Do zdaj mislim, da se nisem dotaknil ene izmed svojih najljubših pesmi, računalniška varnostin verjamem, da bo to tema, ki vam jo bom danes povedal. Upam, da boste po tem kratkem članku bolje razumeli, kaj vam lahko pomaga pri boljšem nadzoru nad tveganji in kako jih ublažiti veliko hkrati.
Tveganja povsod
Neizogibno je, samo v tem letu imamo že več kot 15000 odkritih in na nek način dodeljenih ranljivosti javnega. Kako vem? Ker je del moje naloge preverjanje CVE-jev v programih, ki jih uporabljamo v Gentooju, in preverjam, ali uporabljamo ranljivo programsko opremo, jo lahko na ta način posodobimo in zagotovimo, da imajo vsi v distribuciji varno opremo.
CVE
Skupne ranljivosti in izpostavljenosti Za svojo kratico v angleščini so edinstveni identifikatorji, ki se dodelijo vsaki obstoječi ranljivosti. Z velikim veseljem lahko rečem, da več razvijalcev Gentoo podpira dobro človeštva, raziskuje in objavlja svoje ugotovitve, da jih je mogoče popraviti in popraviti. Eden zadnjih primerov, ki sem jih z veseljem prebral, je bil Možnosti krvavijo; ranljivost, ki je prizadela strežnike Apache po vsem svetu. Zakaj pravim, da sem ponosen na to? Ker svetu delajo dobro, ohranjanje ranljivosti v skrivnosti koristi le nekaterim, posledice tega pa so lahko katastrofalne, odvisno od cilja.
CNA
CNA so subjekti, ki so odgovorni za zahtevo in / ali dodelitev CVE-jev, na primer imamo Microsoftov CNA, ki je zadolžen za razvrščanje njihovih ranljivosti, njihovo reševanje in dodelitev CVE za kasnejšo registracijo čez čas.
Vrste ukrepov
Začnimo z razjasnitvijo, da nobena oprema ni in ne bo stoodstotno varna, in kot dokaj pogost rek je rekel:
Edini 100% varen računalnik je tisti, ki je zaklenjen v trezorju, odklopljen od interneta in izklopljen.
Ker je res, bodo tveganja vedno obstajala, znana ali neznana, le vprašanje časa je, zato lahko pred tveganjem naredimo naslednje:
Omili ga
Blažitev tveganja ni nič drugega kot zmanjšanje (NE prekliči). To je tako pomembna in ključna točka tako na poslovni kot na osebni ravni, človek ne želi, da bi ga "vdrli", ampak resnici na ljubo najšibkejša točka v verigi ni računalnik, ne program, niti postopek , človeški.
Vsi imamo navado kriviti druge, pa naj bodo to ljudje ali stvari, toda pri računalniški varnosti je odgovornost in bo vedno človekova, morda ne boste neposredno vi, če pa ne boste šli po pravi poti, boste del problema. Kasneje vam bom dal trik, da boste še malo varnejši 😉
Prenesite ga
To je dokaj znano načelo, predstavljati si ga moramo kot plačilni. Ko morate poskrbeti za svoj denar (mislim fizično), je najvarneje, da ga pustite nekomu, ki ga je sposoben zaščititi veliko bolje kot vi. Ni vam treba imeti lastnega trezorja (čeprav bi bilo veliko bolje), da bi lahko skrbeli za stvari, morate imeti le nekoga (ki mu zaupate), da bi obdržal nekaj boljšega od sebe.
Sprejmi
Toda ko se prvo in drugo ne uporabljata, se tu pojavi resnično pomembno vprašanje. Koliko mi je vreden ta vir / podatki / itd? Če je odgovor veliko, potem razmislite o prvih dveh. Če pa je odgovor a ne tolikoMogoče morate preprosto sprejeti tveganje.
Morate se soočiti s tem, ni vse mogoče omiliti in nekatere olajšave bi stale toliko virov, da bi bilo praktično nemogoče uporabiti resnično rešitev, ne da bi se morali spremeniti in vložiti veliko časa in denarja. Če pa lahko analizirate, kaj poskušate zaščititi, in v prvem ali drugem koraku ne najde svojega mesta, potem preprosto v tretjem koraku zavzemite na najboljši način, mu ne dajte večje vrednosti, kot jo ima, in ne mešajte s stvarmi, ki resnično imajo vrednost.
Da bi bili na tekočem
To je resnica, ki uide na stotine ljudi in podjetij. Računalniška varnost ni namenjena temu, da trikrat letno upoštevate revizijo in ne pričakujete, da se bo v drugih 3 dneh zgodilo nič. In to velja za številne sistemske skrbnike. Končno sem se lahko potrdil kot LFCS (Prepuščam vam, da ugotovite, kje sem to storil 🙂) in to je med tečajem kritična točka. Posodabljanje opreme in njenih programov je ključnega pomena, ključnega pomena, da bi se izognili večini tveganj. Seveda mi bodo mnogi tukaj rekli, vendar program, ki ga uporabljamo, v naslednji različici ne deluje ali kaj podobnega, ker resnica je, da je vaš program časovna bomba, če v najnovejši različici ne deluje. In to nas pripelje do prejšnjega oddelka, Ali ga lahko omilite?, Ga lahko prenesete?, Ga lahko sprejmete? ...
Resnici na ljubo, samo da ne pozabimo, statistično 75% napadov na računalniško varnost izvira od znotraj. To je morda zato, ker imate v podjetju nič hudega sluteče ali zlonamerne uporabnike. Ali pa da njihovi varnostni procesi a heker vdrejo v vaše prostore ali omrežja. In skoraj več kot 90% napadov povzroča zastarela programska oprema, št zaradi ranljivosti dan nič.
Razmišljajte kot stroj, ne kot človek
To bo majhen nasvet, ki vam ga zapuščam od tu naprej:
Razmišljajte kot stroji
Za tiste, ki ne razumejo, zdaj vam dam primer.
Predstavljam vam Janez. Med ljubitelji varnosti je to eno najboljših izhodišč, ko začneš v svetu vdiranje etike. John čudovito se razume z našim prijateljem krč. V bistvu zgrabi seznam, ki mu ga izroči, in začne preizkušati kombinacije, dokler ne najde ključa, ki reši iskalno geslo.
Crunch je generator kombinacij. to pomeni, da lahko crunchu poveste, da želite geslo, ki je dolgo 6 znakov in vsebuje velike in male črke in crunch bo začel testirati eno za drugo ... nekaj takega:
aaaaaa,aaaaab,aaaaac,aaaaad,....
In sprašujete se, kako dolgo traja, da zagotovo preletite celoten seznam ... ne traja več kot nekaj minut. Za tiste, ki so ostali odprtih ust, naj pojasnim. Kot smo že omenili, je najšibkejši člen v verigi človek in njegov način razmišljanja. Za računalnik ni težko preizkusiti kombinacij, je zelo ponavljajoč se in z leti so procesorji postali tako zmogljivi, da za tisoč poskusov ali celo več ne traja več kot sekundo.
Zdaj pa dobro, prejšnji primer je z človeško razmišljanje, zdaj gremo strojno razmišljanje:
Če povemo crunchu, naj začne ustvarjati geslo s samo 8 števke, pod enakimi prejšnjimi zahtevami smo prešli od minut do ur. In uganite, kaj se zgodi, če vam povemo, da uporabite več kot 10, postanejo dni. Že več kot 12 smo že v igri mesecevPoleg tega, da bi bil seznam takšnih razsežnosti, ki jih ni mogoče shraniti v običajnem računalniku. Če pridemo do 20, govorimo o stvareh, ki jih računalnik čez stotine let ne bo mogel razvozlati (seveda s sedanjimi procesorji). To ima sicer svojo matematično razlago, vendar je zaradi vesolja tukaj ne bom razlagal, toda za najbolj radovedne ima veliko opraviti z permutacija, kombinacijski in kombinacije. Natančneje, z dejstvom, da imamo za vsako črko, ki jo dodamo dolžini, skoraj 50 možnosti, zato bomo imeli nekaj takega:
20^50 možne kombinacije za naše zadnje geslo. Vnesite to številko v svoj kalkulator, da vidite, koliko možnosti obstaja z dolžino ključa 20 simbolov.
Kako lahko razmišljam kot stroj?
Ni lahko, več kot ena oseba mi bo rekla, naj si zamislim geslo z 20 črkami zapored, še posebej s starim konceptom, da so gesla besede tipko. Pa poglejmo primer:
dXfwHd
Tega si človek težko zapomni, a stroju izjemno enostavno.
caballoconpatasdehormiga
Tega pa si človek izjemno lahko zapomni (celo smešno), a za to je hudič krč. In zdaj mi bo rekel več kot eden, ampak ali ni priporočljivo tudi zaporedoma spreminjati tipk? Da, priporočljivo je, zato lahko zdaj z enim kamnom ubijemo dve ptici. Recimo, da ta mesec berem Don Quijote de la Mancha, I. zvezek V geslo bom dal nekaj takega:
ElQuijoteDeLaMancha1
20 simbolov, nekaj kar težko je odkriti, ne da bi me poznal, in najboljše je, da ko končam knjigo (ob predpostavki, da nenehno berejo 🙂), bodo vedeli, da morajo spremeniti geslo, celo spremeniti v:
ElQuijoteDeLaMancha2
Že napreduje 🙂 in zagotovo vam bo pomagal varovati gesla in vas hkrati opozoril, da dokončate knjigo.
Kar sem napisal, je dovolj in čeprav bi se rad pogovarjal o številnih drugih varnostnih vprašanjih, bomo to pustili za kdaj drugič 🙂 Lep pozdrav
Zelo zanimivo!!
Upam, da lahko naložite vaje o utrjevanju v Linux, bilo bi čudovito.
Lep pozdrav!
Pozdravljeni, 🙂 no, mi lahko podarite nekaj časa, ampak tudi jaz delim vir, ki se mi zdi izredno zanimiv 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Ta ni preveden v španščino 🙁, vendar če bi koga spodbudili, naj s tem pomaga in pomaga, bi bilo super 🙂
pozdrav
Zelo zanimivo, toda z mojega vidika napade surove sile postajajo zastarele in tudi generiranje gesel, kot je "ElQuijoteDeLaMancha1", se tudi ne zdi izvedljiva rešitev, saj je z malo socialnega inženiringa mogoče najti gesla ta tip, le da površno preiskuje osebo in nam jo bo sama razkrila bodisi v svojih družbenih omrežjih, bodisi svojim znancem bodisi v službi, je del človeške narave.
Po mojem mnenju je najboljša rešitev uporaba upravitelja gesel, ker je varnejša uporaba 100-mestnega gesla kot 20-mestnega, poleg tega pa je prednost tudi v tem, da samo s poznavanjem glavnega gesla ni mogoče razkriti niti zahodno ustvarjenih gesel, ker niso znana.
To je moj upravitelj gesel, je odprtokoden in je z posnemanjem tipkovnice odporen na keylogers.
https://www.themooltipass.com
No, ne pretvarjam se, da dajem popolnoma varno rešitev (spominjam se, da nič ni 100-odstotno neprehodno) v samo 1500 besedah 🙂 (ne želim napisati več kot to, razen če je to nujno potrebno), ampak tako kot pravite, da je 100 boljših od 20, no 20 je vsekakor boljše od 8 🙂 in, kot smo rekli na začetku, je najšibkejši člen človek, zato bo tu vedno poudarek. Poznam več "socialnih inženirjev", ki o tehnologiji ne vedo veliko, a dovolj za opravljanje svetovalnega dela na področju varnosti. Veliko težje je najti prave hekerje, ki v programih najdejo pomanjkljivosti (znani nič-dan).
Če govorimo o "boljših" rešitvah, že vnašamo temo za ljudi s strokovnim znanjem na tem področju, in to delim z vsemi vrstami uporabnikov 🙂, če pa želite, lahko o "boljših" rešitvah govorimo kdaj drugič. In hvala za povezavo, zagotovo njene dobre in slabe strani, vendar tudi upravitelju gesel ne bi veliko pomagalo, presenečeni bi bili nad enostavnostjo in željo, s katero jih napadajo, navsezadnje ... ena sama zmaga pomeni veliko razkritih ključev.
pozdrav
Zanimiv članek, ChrisADR. Kot sistemski skrbnik Linuxa je to dober opomin, da se ne zapletamo v to, da mu danes ne posvečamo največjega pomena za posodabljanje gesel in varnosti, ki jo zahteva današnji čas. Tudi to je članek, ki bi bil v veliko pomoč navadnim ljudem, ki menijo, da geslo ni vzrok 90% preglavic. Rad bi videl več člankov o računalniški varnosti in o tem, kako ohraniti najvišjo možno varnost v našem priljubljenem operacijskem sistemu. Verjamem, da se je vedno mogoče naučiti še kaj več od znanja, ki ga človek pridobi s tečaji in treningi.
Poleg tega se vedno posvetujem s tem blogom in se pozanimam o novem programu za Gnu Linux, s katerim ga dobim v roke.
Lep pozdrav!
Bi lahko nekoliko podrobneje razložili s številkami in količinami, zakaj je "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" ne obstaja; p) varnejši od "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
O kombinacijski matematiki ne vem ničesar, vendar me pogosto ponavljana ideja še vedno ne prepriča, da je dolgo geslo s preprostim naborom znakov boljše od krajšega z veliko večjim naborom znakov. Ali je število možnih kombinacij res večje samo pri uporabi latinskih črk in številk kot pri uporabi vseh UTF-8?
Lep pozdrav.
Živjo Dani, pojdiva po delih, da razjasnimo ... si že kdaj imel enega od tistih kovčkov s kombinacijo številk kot ključavnico? Poglejmo naslednji primer ... ob predpostavki, da bodo dosegli devet, imamo nekaj takega:
| 10 | | 10 | | 10 |
Vsak ima diaz možnosti, zato, če želite vedeti število možnih kombinacij, morate preprosto narediti množenje, natančneje 10³ ali 1000.
Tabela ASCII vsebuje 255 bistvenih znakov, od katerih običajno uporabljamo številke, male, velike in male ločila. Recimo, da bomo zdaj imeli šestmestno geslo s približno 6 možnostmi (velike, male, številke in nekateri simboli)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Kot si lahko predstavljate, je to precej velika številka, natančneje 117. In to so vse možne kombinacije, ki obstajajo za šestmestni prostor tipk. Zdaj bomo spekter možnosti še bolj zmanjšali, nadaljujmo, da bomo uporabili le 649 (male črke, številke in občasni simbol morda), vendar z veliko daljšim geslom, recimo morda 000 števk (tisto, kar primer ima približno 000).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Število možnosti postane ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Ne vem, kako se šteje to število, zame pa je nekoliko daljše :), vendar ga bomo še bolj zmanjšali , uporabili bomo samo številke od 0 do 9 in poglejmo, kaj se bo zgodilo s količino
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
S tem preprostim pravilom lahko pridete do neverjetnih 100 kombinacij :). To pa zato, ker vsaka številka, dodana enačbi, eksponentno poveča število možnosti, medtem ko dodajanje možnosti znotraj enega polja linearno poveča.
Zdaj pa gremo k temu, kar je za nas ljudi "najboljše".
Kako dolgo traja, da v praksi napišete “• M¡ ¢ 0nt®a $ 3Ñ @ •”? Za trenutek predpostavimo, da si ga morate zapisovati vsak dan, ker ga ne marate shranjevati v računalnik. To postane dolgočasno delo, če morate krčenje rok izvajati na nenavadne načine. Veliko hitreje (po mojem mnenju) je pisanje besed, ki jih lahko pišete naravno, saj je še en pomemben dejavnik redna menjava tipk.
In nenazadnje ... Veliko je odvisno od razpoloženja osebe, ki je razvila vaš sistem, aplikacijo, program, od tega, da lahko mirno uporablja vse VSE UTF-8 znake, v nekaterih primerih lahko celo onemogoči uporabo The Šteje, ker aplikacija "pretvori" nekaj vašega gesla in ga naredi neuporabnega ... Zato je morda bolje, da ga varno predvajate z znaki, za katere vedno veste, da so na voljo.
Upam, da to pomaga pri dvomih 🙂 Lep pozdrav