До сада мислим да нисам додирнуо ниједну од својих омиљених песама, безбедност рачунара, и верујем да ће ово бити тема о којој ћу вам данас рећи 🙂 Надам се да ћете након овог кратког чланка имати бољу представу о томе шта вам може помоћи у бољој контроли ваших ризика и како да истовремено ублаже многе.
Ризици свуда
Неизбежно је, само у овој години смо већ открили и на неки начин доделили више од 15000 рањивости публиц. Како да знам? Будући да је део мог посла да проверим ЦВЕ-ове у програмима које користимо у Гентоо-у како бих утврдио да ли покрећемо рањиви софтвер, на овај начин га можемо ажурирати и осигурати да сви у дистрибуцији имају сигурну опрему.
ЦВЕ
Уобичајене рањивости и изложености Због своје кратице на енглеском језику, они су јединствени идентификатори који се додељују свакој постојећој рањивости. Са великом радошћу могу да кажем да неколико Гентоо програмера подржава добро човечанства, истражујући и објављујући своја открића како би их било могуће исправити и поправити. Један од последњих случајева које сам имао задовољство да читам био је онај Оптионсблеед; рањивост која је утицала на Апацхе сервере широм света. Зашто кажем да сам поносан на ово? Будући да чине свет добрим, чување рањивости у тајности користи само некима, а последице тога могу бити катастрофалне у зависности од циља.
ЦНА
ЦНА су ентитети задужени за захтев и / или додељивање ЦВЕ-а, на пример, имамо Мицрософтов ЦНА, задужен за груписање њихових рањивости, њихово решавање и додељивање ЦВЕ за каснију регистрацију током времена.
Врсте мера
Почнимо са разјашњавањем да ниједна опрема није или неће бити 100% сигурна, и као прилично уобичајена изрека говорила је:
Једини стопостотно сигуран рачунар је онај који је закључан у трезору, одспојен од интернета и искључен.
Будући да је то истина, ризици ће увек бити познати или непознати, само је питање времена, тако да суочени са ризиком можемо учинити следеће:
Ублажите то
Ублажавање ризика није ништа друго него његово смањење (НЕ отказати). Ово је прилично важна и пресудна тачка како на пословном, тако и на личном нивоу, не жели се „хаковати“, али истини за вољу најслабија тачка у ланцу није опрема, нити програм, чак ни процес , То је хумани.
Сви имамо навику да кривимо друге, били они људи или ствари, али у рачунарској безбедности одговорност је и увек ће бити човекова, можда то нећете бити директно ви, али ако не следите прави пут, бићете део проблема. Касније ћу вам дати мали трик како бисте били мало сигурнији 😉
Пренеси га
Ово је добро познат принцип, морамо га замислити као банка. Када требате да бринете о свом новцу (мислим физички), најсигурније је да га оставите некоме ко има могућност да га заштити много боље од вас. Не требате имати свој трезор (мада би било много боље) да бисте могли да се бринете о стварима, потребно је само да имате некога (коме верујете) да задржи нешто боље од вас.
Прихвати то
Али кад се прво и друго не примењују, ту долази заиста важно питање. Колико ми вреде ови ресурси / подаци / итд? Ако је одговор много, онда бисте требали размислити о прва два. Али ако је одговор а не толикоМожда једноставно морате прихватити ризик.
Морате се суочити с тим, није све ублаживо, а неке ублажавајуће ствари коштале би толико ресурса да би било практично немогуће применити право решење без промене и улагања пуно времена и новца. Али ако можете да анализирате оно што покушавате да заштитите, а оно не пронађе своје место у првом или другом кораку, онда га једноставно узмите у трећем кораку на најбољи начин, не дајте му већу вредност него што има, и немојте га мешати са стварима које заиста имају вредност.
Да бисте били у току
Ово је истина која избегава стотине људи и предузећа. Циберсецурити не подразумева поштовање ревизије 3 пута годишње и очекивање да се ништа неће догодити у осталих 350 дана. И ово важи за многе системске администраторе. Напокон сам успео да се потврдим као ЛФЦС (Остављам вама да пронађете где сам то урадио 🙂) и ово је критична тачка током курса. Одржавање ажурности опреме и њених програма је од виталног значаја, пресудан, како би се избегла већина ризика. Сигурно ће ми многи овде рећи, али програм који користимо не ради у следећој верзији или нешто слично, јер истина је да је ваш програм темпирана бомба ако не ради у најновијој верзији. И то нас доводи до претходног одељка, Можете ли то ублажити?, Можете ли га пренијети?, Можете ли га прихватити? ...
Истини за вољу, само да имамо на уму, статистички 75% напада на рачунарску сигурност потиче изнутра. То је можда зато што у компанији имате несумњиве или злонамерне кориснике. Или да им њихови безбедносни процеси нису отежали хакер провалити у ваше просторије или мреже. И готово више од 90% напада узрокује застарели софтвер, не због рањивости дан нула.
Мислите као машина, а не као човек
Ово ће бити мали савет који ћу вам оставити одавде:
Размишљајте као машине
За оне који не разумеју, сад ћу вам дати пример.
Упознајем те Јохн. Међу љубитељима безбедности то је једно од најбољих полазишта када започнете у свету етхицла хацкинг. јохн дивно се слаже са нашим пријатељем црунцх. И у основи граби списак који му се уручује и започиње тестирање комбинација док не пронађе кључ који решава лозинку коју тражи.
Крцкање је генератор комбинација. то значи да можете рећи црунцху да желите лозинку дугу 6 знакова која садржи велика и мала слова и црунцх ће започети тестирање једно по једно ... нешто попут:
aaaaaa,aaaaab,aaaaac,aaaaad,....
И питају се колико је времена потребно да се сигурно прође кроз целу листу ... не треба више од неколико минута. За оне који су остали отворених уста, да објасним. Као што смо раније разговарали, најслабија карика у ланцу је човек и његов начин размишљања. За рачунар није тешко тестирати комбинације, врло се понавља, а процесори су током година постали толико моћни да није потребно више од секунде да би се извршило хиљаду покушаја, па чак и више.
Али сада је добра ствар, претходни пример је са људско размишљање, сада идемо на то машинско размишљање:
Ако кажемо црунцху да започне генерисање лозинке са јуст 8 цифре, под истим претходним захтевима, прешли смо са минута на сати. И погодите шта ће се догодити ако вам кажемо да користите више од 10, они постају дана. Већ више од 12 смо већ у месециПоред чињенице да би листа била пропорција које се не би могле чувати на уобичајеном рачунару. Ако дођемо до 20, разговарамо о стварима које рачунар неће моћи да дешифрује стотинама година (наравно са тренутним процесорима). Ово има своје математичко објашњење, али из свемирских разлога нећу то овде објашњавати, али за најзанимљивије то има пуно везе са пермутација, комбинаторни и комбинације. Тачније, с тим што за свако слово које додамо дужини имамо скоро 50 могућности, па ћемо имати нешто попут:
20^50 могуће комбинације за нашу последњу лозинку. Унесите тај број у свој калкулатор да бисте видели колико могућности има дужина кључа од 20 симбола.
Како могу да размишљам као машина?
Није лако, више од једне особе ће ми рећи да смислим лозинку од 20 слова заредом, посебно са старим концептом да су лозинке речи кључ. Али да видимо пример:
dXfwHd
Ово је људско тешко запамтити, али изузетно лако за машину.
caballoconpatasdehormiga
Ово је, с друге стране, изузетно лако за памћење (чак и смешно), али за то је пакао црунцх. И сада ће ми рећи више од једног, али да ли је препоручљиво такође мењати тастере у низу? Да, препоручује се, па сада једним каменом можемо убити две птице. Претпоставимо да овај месец читам Дон Кихот де ла Манча, том И. У лозинку ћу ставити нешто попут:
ElQuijoteDeLaMancha1
20 симбола, нешто прилично тешко открити без познавања мене, а најбоља ствар је што ће кад завршим књигу (под претпоставком да читају непрестано 🙂) знати да морају променити лозинку, чак и променити у:
ElQuijoteDeLaMancha2
Ово је напредак 🙂 и сигурно ће вам помоћи да заштитите лозинке и истовремено вас подсетити да завршите књигу.
Довољно је ово што сам написао и премда бих волео да могу да разговарам о још многим безбедносним питањима, оставићемо то за други пут 🙂 Поздрав
Врло занимљиво !!
Надам се да можете учитати водиче о каљењу на Линук, било би дивно.
Поздрав!
Здраво 🙂 добро, да ли бисте могли да ми дате мало времена, али такође делим ресурс који ми се чини изузетно занимљивим 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Овај није преведен на шпански 🙁 али ако се неко усуди пружити руку и помоћи, било би сјајно 🙂
поздрави
Врло занимљиво, али са моје тачке гледишта напади грубе силе застаревају, а стварање лозинки као што је „ЕлКуијотеДеЛаМанцха1“ не чини се одрживим решењем, јер је са мало социјалног инжењеринга могуће пронаћи лозинке овај тип, само огроман површним истраживањем особе и она ће нам га сама открити, било у својим друштвеним мрежама, својим познаницима или на послу, део је људске природе.
С моје тачке гледишта, најбоље решење је употреба менаџера лозинки, јер је сигурније користити 100-цифрену лозинку него 20-цифрену, поред тога, ту је предност што је главна лозинка позната само, чак ни на западу није могуће открити генерисане лозинке јер нису познате.
Ово је мој менаџер лозинки, он је отвореног кода и емулирајући тастатуру, имун је на кеилогерс.
https://www.themooltipass.com
Па, не претварам се да дајем потпуно сигурно решење (сећајући се да ништа није 100% непробојно) у само 1500 речи 🙂 (не желим да напишем више од тога, осим ако то није апсолутно неопходно), 100 је боље од 20, па 20 је дефинитивно боље од 8 🙂 и добро, као што смо рекли на почетку, најслабија карика је човек, па ће пажња увек тамо бити. Познајем известан број „социјалних инжењера“ који не знају много о технологији, али довољно да се баве безбедносним консултацијама. Много је теже пронаћи истинске хакере који проналазе недостатке у програмима (познати нулти дан).
Ако говоримо о „бољим“ решењима, већ уводимо тему за људе који имају стручност у тој области, и делим са било којом врстом корисника 🙂, али ако желите, можемо разговарати о „бољим“ решењима у неко друго време. И хвала на вези, сигурни је за и против, али то не би много помогло ни менаџеру лозинки, изненадили бисте се лакоћом и жељом с којом их нападају, уосталом ... једна победа подразумева много кључева открио.
поздрави
Занимљив чланак, ЦхрисАДР. Као администратор Линук система, ово је добар подсетник да се не увлачите у то што му не дајете највећи значај потребан за одржавање ажурних лозинки и сигурности коју захтева данашње време. Чак је и ово чланак који би увелико отишао до обичних људи који мисле да лозинка није узрок 90% главобоље. Желео бих да видим више чланака о рачунарској безбедности и како да одржимо највишу могућу сигурност у нашем вољеном оперативном систему. Верујем да се увек може научити нешто више од знања које се стиче курсевима и тренинзима.
Поред тога, увек консултујем овај блог да бих сазнао о новом програму за Гну Линук који ће га добити под руку.
Поздрав!
Можете ли да објасните мало детаљно, бројевима и количинама, зашто је „ДонКуијотеДеЛаМанцха1“ („ДонКуијоте де Ла Манцха“ не постоји; п) сигурнији од „• М¡ ¢ 0нт®а $ 3Н @ •“?
Не знам ништа о комбинаторној математици, али још увек ме не уверава често понављана идеја да је дугачка лозинка са једноставним скупом знакова боља од краће са много већим скупом знакова. Да ли је број могућих комбинација заиста већи само употребом латиничних слова и бројева него употребом свих УТФ-8?
Поздрав.
Здраво Дани, идемо по деловима да разјаснимо ... да ли сте икада имали један од оних кофера са комбинацијом бројева као браву? Погледајмо следећи случај ... под претпоставком да достигну девет имамо нешто попут:
| 10 | | 10 | | 10 |
Свака од њих има могућности дијаза, па ако желите да знате број могућих комбинација, морате једноставно да множите, тачно 10³ или 1000.
АСЦИИ табела садржи 255 битних знакова, од којих обично користимо бројеве, мала, велика и нека интерпункцијска знака. Претпоставимо да ћемо сада имати шестоцифрену лозинку са приближно 6 опција (велико, мало, бројеви и неки симболи)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Као што можете да замислите, то је прилично велик број, тачније 117. И то су све могуће комбинације које постоје за шестоцифрени простор тастера. Сада ћемо смањити спектар могућности много више, наставимо да користимо само 649 (мала слова, бројеве и повремени симбол), али са много дужом лозинком, рецимо можда 000 цифара (Оно што пример има као 000).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Број могућности постаје ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Не знам како се тај број броји, али за мене је то мало дуже :), али смањићемо га још више , користићемо само бројеве од 0 до 9, па да видимо шта ће се догодити са количином
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Овим једноставним правилом можете да смислите запањујућих 100 комбинација :). То је зато што свака цифра додата у једначину повећава број могућности експоненцијално, док је додавањем могућности у једном пољу линеарно.
Али сада прелазимо на оно што је за нас људе „најбоље“.
Колико вам треба времена да напишете „• М¡ ¢ 0нт®а $ 3Н @ •“ у практичном смислу? Претпоставимо на тренутак да то морате свакодневно записивати, јер не волите да га чувате на рачунару. Ово постаје досадан посао ако морате да контракције руку радите на необичне начине. Много брже (са моје тачке гледишта) је писање речи које можете написати природно, јер је још један важан фактор редовна промена тастера.
И последње, али не најмање важно ... Много зависи од расположења особе која је развила ваш систем, апликацију, програм, која може мирно да користи СВЕ ликове УТФ-8, у неким случајевима може чак и онемогућити употребу од То се рачуна јер апликација „претвара“ неку вашу лозинку и чини је неупотребљивом ... Зато је можда боље играти на сигурно са ликовима за које увек знате да су доступни.
Надам се да ово помаже код недоумица 🙂 Поздрав