Як захистити свій комп’ютер від атак

Дуже добре всім, перед тим, як перейти на загартовування вашої команди, я хочу сказати вам, що інсталятор, який я розробляю для Gentoo, вже перебуває у своїй попередній альфа-фазі 😀 це означає, що прототип досить надійний, щоб його можна було протестувати іншим користувачам, але в той же час ще довгий шлях, і відгуки з цих етапів (попередньо альфа, альфа, бета) допоможуть визначити важливі особливості процесу 🙂 Для зацікавлених…

https://github.com/ChrisADR/installer

. Я все ще маю англомовну версію, але, сподіваюся, для бета-версії вона вже має свій переклад іспанською мовою (я вчу це з перекладів виконання в python, тож є ще багато чого відкрити)

Зміцнення

Коли ми говоримо загартовування, ми маємо на увазі велику різноманітність дій або процедур, які перешкоджають доступу до комп’ютерної системи або мережі систем. Саме тому це величезна тема, сповнена нюансів та деталей. У цій статті я збираюся перерахувати деякі найважливіші або рекомендовані речі, які слід враховувати при захисті системи, я спробую перейти від найбільш критичного до найменш критичного, але не заглиблюючись у тему, оскільки кожна з них зауважує, що це буде предметом власної статті.

Фізичний доступ

Це, безсумнівно, перша і найважливіша проблема для команд, оскільки, якщо зловмисник має легкий фізичний доступ до команди, їх вже можна зарахувати до втраченої команди. Це стосується як великих центрів обробки даних, так і ноутбуків всередині компанії. Одним з основних заходів захисту для цієї проблеми є ключі на рівні BIOS, для всіх тих, кому це звучить по-новому, можна поставити ключ до фізичного доступу до BIOS, таким чином, якщо хтось хоче змінити параметрів входу та запуску комп'ютера з системи, що працює, це буде непростою роботою.

Зараз це щось базове, і це, безумовно, працює, якщо це дійсно потрібно, я був у кількох компаніях, де це не має значення, тому що вони вважають, що охоронця дверей більш ніж достатньо, щоб уникнути фізичного доступу . Але давайте дійдемо до трохи більш просунутого моменту.

ЛУКС

Припустимо на секунду, що "зловмисник" вже отримав фізичний доступ до комп'ютера, наступним кроком буде зашифрувати кожен існуючий жорсткий диск і розділ. LUKS (Налаштування уніфікованого ключа Linux) Це специфікація шифрування, серед іншого LUKS дозволяє розділу шифруватися ключем, таким чином, при запуску системи, якщо ключ невідомий, розділ неможливо змонтувати чи прочитати.

Параноя

Звичайно, є люди, яким потрібен "максимальний" рівень безпеки, і це призводить до захисту навіть найменшого аспекту системи, ну, цей аспект досягає свого піку в ядрі. Ядро Linux - це спосіб взаємодії вашого програмного забезпечення з апаратним забезпеченням. Якщо ви забороните своєму програмному забезпеченню "бачити" апаратне забезпечення, воно не зможе завдати шкоди обладнанню. Для прикладу ми всі знаємо, наскільки "небезпечним" є USB з вірусами, коли ми говоримо про Windows, тому що, безумовно, USB може містити код в Linux, який може або не може бути шкідливим для системи, якщо ми зробимо, що ядро ​​розпізнає лише тип з нас (прошивки), яку ми хочемо, будь-який інший тип USB просто буде проігнорований нашою командою, щось, звичайно, трохи екстремальне, але це може працювати залежно від обставин.

послуги

Коли ми говоримо про послуги, першим словом, яке спадає на думку, є «нагляд», і це щось досить важливе, оскільки одне з перших дій, які зловмисник робить, заходячи до системи, - це підтримка зв'язку. Виконання періодичного аналізу вхідних та особливо вихідних з'єднань є дуже важливим у системі.

Iptables

Зараз ми всі чули про iptables, це інструмент, який дозволяє генерувати правила введення та виходу даних на рівні ядра, це, безумовно, корисно, але це також і двосічний меч. Багато людей вважають, що, маючи "брандмауер", вони вільні від будь-якого типу входу або виходу із системи, але ніщо не є далі від істини, це може служити ефектом плацебо у багатьох випадках. Відомо, що брандмауери працюють на основі правил, і їх, безсумнівно, можна обійти або обдурити, щоб дозволити транспортування даних через порти та служби, для яких правила вважали б це «дозволеним», це просто питання творчості 🙂

Стабільність проти вивільнення

Зараз це досить спірний момент у багатьох місцях чи ситуаціях, але дозвольте пояснити свою точку зору. Як член команди безпеки, яка спостерігає за багатьма проблемами стабільної гілки нашого дистрибутиву, я знаю багато, майже всі вразливості, які існують на машинах Gentoo наших користувачів. Зараз такі дистрибутиви, як Debian, RedHat, SUSE, Ubuntu та багато інших, проходять те саме, і час їх реакції може змінюватися залежно від багатьох обставин.

Давайте перейдемо до наочного прикладу, напевно всі чули про Meltdown, Spectre та цілу серію новин, які облетіли ці дні в Інтернеті, ну, а сама "прокатна" гілка ядра вже виправлена, проблема полягає Додаючи ці виправлення до старих ядер, бекпорт, безумовно, є важкою і важкою роботою. Тепер після цього вони все ще повинні бути протестовані розробниками дистрибутива, і як тільки тестування буде завершено, воно буде доступне лише звичайним користувачам. Що я хочу отримати з цим? Оскільки модель, що котиться, вимагає, щоб ми знали більше про систему та способи її порятунку, якщо щось не вдається, але це так добре, оскільки підтримка абсолютної пасивності в системі має кілька негативних наслідків як для адміністратора, так і для користувачів.

Знайте своє програмне забезпечення

Це дуже цінне доповнення при управлінні, такі прості речі, як підписка на новини програмного забезпечення, яке ви використовуєте, можуть допомогти вам заздалегідь знати повідомлення про безпеку, таким чином ви можете створити план реакції і одночасно побачити, скільки Щоб вирішити проблеми, потрібен час для кожного розподілу, завжди краще бути активним у вирішенні цих питань, оскільки понад 70% атак на компанії здійснюється через застаріле програмне забезпечення.

Роздуми

Коли люди говорять про загартовування, часто вважають, що "захищена" команда є доказом проти усього, і немає нічого більш фальшивого. Як вказує буквальний переклад, загартовування передбачає ускладнення речей, а не неможливість ... але багато разів багато людей думають, що це пов’язано з темною магією та багатьма прийомами, такими як каструлі ... це додаткове, але якщо ви не можете зробити найосновніші речі, такі як підтримка програмного забезпечення чи оновлене мовою програмування ... немає необхідності створювати фантомні мережі та команди із контрзаходами ... Я кажу це, тому що я бачив кілька компаній, де вони просять версії PHP від ​​4 до 5 (очевидно припинені) ... речі, які сьогодні відомо, що вони мають сотні, якщо не тисячі недоліків безпеки, але якщо компанія не може йти в ногу з технологіями, марно, якщо вони виконують все інше.

Крім того, якщо ми всі використовуємо вільне або відкрите програмне забезпечення, час реакції на помилки безпеки, як правило, досить короткий, проблема виникає, коли ми маємо справу з фірмовим програмним забезпеченням, але я залишаю це для іншої статті, яку я все ж сподіваюся написати найближчим часом.

Щиро дякую, що потрапили сюди 🙂 привітання


12 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   галопеладо - сказав він

    Відмінно

    1.    ChrisADR - сказав він

      Щиро дякую 🙂 вітаю

  2.   Норман - сказав він

    Мені найбільше подобається простота вирішення цієї проблеми, безпека в ці часи. Дякую, я залишатимусь в Ubuntu до тих пір, поки він не буде гостро потребувати, оскільки я не займаю розділ, який я маю в Windows 8.1 момент.Привітання.

    1.    ChrisADR - сказав він

      Привіт, норма, безумовно, команди безпеки Debian та Ubuntu досить ефективні.
      Привіт, і правда, це просте питання ... безпека більше, ніж темне мистецтво - це справа мінімальних критеріїв 🙂

  3.   Альберто Кардона - сказав він

    Щиро дякую за ваш внесок!
    Дуже цікаво, особливо частина релізу Rolling.
    Я не брав це до уваги, тепер я повинен керувати сервером з Gentoo, щоб побачити відмінності, які я маю з Devuan.
    Привітання та ps, щоб поділитися цим записом у своїх соціальних мережах, щоб ця інформація охопила більше людей !!
    Спасибо!

    1.    ChrisADR - сказав він

      Ласкаво просимо, Альберто 🙂 Я був у боргу за те, що першим відповів на запит попереднього блогу 🙂 так що вітаю, а тепер продовжую писати цей список, що очікує на розгляд 🙂

  4.   jolt2bolt - сказав він

    Що ж, застосовувати загартовування за допомогою привидів, було б як би залишити ПК більш вразливим у випадку, наприклад, використання санбоксингу. Цікаво, що ваше обладнання буде безпечніше від примари, чим менше шарів безпеки ви застосовуєте ... смішно, правда?

    1.    ChrisADR - сказав він

      це нагадує мені приклад, який міг би представити цілу статтю ... використання -fsanitize = address у компіляторі може змусити нас думати, що скомпільоване програмне забезпечення буде більш "захищеним", але нічого не може бути далі від істини, я знаю розробник, який спробував замість того, щоб робити це з усією командою ... виявилося, що легше атакувати, ніж одного, не використовуючи ASAN ... те саме стосується різних аспектів, використовуючи неправильні шари, коли ви не знаєте, що вони роблять, це більше шкідливо, ніж не використовувати нічого, я думаю, це те, що ми всі повинні враховувати, намагаючись захистити систему ... що повертає нас до того, що це не темна магія, а лише здоровий глузд 🙂 спасибі за ваш внесок

  5.   Kra - сказав він

    На мою точку зору, найбільш серйозною вразливістю, прирівняною до фізичного доступу та людських помилок, все ще залишається апаратне забезпечення, залишаючи Meltdown та Spectre осторонь, оскільки давно було видно, що варіанти черв'яка LoveLetter писали код у BIOS обладнання , оскільки певні версії мікропрограми на твердотільному накопичувачі дозволяють віддалено виконувати код і найгірший з моєї точки зору Intel Management Engine, що є повною відхиленням конфіденційності та безпеки, оскільки це вже не має значення, чи має обладнання шифрування AES, затухання або будь-який інший тип зміцнення, тому що навіть якщо комп'ютер вимкнено, IME збирається вас закрутити.

    А також парадоксально, але Tinkpad X200 2008 року, що використовує LibreBoot, безпечніший за будь-який сучасний комп’ютер.

    Найгірше в цій ситуації полягає в тому, що вона не має рішення, тому що ні Intel, AMD, Nvidia, Gygabite або будь-який середньо відомий виробник обладнання не збирається випускати під GPL або будь-яку іншу безкоштовну ліцензію поточний апаратний дизайн, бо навіщо вкладати мільйони доларів щоб хтось інший скопіював справжню ідею.

    Прекрасний капіталізм.

    1.    ChrisADR - сказав він

      Цілком правдиво Кра, очевидно, що Ви досить добре володієте питаннями безпеки, оскільки насправді власне програмне та апаратне забезпечення є предметом обережності, але, на жаль, проти цього мало що можна зробити щодо «загартування», оскільки це те, що уникає майже всіх смертних, крім тих, хто знає програмування та електроніку.

      Вітаю та дякую за поділ 🙂

  6.   Анонімний - сказав він

    Дуже цікаво, зараз підручник для кожного розділу буде непоганим xD

    До речі, наскільки небезпечно, якщо я ставлю Raspberry Pi і відкриваю необхідні порти для використання owncloud або веб-сервера поза домом?
    Це те, що мені цілком цікаво, але я не знаю, чи буду я встигати переглянути журнали доступу, час від часу переглядати налаштування безпеки тощо, тощо ...

  7.   Julio - сказав він

    Чудовий внесок, дякую, що поділилися своїми знаннями.