Şimdiye kadar en sevdiğim şarkılardan birine dokunduğumu sanmıyorum, bilgisayar güvenliğive inanıyorum ki bugün size anlatacağım konu bu olacak 🙂 Umarım bu kısa makaleden sonra, risklerinizi daha iyi kontrol etmenize neyin yardımcı olabileceği konusunda daha iyi bir fikre sahip olabilirsiniz. birçoğunu aynı anda hafifletmek.
Her yerde riskler
Kaçınılmaz, sadece bu yıl içinde 15000'den fazla güvenlik açığı keşfedildi ve bir şekilde atandı. kamu. Nasıl bilebilirim? İşimin bir parçası, savunmasız yazılım çalıştırıp çalıştırmadığımızı görmek için Gentoo'da kullandığımız programlardaki CVE'leri kontrol etmek olduğundan, bu şekilde yazılımı güncelleyebilir ve dağıtımdaki herkesin güvenli ekipmana sahip olmasını sağlayabiliriz.
CVE
Ortak Güvenlik Açıkları ve Etkilenmeler İngilizce kısaltması için, mevcut her güvenlik açığına atanan benzersiz tanımlayıcılardır. Pek çok Gentoo Geliştiricisinin insanlığın iyiliğini desteklediğini, bulgularını araştırıp yayınlayarak düzeltilip düzeltilebileceklerini büyük bir sevinçle söyleyebilirim. Okumaktan zevk aldığım son vakalardan biri, Seçenekler kanama; dünya çapında Apache sunucularını etkileyen bir güvenlik açığı. Bununla gurur duyduğumu neden söylüyorum? Dünyayı iyi yaptıkları için, güvenlik açıklarını gizli tutmak yalnızca birkaç kişiye fayda sağlar ve bunun sonuçları amaca bağlı olarak felaket olabilir.
CNA
CNA'lar, CVE'leri talep etmekten ve / veya atamaktan sorumlu kuruluşlardır; örneğin, güvenlik açıklarını gruplamaktan, çözmek ve onlara atamaktan sorumlu Microsoft CNA'mız var. CVE zaman içinde daha sonra kayıt için.
Ölçü türleri
Hiçbir ekipmanın% 100 güvenli olmadığını veya olmayacağını açıklığa kavuşturarak başlayalım ve oldukça yaygın bir deyişin söylediği gibi:
% 100 güvenli tek bilgisayar kasada kilitli, internet bağlantısı kesilmiş ve kapatılmış bilgisayardır.
Doğru olduğu için, riskler her zaman orada olacak, bilinecek veya bilinmeyecektir, bu yalnızca bir an meselesidir, bu nedenle risk karşısında aşağıdakileri yapabiliriz:
Hafiflet
Bir riski azaltmak, onu azaltmaktan başka bir şey değildir (YOK HAYIR iptal et). Bu hem iş hem de kişisel düzeyde oldukça önemli ve hayati bir noktadır, kişi "hacklenmek" istemez, ancak doğruyu söylemek gerekirse, zincirdeki en zayıf nokta ekipman, ne program, hatta süreç değildir. , bu insan.
Hepimizin başkalarını suçlama alışkanlığımız var, ister insanlar ister başka şeyler, ancak bilgisayar güvenliğinde sorumluluk her zaman insanın sorumluluğundadır ve olacaktır, doğrudan siz olmayabilirsiniz, ancak doğru yolu izlemezseniz, olacaksınız. sorunun bir parçası. Daha sonra size biraz daha güvende olmanız için küçük bir numara vereceğim 😉
Transfer et
Bu oldukça iyi bilinen bir ilkedir, bunu bir banka. Paranıza dikkat etmeniz gerektiğinde (fiziksel olarak) en güvenli şey, paranızı sizden çok daha iyi koruyabilen birisine bırakmaktır. İşleri halledebilmek için (çok daha iyi olsa da) kendi kasanıza sahip olmanıza gerek yok, sadece bir şeyi sizden daha iyi tutacak birine (güvendiğiniz) ihtiyacınız var.
Kabul et
Ama birinci ve ikinci geçerli olmadığında, asıl önemli soru burada devreye giriyor. Bu kaynak / veri / vb. Benim için ne kadar değerli? Cevap çoksa, ilk ikisini düşünmelisiniz. Ama cevap bir ise çok değilBelki sadece riski kabul etmelisin.
Bununla yüzleşmelisiniz, her şey hafifletilebilir değildir ve bazı hafifletilebilir şeyler o kadar çok kaynağa mal olur ki, çok fazla zaman ve para harcamak ve değiştirmek zorunda kalmadan gerçek bir çözümü uygulamak neredeyse imkansızdır. Ama korumaya çalıştığınız şeyi analiz edebilirseniz ve birinci veya ikinci adımda yerini bulamazsa, o zaman onu en iyi şekilde üçüncü adımda alın, sahip olduğundan daha fazla değer vermeyin ve gerçekten değeri olan şeylerle karıştırmayın.
Güncel tutmak için
Bu, yüzlerce insan ve işletmeden kaçan bir gerçektir. Bilgisayar güvenliği, yılda 3 kez denetiminize uymak ve kalan 350 günde hiçbir şey olmasını beklememekle ilgili değildir. Ve bu birçok sistem yöneticisi için geçerlidir. Sonunda kendimi onaylayabildim LFCS (Nerede yaptığımı bulmayı size bırakıyorum 🙂) ve bu kurs boyunca kritik bir noktadır. Ekipmanınızı ve programlarını güncel tutmak çok önemlidir, çok önemli, çoğu riski önlemek için. Tabii ki buradaki birçok kişi bana söyleyecek, ancak kullandığımız program sonraki sürümde çalışmıyor veya benzer bir şey, çünkü gerçek şu ki, programınız en son sürümde çalışmıyorsa saatli bomba gibidir. Bu da bizi önceki bölüme getiriyor, Hafifletebilir misin?, Aktarabilir misin? Kabul edebilir misin? ...
Gerçeği söylemek gerekirse, bilgisayar güvenliği saldırılarının istatistiksel olarak% 75'i içeriden kaynaklanıyor. Bunun nedeni, şirkette şüphelenmeyen veya kötü niyetli kullanıcıların olması olabilir. Veya güvenlik süreçlerinin bir Hacker tesislerinize veya ağlarınıza sızmak. Ve saldırıların neredeyse% 90'ından fazlası eski yazılımlardan kaynaklanıyor, yok hayır güvenlik açıkları nedeniyle sıfırıncı gün.
Makine gibi düşün, insan gibi değil
Bu, sizi buradan sonra bırakmam için küçük bir tavsiye olacak:
Makine gibi düşünün
Anlamayanlar için şimdi size bir örnek veriyorum.
Seni tanıştırırım John. Güvenlik severler arasında, dünyasına başladığınızda en iyi başlangıç noktalarından biridir. etik hackleme. John arkadaşımızla harika anlaşıyor çıtırdamak. Ve temelde kendisine verilen bir listeyi alır ve aradığı şifreyi çözen bir anahtar bulana kadar kombinasyonları test etmeye başlar.
Çıtırdamak bir kombinasyon oluşturucusudur. bu, crunch'a 6 karakter uzunluğunda, büyük ve küçük harfler içeren bir şifre istediğinizi söyleyebileceğiniz anlamına gelir ve crunch tek tek test etmeye başlayacaktır ...
aaaaaa,aaaaab,aaaaac,aaaaad,....
Ve kesin olarak tüm listeyi gözden geçirmenin ne kadar sürdüğünü merak ediyorlar ... birkaç taneden fazla sürmez dakika. Ağzı açık bırakılanlar için açıklamama izin verin. Daha önce tartıştığımız gibi, zincirdeki en zayıf halka insan ve onun düşünme şeklidir. Bir bilgisayar için kombinasyonları test etmek zor değil, oldukça tekrarlı ve yıllar geçtikçe işlemciler o kadar güçlü hale geldi ki, binlerce girişim, hatta daha fazlasını yapmak bir saniyeden fazla sürmez.
Ama şimdi iyi olan şey, önceki örnek insan düşüncesi şimdi onun için gidiyoruz makine düşüncesi:
Crunch'a yalnızca bir parola oluşturmaya başlamasını söylersek 8 rakamlar, aynı önceki gereksinimler altında, dakikalardan saat. Ve tahmin edin, size 10'dan fazla kullanmanızı söylersek ne olur? günler. 12'den fazlası için zaten içindeyiz ayListenin normal bir bilgisayarda saklanamayacak oranlarda olacağı gerçeğine ek olarak. 20'ye ulaşırsak, bir bilgisayarın yüzlerce yıl içinde deşifre edemeyeceği şeyler hakkında konuşuyoruz (elbette mevcut işlemcilerle). Bunun matematiksel açıklaması var, ancak uzay nedeniyle burada açıklamayacağım, ama en meraklısı için bunun, permütasyon, kombinatoryal ve kombinasyonlar. Daha kesin olmak gerekirse, uzunluğa eklediğimiz her harf için neredeyse 50 olasılıklar, bu yüzden şöyle bir şeye sahip olacağız:
20^50 son şifreniz için olası kombinasyonlar. 20 sembol uzunluğunda kaç olasılık olduğunu görmek için bu sayıyı hesap makinenize girin.
Nasıl bir makine gibi düşünebilirim?
Kolay değil, birden fazla kişi bana arka arkaya 20 harflik bir şifre düşünmemi söyleyecek, özellikle şifrelerin olduğu eski kavramla sözler anahtar. Ama bir örnek görelim:
dXfwHd
Bunu bir insan için hatırlamak zordur, ancak bir makine için son derece kolaydır.
caballoconpatasdehormiga
Öte yandan bu, bir insan için hatırlaması son derece kolaydır (hatta komik), ancak çıtırdamak. Ve şimdi birden fazla kişi bana söyleyecek, ancak anahtarları da arka arkaya değiştirmeniz tavsiye edilmez mi? Evet, tavsiye edilir, bu yüzden artık bir taşla iki kuş öldürebiliriz. Farz et bu ay okuyorum Don Kişot de la Mancha, cilt I. Parolama şöyle bir şey koyacağım:
ElQuijoteDeLaMancha1
20 sembol, beni bilmeden keşfedilmesi oldukça zor bir şey ve en iyi şey, kitabı bitirdiğimde (sürekli okuduklarını varsayarsak 🙂) şifrelerini değiştirmeleri gerektiğini bilecekler, hatta şu şekilde değişecekler:
ElQuijoteDeLaMancha2
Halihazırda ilerliyor 🙂 ve kesinlikle şifrelerinizi güvende tutmanıza yardımcı olacak ve aynı zamanda kitabınızı bitirmenizi hatırlatacak.
Yazdıklarım yeterli ve daha pek çok güvenlik sorunu hakkında konuşmayı çok sevsem de, onu başka bir zaman bırakacağız 🙂 Selamlar
Çok ilginç!!
Umarım Linux'ta güçlendirme üzerine eğitimler yükleyebilirsiniz, harika olur.
Selamlar!
Merhaba 🙂 peki, bana biraz zaman verebilir misin, ama aynı zamanda son derece ilginç bulduğum bir kaynağı da paylaşıyorum 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Bu, İspanyolcaya çevrilmedi 🙁 ama birisi buna yardım etmesi ve yardım etmesi için teşvik edilirse harika olur 🙂
selamlar
Çok ilginç, ama benim bakış açıma göre kaba kuvvet saldırıları eskimeye başladı ve "ElQuijoteDeLaMancha1" gibi şifrelerin oluşturulması da geçerli bir çözüm gibi görünmüyor, çünkü biraz sosyal mühendislik ile şifreleri bulmak mümkün. bu tür, sadece kişiyi yüzeysel olarak araştırma meselesidir ve bunu bize sosyal ağlarında, tanıdıklarına ya da işyerinde ortaya çıkarması insan doğasının bir parçasıdır.
Benim açımdan, en iyi çözüm bir şifre yöneticisi kullanmaktır, çünkü 100 basamaklı bir şifre kullanmak 20 basamaklı bir şifre kullanmaktan daha güvenlidir, ayrıca, yalnızca ana şifreyi bilerek, bunun avantajı vardır. Üretilen şifrelerin bilinmediği için batıda bile açığa çıkarılması mümkün değildir.
Bu benim şifre yöneticim, açık kaynak kodlu ve bir klavyeyi taklit ederek keyloglara karşı bağışık.
https://www.themooltipass.com
Tamamen güvenli bir çözüm sunuyormuş gibi yapmıyorum (hiçbir şeyin% 100 aşılmaz olmadığını hatırlayarak) sadece 1500 kelimeyle 🙂 (kesinlikle gerekli olmadıkça bundan daha fazlasını yazmak istemiyorum) ama tam da sizin söylediğiniz gibi 100, 20'den daha iyidir, 20 kesinlikle 8'den daha iyidir ve başlangıçta da söylediğimiz gibi, en zayıf halka adamdır, bu yüzden odak her zaman burada olacaktır. Teknoloji hakkında çok fazla bilgisi olmayan, ancak yalnızca güvenlik danışmanlığı işi yapacak kadar çok "sosyal mühendis" tanıyorum. Programlarda (iyi bilinen sıfır gün) kusurlar bulan gerçek bilgisayar korsanlarını bulmak çok daha zor.
"Daha iyi" çözümler hakkında konuşursak, alanında uzman kişiler için zaten bir konuya giriyoruz ve her tür kullanıcıyla paylaşıyorum 🙂 ama isterseniz başka bir zaman "daha iyi" çözümlerden bahsedebiliriz. Ve bağlantı için teşekkürler, tabii ki artıları ve eksileri, ama bir şifre yöneticisi için de pek bir şey yapmaz, onlara saldırdıkları kolaylık ve arzu karşısında şaşırırsınız, sonuçta ... tek bir zafer birçok anahtarı gerektirir meydana çıkarmak.
selamlar
İlginç makale, ChrisADR. Bir Linux sistem yöneticisi olarak, bu, şifreleri güncel tutmak ve günümüzün gerektirdiği güvenliği sağlamak için bugün gereken azami önemi vermekten vazgeçmemek için iyi bir hatırlatıcıdır. Bu bile, baş ağrısının% 90'ının bir parolaya neden olmadığını düşünen sıradan insanlara çok yardımcı olacak bir makale. Sevgili işletim sistemimizde bilgisayar güvenliği ve mümkün olan en yüksek güvenliğin nasıl sağlanacağı hakkında daha fazla makale görmek istiyorum. Kurslar ve eğitimlerle elde edilen bilginin ötesinde öğrenecek daha çok şey olduğuna inanıyorum.
Bunun ötesinde, Gnu Linux için yeni bir program hakkında bilgi almak için her zaman bu bloga başvuruyorum.
Selamlar!
Sayılar ve miktarlarla biraz ayrıntılı olarak açıklayabilir misiniz, neden "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" yok; p) "• M¡ ¢ 0nt®a $ 3Ñ @ •" den daha güvenli?
Kombinasyon matematiği hakkında hiçbir şey bilmiyorum, ancak yine de, basit bir karakter setine sahip uzun bir şifrenin, çok daha büyük bir karakter setine sahip daha kısa bir şifreden daha iyi olduğu fikrine hala ikna olmuyorum. Olası kombinasyonların sayısı, tüm UTF-8'i kullanmaktan sadece Latin harfleri ve sayıları kullanmaktan gerçekten daha mı fazla?
Selamlar.
Merhaba Dani, açıklığa kavuşturmak için parçalara ayıralım… Hiç kilit olarak numara kombinasyonlarının olduğu valizlerden birini aldınız mı? Aşağıdaki durumu görelim ... dokuza ulaştıklarını varsayarak, şöyle bir şeye sahibiz:
| 10 | | 10 | | 10 |
Her birinin diaz olasılıkları vardır, bu nedenle olası kombinasyonların sayısını bilmek istiyorsanız, sadece basit bir çarpma yapmanız gerekir, tam olarak 10³ veya 1000.
ASCII tablosu, normalde sayıları, küçük harfleri, büyük harfleri ve bazı noktalama işaretlerini kullandığımız 255 temel karakter içerir. Şimdi yaklaşık 6 seçenekli (büyük harf, küçük harf, sayılar ve bazı semboller) 70 basamaklı bir şifreniz olacağını varsayalım.
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Tahmin edebileceğiniz gibi, bu oldukça büyük bir sayı, tam olarak 117. Ve bunlar, 649 basamaklı bir anahtar alanı için var olan tüm olası birleşimlerdir. Şimdi olasılıklar spektrumunu çok daha fazla azaltacağız, devam edelim ki sadece 000 (küçük harf, sayılar ve ara sıra sembol) kullanacağız, ancak çok daha uzun bir şifre ile, belki 000 basamaklı diyelim. 6 gibi).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Olasılıkların sayısı ... 1 159 445 329 576 199 417 209 625 244 140 ... Bu sayının nasıl hesaplandığını bilmiyorum ama benim için biraz daha uzun :), ama daha da azaltacağız , sadece 625 ile 0 arasındaki sayıları kullanacağız ve miktara ne olacağını görelim
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Bu basit kuralla şaşırtıcı bir 100 kombinasyon oluşturabilirsiniz :). Bunun nedeni, denkleme eklenen her rakamın olasılık sayısını üssel olarak artırması, tek bir kutuya olasılıkların eklenmesi ise doğrusal olarak artmasıdır.
Ama şimdi biz insanlar için "en iyi" olana gidiyoruz.
Pratik terimlerle “• M¡ ¢ 0nt®a $ 3Ñ @ •” yazmanız ne kadar sürer? Bir saniyeliğine varsayalım ki her gün bir yere yazmanız gerekiyor, çünkü onu bilgisayara kaydetmekten hoşlanmıyorsunuz. Alışılmadık şekillerde el kasılmaları yapmanız gerekiyorsa, bu sıkıcı bir iş haline gelir. Çok daha hızlı (benim bakış açıma göre), doğal olarak yazabileceğiniz kelimeleri yazmaktır, çünkü önemli bir faktör de anahtarları düzenli olarak değiştirmektir.
Ve son olarak, en az değil ... Sisteminizi, uygulamanızı, programınızı geliştiren kişinin ruh halinize, UTF-8'in TÜM karakterlerini sakin bir şekilde kullanabilmesine bağlıdır, hatta bazı durumlarda kullanımı devre dışı bırakabilir. Uygulama şifrenizin bir kısmını "dönüştürdüğü" ve kullanılamaz hale getirdiği için önemlidir ... Bu nedenle, her zaman mevcut olduğunu bildiğiniz karakterlerle güvenli bir şekilde oynamak daha iyidir.
Umarım bu şüphelere yardımcı olur 🙂 Selamlar