Hittills tror jag att jag inte har rört någon av mina favoritlåtar, datasäkerhet, och jag tror att detta kommer att vara ämnet som jag ska berätta om idag 🙂 Jag hoppas att du efter den här korta artikeln kan få en bättre uppfattning om vad som kan hjälpa dig att ha en bättre kontroll över dina risker och hur för att mildra många samtidigt.
Risker överallt
Det är oundvikligt, bara i år har vi redan upptäckt och tilldelats mer än 15000 XNUMX sårbarheter på ett sätt offentliga. Hur vet jag? Eftersom en del av mitt jobb är att kontrollera CVE i de program vi använder i Gentoo för att se om vi kör sårbar programvara, så kan vi uppdatera den och se till att alla i distributionen har säker utrustning.
CVE
Vanliga sårbarheter och exponeringar För akronymen på engelska är de unika identifierare som tilldelas varje befintlig sårbarhet. Jag kan säga med stor glädje att flera Gentoo-utvecklare stöder mänsklighetens bästa, undersöker och publicerar sina resultat så att de kan korrigeras och fixas. Ett av de sista fallen som jag hade nöjet att läsa var Alternativbleed; en sårbarhet som påverkade Apache-servrar över hela världen. Varför säger jag att jag är stolt över detta? Eftersom de gör världen bra, är det bara ett fåtal som gynnar att hålla sårbarheter hemliga, och konsekvenserna av detta kan vara katastrofalt beroende på målet.
CNA
CNA är enheter som ansvarar för att begära och / eller tilldela CVE, till exempel har vi Microsofts CNA, som ansvarar för att gruppera deras sårbarheter, lösa dem och tilldela dem en CVE för senare registrering över tiden.
Typer av åtgärder
Låt oss börja med att klargöra att ingen utrustning är eller kommer att vara 100% säker, och som ett ganska vanligt ordspråk brukade säga:
Den enda 100% säkra datorn är en som är låst i ett valv, kopplad från internet och avstängd.
Eftersom det är sant kommer riskerna alltid att finnas där, kända eller okända, det är bara en tidsfråga, så vi kan göra följande inför risken:
Mildra det
Att minska en risk är inget annat än att minska den (NEJ Ställ in det). Detta är en ganska viktig och avgörande punkt både på affärsmässig och personlig nivå, man vill inte bli "hackad", men att säga sanningen är den svagaste punkten i kedjan inte utrustningen, inte heller programmet, inte ens processen , det är människan.
Vi har alla för vana att skylla på andra, vare sig det är människor eller saker, men i datasäkerhet är ansvaret och kommer alltid att vara människans, det kanske inte är du direkt, men om du inte följer rätt väg kommer du att vara en del av problemet. Senare kommer jag att ge dig ett litet trick för att hålla dig lite säkrare 😉
Överför den
Detta är en ganska välkänd princip, vi måste föreställa oss den som en bank. När du behöver ta hand om dina pengar (jag menar fysiskt) är det säkraste att lämna dem åt någon som har förmågan att skydda dem mycket bättre än du. Du behöver inte ha ditt eget valv (även om det skulle vara mycket bättre) för att kunna ta hand om saker, du behöver bara ha någon (du litar på) för att behålla något bättre än du.
Acceptera den
Men när det första och det andra inte gäller, det är där den riktigt viktiga frågan kommer in. Hur mycket är den här resursen / data / etc värd för mig? Om svaret är mycket bör du tänka på de två första. Men om svaret är ett inte så mycketDu kanske bara måste acceptera risken.
Du måste möta det, inte allt är lindrigt, och vissa lindriga saker skulle kosta så många resurser att det skulle vara praktiskt taget omöjligt att tillämpa en verklig lösning utan att behöva ändra och investera mycket tid och pengar. Men om du kan analysera vad du försöker skydda, och den inte hittar sin plats i det första eller andra steget, ta det helt enkelt i det tredje steget på bästa sätt, ge det inte mer värde än det har, och blanda inte det med saker som verkligen de har värde.
För att hålla dig uppdaterad
Detta är en sanning som rymmer hundratals människor och företag. Datorsäkerhet handlar inte om att följa din granskning tre gånger om året och förvänta sig att inget ska hända under de andra 3 dagarna. Och detta gäller för många systemadministratörer. Jag kunde äntligen certifiera mig själv som LFCS (Jag lämnar åt dig att hitta var jag gjorde det 🙂) och detta är en kritisk punkt under kursen. Det är viktigt att hålla din utrustning och dess program uppdaterade, avgörande, för att undvika de flesta risker. Visst att många här kommer att berätta för mig, men programmet vi använder fungerar inte i nästa version eller något liknande, för sanningen är att ditt program är en tidsbomb om det inte fungerar i den senaste versionen. Och det leder oss till föregående avsnitt, Kan du mildra det?, Kan du överföra det?, Kan du acceptera det? ...
Sanningen berättas, bara för att komma ihåg, statistiskt 75% av datasäkerhetsattackerna kommer inifrån. Det kan bero på att du har intet ont anande eller skadliga användare i företaget. Eller att deras säkerhetsprocesser inte har gjort det svårt för a Hackaren bryta in i dina lokaler eller nätverk. Och nästan mer än 90% av attackerna orsakas av föråldrad programvara, Nej på grund av sårbarheter i dag noll.
Tänk som en maskin, inte som en människa
Detta kommer att vara ett litet råd som jag lämnar dig härifrån:
Tänk som maskiner
För de som inte förstår, nu ger jag er ett exempel.
Jag presenterar dig John. Bland säkerhetsälskare är det en av de bästa utgångspunkterna när du börjar i världen ethicla hacking. John han kommer underbart med vår vän Crunch. Och i grund och botten tar han en lista som överlämnas till honom och börjar testa kombinationerna tills han hittar en nyckel som löser lösenordet han letar efter.
Crunch är en generator av kombinationer. det betyder att du kan berätta för crunch att du vill ha ett lösenord som är 6 tecken långt, som innehåller stora och små bokstäver och crunch kommer att börja testa en efter en ... något som:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Och de undrar hur lång tid det tar att gå igenom hela listan säkert ... det tar inte mer än några få minuter. För dem som var kvar med munnen öppen, låt mig förklara. Som vi diskuterade tidigare är den svagaste länken i kedjan människan och hans sätt att tänka. För en dator är det inte svårt att testa kombinationer, det är mycket repetitivt och med åren har processorerna blivit så kraftfulla att det inte tar mer än en sekund att göra tusen försök eller till och med fler.
Men nu är det bra, det föregående exemplet är med mänskligt tänkande, nu går vi för det maskintänkande:
Om vi säger att crunch ska börja generera ett lösenord med just 8 siffror, under samma tidigare krav, har vi gått från minuter till timmar. Och gissa vad som händer om vi ber dig att använda mer än 10, de blir dagar. I mer än 12 är vi redan i månaderFörutom det faktum att listan skulle ha proportioner som inte kunde lagras på en vanlig dator. Om vi når 20 talar vi om saker som en dator inte kommer att kunna dechiffrera på hundratals år (med nuvarande processorer förstås). Detta har sin matematiska förklaring, men av rymdskäl kommer jag inte att förklara det här, men för de mest nyfikna har det mycket att göra med permutation, The kombinatorisk och kombinationer. För att vara mer exakt, med det faktum att för varje bokstav som vi lägger till längden har vi nästan 50 möjligheter, så vi kommer att ha något som:
20^50 möjliga kombinationer för vårt senaste lösenord. Ange numret i min räknare för att se hur många möjligheter det finns med en tangentlängd på 20 symboler.
Hur kan jag tänka som en maskin?
Det är inte lätt, mer än en person säger till mig att tänka på ett lösenord på 20 bokstäver i rad, särskilt med det gamla konceptet att lösenord är ord nyckel. Men låt oss se ett exempel:
dXfwHd
Detta är svårt för en människa att komma ihåg, men extremt lätt för en maskin.
caballoconpatasdehormiga
Detta å andra sidan är extremt lätt för en människa att komma ihåg (även roligt) men det är fan för Crunch. Och nu kommer mer än en att berätta för mig, men är det inte tillrådligt att också byta nycklar i rad? Ja, det rekommenderas, så nu kan vi döda två fåglar i en sten. Antag att jag läser den här månaden Don Quijote de la Mancha, volym I. I mitt lösenord kommer jag att lägga till något som:
ElQuijoteDeLaMancha1
20 symboler, något ganska svårt att upptäcka utan att känna mig, och det bästa är att när jag är klar med boken (förutsatt att de läser ständigt 🙂) kommer de att veta att de måste ändra sitt lösenord, till och med byta till:
ElQuijoteDeLaMancha2
Detta är framsteg 🙂 och det kommer säkert att hjälpa dig att hålla dina lösenord säkra och samtidigt påminna dig om att avsluta din bok.
Det jag har skrivit är tillräckligt, och även om jag skulle vilja prata om många fler säkerhetsfrågor, lämnar vi det för en annan gång 🙂 Hälsningar
Mycket intressant!!
Jag hoppas att du kan ladda upp tutorials om härdning på Linux, det skulle vara underbart.
Hälsningar!
Hej 🙂 ja, kan du ge mig lite tid, men jag delar också en resurs som jag tycker är väldigt intressant 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Den här översätts inte till spanska 🙁 men om någon uppmuntras att ge en hand med det och hjälpa det skulle det vara bra 🙂
hälsningar
Mycket intressant, men ur min synvinkel blir brute force-attacker föråldrade, och genereringen av lösenord som "ElQuijoteDeLaMancha1" verkar inte heller en lönsam lösning, det beror på att med lite socialteknik är det möjligt att hitta lösenorden för den här typen är det bara att ytligt undersöka personen och hon kommer att avslöja det för oss, antingen i sina sociala nätverk, för sina bekanta eller på jobbet, är en del av människans natur.
Enligt min åsikt är den bästa lösningen att använda en lösenordshanterare, eftersom det är säkrare att använda ett 100-siffrigt lösenord än ett 20-siffrigt, dessutom finns det fördelen att eftersom huvudlösenordet bara är känt, det är inte möjligt att avslöja ens väst de lösenord som genereras eftersom de inte är kända.
Detta är min lösenordshanterare, det är öppen källkod och genom att emulera ett tangentbord är det immunt mot keylogers.
https://www.themooltipass.com
Tja, jag låtsas inte ge en helt säker lösning (kom ihåg att ingenting är 100% ogenomträngligt) på bara 1500 ord 🙂 (jag vill inte skriva mer än såvida det inte är absolut nödvändigt) men precis som du säger att 100 är bättre än 20, ja 20 är definitivt bättre än 8 🙂 och ja, som vi sa i början, är den svagaste länken mannen, så det är där uppmärksamheten alltid kommer att vara. Jag känner till flera "socialtekniker" som inte vet så mycket om teknik, men bara tillräckligt för att utföra säkerhetskonsultarbete. Mycket svårare är att hitta sanna hackare som hittar brister i program (den välkända noll-dagen).
Om vi pratar om "bättre" lösningar går vi redan in på ett ämne för personer med expertis inom området, och jag delar med alla typer av användare 🙂 men om du vill kan vi prata om "bättre" lösningar vid en annan tidpunkt. Och tack för länken, säker på att dess fördelar och nackdelar är, men det skulle inte göra mycket för en lösenordshanterare heller, du skulle bli förvånad över den lätthet och önskan som de angriper dem, trots allt ... en enda seger innebär att många nycklar avslöjade.
hälsningar
Intressant artikel, ChrisADR. Som Linux-systemadministratör är detta en bra påminnelse om att inte fastna i att inte ge det den största vikt som krävs idag för att hålla lösenorden uppdaterade och med den säkerhet som krävs av dagens tider. Även detta är en artikel som skulle vara till stor hjälp för vanliga människor som tror att ett lösenord inte är orsaken till 90% av huvudvärk. Jag skulle vilja se fler artiklar om datasäkerhet och hur man bibehåller högsta möjliga säkerhet inom vårt älskade operativsystem. Jag tror att det alltid finns något mer att lära sig utöver den kunskap man får genom kurser och utbildningar.
Utöver det konsulterar jag alltid den här bloggen för att ta reda på ett nytt program för Gnu Linux för att få tag på det.
Hälsningar!
Kan du förklara lite i detalj, med siffror och kvantiteter, varför "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" inte finns; p) är säkrare än "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Jag vet ingenting om kombinatorisk matematik, men jag är fortfarande inte övertygad om den ofta upprepade tanken att ett långt lösenord med en enkel teckenuppsättning är bättre än en kortare med en mycket större teckenuppsättning. Är mängden möjliga kombinationer verkligen större bara med latinska bokstäver och siffror än med alla UTF-8?
Hälsningar.
Hej Dani, låt oss gå i delar för att göra det tydligt ... har du någonsin haft en av dessa resväskor med nummerkombinationer som lås? Låt oss se följande fall ... förutsatt att de når nio har vi något som:
| 10 | | 10 | | 10 |
Var och en har diazmöjligheter, så om du vill veta antalet möjliga kombinationer, behöver du bara göra en enkel multiplikation, 10³ för att vara exakt eller 1000.
ASCII-tabellen innehåller 255 viktiga tecken, varav vi normalt använder siffror, gemener, versaler och vissa skiljetecken. Antag att vi nu kommer att ha ett 6-siffrigt lösenord med cirka 70 alternativ (versaler, gemener, siffror och några symboler)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Som ni kan föreställa er det ett ganska stort antal, 117 för att vara exakt. Och det är alla möjliga kombinationer som finns för ett 649-siffrigt nyckelutrymme. Nu ska vi minska spektrumet av möjligheter mycket mer, låt oss fortsätta att vi bara kommer att använda 000 (gemener, siffror och enstaka symbol kanske) men med ett mycket längre lösenord, låt oss säga kanske 000 siffror (Det som exemplet har som 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Antalet möjligheter blir ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Jag vet inte hur det räknas, men för mig är det lite längre :), men vi kommer att minska det ännu mer , vi använder bara siffrorna 0 till 9, och låt oss se vad som händer med kvantiteten
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Med denna enkla regel kan du komma med en häpnadsväckande 100 kombinationer :). Detta beror på att varje siffra som läggs till ekvationen ökar antalet möjligheter exponentiellt, medan tillägg av möjligheter inom en enda ruta ökar den linjärt.
Men nu går vi till vad som är "bäst" för oss människor.
Hur lång tid tar det dig att skriva ”• M¡ ¢ 0nt®a $ 3Ñ @ •” i praktiska termer? Låt oss anta för en sekund att du måste skriva ner det varje dag, eftersom du inte gillar att spara det på datorn. Detta blir tråkigt arbete om du måste göra handkontraktioner på ovanliga sätt. Mycket snabbare (enligt min mening) är att skriva ord som du kan skriva naturligt, eftersom en annan viktig faktor är att byta nycklar regelbundet.
Och sist men inte minst ... Det beror mycket på stämningen hos den person som har utvecklat ditt system, applikation, program, att lugnt kunna använda ALLA karaktärerna i UTF-8, i vissa fall kan det till och med inaktivera användningen av det räknas eftersom applikationen "konverterar" en del av ditt lösenord och gör det oanvändbart ... Så det är kanske bättre att spela det säkert med de tecken som du alltid vet är tillgängliga.
Hoppas detta hjälper till med tvivel 🙂 Hälsningar