Поки що я не думаю, що я торкнувся однієї з улюблених пісень, комп'ютерна безпека, і я вірю, що це буде темою, про яку я сьогодні вам розповім 🙂 Я сподіваюся, що після цієї короткої статті ви зможете краще уявити, що може допомогти вам краще контролювати свої ризики та як пом'якшити багато одночасно.
Ризики скрізь
Неминуче, лише за цей рік ми вже виявили та визначили певним чином понад 15000 XNUMX вразливостей громадськості. Звідки я знаю? Оскільки частиною моєї роботи є перевірка CVE в програмах, які ми використовуємо в Gentoo, щоб перевірити, чи запускаємо ми вразливе програмне забезпечення, таким чином ми можемо його оновити та забезпечити, щоб усі в дистрибутиві мали безпечне обладнання.
CVE
Загальні вразливості та ризики Акронім англійською мовою - це унікальні ідентифікатори, які присвоюються кожній існуючій вразливості. Я можу з великою радістю сказати, що кілька розробників Gentoo підтримують добро людства, досліджуючи та публікуючи свої висновки, щоб їх можна було виправити та виправити. Одним з останніх випадків, який мені було приємно прочитати, був той Опції кровотеча; вразливість, яка вплинула на сервери Apache у всьому світі. Чому я кажу, що пишаюся цим? Оскільки вони роблять все добре для світу, зберігання вразливостей у таємниці приносить користь лише деяким, і наслідки цього можуть бути катастрофічними залежно від мети.
CNA
CNA - це організації, відповідальні за запит та / або присвоєння CVE, наприклад, у нас є CNA від Microsoft, відповідальна за групування їх вразливостей, їх вирішення та призначення CVE для подальшої реєстрації з часом.
Види заходів
Почнемо з того, що пояснимо, що жодне обладнання не є або не буде на 100% безпечним, і як досить поширений вислів говорили:
Єдиний 100% захищений комп'ютер - це той, який заблокований у сховищі, відключений від Інтернету та вимкнений.
Оскільки це правда, ризики завжди існуватимуть, відомі чи невідомі, це лише питання часу, тому перед ризиком ми можемо зробити наступне:
Пом'якшити це
Зменшення ризику - це не що інше, як зменшення його (НЕМАЄ скасувати його). Це досить важливий і вирішальний момент як на діловому, так і на особистому рівні, не хочеться, щоб його "зламали", але по правді кажучи, найслабшим місцем у ланцюзі є не обладнання, не програма, навіть процес , Це є людського.
Ми всі маємо звичку звинувачувати інших, будь то люди чи речі, але в комп’ютерній безпеці відповідальність є і буде завжди людиною, можливо, це не ти безпосередньо, але якщо ти не підеш правильним шляхом, ти будеш частина проблеми. Пізніше я дам вам невеличку хитрість, щоб залишатися трохи безпечнішим 😉
Перенесіть його
Це досить відомий принцип, ми повинні уявити його як банк. Коли вам потрібно подбати про свої гроші (я маю на увазі фізично), найбезпечніше - залишити їх у когось, хто має можливість захистити їх набагато краще за вас. Вам не потрібно мати власне сховище (хоча це було б набагато краще), щоб мати змогу доглядати речі, вам потрібно лише мати когось (ви довіряєте), щоб зберегти щось краще за вас.
Прийняти це
Але коли перше і друге не застосовуються, ну ось тут виникає справді важливе питання. Скільки мені коштує цей ресурс / дані / тощо? Якщо відповіді багато, то вам слід подумати про перші два. Але якщо відповідь a не стількиМожливо, вам просто доведеться прийняти ризик.
Ви повинні зіткнутися з цим, не все можна пом’якшити, і деякі пом’якшувані речі коштували б стільки ресурсів, що було б практично неможливо застосувати реальне рішення без необхідності змінюватись та вкладати багато часу та грошей. Але якщо ви можете проаналізувати те, що намагаєтесь захистити, і воно не знаходить свого місця на першому чи другому кроці, тоді просто візьміть його на третьому етапі найкращим чином, не надайте йому більшої цінності, ніж воно має, і не змішуйте це з речами, які насправді мають цінність.
Щоб бути в курсі
Це істина, яка уникає сотень людей та підприємств. Комп’ютерна безпека - це не те, щоб виконувати аудит 3 рази на рік і не очікувати, що нічого не відбудеться протягом інших 350 днів. І це справедливо для багатьох системних адміністраторів. Нарешті я зміг засвідчити себе LFCS (Я залишаю за вами, щоб дізнатись, де я це зробив 🙂), і це є критичним моментом під час курсу. Постійне оновлення обладнання та його програм є життєво важливим, вирішальне значення, щоб уникнути більшості ризиків. Звичайно, багато хто тут скажуть мені, але програма, яку ми використовуємо, не працює в наступній версії або щось подібне, адже правда полягає в тому, що ваша програма є бомбою уповільненого дії, якщо вона не працює в останній версії. І це підводить нас до попереднього розділу, Чи можете ви пом'якшити це?, Можете передати?, Можете прийняти? ...
Правду кажучи, лише маючи на увазі, статистично 75% атак на комп’ютерну безпеку відбуваються зсередини. Це може бути тому, що у вас є нічого не підозрюючі або зловмисні користувачі в компанії. Або що їхні процеси безпеки не ускладнюють хакер проникнути у ваше приміщення або мережі. І майже більше 90% атак спричинені застарілим програмним забезпеченням, немає через вразливості нульовий день.
Думай як машина, а не як людина
Це буде маленька порада, яку я залишаю вам тут:
Думайте як машини
Для тих, хто не розуміє, зараз наводжу приклад.
Я вас представляю Джон. Серед любителів безпеки це одна з найкращих вихідних точок, коли ти починаєш у світі злом етики. Джон він чудово уживається з нашим другом хрускіт. І в основному він захоплює список, який йому передають, і починає тестувати комбінації, поки не знайде ключ, який вирішує шуканий пароль.
Хрускіт є генератором комбінацій. це означає, що ви можете сказати crunch, що вам потрібен пароль довжиною 6 символів, який містить великі та малі літери, і crunch почне тестування по одному ... щось на зразок:
aaaaaa,aaaaab,aaaaac,aaaaad,....
І вони дивуються, скільки часу потрібно, щоб точно пройти весь список ... це не займає більше кількох хвилин. Для тих, хто залишився з відкритим ротом, дозвольте пояснити. Як ми вже обговорювали раніше, найслабшою ланкою ланцюга є людина та її спосіб мислення. Для комп’ютера не складно перевірити комбінації, він дуже повторюється, і з роками процесори стали настільки потужними, що не потрібно більше секунди, щоб зробити тисячу спроб, а то й більше.
Але зараз хороша річ, приклад вище з людське мислення, зараз ми йдемо на це машинне мислення:
Якщо ми скажемо crunch, щоб почати генерувати пароль просто 8 цифр, згідно з тими ж попередніми вимогами, ми перейшли від хвилин до годин. І вгадайте, що станеться, якщо ми скажемо вам використовувати більше 10, вони стають днів. Більше 12 ми вже в місяцівНа додаток до того, що список буде пропорційним, який не можна зберігати на звичайному комп'ютері. Якщо ми дійдемо до 20, ми говоримо про речі, які комп’ютер не зможе розшифрувати через сотні років (звичайно, з сучасними процесорами). Це має своє математичне пояснення, але з космічних причин я не буду пояснювати його тут, але для найцікавіших це має багато спільного з перестановка, комбінаторний і комбінації. Точніше, з тим фактом, що на кожну букву, яку ми додаємо до довжини, маємо майже 50 можливості, тож ми матимемо щось на зразок:
20^50 можливі комбінації для нашого останнього пароля. Введіть це число у свій калькулятор, щоб побачити, скільки можливостей із довжиною ключа 20 символів.
Як я можу мислити як машина?
Це непросто, більше однієї людини скажуть мені подумати про пароль із 20 літер поспіль, особливо зі старою концепцією, що паролі - це слова ключ. Але давайте подивимось приклад:
dXfwHd
Людині це важко запам’ятати, але надзвичайно легко для машини.
caballoconpatasdehormiga
З іншого боку, це надзвичайно легко запам’ятати людині (навіть смішно), але це пекло хрускіт. І зараз мені скаже не один, але чи не доцільно також міняти клавіші поспіль? Так, це рекомендується, тому тепер ми можемо вбити двох зайців одним каменем. Припустимо, цього місяця я читаю Дон Кіхот де ла Манча, том I У свій пароль я вкладу щось на зразок:
ElQuijoteDeLaMancha1
20 символів, щось досить важко знайти, не знаючи мене, і найкраще, що коли я закінчу книгу (при умові, що вони читають постійно 🙂), вони будуть знати, що вони повинні змінити свій пароль, навіть змінивши на:
ElQuijoteDeLaMancha2
Це прогрес 🙂, і це, безсумнівно, допоможе вам захистити свої паролі і одночасно нагадає вам закінчити книгу.
Досить того, що я написав, і хоча я хотів би поговорити про багато інших питань безпеки, ми залишимо це на інший час 🙂 Привітання
Дуже цікаво!!
Сподіваюся, ви можете завантажити підручники з загартовування на Linux, це було б чудово.
Привіт!
Привіт 🙂 ну, не могли б ви дати мені трохи часу, але я також ділюсь ресурсом, який мені здається надзвичайно цікавим 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Цей не перекладено іспанською мовою 🙁, але якщо хтось наважиться подати руку на це і допомогти, це було б чудово 🙂
привіт
Дуже цікаво, але з моєї точки зору атаки грубої сили застарівають, і генерування паролів, таких як "ElQuijoteDeLaMancha1", теж не здається життєздатним рішенням, це тому, що за невеликої соціальної інженерії можна знайти Паролі цей тип, лише обширний із поверхневим розслідуванням людини, і вона сама розкриє це нам у своїх соціальних мережах, своїм знайомим або на роботі, є частиною людської природи.
На мій погляд, найкращим рішенням є використання менеджера паролів, оскільки безпечніше використовувати 100-значний пароль, ніж 20-значний, крім того, є перевага, що оскільки головний пароль відомий лише, неможливо розкрити навіть на захід створені паролі, оскільки вони невідомі.
Це мій менеджер паролів, він з відкритим кодом, і, емулюючи клавіатуру, він не захищений від кейлогерів.
https://www.themooltipass.com
Ну, я не претендую на те, що даю абсолютно безпечне рішення (пам’ятаючи, що ніщо не є на 100% непроникним) лише за 1500 слів 🙂 (я не хочу писати більше цього, якщо це не є абсолютно необхідним), але так само, як ви говорите 100 краще, ніж 20, ну 20, безумовно, краще, ніж 8 🙂, і, як ми вже говорили на початку, найслабшою ланкою є людина, тому саме там завжди буде привертатися увага. Я знаю низку "соціальних інженерів", які не дуже багато знають про технології, але достатньо для того, щоб займатися консалтинговою роботою в галузі безпеки. Набагато складніше знайти справжніх хакерів, які знаходять вади програм (відомий нульовий день).
Якщо ми говоримо про "кращі" рішення, ми вже вводимо тему для людей, які мають досвід у цій галузі, і я ділюсь із будь-яким типом користувачів 🙂, але якщо вам подобається, ми можемо поговорити про "кращі" рішення в інший час. І спасибі за посилання, впевнені в його плюсах і мінусах, але це не мало б багато чого зробило і для менеджера паролів, зрештою, вас здивує легкість і бажання, з яким вони їх атакують ... одна перемога передбачає багато ключів розкрито.
привіт
Цікава стаття, ChrisADR. Як адміністратор системи Linux, це гарне нагадування про те, щоб не захоплюватися тим, щоб не надавати йому найвищого значення, необхідного сьогодні для постійного оновлення паролів та безпеки, необхідної на сьогоднішній час. Навіть це стаття, яка пройшла би довгий шлях до звичайних людей, які вважають, що пароль не є причиною 90% головного болю. Я хотів би побачити більше статей про комп’ютерну безпеку та про те, як підтримувати найвищий можливий рівень безпеки в нашій улюбленій операційній системі. Я вважаю, що завжди є чомусь, чому можна навчитися, крім знань, які отримуєш на курсах та тренінгах.
Окрім цього, я завжди проглядаю цей блог, щоб дізнатись про нову програму для Gnu Linux, яка допоможе мені це зробити.
Привіт!
Не могли б ви пояснити трохи детально, з цифрами та величинами, чому "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" не існує; p) безпечніше, ніж "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Я нічого не знаю про комбінаторну математику, але мене все одно не переконує часто повторювана ідея, що довгий пароль із простим набором символів кращий за коротший із набагато більшим набором символів. Чи справді кількість можливих комбінацій більша, якщо використовувати лише латинські літери та цифри, ніж використовувати всі UTF-8?
Привіт.
Привіт Дані, давайте розберемося по частинах, щоб це було зрозуміло ... чи мав ти коли-небудь один із тих валіз із комбінаціями цифр як замок? Давайте подивимось на наступний випадок ... якщо припустити, що вони досягли дев’яти, ми маємо щось на зразок:
| 10 | | 10 | | 10 |
Кожен з них має можливості діазу, тому, якщо ви хочете знати кількість можливих комбінацій, вам просто потрібно виконати просте множення, точніше 10³ або 1000.
Таблиця ASCII містить 255 основних символів, з яких ми зазвичай використовуємо цифри, малі, великі регістри та деякі розділові знаки. Припустимо, що тепер у нас буде 6-значний пароль із приблизно 70 параметрами (великі, малі, цифри та деякі символи)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Як ви можете собі уявити, це досить велика цифра, 117 649 000 000, якщо бути точним. І це всі можливі комбінації, які існують для 6-значного простору клавіш. Тепер ми збираємося значно зменшити спектр можливостей, продовжимо, що ми будемо використовувати лише 45 (малі літери, цифри та випадкові символи, можливо), але з набагато довшим паролем, скажімо, можливо, 20 цифр (Те, що на прикладі має як 21).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Кількість можливостей стає ... 1 159 445 329 576 199 417 209 625 244 140 625 ... Я не знаю, як це число рахується, але для мене це трохи довше :), але ми збираємось ще більше його зменшити , ми будемо використовувати лише цифри від 0 до 9, і давайте подивимося, що станеться з кількістю
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
За допомогою цього простого правила ви можете придумати приголомшливі 100 000 000 000 000 000 000 комбінацій :). Це пояснюється тим, що кожна цифра, додана до рівняння, збільшує кількість можливостей експоненціально, тоді як додавання можливостей в межах одного поля збільшує її лінійно.
Але тепер ми переходимо до того, що "найкраще" для нас, людей.
Скільки часу потрібно для написання “• M¡ ¢ 0nt®a $ 3Ñ @ •” у практичному плані? Припустимо на секунду, що вам доводиться щодня записувати це, бо вам не подобається зберігати їх на комп’ютері. Це стає нудною роботою, якщо вам доводиться робити скорочення рук незвичайними способами. Набагато швидше (з моєї точки зору) - це писати слова, які ви можете писати природним шляхом, оскільки іншим важливим фактором є регулярна зміна клавіш.
І останнє, але не менш важливе ... Це багато в чому залежить від настрою людини, яка розробила вашу систему, додаток, програму, маючи можливість спокійно використовувати ВСІ символи UTF-8, в деяких випадках це може навіть відключити використання з них це враховується, оскільки програма "перетворює" деякі ваші паролі та робить їх непридатними для використання ... Тож, можливо, краще відтворити це в безпеці з персонажами, про яких ви завжди знаєте, що вони доступні.
Сподіваюся, це допомагає при сумнівах 🙂 Привіт