Până acum nu cred că am atins una dintre melodiile mele preferate, securitatea calculatorului, și cred că acesta va fi subiectul despre care am să vă spun astăzi 🙂 Sper că după acest scurt articol puteți avea o idee mai bună despre ce vă poate ajuta să aveți un control mai bun al riscurilor și cum pentru a atenua mulți în același timp.
Riscuri peste tot
Este inevitabil, doar în acest an, avem deja peste 15000 de vulnerabilități descoperite și atribuite într-un fel public. De unde știu? Deoarece o parte din sarcina mea este să verific CVE-urile în programele pe care le folosim în Gentoo pentru a vedea dacă rulăm software vulnerabil, astfel îl putem actualiza și asigura că toată lumea din distribuție are echipamente sigure.
CVE
Vulnerabilități și expuneri comune Pentru acronimul său în limba engleză, acestea sunt identificatorii unici care sunt atribuiți fiecărei vulnerabilități existente. Pot spune cu mare bucurie că mai mulți dezvoltatori Gentoo susțin binele umanității, cercetând și publicând descoperirile lor, astfel încât să poată fi corectate și remediate. Unul dintre ultimele cazuri în care am avut plăcerea de a citi a fost cel al optionbleed; o vulnerabilitate care a afectat serverele Apache din întreaga lume. De ce spun că sunt mândru de asta? Deoarece fac binele lumii, păstrarea secretelor vulnerabile aduce beneficii doar câtorva, iar consecințele acestui lucru pot fi catastrofale în funcție de obiectiv.
CNA
CNA-urile sunt entități însărcinate cu solicitarea și / sau atribuirea CVE-urilor, de exemplu, avem CNA-ul Microsoft, însărcinat cu gruparea vulnerabilităților lor, rezolvarea lor și atribuirea acestora CVE pentru înregistrare ulterioară în timp.
Tipuri de măsuri
Să începem prin a clarifica că niciun echipament nu este sau va fi 100% sigur și, ca o zicală destul de comună, se spunea:
Singurul computer 100% sigur este unul care este blocat într-un seif, deconectat de la internet și oprit.
Deoarece este adevărat, riscurile vor fi întotdeauna acolo, cunoscute sau necunoscute, este doar o chestiune de timp, astfel încât, în fața riscului, putem face următoarele:
Atenuați-l
Atenuarea unui risc nu este altceva decât reducerea acestuia (NU anuleaza). Acesta este un punct destul de important și crucial atât la nivel de afaceri, cât și personal, nu se dorește să fie „piratat”, ci să spunem adevărul, cel mai slab punct al lanțului nu este echipamentul, nici programul, nici măcar procesul , este omul.
Cu toții avem obiceiul de a da vina pe alții, fie ei oameni sau lucruri, dar în securitatea computerului, responsabilitatea este și va fi întotdeauna a omului, poate că nu ești tu în mod direct, dar dacă nu urmezi calea cea bună, vei fi parte a problemei. Mai târziu îți voi oferi un mic truc pentru a rămâne puțin mai sigur 😉
Transferați-l
Acesta este un principiu destul de cunoscut, trebuie să-l imaginăm ca pe un bancă. Când trebuie să ai grijă de banii tăi (mă refer fizic), cel mai sigur lucru este să-i lași cu cineva care are capacitatea de a-i proteja mult mai bine decât tine. Nu trebuie să ai propriul tău seif (deși ar fi mult mai bine) pentru a putea avea grijă de lucruri, trebuie doar să ai cineva (în care ai încredere) care să păstreze ceva mai bun decât tine.
Accepta aceasta
Dar când primul și al doilea nu se aplică, ei bine, aici apare întrebarea cu adevărat importantă. Cât de mult merită această resursă / date / etc? Dacă răspunsul este mult, atunci ar trebui să vă gândiți la primele două. Dar dacă răspunsul este a nu atât de multPoate că trebuie doar să accepți riscul.
Trebuie să vă confruntați, nu totul este atenuabil, iar unele lucruri atenuabile ar costa atât de multe resurse încât ar fi practic imposibil să aplicați o soluție reală fără a fi nevoie să schimbați și să investiți mult timp și bani. Dar dacă puteți analiza ceea ce încercați să protejați și acesta nu își găsește locul în primul sau al doilea pas, atunci pur și simplu luați-l în al treilea pas în cel mai bun mod, nu-i acordați mai multă valoare decât are și nu-l amestecați cu lucruri care într-adevăr au valoare.
Pentru a fi la curent
Acesta este un adevăr care scapă de sute de oameni și afaceri. Securitatea computerului nu înseamnă respectarea auditului dvs. de 3 ori pe an și așteptarea a nu se întâmpla nimic în celelalte 350 de zile. Și acest lucru este valabil pentru mulți administratori de sistem. În cele din urmă am putut să mă certific ca fiind LFCS (Vă las să aflați unde am făcut-o 🙂) și acesta este un punct critic pe parcursul cursului. Menținerea echipamentelor și a programelor sale la zi este vitală, crucial, pentru a evita majoritatea riscurilor. Sigur că mulți de aici îmi vor spune, dar programul pe care îl folosim nu funcționează în următoarea versiune sau ceva similar, deoarece adevărul este că programul dvs. este o bombă cu ceas, dacă nu funcționează în cea mai recentă versiune. Și asta ne aduce la secțiunea anterioară, Îl puteți atenua ?, îl puteți transfera ?, îl puteți accepta? ...
Adevărul trebuie spus, doar pentru a ține cont, statistic 75% din atacurile de securitate ale computerului provin din interior. Acest lucru se poate datora faptului că aveți în companie utilizatori nebănuitori sau rău intenționați. Sau că procesele lor de securitate nu au făcut-o dificilă pentru un hacker pătrunde în spațiile sau rețelele dvs. Și aproape mai mult de 90% din atacuri sunt cauzate de software învechit, Nu. din cauza vulnerabilităților de ziua zero.
Gândește ca o mașină, nu ca un om
Acesta va fi un mic sfat pe care vi-l las de aici înainte:
Gândește ca la mașini
Pentru cei care nu înțeleg, acum vă dau un exemplu.
Vă prezint John. Printre iubitorii de securitate este unul dintre cele mai bune puncte de plecare atunci când începeți în lumea hacking ethicla. Ioan se înțelege minunat cu prietenul nostru criza. Și, practic, apucă o listă care i se înmânează și începe să testeze combinațiile până când găsește o cheie care să rezolve parola pe care o caută.
Crănțăi este un generator de combinații. asta înseamnă că îi poți spune crunch că vrei o parolă de 6 caractere, care să conțină litere mari și mici, iar crunchul va începe testarea pe rând ... ceva de genul:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Și se întreabă cât durează să treacă cu siguranță întreaga listă ... nu durează mai mult de câteva minute. Pentru cei care au rămas cu gura deschisă, permiteți-mi să explic. După cum am discutat mai devreme, cea mai slabă verigă din lanț este omul și modul său de gândire. Pentru un computer nu este dificil să testați combinațiile, este foarte repetitiv și, de-a lungul anilor, procesoarele au devenit atât de puternice încât nu durează mai mult de o secundă pentru a face o mie de încercări, sau chiar mai multe.
Dar acum un lucru bun, exemplul anterior este cu gândirea umană, acum mergem după el gândirea automată:
Dacă îi spunem lui Crunch să înceapă să genereze o parolă cu doar 8 cifre, sub aceleași cerințe anterioare, am trecut de la minute la oră. Și ghici ce se întâmplă dacă îți spunem să folosești mai mult de 10, acestea devin zi. Pentru mai mult de 12 suntem deja în luniPe lângă faptul că lista ar fi de proporții care nu ar putea fi stocate pe un computer normal. Dacă ajungem la 20, vorbim despre lucruri pe care un computer nu le va putea descifra în sute de ani (cu procesoarele actuale, desigur). Aceasta are explicația sa matematică, dar din motive de spațiu nu o voi explica aici, dar pentru cei mai curioși are mult de-a face cu permutare, combinatorie și combinaţii. Mai exact, cu faptul că pentru fiecare literă pe care o adăugăm la lungime avem aproape 50 posibilități, așa că vom avea ceva de genul:
20^50 combinații posibile pentru ultima noastră parolă. Introduceți numărul respectiv în calculatorul dvs. pentru a vedea câte posibilități există cu o lungime a cheii de 20 de simboluri.
Cum pot gândi ca o mașină?
Nu este ușor, mai mult de o persoană îmi va spune să mă gândesc la o parolă de 20 de litere consecutive, mai ales cu vechiul concept că parolele sunt cuvinte cheie. Dar să vedem un exemplu:
dXfwHd
Acest lucru este greu de reținut pentru un om, dar extrem de ușor pentru o mașină.
caballoconpatasdehormiga
Pe de altă parte, acest lucru este extrem de ușor de reținut pentru un om (chiar amuzant), dar pentru el este iad criza. Și acum îmi vor spune mai mulți, dar nu este recomandabil să schimbați și tastele la rând? Da, este recomandat, așa că acum putem ucide două păsări cu o singură piatră. Să presupunem că luna aceasta citesc Don Quijote de la Mancha, volumul I. În parola mea voi pune ceva de genul:
ElQuijoteDeLaMancha1
20 de simboluri, ceva destul de dificil de descoperit fără să mă cunoască, iar cel mai bun lucru este că atunci când termin cartea (presupunând că citesc constant 🙂) vor ști că trebuie să-și schimbe parola, chiar trecând la:
ElQuijoteDeLaMancha2
Este deja un progres 🙂 și cu siguranță vă va ajuta să vă păstrați parolele în siguranță și, în același timp, să vă reamintească să vă terminați cartea.
Ceea ce am scris este suficient și, deși mi-ar plăcea să pot vorbi despre multe alte probleme de securitate, îl vom lăsa pentru altă dată 🙂 Salutări
Foarte interesant!!
Sper că puteți încărca tutoriale de întărire Linux, ar fi minunat.
Salutări!
Bună ziua 🙂 bine, mi-ai putea acorda ceva timp, dar îți împărtășesc și o resursă pe care o consider extrem de interesantă 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Acesta nu este tradus în spaniolă 🙁, dar dacă cineva este încurajat să dea o mână de ajutor și să ajute, ar fi grozav 🙂
În ceea ce priveşte
Foarte interesant, dar din punctul meu de vedere atacurile cu forță brută devin învechite, iar generarea de parole precum „ElQuijoteDeLaMancha1” nu pare nici o soluție viabilă, asta pentru că cu puțină inginerie socială este posibil să găsești parolele acest tip, doar vast cu investigarea superficială a persoanei și ea însăși ne-o va dezvălui, fie în rețelele sale sociale, cunoștințelor sale, fie la locul de muncă, face parte din natura umană.
Din punctul meu de vedere, cea mai bună soluție este utilizarea unui manager de parole, deoarece este mai sigur să folosiți o parolă de 100 de cifre decât una de 20 de cifre, în plus, există avantajul că, din moment ce parola principală este cunoscută doar, nu este posibil să se dezvăluie nici măcar spre vest parolele generate deoarece nu sunt cunoscute.
Acesta este managerul meu de parole, este open source și, emulând o tastatură, este imun la keylogere.
https://www.themooltipass.com
Ei bine, nu mă prefac să dau o soluție total sigură (amintindu-mi că nimic nu este 100% impenetrabil) în doar 1500 de cuvinte 🙂 (nu vreau să scriu mai mult decât atât, cu excepția cazului în care este absolut necesar), dar așa cum spui asta 100 este mai bun decât 20, bine 20 este cu siguranță mai bun decât 8 🙂 și bine, așa cum am spus la început, cea mai slabă verigă este omul, deci acolo va fi întotdeauna atenția. Cunosc câțiva „ingineri sociali” care nu știu prea multe despre tehnologie, dar doar cât să facă o muncă de consultanță în materie de siguranță. Mult mai dificil este să găsești hackeri adevărați care găsesc defecte în programe (cunoscutul zero-day).
Dacă vorbim despre soluții „mai bune”, intrăm deja într-un subiect pentru persoanele cu experiență în domeniu și împărtășesc cu orice tip de utilizator 🙂, dar dacă vă place, putem vorbi despre soluții „mai bune” în altă perioadă. Și mulțumesc pentru link, sigur că sunt pro și contra, dar nici nu ar face mare lucru unui manager de parole, ai fi surprins de ușurința și dorința cu care îi atacă, la urma urmei ... o singură victorie implică multe chei dezvăluit.
În ceea ce priveşte
Articol interesant, ChrisADR. În calitate de administrator de sistem Linux, acesta este un bun memento pentru a nu vă lăsa prins în a nu-i acorda cea mai mare importanță necesară astăzi pentru a menține parolele actualizate și cu securitatea cerută de vremurile de astăzi. Chiar și acesta este un articol care ar merge un drum lung pentru oamenii obișnuiți care cred că o parolă nu este cauza a 90% a durerilor de cap. Aș dori să văd mai multe articole despre securitatea computerului și despre cum să menținem cea mai înaltă securitate posibilă în cadrul iubitului nostru sistem de operare. Cred că există întotdeauna ceva de învățat mai mult decât cunoștințele pe care le dobândești prin cursuri și instruiri.
Dincolo de asta, consult mereu acest blog pentru a afla despre un nou program pentru Gnu Linux pentru a pune mâna pe el.
Salutări!
Ați putea explica puțin în detaliu, cu numere și cantități, de ce „DonQuijoteDeLaMancha1” („DonQuijote de La Mancha” nu există; p) este mai sigur decât „• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Nu știu nimic despre matematica combinatorie, dar încă nu sunt convins de ideea repetată adesea că o parolă lungă cu un set de caractere simplu este mai bună decât una mai scurtă cu un set de caractere mult mai mare. Numărul de combinații posibile este cu adevărat mai mare doar folosind litere și cifre latine decât utilizarea tuturor UTF-8?
Salutări.
Bună, Dani, să mergem în părți pentru a clarifica ... ați avut vreodată una dintre valizele alea cu combinații de numere ca încuietoare? Să vedem următorul caz ... presupunând că ajung la nouă avem ceva de genul:
| 10 | | 10 | | 10 |
Fiecare are posibilități diaz, așa că, dacă doriți să cunoașteți numărul de combinații posibile, trebuie doar să faceți o multiplicare simplă, 10³ pentru a fi exact sau 1000.
Tabelul ASCII conține 255 de caractere esențiale, dintre care folosim în mod normal numere, litere mici, majuscule și câteva semne de punctuație. Să presupunem că acum vom avea o parolă din 6 cifre cu aproximativ 70 de opțiuni (majuscule, minuscule, numere și câteva simboluri)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
După cum vă puteți imagina, acesta este un număr destul de mare, 117 mai exact. Și acestea sunt toate combinațiile posibile care există pentru un spațiu cheie cu 649 cifre. Acum vom reduce mult mai mult spectrul de posibilități, să continuăm că vom folosi doar 000 (litere mici, numere și probabil simbolul ocazional), dar cu o parolă mult mai lungă, să spunem poate 000 de cifre (ceea ce exemplul are ca 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Numărul de posibilități devine ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Nu știu cum se contorizează acest număr, dar pentru mine este puțin mai lung :), dar îl vom reduce și mai mult , vom folosi doar numerele de la 0 la 9 și să vedem ce se întâmplă cu cantitatea
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Cu această regulă simplă puteți veni cu o combinație uimitoare de 100 :). Acest lucru se datorează faptului că fiecare cifră adăugată la ecuație crește numărul de posibilități exponențial, în timp ce adăugarea de posibilități într-o singură casetă îl mărește liniar.
Dar acum mergem la ceea ce este „cel mai bun” pentru noi oamenii.
Cât timp îți ia să scrii „• M¡ ¢ 0nt®a $ 3Ñ @ •” în termeni practici? Să presupunem pentru o secundă că trebuie să-l notați în fiecare zi, deoarece nu vă place să îl salvați pe computer. Aceasta devine o muncă obositoare dacă trebuie să faceți contracții ale mâinilor în moduri neobișnuite. Mult mai rapid (în punctul meu de vedere) este să scrii cuvinte pe care să le poți scrie în mod natural, deoarece un alt factor important este să schimbi tastele în mod regulat.
Și nu în ultimul rând ... Depinde foarte mult de starea de spirit a persoanei care ți-a dezvoltat sistemul, aplicația, programul, putând folosi calm toate caracterele UTF-8, în unele cazuri poate chiar să dezactiveze utilizarea din aceasta contează deoarece aplicația „convertește” o parte din parola dvs. și o face inutilizabilă ... Deci poate că este mai bine să o jucați în siguranță cu personajele pe care le știți întotdeauna că sunt disponibile.
Sper că acest lucru vă va ajuta cu îndoieli 🙂 Salutări