Tot nu toe denk ik niet dat ik een van mijn favoriete liedjes heb aangeraakt, computerbeveiliging, en ik denk dat dit het onderwerp zal zijn waar ik je vandaag over ga vertellen 🙂 Ik hoop dat je na dit korte artikel een beter idee krijgt van wat je kan helpen om je risico's beter onder controle te krijgen en hoe om veel tegelijk te verzachten.
Overal risico's
Het is onvermijdelijk, alleen al in dit jaar hebben we al meer dan 15000 kwetsbaarheden ontdekt en op een bepaalde manier toegewezen publiek. Hoe moet ik dat weten? Omdat het een deel van mijn taak is om CVE's te controleren in de programma's die we in Gentoo gebruiken om te zien of we kwetsbare software draaien, op deze manier kunnen we het updaten en ervoor zorgen dat iedereen in de distributie veilige apparatuur heeft.
CVE
Algemene kwetsbaarheden en blootstellingen Voor de afkorting in het Engels zijn dit de unieke identificatiegegevens die aan elke bestaande kwetsbaarheid worden toegewezen. Ik kan met grote vreugde zeggen dat verschillende Gentoo-ontwikkelaars het welzijn van de mensheid ondersteunen, hun bevindingen onderzoeken en publiceren zodat ze kunnen worden gecorrigeerd en gerepareerd. Een van de laatste gevallen die ik met genoegen heb gelezen, was die van Opties bloeden; een kwetsbaarheid die Apache-servers wereldwijd trof. Waarom zeg ik dat ik hier trots op ben? Omdat ze de wereld goed doen, komt het geheim houden van kwetsbaarheden slechts enkelen ten goede, en de gevolgen hiervan kunnen catastrofaal zijn, afhankelijk van het doel.
CNA
CNA's zijn entiteiten die verantwoordelijk zijn voor het aanvragen en / of toewijzen van CVE's, we hebben bijvoorbeeld de CNA van Microsoft, die verantwoordelijk is voor het groeperen van hun kwetsbaarheden, het oplossen ervan en het toewijzen van een CVE voor latere registratie in de tijd.
Soorten maatregelen
Laten we beginnen met te verduidelijken dat geen enkele apparatuur 100% veilig is of zal zijn, en zoals een vrij algemeen gezegde zei:
De enige 100% veilige computer is een computer die is opgesloten in een kluis, geen verbinding heeft met internet en is uitgeschakeld.
Omdat het waar is, de risico's er altijd zullen zijn, bekend of onbekend, is het slechts een kwestie van tijd, dus in het geval van risico's kunnen we het volgende doen:
Beperk het
Het verkleinen van een risico is niets meer dan het verminderen (NEE annuleer het). Dit is een vrij belangrijk en cruciaal punt, zowel op zakelijk als persoonlijk vlak, men wil niet "gehackt" worden, maar om de waarheid te vertellen is het zwakste punt in de keten niet de apparatuur, noch het programma, zelfs niet het proces. , het is de mens.
We hebben allemaal de gewoonte om anderen de schuld te geven, of het nu mensen of dingen zijn, maar bij computerbeveiliging is en blijft de verantwoordelijkheid altijd van de mens, misschien niet direct van jou, maar als je niet het juiste pad volgt, ben je dat wel. een deel van het probleem. Later zal ik je een kleine truc geven om wat veiliger te blijven 😉
Draag het over
Dit is een bekend principe, we moeten het ons voorstellen als een bank. Als je voor je geld moet zorgen (ik bedoel fysiek), is het het veiligste om het achter te laten bij iemand die het veel beter kan beschermen dan jij. Je hebt geen eigen kluis nodig (hoewel het veel beter zou zijn) om voor dingen te kunnen zorgen, je hebt alleen iemand nodig (die je vertrouwt) om iets beters te bewaren dan jij.
Accepteer het
Maar als de eerste en tweede niet van toepassing zijn, dan komt de echt belangrijke vraag binnen. Hoeveel is deze bron / gegevens / enz. Mij waard? Als het antwoord veel is, moet u aan de eerste twee denken. Maar als het antwoord een is niet zo veelMisschien moet u het risico gewoon accepteren.
Het moet worden aangepakt, niet alles is mitigeerbaar, en sommige mitigerende zaken zouden zoveel middelen kosten dat het praktisch onmogelijk zou zijn om een echte oplossing toe te passen zonder veel tijd en geld te moeten veranderen en investeren. Maar als je kunt analyseren wat je probeert te beschermen, en het vindt zijn plaats niet in de eerste of tweede stap, neem het dan gewoon in de derde stap op de beste manier, geef het niet meer waarde dan het heeft, en meng het niet met dingen waarvan ze echt waarde hebben.
Om up-to-date te houden
Dit is een waarheid die honderden mensen en bedrijven ontsnapt. Bij computerbeveiliging gaat het er niet om dat u 3 keer per jaar aan uw audit voldoet en verwacht dat er de andere 350 dagen niets zal gebeuren. En dit geldt voor veel systeembeheerders. Ik kon mezelf eindelijk certificeren als LFCS (Ik laat het aan jou over om uit te zoeken waar ik het heb gedaan 🙂) en dit is een kritiek punt tijdens de cursus. Het up-to-date houden van uw apparatuur en de bijbehorende programma's is essentieel, cruciaal, om de meeste risico's te vermijden. Zeker zullen velen hier me vertellen, maar het programma dat we gebruiken werkt niet in de volgende versie of iets dergelijks, want de waarheid is dat uw programma een tijdbom is als het niet werkt in de laatste versie. En dat brengt ons bij de vorige sectie, Kunt u het verzachten? Kunt u het overdragen? Kunt u het accepteren? ...
Eerlijk gezegd, om in gedachten te houden, statistisch gezien komt 75% van de computerbeveiligingsaanvallen van binnenuit. Dit kan zijn omdat u nietsvermoedende of kwaadwillende gebruikers in het bedrijf heeft. Of dat hun beveiligingsprocessen het niet moeilijk hebben gemaakt voor een hacker inbreken in uw pand of netwerken. En bijna meer dan 90% van de aanvallen wordt veroorzaakt door verouderde software, geen vanwege kwetsbaarheden van dag nul.
Denk als een machine, niet als een mens
Dit zal een klein advies zijn dat ik u vanaf nu verlaat:
Denk als machines
Voor degenen die het niet begrijpen, geef ik u nu een voorbeeld.
Ik stel je voor John. Onder beveiligingsliefhebbers is het een van de beste startpunten als je begint in de wereld van ethicla hacken. John hij kan het geweldig vinden met onze vriend knarsen. En eigenlijk pakt hij een lijst die hem wordt overhandigd en begint hij de combinaties te testen totdat hij een sleutel vindt die het wachtwoord oplost waarnaar hij op zoek is.
Knarsen is een generator van combinaties. dit betekent dat je crunch kunt vertellen dat je een wachtwoord wilt dat 6 tekens lang is, met hoofdletters en kleine letters en dat crunch een voor een zal testen ... zoiets als:
aaaaaa,aaaaab,aaaaac,aaaaad,....
En je vraagt je af hoe lang het zeker duurt om de hele lijst te doorlopen ... het duurt niet meer dan een paar notulen. Laat me het uitleggen voor degenen die met hun mond open waren achtergelaten. Zoals we eerder hebben besproken, is de zwakste schakel in de ketting de mens en zijn manier van denken. Voor een computer is het niet moeilijk om combinaties te testen, het is zeer repetitief en door de jaren heen zijn de processors zo krachtig geworden dat het niet meer dan een seconde kost om duizend pogingen te doen, of zelfs meer.
Maar nu is het goede ding, het vorige voorbeeld is met de menselijk denken, nu gaan we ervoor machine denken:
Als we crunch vertellen om een wachtwoord te genereren met just 8 cijfers, onder dezelfde eerdere vereisten, zijn we van minuten naar uur. En raad eens wat er gebeurt als we je vertellen om er meer dan 10 te gebruiken, ze worden dagen. Al meer dan 12 zijn we er al maandenNaast het feit dat de lijst van verhoudingen zou zijn die niet op een normale computer konden worden opgeslagen. Als we bij 20 komen, praten we over dingen die een computer in honderden jaren niet zal kunnen ontcijferen (met de huidige processors natuurlijk). Dit heeft zijn wiskundige verklaring, maar vanwege de ruimte ga ik het hier niet uitleggen, maar voor de meest nieuwsgierigen heeft het veel te maken met de permutatie, The combinatorisch en combinaties. Om precies te zijn, met het feit dat we voor elke letter die we bij de lengte optellen bijna 50 hebben mogelijkheden, dus we zullen zoiets hebben als:
20^50 mogelijke combinaties voor ons laatste wachtwoord. Voer dat getal in uw rekenmachine in om te zien hoeveel mogelijkheden er zijn met een sleutellengte van 20 symbolen.
Hoe kan ik denken als een machine?
Het is niet gemakkelijk, meer dan één persoon zal me vertellen om een wachtwoord van 20 letters achter elkaar te bedenken, vooral met het oude concept dat wachtwoorden zijn tekst sleutel. Maar laten we een voorbeeld bekijken:
dXfwHd
Dit is voor een mens moeilijk te onthouden, maar buitengewoon gemakkelijk voor een machine.
caballoconpatasdehormiga
Dit aan de andere kant is extreem gemakkelijk voor een mens om te onthouden (zelfs grappig), maar het is een hel voor knarsen. En nu zullen er meer dan één het mij vertellen, maar is het niet aan te raden om ook de sleutels achter elkaar te veranderen? Ja, het wordt aanbevolen, dus nu kunnen we twee vliegen in één klap slaan. Stel dat ik deze maand aan het lezen ben Don Quichot de la Mancha, deel I. In mijn wachtwoord zal ik zoiets als:
ElQuijoteDeLaMancha1
20 symbolen, iets wat vrij moeilijk te ontdekken is zonder mij te kennen, en het beste is dat als ik het boek uit heb (ervan uitgaande dat ze constant lezen 🙂) ze zullen weten dat ze hun wachtwoord moeten veranderen, zelfs in:
ElQuijoteDeLaMancha2
Het is al vooruitgang 🙂 en het zal je zeker helpen om je wachtwoorden veilig te houden en je er tegelijkertijd aan te herinneren dat je je boek moet afmaken.
Wat ik heb geschreven is genoeg, en hoewel ik graag over nog veel meer beveiligingskwesties zou willen praten, laten we het voor een andere keer achter 🙂 Groeten
Heel interessant!!
Ik hoop dat je tutorials over hardening op Linux kunt uploaden, het zou geweldig zijn.
Groeten!
Hallo 🙂 nou, kun je me wat tijd geven, maar ik deel ook een bron die ik buitengewoon interessant vind 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Deze is niet in het Spaans vertaald 🙁 maar als iemand wordt aangemoedigd om daarmee een handje te helpen en te helpen, zou het geweldig zijn 🙂
groeten
Heel interessant, maar naar mijn mening worden brute force-aanvallen achterhaald, en het genereren van wachtwoorden zoals "ElQuijoteDeLaMancha1" lijkt ook geen haalbare oplossing, dit komt omdat het met een beetje social engineering mogelijk is om de wachtwoorden van dit type, het is slechts een kwestie van oppervlakkig onderzoek van de persoon en zij zal het ons onthullen, hetzij in haar sociale netwerken, aan haar kennissen of op het werk, maakt deel uit van de menselijke natuur.
Naar mijn mening is de beste oplossing om een wachtwoordbeheerder te gebruiken, omdat het veiliger is om een 100-cijferig wachtwoord te gebruiken dan een 20-cijferig wachtwoord, daarnaast is er het voordeel dat aangezien het hoofdwachtwoord alleen bekend is, het is zelfs door west niet mogelijk om de gegenereerde wachtwoorden te onthullen omdat ze niet bekend zijn.
Dit is mijn wachtwoordbeheerder, het is open source en door een toetsenbord te emuleren, is het immuun voor keylogers.
https://www.themooltipass.com
Nou, ik pretendeer niet een volkomen veilige oplossing te geven (denk eraan dat niets 100% ondoordringbaar is) in slechts 1500 woorden 🙂 (ik wil niet meer schrijven dan dat tenzij het absoluut noodzakelijk is) maar net zoals jij dat zegt 100 is beter dan 20, nou 20 is beslist beter dan 8 🙂 en zoals we in het begin zeiden, de zwakste schakel is de man, dus daar zal altijd de aandacht zijn. Ik ken verschillende "sociale ingenieurs" die niet veel van technologie afweten, maar alleen genoeg om veiligheidsadvieswerk te doen. Veel moeilijker is om echte hackers te vinden die fouten in programma's vinden (de bekende zero-day).
Als we het hebben over "betere" oplossingen, zijn we al bezig met een onderwerp voor mensen met expertise in het veld, en ik deel dit met elk type gebruiker 🙂 maar als je wilt, kunnen we het op een ander moment over "betere" oplossingen hebben. En bedankt voor de link, het heeft zeker zijn voor- en nadelen, maar het zou ook niet veel doen voor een wachtwoordbeheerder, je zou tenslotte verrast zijn door het gemak en de wens waarmee ze ze aanvallen ... een enkele overwinning impliceert veel onthulde sleutels.
groeten
Interessant artikel, ChrisADR. Als Linux-systeembeheerder is dit een goede herinnering om niet verstrikt te raken in het niet het allerhoogste belang te hechten dat tegenwoordig vereist is om wachtwoorden up-to-date te houden en met de beveiliging die tegenwoordig vereist is. Zelfs dit is een artikel dat een lange weg zou gaan naar gewone mensen die denken dat een wachtwoord niet de oorzaak is van 90% van de hoofdpijn. Ik zou graag meer artikelen zien over computerbeveiliging en hoe u de hoogst mogelijke beveiliging binnen ons geliefde besturingssysteem kunt handhaven. Ik geloof dat er altijd iets meer te leren is dan de kennis die men opdoet door middel van cursussen en trainingen.
Daarnaast raadpleeg ik deze blog altijd om meer te weten te komen over een nieuw programma voor Gnu Linux om het in handen te krijgen.
Groeten!
Kunt u een beetje in detail uitleggen, met cijfers en hoeveelheden, waarom "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" niet bestaat; p) veiliger is dan "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Ik weet niets van combinatorische wiskunde, maar ik ben nog steeds niet overtuigd door het vaak herhaalde idee dat een lang wachtwoord met een eenvoudige tekenset beter is dan een korter met een veel grotere tekenset. Is het aantal mogelijke combinaties echt groter door alleen Latijnse letters en cijfers te gebruiken dan alleen UTF-8?
Groeten.
Hallo Dani, laten we in delen gaan om het duidelijk te maken ... heb je ooit een van die koffers met cijfercombinaties als slot gehad? Laten we het volgende geval bekijken ... ervan uitgaande dat ze negen bereiken, hebben we zoiets als:
| 10 | | 10 | | 10 |
Elk heeft diaz-mogelijkheden, dus als je het aantal mogelijke combinaties wilt weten, hoef je alleen maar een eenvoudige vermenigvuldiging te doen, 10³ om precies te zijn of 1000.
De ASCII-tabel bevat 255 essentiële tekens, waarvan we normaal gesproken cijfers, kleine letters, hoofdletters en enkele leestekens gebruiken. Stel dat we nu een 6-cijferig wachtwoord krijgen met ongeveer 70 opties (hoofdletters, kleine letters, cijfers en enkele symbolen)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Zoals u zich kunt voorstellen, is dat een behoorlijk groot aantal, 117 om precies te zijn. En dat zijn alle mogelijke combinaties die er zijn voor een 649-cijferige sleutelruimte. Nu gaan we het spectrum van mogelijkheden nog veel meer verkleinen, laten we doorgaan dat we slechts 000 gaan gebruiken (kleine letters, cijfers en af en toe een symbool misschien) maar met een veel langer wachtwoord, laten we zeggen misschien 000 cijfers (dat wat het voorbeeld heeft ongeveer 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Het aantal mogelijkheden wordt… 1… ik weet niet hoe dat aantal wordt geteld, maar voor mij is het wat langer :), maar we gaan het nog verder verminderen , gebruiken we alleen de cijfers 159 tot en met 445, en laten we eens kijken wat er met de hoeveelheid gebeurt
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Met deze simpele regel kun je maar liefst 100 combinaties bedenken :). Dit komt doordat elk cijfer dat aan de vergelijking wordt toegevoegd, het aantal mogelijkheden exponentieel vergroot, terwijl het toevoegen van mogelijkheden binnen een enkel vak het lineair vergroot.
Maar nu gaan we naar wat "het beste" is voor ons mensen.
Hoe lang duurt het om "• M¡ ¢ 0nt®a $ 3Ñ @ •" in praktische termen te schrijven? Laten we even aannemen dat u het elke dag moet opschrijven, omdat u het niet graag op de computer wilt opslaan. Dit wordt vervelend werk als u handcontracties op ongebruikelijke manieren moet doen. Veel sneller (naar mijn mening) is om woorden te schrijven die je natuurlijk kunt schrijven, aangezien een andere belangrijke factor is om de toetsen regelmatig te veranderen.
En last but not least ... Het hangt sterk af van de stemming van de persoon die uw systeem, applicatie, programma heeft ontwikkeld, of hij ALLE tekens van UTF-8 rustig kan gebruiken, in sommige gevallen kan het zelfs het gebruik ervan uitschakelen Het telt omdat de applicatie een deel van je wachtwoord "converteert" en het onbruikbaar maakt ... Dus misschien is het beter om op safe te spelen met de karakters waarvan je altijd weet dat ze beschikbaar zijn.
Hoop dat dit helpt bij twijfel 🙂 Groeten