Até agora, acho que não toquei em nenhuma das minhas músicas favoritas, segurança informática, e acredito que esse será o tópico que vou falar para você hoje 🙂 Espero que após este breve artigo você possa ter uma ideia melhor do que pode ajudá-lo a ter um melhor controle de seus riscos e como mitigar muitos ao mesmo tempo.
Riscos em todos os lugares
É inevitável, só neste ano, já temos mais de 15000 vulnerabilidades descobertas e atribuídas de uma forma público. Como eu sei? Porque parte do meu trabalho é verificar CVEs nos programas que usamos no Gentoo para ver se rodamos software vulnerável, desta forma podemos atualizá-lo e garantir que todos na distribuição tenham equipamentos seguros.
CVE
Vulnerabilidades e Exposições Comuns Por sua sigla em inglês, eles são os identificadores exclusivos atribuídos a cada vulnerabilidade existente. Posso dizer com grande alegria que vários desenvolvedores Gentoo apoiam o bem da humanidade, pesquisando e publicando suas descobertas para que possam ser corrigidas e consertadas. Um dos últimos casos que tive o prazer de ler foi o de Opções sangrar; uma vulnerabilidade que afetou os servidores Apache em todo o mundo. Por que digo que estou orgulhoso disso? Porque eles fazem o bem ao mundo, manter as vulnerabilidades em segredo beneficia apenas alguns, e as consequências disso podem ser catastróficas dependendo do objetivo.
CNA
CNAs são entidades encarregadas de solicitar e / ou atribuir CVEs, por exemplo, temos CNAs da Microsoft, encarregados de agrupar suas vulnerabilidades, resolvê-las e atribuir-lhes um CVE para registro posterior ao longo do tempo.
tipos de medidas
Vamos começar esclarecendo que nenhum equipamento é ou será 100% seguro, e como um ditado bastante comum costumava dizer:
O único computador 100% seguro é aquele que está trancado em um cofre, desconectado da internet e desligado.
Porque é verdade, os riscos estarão sempre lá, conhecidos ou desconhecidos, é apenas uma questão de tempo, então, diante do risco, podemos fazer o seguinte:
Mitigar isso
Mitigar um risco nada mais é do que reduzi-lo (NÃO cancele). Este é um ponto muito importante e crucial tanto a nível empresarial como pessoal, não se quer ser "hackeado", mas para falar a verdade o ponto mais fraco da cadeia não é o computador, nem o programa, nem mesmo o processo, o humano.
Todos temos o hábito de culpar os outros, sejam eles pessoas ou coisas, mas na segurança informática a responsabilidade é e sempre será do ser humano, pode não ser você diretamente, mas se não seguir o caminho certo, será parte do problema. Mais tarde, vou te dar um pequeno truque para ficar um pouco mais seguro 😉
Transferir
Este é um princípio bastante conhecido, temos que imaginá-lo como um banco. Quando você precisa cuidar do seu dinheiro (quero dizer, fisicamente), o mais seguro é deixá-lo com alguém que tenha a capacidade de protegê-lo muito melhor do que você. Você não precisa ter seu próprio cofre (embora seja muito melhor) para poder cuidar das coisas, você só precisa ter alguém (de sua confiança) para guardar algo melhor do que você.
Aceite isso
Mas quando o primeiro e o segundo não se aplicam, é aí que entra a questão realmente importante. Quanto vale este recurso / dados / etc para mim? Se a resposta for muito, então você deve pensar nas duas primeiras. Mas se a resposta for um não tantoTalvez você apenas tenha que aceitar o risco.
Você tem que enfrentar isso, nem tudo é mitigável, e algumas coisas mitigáveis custariam tantos recursos que seria praticamente impossível aplicar uma solução real sem ter que mudar e investir muito tempo e dinheiro. Mas se você puder analisar o que está tentando proteger e isso não encontrar o seu lugar na primeira ou na segunda etapa, simplesmente execute a terceira etapa da melhor maneira, não dê a isso mais valor do que tem, e não o misture com coisas que realmente têm valor.
Se manter atualizado
Esta é uma verdade que escapa a centenas de pessoas e empresas. Segurança de computador não é cumprir sua auditoria 3 vezes por ano e esperar que nada aconteça nos outros 350 dias. E isso é verdade para muitos administradores de sistema. Eu finalmente fui capaz de me certificar como LFCS (Deixo para você descobrir onde fiz isso 🙂) e esse é um ponto crítico do curso. Manter seu equipamento e seus programas atualizados é vital, crucial, para evitar a maioria dos riscos. Claro, muitos aqui vão me dizer, mas o programa que usamos não funciona na próxima versão ou algo parecido, pois a verdade é que seu programa é uma bomba-relógio se não funcionar na versão mais recente. E isso nos leva à seção anterior, Você pode mitigar isso?, Você pode transferi-lo?, Você pode aceitar?
Verdade seja dita, só para ter em mente, estatisticamente 75% dos ataques à segurança de computador têm origem interna. Isso pode ser porque você tem usuários desavisados ou mal-intencionados na empresa. Ou que seus processos de segurança não tornaram difícil para um cabouqueiro invadir suas instalações ou redes. E quase mais de 90% dos ataques são causados por software desatualizado, não devido a vulnerabilidades de dia zero.
Pense como uma máquina, não como um humano
Este será um pequeno conselho que deixo a partir de agora:
Pense como máquinas
Para quem não entende, vou dar um exemplo.
Eu te apresento John. Entre os amantes da segurança, é um dos melhores pontos de partida para começar no mundo da ética hacking. banheiro ele se dá maravilhosamente bem com nosso amigo crise. E basicamente ele pega uma lista que é entregue a ele e começa a testar as combinações até encontrar uma chave que resolva a senha que está procurando.
Crunch é um gerador de combinações. isso significa que você pode dizer ao crunch que deseja uma senha de 6 caracteres, contendo letras maiúsculas e minúsculas e o crunch começará a testar um por um ... algo como:
aaaaaa,aaaaab,aaaaac,aaaaad,....
E eles se perguntam quanto tempo leva para percorrer toda a lista com certeza ... não leva mais do que alguns atas. Para aqueles que ficaram de boca aberta, deixe-me explicar. Como discutimos anteriormente, o elo mais fraco da corrente é o homem e sua maneira de pensar. Para um computador não é difícil testar combinações, é altamente repetitivo, e com o passar dos anos os processadores se tornaram tão poderosos que não leva mais de um segundo para fazer mil tentativas, ou até mais.
Mas agora a coisa boa, o exemplo anterior é com o pensamento humano, agora nós vamos em frente pensamento de máquina:
Se dissermos ao crunch para começar a gerar uma senha com apenas 8 dígitos, sob os mesmos requisitos anteriores, passamos de minutos para horas. E adivinhe o que acontece se dissermos para você usar mais de 10, eles se tornam dia. Há mais de 12 já estamos em mêsAlém do fato de que a lista seria de proporções que não poderiam ser armazenadas em um computador normal. Se chegarmos a 20, falamos de coisas que um computador não será capaz de decifrar em centenas de anos (com os processadores atuais, é claro). Isso tem sua explicação matemática, mas por questões de espaço não vou explicá-lo aqui, mas para os mais curiosos tem muito a ver com o permutação, The combinatória e combinações. Para ser mais exato, com o fato de que para cada letra que adicionamos ao comprimento temos quase 50 possibilidades, então teremos algo como:
20^50 combinações possíveis para nossa última senha. Digite esse número na calculadora para ver quantas possibilidades existem com um comprimento de chave de 20 símbolos.
Como posso pensar como uma máquina?
Não é fácil, mais de uma pessoa vai me dizer para pensar em uma senha de 20 letras seguidas, especialmente com o conceito antigo de que as senhas são palavras chave. Mas vamos ver um exemplo:
dXfwHd
Isso é difícil para um humano lembrar, mas extremamente fácil para uma máquina.
caballoconpatasdehormiga
Por outro lado, é extremamente fácil para um humano lembrar (até engraçado), mas é um inferno para crise. E agora mais de um me dirá, mas não é aconselhável mudar também as chaves em uma fileira? Sim, é recomendado, então agora podemos matar dois coelhos com uma cajadada só. Suponha que este mês eu esteja lendo Dom Quixote de la Mancha, volume I. Em minha senha, colocarei algo como:
ElQuijoteDeLaMancha1
20 símbolos, algo bastante difícil de descobrir sem me conhecer, e o melhor é que quando eu terminar o livro (supondo que eles leiam constantemente 🙂) saberão que devem mudar sua senha, mesmo mudando para:
ElQuijoteDeLaMancha2
Isso é um progresso 🙂 e certamente irá ajudá-lo a manter suas senhas seguras e, ao mesmo tempo, lembrá-lo de terminar o livro.
O que escrevi é o suficiente e, embora eu adorasse poder falar sobre muitos outros assuntos de segurança, deixaremos para outra hora 🙂 Saudações
Muito interessante!!
Espero que você possa fazer upload de tutoriais de fortalecimento do Linux, seria maravilhoso.
Saudações!
Olá 🙂 bem, poderia me dar um tempo, mas também compartilho um recurso que acho extremamente interessante 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Este não está traduzido para o espanhol 🙁 mas se alguém se atrever a ajudar e ajudar seria ótimo 🙂
lembranças
Muito interessante, mas no meu ponto de vista os ataques de força bruta estão se tornando obsoletos, e a geração de senhas como "ElQuijoteDeLaMancha1" também não parece uma solução viável, isso porque com um pouco de engenharia social é possível encontrar as senhas desse tipo, trata-se apenas de investigar superficialmente a pessoa e ela nos revelará que, seja em suas redes sociais, seja para seus conhecidos ou no trabalho, faz parte da natureza humana.
A meu ver, a melhor solução é usar um gerenciador de senhas, pois é mais seguro usar uma senha de 100 dígitos do que de 20, além disso, há a vantagem de que como a senha mestra só é conhecida, não é possível revelar nem por oeste as senhas geradas porque não são conhecidas.
Este é o meu gerenciador de senhas, é open source e emulando um teclado, é imune a keylogers.
https://www.themooltipass.com
Bem, não pretendo dar uma solução totalmente segura (lembrando que nada é 100% impenetrável) em apenas 1500 palavras 🙂 (não quero escrever mais do que isso a menos que seja absolutamente necessário), mas assim como você diz isso 100 é melhor do que 20, bem, 20 é definitivamente melhor do que 8 🙂 e bem, como dissemos no início, o elo mais fraco é o homem, então é aí que a atenção sempre estará. Conheço vários "engenheiros sociais" que não sabem muito sobre tecnologia, mas apenas o suficiente para fazer trabalho de consultoria de segurança. Muito mais difícil é encontrar verdadeiros hackers que encontram falhas em programas (o conhecido dia zero).
Se falamos em soluções “melhores” já estamos entrando em um tópico para pessoas com experiência na área, e estou compartilhando com qualquer tipo de usuário 🙂 mas se quiser podemos falar sobre soluções “melhores” em outro momento. E obrigado pelo link, com certeza seus prós e contras, mas também não faria muito para um gerenciador de senhas, você ficaria surpreso com a facilidade e a vontade com que os atacam, afinal ... uma única vitória implica em muitas chaves revelado.
lembranças
Artigo interessante, ChrisADR. Como administrador de sistema Linux, este é um bom lembrete para não se deixar levar por não dar a maior importância exigida hoje para manter as senhas atualizadas e com a segurança exigida pelos tempos de hoje. Mesmo este é um artigo que seria muito útil para pessoas comuns que pensam que uma senha não é a causa de 90% das dores de cabeça. Eu gostaria de ver mais artigos sobre segurança de computadores e como manter a maior segurança possível em nosso amado sistema operacional. Acredito que sempre há algo mais a aprender além do conhecimento que se adquire por meio de cursos e treinamentos.
Além disso, sempre consulto este blog para saber sobre um novo programa para Gnu Linux para colocar minhas mãos nele.
Saudações!
Você poderia explicar um pouco em detalhes, com números e quantidades, por que "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" não existe; p) é mais seguro do que "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Não sei nada sobre matemática combinatória, mas ainda não estou convencido pela ideia frequentemente repetida de que uma senha longa com um conjunto de caracteres simples é melhor do que uma senha mais curta com um conjunto de caracteres muito maior. O número de combinações possíveis é realmente maior apenas usando letras e números latinos do que usando UTF-8?
Saudações.
Olá Dani, vamos por partes para deixar bem claro ... você já teve uma dessas malas com combinações de números como fechadura? Vamos ver o seguinte caso ... assumindo que eles atinjam nove, temos algo como:
| 10 | | 10 | | 10 |
Cada um tem possibilidades de diaz, então se você quiser saber o número de combinações possíveis, basta fazer uma multiplicação simples, 10³ para ser exato ou 1000.
A tabela ASCII contém 255 caracteres essenciais, dos quais normalmente usamos números, minúsculas, maiúsculas e alguns sinais de pontuação. Suponha que agora vamos ter uma senha de 6 dígitos com aproximadamente 70 opções (maiúsculas, minúsculas, números e alguns símbolos)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Como você pode imaginar, esse é um número muito grande, 117 para ser exato. E essas são todas as combinações possíveis que existem para um espaço de chave de 649 dígitos. Agora vamos reduzir muito mais o espectro de possibilidades, vamos continuar que vamos usar apenas 000 (letras minúsculas, números e o símbolo ocasional talvez) mas com uma senha muito mais longa, digamos talvez 000 dígitos (aquela que o exemplo tem como 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
O número de possibilidades torna-se… 1 159 445 329 576 199 417 209 625 244 140 625… Não sei contar esse número, mas para mim é um pouco mais longo :), mas vamos reduzir ainda mais , usaremos apenas números de 0 a 9 e vamos ver o que acontece com a quantidade
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Com esta regra simples, você pode chegar a incríveis 100 de combinações :). Isso ocorre porque cada dígito adicionado à equação aumenta o número de possibilidades exponencialmente, enquanto adicionar possibilidades dentro de uma única caixa aumenta linearmente.
Mas agora vamos ao que é "melhor" para nós, humanos.
Quanto tempo você leva para escrever “• M¡ ¢ 0nt®a $ 3Ñ @ •” em termos práticos? Vamos supor por um segundo que você tenha que anotar todos os dias, porque você não gosta de salvá-lo no computador. Isso se torna um trabalho tedioso se você tiver que fazer contrações das mãos de maneiras incomuns. Muito mais rápido (no meu ponto de vista) é escrever palavras que você possa escrever naturalmente, já que outro fator importante é mudar as chaves regularmente.
E por último mas não menos importante ... Depende muito do estado de espírito da pessoa que desenvolveu seu sistema, aplicativo, programa, poder usar com tranquilidade todos os caracteres UTF-8, em alguns casos pode até desabilitar o uso de o Isso conta porque o aplicativo "converte" parte da sua senha e a torna inutilizável ... Então talvez seja melhor jogar pelo seguro com os personagens que você sempre sabe que estão disponíveis.
Espero que isso ajude com dúvidas 🙂 Saudações