Hanggang sa tingin ko ay hindi ko naantig ang isa sa aking mga paboritong kanta, seguridad sa computer, at naniniwala ako na ito ang magiging paksa na sasabihin ko sa iyo ngayon 🙂 Inaasahan ko na pagkatapos ng maikling artikulong ito ay magkaroon ka ng isang mas mahusay na ideya kung ano ang makakatulong sa iyo na magkaroon ng isang mas mahusay na kontrol sa iyong mga panganib at kung paano upang mabawasan ang marami nang sabay.
Mga panganib saanman
Hindi maiiwasan, sa taong ito lamang, mayroon na tayong higit sa 15000 mga kahinaan na natuklasan at naatasan sa isang paraan publiko. Paano ko malalaman? Dahil bahagi ng aking trabaho ang suriin ang mga CVE sa mga program na ginagamit namin sa Gentoo upang makita kung nagpapatakbo kami ng mahina na software, sa ganitong paraan maaari naming itong mai-update at matiyak na ang lahat sa pamamahagi ay may ligtas na kagamitan.
CVE
Mga Karaniwang Kahinaan at Mga Pagkalantad Para sa acronym nito sa English, ang mga ito ay ang mga natatanging identifier na nakatalaga sa bawat umiiral na kahinaan. Masasabi ko nang may labis na kagalakan na maraming mga Gentoo Developer ang sumusuporta sa ikabubuti ng sangkatauhan, nagsasaliksik at naglalathala ng kanilang mga nahahanap upang sila ay maitama at maayos. Ang isa sa mga huling kaso na nasisiyahan akong basahin ay ang Opsyonal; isang kahinaan na nakaapekto sa mga server ng Apache sa buong mundo. Bakit ko nasasabi na ipinagmamalaki ko ito? Dahil ginagawa nila ang buong mundo, ang pag-iingat ng mga kahinaan ay lihim na nakikinabang lamang sa iilan, at ang mga kahihinatnan nito ay maaaring mapinsala depende sa layunin.
CNA
Ang mga CNA ay mga entity na namamahala sa paghingi at / o pagtatalaga ng mga CVE, halimbawa, mayroon kaming CNA ng Microsoft, na namamahala sa pagpapangkat ng kanilang mga kahinaan, paglutas sa mga ito at pagtatalaga sa kanila ng isang CVE para sa susunod na pagrerehistro sa paglipas ng panahon.
Mga uri ng hakbang
Magsimula tayo sa pamamagitan ng paglilinaw na walang kagamitan ang magiging o magiging 100% ligtas, at bilang isang pangkaraniwang kasabihan na dating sinasabi:
Ang tanging 100% ligtas na computer ay isa na naka-lock sa isang vault, naka-disconnect mula sa internet at naka-off.
Dahil totoo ito, ang mga peligro ay laging nandiyan, alam o hindi kilala, kaunting oras lamang ito kaya sa harap ng peligro maaari nating gawin ang mga sumusunod:
Paggamian ito
Ang pagpapagaan ng peligro ay hindi hihigit sa pagbabawas nito (HINDI kanselahin ito) Ito ay lubos na isang mahalaga at kritikal na punto kapwa sa antas ng negosyo at personal, ang isang tao ay hindi nais na "na-hack", ngunit upang sabihin ang totoo ang pinakamahina na punto sa kadena ay hindi ang kagamitan, o ang programa, kahit na ang proseso , ito ay ang tao.
Lahat tayo ay may ugali na sisihin ang iba, maging sila ay mga tao o bagay, ngunit sa seguridad ng computer, ang responsibilidad ay at laging magiging ng tao, maaaring hindi ito direkta sa iyo, ngunit kung hindi mo sundin ang tamang landas, ikaw ay magiging bahagi ng problema. Mamaya bibigyan kita ng isang maliit na bilis ng kamay upang manatiling medyo mas ligtas 😉
Ilipat ito
Ito ay isang kilalang prinsipyo, kailangan nating isipin ito bilang isang bangko. Kapag kailangan mong alagaan ang iyong pera (ibig kong sabihin sa pisikal), ang pinakaligtas na bagay ay iwanan ito sa isang tao na may kakayahang protektahan ito nang mas mahusay kaysa sa iyo. Hindi mo kailangang magkaroon ng iyong sariling vault (kahit na mas mahusay ito) upang mapangalagaan ang mga bagay, kailangan mo lamang na magkaroon ng isang tao (pinagkakatiwalaan mo) na panatilihin ang isang bagay na mas mahusay kaysa sa iyo.
Tanggapin mo
Ngunit kapag ang una at pangalawa ay hindi nalalapat, na kung saan dumating ang tunay na mahalagang tanong. Gaano kahalaga sa akin ang mapagkukunang ito / data / etc? Kung ang sagot ay marami, dapat mong isipin ang tungkol sa unang dalawa. Ngunit kung ang sagot ay a hindi kaya magkanoSiguro tatanggapin mo lang ang peligro.
Kailangan mong harapin ito, hindi lahat ay nalulutas, at ang ilang mga bagay na nalulutas ay nagkakahalaga ng napakaraming mapagkukunan na praktikal na imposibleng mag-apply ng isang tunay na solusyon nang hindi kinakailangang baguhin at mamuhunan ng maraming oras at pera. Ngunit kung maaari mong pag-aralan kung ano ang sinusubukan mong protektahan, at hindi nito mahahanap ang lugar nito sa una o pangalawang hakbang, pagkatapos ay gawin lamang ito sa pangatlong hakbang sa pinakamahusay na paraan, huwag bigyan ito ng higit na halaga kaysa sa mayroon ito, at huwag ihalo ito sa mga bagay na talagang may halaga sila.
Upang panatilihing napapanahon
Ito ay isang katotohanan na nakatakas sa daan-daang mga tao at mga negosyo. Ang Cybersecurity ay hindi tungkol sa pagsunod sa iyong pag-audit nang 3 beses sa isang taon at inaasahan na walang mangyayari sa iba pang 350 araw. At totoo ito para sa maraming mga tagapangasiwa ng system. Sa wakas ay nakumpirma ko ang aking sarili bilang LFCS (Iiwan ko ito sa iyo upang hanapin kung saan ko ito nagawa 🙂) at ito ay isang kritikal na punto sa kurso. Ang pagpapanatiling napapanahon ng iyong kagamitan at mga programa, napakaimportante, upang maiwasan ang karamihan sa mga panganib. Sigurado marami dito ang magsasabi sa akin, ngunit ang program na ginagamit namin ay hindi gagana sa susunod na bersyon o isang bagay na katulad, sapagkat ang totoo ang iyong programa ay isang time bomb kung hindi ito gagana sa pinakabagong bersyon. At dadalhin tayo nito sa nakaraang seksyon, Maaari mo bang mapagaan ito?, Maaari mo ba itong ilipat?, Maaari mo ba itong tanggapin? ...
Ang sasabihin sa katotohanan, upang maiisip lamang, sa istatistika 75% ng mga pag-atake sa seguridad ng computer ay nagmula sa loob. Ito ay maaaring dahil mayroon kang mga hindi mapagpasyahan o nakakahamak na mga gumagamit sa kumpanya. O na ang kanilang mga proseso sa seguridad ay hindi ginawang mahirap para sa a Hacker pumasok sa iyong mga lugar o network. At halos higit sa 90% ng mga pag-atake ay sanhi ng hindi napapanahong software, hindi dahil sa mga kahinaan ng araw zero.
Mag-isip tulad ng isang machine, hindi tulad ng isang tao
Ito ay magiging isang maliit na payo na iniiwan kita mula dito sa:
Mag-isip tulad ng machine
Para sa mga hindi nakakaunawa, ngayon ay nagbibigay ako sa iyo ng isang halimbawa.
Pakilala ko sayo John. Kabilang sa mga mahilig sa seguridad ito ay isa sa pinakamahusay na mga panimulang punto kapag nagsimula ka sa mundo ng pag-hack ng eticla. John kamangha-mangha siyang nakikisama sa kaibigan namin langutngot. At karaniwang kumukuha siya ng isang listahan na naabot sa kanya at nagsimulang subukan ang mga kumbinasyon hanggang sa makahanap siya ng isang susi na malulutas ang password na kanyang hinahanap.
Langutngot ay isang generator ng mga kumbinasyon. nangangahulugan ito na maaari mong sabihin sa langutngot na nais mo ang isang password na may haba na 6 na character, na naglalaman ng mga titik ng maliit at maliit na titik at langutngot ay magsisimulang isa-isahin ... isang bagay tulad ng:
aaaaaa,aaaaab,aaaaac,aaaaad,....
At nagtataka sila kung gaano katagal bago mapunta sa buong listahan para sigurado ... hindi ito tumatagal ng higit sa ilan minuto. Para sa mga naiwan na bukas ang kanilang bibig, hayaan mong ipaliwanag ko. Tulad ng tinalakay namin kanina, ang pinakamahina na link sa kadena ay ang tao, at ang kanyang paraan ng pag-iisip. Para sa isang computer hindi mahirap subukan ang mga kumbinasyon, ito ay lubos na paulit-ulit, at sa paglipas ng mga taon ang mga nagpoproseso ay naging napakalakas na hindi tumatagal ng higit sa isang segundo upang gumawa ng isang libong mga pagtatangka, o higit pa.
Ngunit ngayon ang magandang bagay, ang naunang halimbawa ay ang pag-iisip ng tao, ngayon pupunta kami para dito pag-iisip ng makina:
Kung sasabihin natin ang langutngot upang magsimulang makabuo ng isang password na may lamang 8 mga digit, sa ilalim ng parehong nakaraang mga kinakailangan, lumipas kami mula minuto hanggang oras. At hulaan kung ano ang mangyayari kung sasabihin namin sa iyo na gumamit ng higit sa 10, naging sila araw. Para sa higit sa 12 nakapasok na kami buwanBilang karagdagan sa ang katunayan na ang listahan ay magiging ng mga sukat na hindi maiimbak sa isang normal na computer. Kung umabot kami sa 20 pinag-uusapan natin ang tungkol sa mga bagay na hindi mai-decipher ng isang computer sa daan-daang taon (na may mga kasalukuyang prosesor syempre). Mayroon itong paliwanag sa matematika, ngunit para sa mga kadahilanan ng puwang ay hindi ko ito ipapaliwanag dito, ngunit para sa pinaka-mausisa marami itong kinalaman sa permutasyon, Ang kombinasyon at mga kumbinasyon. Upang maging mas eksaktong, sa katotohanan na para sa bawat titik na idinagdag namin sa haba mayroon kaming halos 50 mga posibilidad, kaya magkakaroon kami ng tulad:
20^50 posibleng mga kombinasyon para sa aming huling password. Ipasok ang numerong iyon sa iyong calculator upang makita kung gaano karaming mga posibilidad na may isang susi haba ng 20 mga simbolo.
Paano ako mag-iisip na tulad ng isang makina?
Hindi madali, higit sa isang tao ang magsasabi sa akin na mag-isip ng isang password na 20 magkakasunod na mga titik, lalo na sa lumang konsepto na ang mga password ay salita susi Ngunit tingnan natin ang isang halimbawa:
dXfwHd
Ito ay mahirap tandaan ng isang tao, ngunit lubos na madali para sa isang makina.
caballoconpatasdehormiga
Sa kabilang banda ay napakadali para sa isang tao na matandaan (kahit nakakatawa) ngunit impiyerno para sa langutngot. At ngayon higit sa isa ang magsasabi sa akin, ngunit hindi maipapayo na baguhin din ang mga key sa isang hilera? Oo, inirerekumenda ito, kaya maaari na nating pumatay ng dalawang ibon gamit ang isang bato. Ipagpalagay ngayong buwan na ako ay nagbabasa Don Quixote de la Mancha, dami ng I. Sa aking password maglalagay ako ng tulad:
ElQuijoteDeLaMancha1
20 mga simbolo, isang bagay na medyo mahirap tuklasin nang hindi alam ako, at ang pinakamagandang bagay ay kapag natapos ko ang libro (sa pag-aakalang patuloy silang nagbabasa 🙂) malalaman nila na dapat nilang baguhin ang kanilang password, kahit na papalitan sa:
ElQuijoteDeLaMancha2
Ito ang pag-usad 🙂 at tiyak na makakatulong ito sa iyo na mapanatiling ligtas ang iyong mga password at sabay na ipaalala sa iyo na tapusin ang iyong libro.
Sapat na ang isinulat ko, at kahit na nais kong mapag-usapan ang higit pang mga isyu sa seguridad, iiwan namin ito sa ibang oras 🙂 Mga pagbati
Napakainteres !!
Inaasahan kong maaari kang mag-upload ng mga tutorial sa pagtitigas sa Linux, magiging maganda ito.
Pagbati!
Kumusta 🙂 mabuti, maaari mo ba akong bigyan ng kaunting oras, ngunit nagbabahagi din ako ng isang mapagkukunan na nakikita kong lubos na kawili-wili
https://wiki.gentoo.org/wiki/Security_Handbook
Ang isang ito ay hindi isinalin sa Espanyol 🙁 ngunit kung ang isang tao ay maglakas-loob na magbigay ng isang kamay sa na at matulungan ito ay mahusay 🙂
Regards
Napaka-kawili-wili, ngunit sa aking pananaw na ang pag-atake ng mabangis na puwersa ay nagiging lipas na, at ang pagbuo ng mga password tulad ng "ElQuijoteDeLaMancha1" ay tila hindi isang mabubuhay na solusyon alinman, ito ay dahil sa isang maliit na social engineering posible na makahanap ng mga Password ng ang ganitong uri, malawak lamang sa mababaw na pagsisiyasat sa tao at siya mismo ang magbubunyag sa amin, alinman sa kanyang mga social network, sa kanyang mga kakilala o sa trabaho, ay bahagi ng likas na katangian ng tao.
Sa aking pananaw, ang pinakamahusay na solusyon ay ang paggamit ng isang tagapamahala ng password, sapagkat mas ligtas na gumamit ng isang 100-digit na password kaysa sa isang 20-isa, bilang karagdagan, may kalamangan na dahil ang master password ay kilala lamang, hindi posible na ibunyag kahit sa kanluran ang mga password na nabuo dahil hindi sila kilala.
Ito ang aking password manager, ito ay bukas na mapagkukunan at sa pamamagitan ng pagtulad sa isang keyboard, immune ito sa mga keyloger.
https://www.themooltipass.com
Sa gayon, hindi ako nagpapanggap na magbigay ng isang ligtas na solusyon (alalahanin na walang 100% impenetrable) sa loob lamang ng 1500 na mga salita 🙂 (Hindi ko nais na magsulat nang higit pa doon maliban kung ito ay ganap na kinakailangan) ngunit tulad ng sinabi mo na 100 ay mas mahusay kaysa sa 20, mabuti ang 20 ay tiyak na mas mahusay kaysa sa 8 🙂 at mabuti, tulad ng sinabi namin sa simula, ang pinakamahina na link ay ang lalaki, kaya't doon laging napupunta ang pansin. Alam ko ang ilang mga "social engineer" na hindi masyadong alam tungkol sa teknolohiya, ngunit sapat lamang upang magawa ang kaligtasan sa pagkonsulta. Mas mahirap ay ang makahanap ng totoong mga hacker na nakakahanap ng mga bahid sa mga programa (ang kilalang zero-day).
Kung pinag-uusapan natin ang tungkol sa mga "mas mahusay" na solusyon ay naglalagay na kami ng isang paksa para sa mga taong may kadalubhasaan sa larangan, at nagbabahagi ako sa anumang uri ng gumagamit 🙂 ngunit kung gusto mo maaari naming pag-usapan ang tungkol sa "mas mahusay" na mga solusyon sa ibang oras. At salamat sa link, sigurado ang mga kalamangan at kahinaan nito, ngunit hindi rin ito magagawa sa isang tagapamahala ng password, magulat ka sa kadalian at pagnanasa na inaatake nila ang mga ito, pagkatapos ng lahat ... isang solong tagumpay ang nagpapahiwatig ng maraming mga susi isiniwalat.
Regards
Kagiliw-giliw na artikulo, ChrisADR. Bilang isang administrator ng system ng Linux, ito ay isang magandang paalala na huwag mahuli sa hindi pagbibigay nito ng pinakamahalagang kahalagahan na hinihiling ngayon upang panatilihing napapanahon ang mga password at sa seguridad na kinakailangan ng mga oras ngayon. Kahit na ito ay isang artikulong napupunta sa malayo sa mga ordinaryong tao na iniisip na ang isang password ay hindi sanhi ng 90% ng sakit ng ulo. Nais kong makita ang maraming mga artikulo sa seguridad ng computer at kung paano mapanatili ang pinakamataas na posibleng seguridad sa loob ng aming minamahal na operating system. Naniniwala ako na palaging may isang bagay na higit na matutunan nang lampas sa kaalaman na nakukuha ng isa sa pamamagitan ng mga kurso at pagsasanay.
Higit pa rito, palagi kong kinunsulta ang blog na ito upang malaman ang tungkol sa isang bagong programa para makuha ito ng Gnu Linux.
Pagbati!
Maaari mo bang ipaliwanag nang kaunti ang detalye, na may mga numero at dami, bakit "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" ay wala; p) ay mas ligtas kaysa sa "• M ¢ 0nt®a $ 3Ñ @ •"?
Wala akong alam tungkol sa combinatorial math, ngunit hindi pa rin ako kumbinsido sa madalas na paulit-ulit na ideya na ang isang mahabang password na may isang simpleng hanay ng character ay mas mahusay kaysa sa isang mas maikli na may mas malaking hanay ng character. Ang bilang ba ng mga posibleng kumbinasyon ay talagang mas malaki lamang gamit ang mga Latin na titik at numero kaysa sa paggamit ng lahat ng UTF-8?
Pagbati.
Kumusta Dani, pumunta tayo sa mga bahagi upang linawin ito ... mayroon ka bang isa sa mga maleta na may mga kumbinasyon ng bilang bilang isang kandado? Tingnan natin ang sumusunod na kaso ... sa pag-aakala na umabot sila sa siyam mayroon kaming katulad:
| 10 | | 10 | | 10 |
Ang bawat isa ay may mga posibilidad na diaz, kaya kung nais mong malaman ang bilang ng mga posibleng kumbinasyon, kailangan mo lamang gawin ang isang simpleng pagpaparami, 10³ upang maging eksakto o 1000.
Naglalaman ang talahanayan ng ASCII ng 255 mahahalagang character, kung saan karaniwang ginagamit namin ang mga numero, maliit na titik, uppercase at ilang mga bantas. Ipagpalagay na ngayon magkakaroon tayo ng isang 6 na digit na password na may humigit-kumulang na 70 mga pagpipilian (malalaki, maliit na titik, numero at ilang mga simbolo)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Tulad ng naiisip mo, iyon ay isang malaking malaking numero, 117 upang maging tumpak. At iyon ang lahat ng mga posibleng kumbinasyon na umiiral para sa isang 649 digit na pangunahing puwang. Ngayon ay babawasan natin ang spectrum ng mga posibilidad na higit pa, ipagpatuloy natin na gagamitin lamang natin ang 000 (mas mababang mga letra, numero at paminsan-minsang simbolo marahil) ngunit sa isang mas mahabang password, sabihin nating baka 000 digit (Na kung saan ang halimbawa ay tulad ng 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Ang bilang ng mga posibilidad ay naging… 1 159 445 329 576 199 417 209 625 244 140 625… Hindi ko alam kung paano binibilang ang numerong iyon, ngunit para sa akin medyo mas mahaba ito :), ngunit babawasan pa namin ito , gagamitin lamang namin ang mga numero 0 hanggang 9, at tingnan natin kung ano ang mangyayari sa dami
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Sa simpleng panuntunang ito maaari kang makabuo ng isang nakakagulat na 100 na mga kumbinasyon :). Ito ay sapagkat ang bawat digit na idinagdag sa equation ay nagdaragdag ng bilang ng mga posibilidad na exponentially, habang ang pagdaragdag ng mga posibilidad sa loob ng isang solong kahon ay nagdaragdag nito nang linear.
Ngunit ngayon pupunta tayo sa kung ano ang "pinakamahusay" para sa ating mga tao.
Gaano katagal ka upang isulat ang "• M¡ ¢ 0nt®a $ 3Ñ @ •" sa mga praktikal na termino? Ipagpalagay natin para sa isang segundo na kailangan mong isulat ito araw-araw, dahil hindi mo gusto ang pag-save nito sa computer. Ito ay nagiging nakakapagod na trabaho kung kailangan mong gumawa ng mga contraction sa kamay sa hindi pangkaraniwang mga paraan. Mas mabilis (sa aking pananaw) ay ang pagsusulat ng mga salita na maaari mong isulat nang natural, dahil ang isa pang mahalagang kadahilanan ay regular na baguhin ang mga susi.
At ang panghuli ngunit hindi pa huli ... Depende ito sa kalooban ng taong bumuo ng iyong system, aplikasyon, programa, na mahinahon na magamit ang lahat ng LAHAT ng UTF-8 na mga character, sa ilang mga kaso maaari pa rin itong huwag paganahin ang paggamit ng ang Ito ay binibilang dahil ang application ay "nagko-convert" ng ilan sa iyong password at ginagawa itong hindi magamit ... Kaya marahil mas mahusay na i-play ito ng ligtas sa mga character na palaging alam mong magagamit.
Inaasahan kong makakatulong ito sa mga pagdududa 🙂 Pagbati