda untuk mencari di mana saya melakukannya 🙂) dan ini adalah titik kritikal semasa kursus. Memastikan peralatan dan program anda sentiasa terkini, penting, untuk mengelakkan kebanyakan risiko. Pasti ramai di sini akan memberitahu saya, tetapi program yang kami gunakan tidak berfungsi dalam versi seterusnya atau yang serupa, kerana sebenarnya program anda adalah bom masa jika tidak berfungsi dalam versi terkini. Dan itu membawa kita ke bahagian sebelumnya, Bolehkah anda mengurangkannya ?, bolehkah anda memindahkannya ?, bolehkah anda menerimanya? ...
Sejujurnya, hanya perlu diingat, secara statistik, 75% serangan keselamatan komputer berasal dari dalam. Ini mungkin kerana anda mempunyai pengguna yang tidak curiga atau berniat jahat di syarikat tersebut. Atau bahawa proses keselamatan mereka tidak menyukarkan a penggodam masuk ke premis atau rangkaian anda. Dan hampir lebih daripada 90% serangan disebabkan oleh perisian yang ketinggalan zaman, tidak kerana kelemahan hari sifar.
Berfikir seperti mesin, bukan seperti manusia
Ini akan menjadi sedikit nasihat bahawa saya meninggalkan anda dari sini:
Berfikir seperti mesin
Bagi mereka yang tidak faham, sekarang saya memberikan contoh.
Saya memperkenalkan anda John. Di kalangan pencinta keselamatan, ia adalah salah satu titik permulaan yang terbaik ketika anda memulakannya di dunia penggodaman etika. John akrab dengan rakan kita Masalah. Dan pada dasarnya dia mengambil senarai yang diserahkan kepadanya dan mula menguji kombinasi sehingga dia menemui kunci yang menyelesaikan kata laluan yang dia cari.
Crunch adalah penjana gabungan. Ini bererti anda dapat mengetahui bahawa anda mahukan kata laluan yang panjangnya 6 aksara, yang mengandungi huruf besar dan kecil dan masalah akan mula diuji satu persatu ... seperti:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Dan mereka tertanya-tanya berapa lama masa untuk menyelesaikan keseluruhan senarai ... tidak memerlukan lebih dari beberapa senarai minit. Bagi mereka yang dibiarkan terbuka, izinkan saya menjelaskan. Seperti yang telah kita bincangkan sebelumnya, hubungan yang paling lemah dalam rantai ini adalah manusia, dan cara berfikirnya. Untuk komputer tidak sukar untuk menguji kombinasi, sangat berulang, dan selama bertahun-tahun pemproses menjadi sangat kuat sehingga tidak memerlukan lebih dari satu saat untuk membuat seribu percubaan, atau bahkan lebih.
Tetapi sekarang yang baik, contoh sebelumnya adalah dengan pemikiran manusia, sekarang kita mencarinya pemikiran mesin:
Sekiranya kita memberitahu masalah untuk mula menghasilkan kata laluan dengan hanya 8 digit, di bawah keperluan yang sama sebelumnya, kami telah pergi dari beberapa minit ke jam. Dan teka apa yang berlaku jika kami memberitahu anda untuk menggunakan lebih daripada 10, ia menjadi hari. Sudah lebih dari 12 kita sudah masuk bulanSebagai tambahan kepada kenyataan bahawa senarai tersebut adalah sebilangan besar yang tidak dapat disimpan pada komputer biasa. Sekiranya kita mencapai 20, kita akan membincangkan hal-hal yang tidak dapat diuraikan oleh komputer dalam beratus-ratus tahun (tentu saja dengan pemproses semasa). Ini mempunyai penjelasan matematiknya, tetapi untuk alasan ruang saya tidak akan menerangkannya di sini, tetapi untuk yang paling ingin tahu, ia mempunyai banyak kaitan dengan permutasi, The gabungan dan gabungan. Lebih tepat lagi, dengan fakta bahawa untuk setiap huruf yang kita tambah panjangnya kita mempunyai hampir 50 kemungkinan, jadi kita akan mempunyai sesuatu seperti:
20^50 kemungkinan kombinasi untuk kata laluan terakhir kami. Masukkan nombor itu ke dalam kalkulator anda untuk melihat berapa banyak kemungkinan yang ada dengan panjang kunci 20 simbol.
Bagaimana saya boleh berfikir seperti mesin?
Tidak mudah, lebih daripada satu orang akan memberitahu saya untuk memikirkan kata laluan sebanyak 20 huruf berturut-turut, terutama dengan konsep lama bahawa kata laluan adalah kata-kata kunci. Tetapi mari kita lihat contohnya:
dXfwHd
Ini sukar untuk diingat oleh manusia, tetapi sangat mudah untuk mesin.
caballoconpatasdehormiga
Ini sebaliknya sangat mudah untuk diingat oleh manusia (walaupun lucu) tetapi sangat mustahak Masalah. Dan sekarang lebih daripada satu akan memberitahu saya, tetapi tidak digalakkan untuk menukar kunci berturut-turut? Ya, dianjurkan, jadi sekarang kita dapat membunuh dua burung dengan satu batu. Anggaplah bulan ini saya membaca Don Quixote de la Mancha, jilid I. Dalam kata laluan saya, saya akan meletakkan seperti:
ElQuijoteDeLaMancha1
20 simbol, sesuatu yang agak sukar untuk dijumpai tanpa mengenali saya, dan yang terbaik ialah apabila saya menyelesaikan buku (dengan andaian bahawa mereka terus membaca 🙂) mereka akan mengetahui bahawa mereka mesti menukar kata laluan mereka, malah menukar kepada:
ElQuijoteDeLaMancha2
Ini adalah kemajuan 🙂 dan ia pasti akan membantu anda menyimpan kata laluan anda dengan selamat dan pada masa yang sama mengingatkan anda untuk menyelesaikan buku anda.
Apa yang saya tulis sudah cukup, dan walaupun saya ingin membincangkan banyak lagi masalah keselamatan, kami akan meninggalkannya untuk masa yang lain 🙂 Salam
Sungguh menarik!!
Saya harap anda dapat memuat naik tutorial mengenai pengerasan di Linux, itu akan menjadi luar biasa.
Salam!
Halo, bolehkah anda memberi saya sedikit masa, tetapi saya juga berkongsi sumber yang saya rasa sangat menarik 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Yang ini tidak diterjemahkan ke dalam bahasa Sepanyol 🙁 tetapi jika seseorang digalakkan untuk memberikan bantuan dan menolongnya, ia akan menjadi baik 🙂
salam
Sangat menarik, tetapi dari sudut pandang saya, serangan kekerasan menjadi usang, dan penghasilan kata laluan seperti "ElQuijoteDeLaMancha1" nampaknya tidak dapat diselesaikan, ini kerana dengan sedikit kejuruteraan sosial, mungkin dapat mencari Kata Laluan jenis ini, hanya luas dengan penyiasatan secara dangkal orang itu dan dia sendiri akan mendedahkannya kepada kita, baik di rangkaian sosialnya, kepada kenalannya atau di tempat kerja, adalah sebahagian dari sifat manusia.
Pada pandangan saya, penyelesaian terbaik adalah menggunakan pengurus kata laluan, kerana lebih selamat menggunakan kata laluan 100 digit daripada kata laluan 20 digit, di samping itu, ada kelebihan bahawa kerana kata laluan induk hanya diketahui, tidak mungkin didedahkan walaupun dengan kata laluan dihasilkan kerana tidak diketahui.
Ini adalah pengurus kata laluan saya, ia adalah sumber terbuka dan dengan meniru papan kekunci, ia kebal terhadap keylogers.
https://www.themooltipass.com
Baiklah, saya tidak berpura-pura memberikan penyelesaian yang benar-benar selamat (ingat bahawa tidak ada yang dapat ditembus 100%) hanya dalam 1500 perkataan 🙂 (Saya tidak mahu menulis lebih daripada itu melainkan jika ia benar-benar diperlukan) tetapi seperti yang anda katakan bahawa 100 lebih baik daripada 20, baik 20 pasti lebih baik daripada 8 🙂 dan baik, seperti yang kita katakan pada awalnya, pautan paling lemah adalah lelaki itu, jadi di situlah perhatian selalu ada. Saya tahu sebilangan "jurutera sosial" yang tidak tahu banyak tentang teknologi, tetapi hanya cukup untuk melakukan kerja perundingan keselamatan. Jauh lebih sukar adalah mencari penggodam sebenar yang menemui kekurangan dalam program (zero-day yang diketahui)
Sekiranya kita bercakap mengenai penyelesaian "lebih baik", kita sudah memasuki topik untuk orang yang mempunyai kepakaran dalam bidang ini, dan saya berkongsi dengan mana-mana jenis pengguna 🙂 tetapi jika anda suka, kita boleh membincangkan penyelesaian "lebih baik" pada masa lain. Dan terima kasih untuk pautan itu, pasti kebaikan dan keburukannya, tetapi ia tidak akan banyak memberi kesan kepada pengurus kata laluan, anda akan terkejut dengan kemudahan dan keinginan mereka menyerang mereka, bagaimanapun ... satu kemenangan membawa banyak kunci didedahkan.
salam
Artikel menarik, ChrisADR. Sebagai pentadbir sistem Linux, ini adalah peringatan yang baik untuk tidak terjebak untuk tidak memberikannya kepentingan paling penting yang diperlukan hari ini untuk memastikan kata laluan sentiasa terkini dan dengan keselamatan yang diperlukan pada zaman sekarang. Bahkan ini adalah artikel yang dapat membantu orang biasa yang menganggap bahawa kata laluan bukanlah penyebab 90% sakit kepala. Saya ingin melihat lebih banyak artikel mengenai keselamatan komputer dan bagaimana mengekalkan keselamatan setinggi mungkin dalam sistem operasi yang kita sayangi. Saya percaya bahawa selalu ada sesuatu yang lebih banyak untuk dipelajari di luar pengetahuan yang diperoleh seseorang melalui kursus dan latihan.
Selain itu, saya selalu merujuk blog ini untuk mengetahui tentang program baru untuk Gnu Linux untuk mendapatkannya.
Salam!
Bolehkah anda menerangkan sedikit secara terperinci, dengan angka dan kuantiti, mengapa "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" tidak ada; p) lebih selamat daripada "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Saya tidak tahu apa-apa mengenai matematik gabungan, tetapi saya masih tidak yakin dengan idea yang sering diulang bahawa kata laluan panjang dengan set watak sederhana lebih baik daripada kata laluan yang lebih pendek dengan kumpulan watak yang jauh lebih besar. Adakah jumlah kemungkinan kombinasi benar-benar lebih besar hanya dengan menggunakan huruf dan angka Latin daripada menggunakan semua UTF-8?
Greetings.
Hai Dani, mari kita pergi untuk menjelaskannya ... adakah anda pernah mempunyai salah satu beg pakaian dengan kombinasi nombor sebagai kunci? Mari kita lihat kes berikut ... dengan anggapan mereka mencapai sembilan kita mempunyai sesuatu seperti:
| 10 | | 10 | | 10 |
Masing-masing mempunyai kemungkinan diaz, jadi jika anda ingin mengetahui jumlah kemungkinan kombinasi, anda hanya perlu melakukan pendaraban sederhana, 10³ tepat atau 1000.
Jadual ASCII mengandungi 255 watak penting, yang biasanya kita gunakan nombor, huruf kecil, huruf besar dan beberapa tanda baca. Anggaplah sekarang kita akan mempunyai kata laluan 6 digit dengan kira-kira 70 pilihan (huruf besar, huruf kecil, angka dan beberapa simbol)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Seperti yang anda bayangkan, itu adalah jumlah yang cukup besar, 117 tepat. Dan itulah semua kemungkinan kombinasi yang ada untuk ruang kunci 649 digit. Sekarang kita akan mengurangkan spektrum kemungkinan lebih banyak lagi, mari kita teruskan bahawa kita hanya akan menggunakan 000 (huruf kecil, angka dan simbol sekali-sekala mungkin) tetapi dengan kata laluan yang lebih panjang, katakan mungkin 000 digit (Itu yang contohnya ada seperti 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Bilangan kemungkinan menjadi… 1 159 445 329 576 199 417 209 625 244 140 625… Saya tidak tahu bagaimana bilangan itu dikira, tetapi bagi saya ia sedikit lebih lama :), tetapi kita akan mengurangkannya lebih banyak lagi , kita hanya akan menggunakan nombor 0 hingga 9, dan mari kita lihat apa yang berlaku pada kuantiti
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Dengan peraturan mudah ini, anda boleh menghasilkan kombinasi 100 yang menakjubkan :). Ini kerana setiap digit yang ditambahkan pada persamaan meningkatkan bilangan kemungkinan secara eksponensial, sementara menambahkan kemungkinan dalam satu kotak meningkatkannya secara linear.
Tetapi sekarang kita menuju kepada apa yang "terbaik" bagi kita manusia.
Berapa lama masa yang anda perlukan untuk menulis “• M¡ ¢ 0nt®a $ 3Ñ @ •” secara praktikal? Mari kita anggap sebentar bahawa anda mesti menulisnya setiap hari, kerana anda tidak suka menyimpannya ke komputer. Ini menjadi kerja yang membosankan jika anda perlu melakukan pengecutan tangan dengan cara yang tidak biasa. Jauh lebih pantas (menurut pandangan saya) adalah menulis perkataan yang boleh anda tulis secara semula jadi, kerana faktor penting lain adalah menukar kunci secara berkala.
Dan yang terakhir tetapi sangat penting ... Ini banyak bergantung pada suasana hati orang yang telah mengembangkan sistem, aplikasi, program anda, dengan tenang dapat menggunakan SEMUA watak UTF-8, dalam beberapa kes, malah mungkin melumpuhkan penggunaannya itu penting kerana aplikasi "menukar" beberapa kata laluan anda dan menjadikannya tidak dapat digunakan ... Jadi mungkin lebih baik untuk memainkannya dengan selamat dengan watak-watak yang anda selalu tahu ada.
Semoga ini dapat membantu dengan keraguan 🙂 Salam