Zatiaľ si myslím, že som sa nedotkol jednej z mojich obľúbených skladieb, počítačovej bezpečnosti, a verím, že to bude téma, o ktorej vám dnes poviem 🙂 dúfam, že po tomto krátkom článku budete mať lepšiu predstavu o tom, čo vám môže pomôcť lepšie ovládať vaše riziká a ako zmierniť mnohých súčasne.
Riziká všade
Je to nevyhnutné, iba v tomto roku sme už takým spôsobom odhalili a priradili viac ako 15000 XNUMX zraniteľností verejnosť. Ako viem? Pretože súčasťou mojej práce je skontrolovať CVE v programoch, ktoré používame v Gentoo, aby sme zistili, či spúšťame zraniteľný softvér, môžeme ho preto aktualizovať a zabezpečiť, aby mal každý v distribúcii bezpečné vybavenie.
CVE
Spoločné zraniteľnosti a expozície Pre svoju skratku v angličtine sú to jedinečné identifikátory, ktoré sú priradené každej existujúcej zraniteľnosti. Môžem s radosťou povedať, že niekoľko vývojárov Gentoo podporuje dobro ľudstva, skúma a zverejňuje svoje zistenia, aby ich bolo možné opraviť a napraviť. Jeden z posledných prípadov, ktorý som mal tú česť čítať, bol ten z Možnosti krvácania; zraniteľnosť, ktorá ovplyvnila servery Apache na celom svete. Prečo hovorím, že som na to hrdý? Pretože robia svet dobre, udržiavanie tajomstiev zraniteľnosti je prospešné len pre pár jedincov a následky môžu byť katastrofické v závislosti od cieľa.
CNA
CNA sú subjekty zodpovedné za vyžiadanie a / alebo priradenie CVE. Napríklad máme CNA od Microsoftu, ktorá je zodpovedná za zoskupenie ich zraniteľností, ich riešenie a priradenie CVE pre neskoršiu registráciu v priebehu času.
Druhy opatrení
Na úvod si ujasnime, že žiadne zariadenie nie je alebo nebude stopercentne bezpečné a ako sa hovorí pomerne často:
Jediný 100% bezpečný počítač je ten, ktorý je uzamknutý v trezore, odpojený od internetu a vypnutý.
Pretože je pravda, riziká tu budú vždy, známe alebo neznáme, je len otázkou času, aby sme vzhľadom na riziko mohli urobiť nasledovné:
Zmiernite to
Zmiernenie rizika nie je nič iné ako jeho zníženie (NO prepísať). Toto je dosť dôležitý a rozhodujúci bod na obchodnej aj osobnej úrovni, človek nechce byť „hacknutý“, ale pravdupovediac najslabšou stránkou reťazca nie je vybavenie, ani program, dokonca ani proces. , to je človek.
Všetci máme vo zvyku obviňovať druhých, či už sú to ľudia alebo veci, ale v oblasti počítačovej bezpečnosti je a bude vždy zodpovednosť ľudská, nemusíte to byť priamo vy, ale ak sa nebudete riadiť správnou cestou, budete časť problému. Neskôr ti dám malý trik, ako zostať trochu bezpečnejší more
Preneste to
Toto je všeobecne známy princíp, musíme si ho predstaviť ako a banka. Keď sa potrebujete postarať o svoje peniaze (myslím fyzicky), najbezpečnejšie je nechať ich niekomu, kto má schopnosť chrániť ich oveľa lepšie ako vy. Na to, aby ste sa o veci vedeli postarať, nemusíte mať svoj vlastný trezor (aj keď by to bolo oveľa lepšie), stačí mať niekoho (komu dôverujete), aby ste si uchovali niečo lepšie ako vy.
Akceptovať to
Ale keď neplatí prvý a druhý, tu prichádza na rad skutočne dôležitá otázka. Koľko mi tento zdroj / údaje / atď. Stojí? Ak je odpoveď veľa, potom by ste mali premýšľať o prvých dvoch. Ale ak je odpoveď a nie toľkoMožno len musíte prijať riziko.
Musíte tomu čeliť, nie všetko je zmierniteľné a niektoré zmierniteľné veci by stáli toľko zdrojov, že by bolo prakticky nemožné uplatniť skutočné riešenie bez toho, aby ste sa museli meniť a investovať veľa času a peňazí. Ak však dokážete analyzovať, čo sa snažíte chrániť, a nenájde si miesto v prvom alebo druhom kroku, potom to jednoducho urobte najlepším spôsobom v treťom kroku, nedávajte tomu väčšiu hodnotu, ako má, a nemiešajte to s vecami, ktoré skutočne majú hodnotu.
Udržiavať aktuálne informácie
To je pravda, ktorá uniká stovkám ľudí a firiem. Počítačová bezpečnosť nie je o tom, aby sme váš audit vykonali trikrát ročne a aby sme neočakávali, že sa niečo stane ďalších 3 dní. A to platí pre mnohých správcov systému. Konečne som sa mohol certifikovať ako LFCS (Nechám na vás, aby ste zistili, kde som to urobil 🙂) a toto je kritický bod v priebehu kurzu. Udržiavanie aktuálneho vybavenia a jeho programov je nevyhnutné, rozhodujúci, aby sa zabránilo väčšine rizík. Určite mi tu veľa ľudí povie, ale program, ktorý používame, nefunguje v nasledujúcej verzii alebo niečo podobné, pretože pravdou je, že váš program je časovaná bomba, ak nefunguje v najnovšej verzii. A tým sa dostávame k predchádzajúcej časti, Môžete to zmierniť? Môžete to previesť? Môžete to prijať? ...
V skutočnosti však treba mať na pamäti, že podľa štatistík 75% útokov na počítačovú bezpečnosť pochádza zvnútra. Môže to byť spôsobené tým, že vo firme máte nič netušiacich alebo škodlivých používateľov. Alebo že im ich bezpečnostné procesy nesťažili průnikář preniknúť do vašich priestorov alebo sietí. A takmer viac ako 90% útokov je spôsobených zastaraným softvérom, žiadny kvôli zraniteľnosti deň nula.
Myslite ako stroj, nie ako človek
Toto bude malá rada, ktorú vám odtiaľto nechám:
Myslite ako stroje
Pre tých, ktorí nerozumejú, vám teraz dávam príklad.
Predstavujem ti John. Medzi milovníkmi bezpečnosti je to jeden z najlepších východiskových bodov, keď začínate vo svete hackovanie ethicla. Ján úžasne vychádza s našim priateľom chrúmať. A v podstate chytí zoznam, ktorý mu je odovzdaný, a začne testovať kombinácie, kým nenájde kľúč, ktorý vyrieši hľadané heslo.
Chrúmať je generátor kombinácií. To znamená, že môžete bez problémov povedať, že chcete heslo, ktoré má 6 znakov a ktoré obsahuje veľké aj malé písmená, a kríza sa začne testovať po jednom ... niečo ako:
aaaaaa,aaaaab,aaaaac,aaaaad,....
A čudujete sa, ako dlho určite trvá prejsť celým zoznamom ... netrvá to viac ako pár zápis. Pre tých, ktorí zostali s otvorenými ústami, dovoľte mi vysvetliť. Ako sme už diskutovali, najslabším článkom v reťazci je človek a jeho spôsob myslenia. Pre počítač nie je ťažké vyskúšať kombinácie, je to niečo mimoriadne opakujúce sa a v priebehu rokov sa procesory stali tak výkonnými, že vykonanie tisíc pokusov alebo dokonca viac netrvá dlhšie ako sekundu.
Ale teraz dobrá vec, predchádzajúci príklad je s ľudské myslenie, teraz ideme na to strojové myslenie:
Ak povieme krízu, začneme generovať heslo iba 8 číslic, za rovnakých predchádzajúcich požiadaviek sme prešli z minúty na hodiny. A hádajte, čo sa stane, keď vám povieme, aby ste ich použili viac ako 10 dni. Už viac ako 12 sme v mesiacovOkrem toho, že zoznam by mal rozmery, ktoré by sa nedali uložiť na normálny počítač. Ak sa dostaneme k 20, hovoríme o veciach, ktoré počítač nebude schopný dešifrovať za stovky rokov (samozrejme so súčasnými procesormi). Toto má svoje matematické vysvetlenie, ale z priestorových dôvodov to tu nebudem vysvetľovať, ale pre tých najkurióznejších to má veľa spoločného s permutácia, kombinatorický a kombinácie. Presnejšie povedané s tým, že na každé písmeno, ktoré pridáme k dĺžke, máme takmer 50 možnosti, takže budeme mať niečo ako:
20^50 možné kombinácie pre naše posledné heslo. Zadajte toto číslo do svojej kalkulačky a uvidíte, koľko možností existuje s dĺžkou kľúča 20 symbolov.
Ako môžem rozmýšľať ako stroj?
Nie je to ľahké, viac ako jeden človek mi povie, aby som vymyslel heslo s 20 písmenami za sebou, najmä pri starom koncepte, že heslá sú slová kľúč. Pozrime sa však na príklad:
dXfwHd
Je to pre človeka ťažké zapamätať si, ale pre stroj veľmi ľahké.
caballoconpatasdehormiga
To si na druhej strane človek pamätá mimoriadne ľahko (dokonca aj vtipne), ale je to peklo chrúmať. A teraz mi to povedia viacerí, ale nie je vhodné meniť aj kľúče za sebou? Áno, odporúča sa to, takže teraz môžeme zabiť dve muchy jednou ranou. Predpokladajme, že tento mesiac čítam Don Quijote de la Mancha, zväzok I. Do svojho hesla vložím niečo ako:
ElQuijoteDeLaMancha1
20 symbolov, niečo dosť ťažké na objavenie bez toho, aby ste ma poznali, a najlepšie je, že keď dokončím knihu (za predpokladu, že neustále čítate 🙂), budú vedieť, že si musia zmeniť heslo, ba dokonca sa musia zmeniť na:
ElQuijoteDeLaMancha2
Už to pokročilo 🙂 a určite vám pomôže udržať vaše heslá v bezpečí a zároveň vám pripomenie, aby ste dokončili svoju knihu.
To, čo som napísal, je dosť, a hoci by som bol rád, keby som mohol hovoriť o mnohých ďalších bezpečnostných otázkach, necháme to na inokedy 🙂 Zdravím vás
Veľmi zaujímavé!!
Dúfam, že môžete nahrať návody o spevnení v systéme Linux, bolo by to úžasné.
Zdravím!
Ahojte 🙂 no mohli by ste mi dať čas, ale zdieľam aj zdroj, ktorý mi pripadá mimoriadne zaujímavý 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Tento nie je preložený do španielčiny 🙁 ale ak sa niekto odváži s tým pomôcť a pomôcť, bolo by to super 🙂
pozdravy
Veľmi zaujímavé, ale z môjho pohľadu sú útoky hrubou silou zastarané a generovanie hesiel ako „ElQuijoteDeLaMancha1“ sa tiež nezdá ako životaschopné riešenie, je to preto, že s trochou sociálneho inžinierstva je možné tieto heslá nájsť tohto typu ide iba o povrchné vyšetrenie osoby a ona nám to prezradí či už na svojich sociálnych sieťach, pred známymi alebo v práci, je súčasťou ľudskej prirodzenosti.
Z môjho pohľadu je najlepším riešením použiť správcu hesiel, pretože je bezpečnejšie používať heslo so 100 číslicami ako s 20-ciferným, navyše je tu výhoda, že ak poznáte iba hlavné heslo, je to nie je možné odhaliť ani na západe heslá vygenerované, pretože nie sú známe.
Toto je môj správca hesiel, je to open source a emulovaním klávesnice je imúnny voči keyloggerom.
https://www.themooltipass.com
No, netvárim sa, že ponúknem úplne bezpečné riešenie (pamätám na to, že nič nie je stopercentne nepriechodné) iba 100 slovami 🙂 (nechcem toho písať viac, ak to nie je nevyhnutne potrebné), ale tak, ako hovoríte, 1500 je lepšie ako 100, dobre 20 je určite lepšie ako 20 🙂 a dobre, ako sme si povedali na začiatku, najslabším článkom je muž, takže tam bude vždy pozornosť. Poznám niekoľko „sociálnych inžinierov“, ktorí nevedia veľa o technológiách, ale iba toľko, aby mohli robiť bezpečnostné poradenské práce. Oveľa ťažšie je nájsť skutočných hackerov, ktorí nájdu chyby v programoch (známy nultý deň).
Pokiaľ hovoríme o „lepších“ riešeniach, už vstupujeme do témy pre ľudí s odbornými znalosťami v tejto oblasti, a zdieľam ich s akýmkoľvek typom používateľov 🙂, ale ak chcete, môžeme hovoriť o „lepších“ riešeniach inokedy. A vďaka za odkaz, určite jeho klady a zápory, ale správcovi hesiel by to tiež veľa neurobilo, boli by ste prekvapení ľahkosťou a túžbou, s akou na ne útočia, koniec koncov ... jediné víťazstvo znamená veľa kľúčov odhalené.
pozdravy
Zaujímavý článok, ChrisADR. Ako správca systému Linux je to dobrá pripomienka, aby ste sa nenechali nachytať na tom, že mu nedávate taký veľký význam, aký je dnes potrebný na aktualizáciu hesiel a na zabezpečenie, ktoré vyžaduje dnešná doba. Aj toto je článok, ktorý by prešiel dlhou cestou k bežným ľuďom, ktorí si myslia, že heslo nie je príčinou 90% bolesti hlavy. Chcel by som vidieť viac článkov o počítačovej bezpečnosti a o tom, ako udržať najvyššiu možnú bezpečnosť v rámci nášho milovaného operačného systému. Som presvedčený, že vždy sa treba naučiť niečo viac nad rámec vedomostí, ktoré človek získa kurzami a školeniami.
Okrem toho vždy konzultujem tento blog, aby som sa dozvedel o novom programe pre Gnu Linux, aby som sa dostal do jeho rúk.
Zdravím!
Mohli by ste s číslami a množstvami trochu podrobne vysvetliť, prečo je „DonQuijoteDeLaMancha1“ („DonQuijote de La Mancha“ neexistuje; p) bezpečnejší ako „• M¡ ¢ 0nt®a $ 3Ñ @ •“?
O kombinačnej matematike neviem nič, ale stále ma nepresviedča často opakovaná myšlienka, že dlhé heslo s jednoduchou znakovou sadou je lepšie ako kratšie s oveľa väčšou znakovou sadou. Je počet možných kombinácií skutočne väčší iba pri použití latinských písmen a číslic ako pri použití všetkých UTF-8?
Zdravím.
Ahoj Dani, poďme po častiach, aby bolo jasné ... už ste niekedy mali jeden z tých kufrov s číselnými kombináciami ako zámok? Pozrime sa na nasledujúci prípad ... za predpokladu, že dosiahnu deväť, máme niečo ako:
| 10 | | 10 | | 10 |
Každý z nich má možnosti diaz, takže ak chcete poznať počet možných kombinácií, musíte urobiť jednoduché násobenie, presnejšie 10³ alebo 1000 XNUMX.
Tabuľka ASCII obsahuje 255 základných znakov, z ktorých bežne používame čísla, malé písmená, veľké písmená a niektoré interpunkčné znamienka. Predpokladajme, že teraz budeme mať šesťciferné heslo s približne 6 možnosťami (veľké, malé písmená, číslice a niektoré symboly)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Ako si dokážete predstaviť, je to dosť veľké číslo, presnejšie 117 649 000 000. A to sú všetky možné kombinácie, ktoré existujú pre 6-miestny priestor pre klávesy. Teraz oveľa viac znížime spektrum možností. Pokračujme v tom, že použijeme iba 45 (malé písmená, čísla a občasný symbol), ale s oveľa dlhším heslom, povedzme možno 20 číslic (to, čo príklad má ako 21).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Počet možností sa stáva ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Neviem, ako spočítať toto číslo, ale pre mňa je to o niečo dlhšie :), ale chystáme sa ho ešte znížiť , použijeme iba číslice 0 až 9 a pozrime sa, čo sa stane s kvantitou
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
S týmto jednoduchým pravidlom môžete prísť s ohromujúcimi 100 000 000 000 000 000 000 kombináciami :). Je to z toho dôvodu, že každá číslica pridaná do rovnice zvyšuje počet možností exponenciálne, zatiaľ čo pridanie možností v jednom poli ju zvyšuje lineárne.
Teraz však ideme k tomu, čo je pre nás ľudí „najlepšie“.
Ako dlho trvá, kým v praxi napíšete „• $ 0nt®a $ 3Ñ @ •“? Na chvíľu predpokladajme, že si to musíte každý deň zapisovať, pretože vás nebaví ukladať si ich do počítača. Ak musíte robiť kontrakcie rúk neobvyklým spôsobom, stane sa to únavnou prácou. Oveľa rýchlejšie (z môjho pohľadu) je písanie slov, ktoré môžete napísať prirodzene, pretože ďalším dôležitým faktorom je pravidelná zmena klávesov.
A v neposlednom rade ... Závisí to veľa na nálade človeka, ktorý vyvinul váš systém, aplikáciu, program a bol schopný pokojne používať všetky VŠETKY znaky UTF-8, v niektorých prípadoch to môže dokonca zakázať použitie počíta sa to, pretože aplikácia „prevádza“ niektoré vaše heslo a robí ho nepoužiteľným ... Takže možno je lepšie hrať na istotu so znakmi, o ktorých vždy viete, že sú k dispozícii.
Dúfam, že to pomôže pri pochybnostiach 🙂 Zdravím vás