Пока я думаю, что не коснулся одной из моих любимых песен, компьютерная безопасность, и я верю, что это будет та тема, о которой я расскажу вам сегодня 🙂 Я надеюсь, что после этой короткой статьи вы сможете лучше понять, что может помочь вам лучше контролировать свои риски и как чтобы смягчить многие проблемы одновременно.
Риски везде
Это неизбежно, только в этом году мы уже обнаружили и назначили более 15000 XNUMX уязвимостей. общественность. Откуда я знаю? Поскольку часть моей работы - проверять CVE в программах, которые мы используем в Gentoo, чтобы увидеть, запускаем ли мы уязвимое программное обеспечение, таким образом мы можем обновить его и убедиться, что у каждого в дистрибутиве есть безопасное оборудование.
CVE
Общие уязвимости и риски Для его аббревиатуры на английском языке это уникальные идентификаторы, присваиваемые каждой существующей уязвимости. Я могу с большой радостью сказать, что несколько разработчиков Gentoo поддерживают человечество, исследуя и публикуя свои выводы, чтобы их можно было исправить и исправить. Одним из последних случаев, которые я имел удовольствие читать, был случай Варианты прокачки; уязвимость, которая затронула серверы Apache по всему миру. Почему я говорю, что горжусь этим? Поскольку они приносят пользу миру, сохранение уязвимостей в секрете приносит пользу лишь немногим, а последствия этого могут быть катастрофическими в зависимости от цели.
CNA
CNA - это субъекты, отвечающие за запрос и / или назначение CVE, например, у нас есть CNA Microsoft, отвечающий за группировку их уязвимостей, их устранение и присвоение им уязвимостей. CVE для последующей регистрации с течением времени.
Виды мероприятий
Начнем с пояснения того, что никакое оборудование не является и не будет на 100% безопасным, и, как довольно распространенная поговорка, говорится:
Единственный 100% безопасный компьютер - это тот, который заблокирован в хранилище, отключен от Интернета и выключен.
Поскольку это правда, риски всегда будут присутствовать, известные или неизвестные, это только вопрос времени, поэтому перед лицом риска мы можем сделать следующее:
Смягчить это
Снижение риска - это не более чем его уменьшение (НЕТ переопределить). Это достаточно важный и ответственный момент как на деловом, так и на личном уровне, никто не хочет, чтобы его «взламывали», но, честно говоря, самое слабое место в цепочке - не оборудование, ни программа, ни даже процесс , это человек.
У всех нас есть привычка обвинять других, будь то люди или вещи, но в области компьютерной безопасности ответственность всегда лежит на человеке, возможно, не на вас напрямую, но если вы не пойдете по правильному пути, вы будете часть проблемы. Позже я дам вам небольшой трюк, чтобы оставаться в большей безопасности 😉
Перенести это
Это хорошо известный принцип, мы должны представить его как банк. Когда вам нужно позаботиться о своих деньгах (я имею в виду физически), самое безопасное - оставить их кому-то, кто имеет возможность хранить их гораздо лучше, чем вы. Вам не нужно иметь собственное хранилище (хотя было бы намного лучше), чтобы иметь возможность позаботиться о вещах, вам нужен только кто-то (вы доверяете), чтобы хранить что-то лучше вас.
Принять это
Но когда первое и второе не подходят, вот где возникает действительно важный вопрос. Сколько мне стоит этот ресурс / данные и т. Д.? Если ответ много, то стоит подумать о первых двух. Но если ответ - не так многоМожет, тебе просто придется пойти на риск.
Вы должны признать это, не все можно смягчить, и некоторые вещи, которые можно смягчить, будут стоить так много ресурсов, что было бы практически невозможно применить реальное решение без необходимости вносить изменения и вкладывать много времени и денег. Но если вы можете проанализировать то, что вы пытаетесь защитить, и это не находит своего места на первом или втором шаге, тогда просто возьмите это на третьем шаге наилучшим образом, не придавайте этому большей ценности, чем оно имеет, и не смешивайте это с вещами, которые действительно они имеют ценность.
Чтобы быть в курсе
Это правда, которая ускользает от сотен людей и предприятий. Компьютерная безопасность - это не соблюдение аудита 3 раза в год и ожидание, что в остальные 350 дней ничего не произойдет. И это верно для многих системных администраторов. Я наконец смог подтвердить себя как ЛФК (Я предоставляю вам найти, где я это сделал), и это критический момент во время курса. Постоянное обновление вашего оборудования и его программ жизненно важно, важнейшим, чтобы избежать большинства рисков. Конечно, многие здесь мне скажут, но программа, которую мы используем, не работает в следующей версии или что-то подобное, потому что правда в том, что ваша программа - бомба замедленного действия, если она не работает в последней версии. И это подводит нас к предыдущему разделу, Можете ли вы смягчить это?, Вы можете передать это?, Вы можете принять? ...
По правде говоря, просто чтобы иметь это в виду, по статистике 75% атак на компьютерную безопасность происходят изнутри. Это может быть связано с тем, что у вас в компании есть ничего не подозревающие или злонамеренные пользователи. Или что их процессы безопасности не затруднили хакер проникнуть в ваши помещения или сети. И почти 90% атак вызваны устаревшим программным обеспечением, нет из-за уязвимости нулевой день.
Думайте как машина, а не как человек
Это будет небольшой совет, который я оставляю вам здесь:
Думайте как машины
Для непонятливых приведу пример.
Я представляю вам Джон. Среди любителей безопасности это одна из лучших отправных точек, когда вы начинаете в мире этикла взлом. John прекрасно ладит с нашим другом хруст. По сути, он берет список, который ему передают, и начинает проверять комбинации, пока не найдет ключ, который решает пароль, который он ищет.
Хруст генератор комбинаций. Это означает, что вы можете сказать crunch, что вам нужен пароль длиной 6 символов, содержащий буквы верхнего и нижнего регистра, и crunch начнет тестирование один за другим ... что-то вроде:
aaaaaa,aaaaab,aaaaac,aaaaad,....
И вы задаетесь вопросом, сколько времени нужно, чтобы наверняка просмотреть весь список ... это займет не больше нескольких протокол. Для тех, кого оставили с открытым ртом, позвольте мне объяснить. Как мы обсуждали ранее, самое слабое звено в цепи - это человек и его образ мышления. Для компьютера нетрудно пробовать комбинации, это что-то чрезвычайно повторяющееся, и с годами процессоры стали настолько мощными, что для выполнения тысячи попыток требуется не более секунды, а то и больше.
Но теперь хорошо, что предыдущий пример с человеческое мышление теперь мы идем на это машинное мышление:
Если мы скажем crunch начать генерацию пароля с помощью всего лишь 8 цифр, согласно прежним требованиям, мы перешли с минут на Хорас. И угадайте, что произойдет, если мы скажем вам использовать больше 10, и они станут дней. Более 12 мы уже в месяцевВ дополнение к тому, что список будет иметь размеры, которые невозможно сохранить на обычном компьютере. Если мы дойдем до 20, мы будем говорить о вещах, которые компьютер не сможет расшифровать через сотни лет (конечно, с нынешними процессорами). У этого есть математическое объяснение, но из-за недостатка места я не буду здесь объяснять, но для самых любопытных это имеет прямое отношение к перестановка, las комбинаторный и комбинации. Точнее, с тем фактом, что на каждую букву, которую мы добавляем к длине, мы получаем почти 50 возможности, поэтому у нас будет что-то вроде:
20^50 возможные комбинации для нашего последнего пароля. Введите это число в свой калькулятор, чтобы увидеть, сколько возможностей существует при длине ключа 20 символов.
Как я могу думать как машина?
Это непросто, несколько человек скажут мне придумать пароль из 20 букв подряд, особенно с учетом старой концепции, что пароли слова ключ. Но давайте посмотрим на пример:
dXfwHd
Это сложно запомнить человеку, но чрезвычайно легко для машины.
caballoconpatasdehormiga
С другой стороны, это очень легко запомнить человеку (даже смешно), но для хруст. А сейчас мне больше не один подскажет, а не желательно ли еще и клавиши подряд менять? Да, рекомендуется, так что теперь мы можем убить двух зайцев одним выстрелом. Предположим, в этом месяце я читаю Дон Кихот де ла Манча, том I. В свой пароль я поставлю что-то вроде:
ElQuijoteDeLaMancha1
20 символов, что довольно сложно открыть, не зная меня, и самое лучшее, что когда я закончу книгу (при условии, что они читают постоянно 🙂), они будут знать, что они должны сменить свой пароль, даже изменив его на:
ElQuijoteDeLaMancha2
Это уже прогресс 🙂, и это, безусловно, поможет вам сохранить ваши пароли в безопасности и в то же время напомнит вам, что нужно дочитать книгу.
Достаточно того, что я написал, и хотя я хотел бы поговорить о многих других темах безопасности, мы оставим это на другой раз 🙂 Приветствую
Очень интересно!!
Надеюсь, вы сможете загрузить руководства по усилению защиты в Linux, было бы замечательно.
Привет!
Привет хорошо, не могли бы вы дать мне немного времени, но я также поделюсь ресурсом, который я считаю чрезвычайно интересным 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Этот не переведен на испанский язык 🙁 но если кто-то осмелится протянуть ему руку и помочь, было бы здорово
привет
Очень интересно, но, с моей точки зрения, атаки методом грубой силы становятся устаревшими, и генерация паролей, таких как «ElQuijoteDeLaMancha1», тоже не кажется жизнеспособным решением, потому что с небольшой социальной инженерией можно найти пароли этого типа, это лишь вопрос поверхностного исследования человека, и он откроет это нам в своих социальных сетях, своим знакомым или на работе, это часть человеческой природы.
На мой взгляд, лучшим решением является использование диспетчера паролей, потому что безопаснее использовать пароль из 100 цифр, чем из 20 цифр, кроме того, есть то преимущество, что, зная только мастер-пароль, это Невозможно даже на Западе раскрыть сгенерированные пароли, потому что они не известны.
Это мой менеджер паролей, он имеет открытый исходный код и, эмулируя клавиатуру, невосприимчив к кейлоггерам.
https://www.themooltipass.com
Что ж, я не претендую на то, чтобы дать абсолютно безопасное решение (помня, что ничто не является на 100% непроницаемым) всего в 1500 словах 🙂 (я не хочу писать больше, если это не абсолютно необходимо), но как вы говорите, 100 лучше 20, а 20 определенно лучше 8 центов, и, как мы сказали в начале, самым слабым звеном является мужчина, поэтому на нем всегда будет фокус. Я знаю нескольких «социальных инженеров», которые мало разбираются в технологиях, но достаточно, чтобы консультировать по вопросам безопасности. Гораздо сложнее найти настоящих хакеров, которые находят недостатки в программах (известный нулевой день).
Если мы говорим о «лучших» решениях, мы уже входим в тему для людей с опытом в этой области, и я делюсь с любым типом пользователей 🙂 но если хотите, мы можем поговорить о «лучших» решениях в другой раз. И спасибо за ссылку, конечно, в ее плюсах и минусах, но и для менеджера паролей она мало что сделает, вы будете удивлены легкостью и желанием, с которыми они их атакуют, в конце концов ... одна победа подразумевает много ключей раскрыто.
привет
Интересная статья, ChrisADR. Как системный администратор Linux, это хорошее напоминание о том, что не следует увлекаться тем, что не придает первостепенное значение, необходимое сегодня для поддержания актуальности паролей и обеспечения безопасности, требуемой в наши дни. Даже эта статья будет полезна обычным людям, которые думают, что пароль не является причиной 90% головной боли. Я хотел бы видеть больше статей о компьютерной безопасности и о том, как поддерживать максимально возможную безопасность в нашей любимой операционной системе. Я считаю, что всегда есть чему поучиться, помимо знаний, полученных на курсах и тренингах.
Кроме того, я всегда консультируюсь с этим блогом, чтобы узнать о новой программе для Gnu Linux, которая могла бы ее заполучить.
Привет!
Не могли бы вы объяснить немного подробнее, с цифрами и количеством, почему «DonQuijoteDeLaMancha1» («DonQuijote de La Mancha» не существует; p) безопаснее, чем «• M¡ ¢ 0nt®a $ 3Ñ @ •»?
Я ничего не знаю о комбинаторной математике, но меня все еще не убеждает часто повторяющаяся идея о том, что длинный пароль с простым набором символов лучше, чем более короткий пароль с гораздо большим набором символов. Действительно ли количество возможных комбинаций больше при использовании латинских букв и цифр, чем при использовании всех UTF-8?
Привет.
Привет, Дэни, давайте разберемся по частям, чтобы прояснить ... у вас когда-нибудь был один из тех чемоданов с цифровыми комбинациями в качестве замка? Давайте посмотрим на следующий случай ... если они достигнут девяти, у нас будет что-то вроде:
| 10 | | 10 | | 10 |
У каждого из них есть возможности диаза, поэтому, если вы хотите узнать количество возможных комбинаций, вам просто нужно выполнить простое умножение, точнее 10³ или 1000.
Таблица ASCII содержит 255 основных символов, из которых мы обычно используем числа, нижний регистр, верхний регистр и некоторые знаки препинания. Предположим, теперь у нас будет 6-значный пароль с примерно 70 опциями (прописные, строчные, цифры и некоторые символы).
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Как вы понимаете, это довольно большое число, 117 649 000 000, если быть точным. И это все возможные комбинации, которые существуют для 6-значного ключевого пространства. Теперь мы собираемся значительно сократить спектр возможностей, продолжим, что мы будем использовать только 45 (строчные буквы, числа и, возможно, случайные символы), но с гораздо более длинным паролем, скажем, может быть, 20 цифр (что в примере уже вроде 21).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Количество возможностей становится… 1 159 445 329 576 199 417 209 625 244 140 625… Я не знаю, как это число посчитать, но для меня оно немного длиннее :), но мы собираемся сократить его еще больше. , мы будем использовать только числа от 0 до 9, и посмотрим, что произойдет с количеством
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
С помощью этого простого правила вы можете составить потрясающие 100 комбинаций :). Это связано с тем, что каждая цифра, добавляемая к уравнению, увеличивает количество возможностей экспоненциально, а добавление возможностей в пределах одного поля увеличивает его линейно.
Но теперь мы переходим к тому, что «лучше всего» для нас, людей.
Сколько времени вам нужно, чтобы написать «• M¡ ¢ 0nt®a $ 3Ñ @ •» на практике? Предположим на секунду, что вам нужно записывать его каждый день, потому что вам не нравится сохранять его на компьютер. Это становится утомительной работой, если вам приходится выполнять сокращения рук необычным способом. Гораздо быстрее (с моей точки зрения) писать слова, которые можно писать естественно, поскольку еще одним важным фактором является регулярная смена ключей.
И последнее, но не менее важное ... Это во многом зависит от настроения человека, который разработал вашу систему, приложение, программу, от способности спокойно использовать ВСЕ символы UTF-8, в некоторых случаях это может даже отключить использование Это засчитывается, потому что приложение «конвертирует» часть вашего пароля и делает его непригодным для использования ... Так что, может быть, лучше перестраховаться с персонажами, которые, как вы всегда знаете, доступны.
Надеюсь, это поможет развеять сомнения 🙂 Приветствую