Cho đến nay, tôi không nghĩ rằng mình đã chạm vào một trong những bài hát yêu thích của mình, bảo mật máy tínhvà tôi tin rằng đây sẽ là chủ đề mà tôi sẽ nói với bạn hôm nay 🙂 Tôi hy vọng rằng sau bài viết ngắn này, bạn có thể hình dung rõ hơn về những gì có thể giúp bạn kiểm soát rủi ro của mình tốt hơn và làm thế nào để giảm thiểu nhiều cùng một lúc.
Rủi ro ở khắp mọi nơi
Điều không thể tránh khỏi, chỉ trong năm nay, chúng tôi đã có hơn 15000 lỗ hổng bảo mật được phát hiện và chỉ định theo cách công khai. Làm sao tôi biết? Bởi vì một phần công việc của tôi là kiểm tra CVE trong các chương trình chúng tôi sử dụng trong Gentoo để xem liệu chúng tôi có chạy phần mềm dễ bị tấn công hay không, bằng cách này, chúng tôi có thể cập nhật phần mềm đó và đảm bảo rằng mọi người trong bản phân phối đều có thiết bị an toàn.
CVE
Các lỗ hổng và tiếp xúc thường gặp Đối với từ viết tắt của nó trong tiếng Anh, chúng là các mã nhận dạng duy nhất được gán cho mỗi lỗ hổng hiện có. Tôi có thể nói rất vui rằng một số Nhà phát triển Gentoo ủng hộ lợi ích của con người, nghiên cứu và xuất bản những phát hiện của họ để chúng có thể được sửa chữa và khắc phục. Một trong những trường hợp cuối cùng mà tôi thích thú khi đọc là Chảy máu quyền chọn; một lỗ hổng đã ảnh hưởng đến các máy chủ Apache trên toàn thế giới. Tại sao tôi nói rằng tôi tự hào về điều này? Bởi vì họ làm tốt thế giới, việc giữ bí mật về các lỗ hổng chỉ có lợi cho một số ít, và hậu quả của việc này có thể rất thảm khốc tùy thuộc vào mục tiêu.
CNA
CNA là các thực thể chịu trách nhiệm yêu cầu và / hoặc chỉ định CVE, ví dụ: chúng tôi có CNA của Microsoft, phụ trách nhóm các lỗ hổng bảo mật, giải quyết chúng và chỉ định chúng CVE để đăng ký sau theo thời gian.
Các loại biện pháp
Hãy bắt đầu bằng cách làm rõ rằng không có thiết bị nào là hoặc sẽ an toàn 100% và như một câu nói khá phổ biến được sử dụng để nói:
Máy tính duy nhất an toàn 100% là máy tính bị khóa trong kho tiền, ngắt kết nối Internet và tắt.
Bởi vì nó là sự thật, rủi ro sẽ luôn ở đó, biết trước hay chưa biết, chỉ là vấn đề thời gian nên đối mặt với rủi ro chúng ta có thể làm như sau:
Giảm nhẹ nó
Giảm thiểu rủi ro không gì khác hơn là giảm thiểu nó (KHÔNG hủy nó đi). Đây là một điểm khá quan trọng và cốt yếu cả trên phương diện doanh nghiệp và cá nhân, ai chẳng muốn bị “hack”, nhưng nói thật điểm yếu nhất của dây chuyền không phải là thiết bị, chương trình, thậm chí không phải quy trình. , nó là con người.
Tất cả chúng ta đều có thói quen đổ lỗi cho người khác, dù là người hay vật, nhưng trong bảo mật máy tính, trách nhiệm đã và sẽ luôn là của con người, có thể không trực tiếp là bạn, nhưng nếu bạn không đi theo con đường đúng đắn, bạn sẽ một phần của vấn đề. Sau này tôi sẽ cho bạn một mẹo nhỏ để giữ an toàn hơn một chút 😉
Chuyển nó
Đây là một nguyên tắc nổi tiếng, chúng ta phải hình dung nó như một ngân hàng. Khi bạn cần chăm sóc tiền của mình (ý tôi là về mặt vật chất), điều an toàn nhất là hãy để nó cho người có khả năng bảo vệ nó tốt hơn bạn nhiều. Bạn không cần phải có kho tiền của riêng mình (mặc dù sẽ tốt hơn nhiều) để có thể lo liệu mọi thứ, bạn chỉ cần có người (bạn tin tưởng) giữ một thứ tốt hơn bạn.
Chấp nhận nó
Nhưng khi câu hỏi đầu tiên và thứ hai không áp dụng, thì đó là lúc câu hỏi thực sự quan trọng xuất hiện. Tài nguyên / dữ liệu / vv này có giá trị bao nhiêu đối với tôi? Nếu câu trả lời là nhiều, thì bạn nên nghĩ đến hai câu đầu tiên. Nhưng nếu câu trả lời là không nhiềuCó lẽ bạn chỉ phải chấp nhận rủi ro.
Phải đối mặt với điều đó, không phải mọi thứ đều có thể giảm thiểu và một số điều có thể giảm nhẹ sẽ tiêu tốn rất nhiều nguồn lực đến mức thực tế sẽ không thể áp dụng một giải pháp thực sự mà không phải thay đổi và đầu tư nhiều thời gian và tiền bạc. Nhưng nếu bạn có thể phân tích những gì bạn đang cố gắng bảo vệ và nó không tìm thấy vị trí của nó ở bước đầu tiên hoặc bước thứ hai, thì hãy đơn giản thực hiện nó ở bước thứ ba theo cách tốt nhất, đừng cho nó nhiều giá trị hơn những gì nó có, và không trộn lẫn nó với những thứ mà chúng thực sự có giá trị.
Để luôn cập nhật
Đây là một sự thật khiến hàng trăm người dân và doanh nghiệp phải kinh ngạc. Bảo mật máy tính không phải là tuân thủ kiểm tra của bạn 3 lần một năm và không mong đợi điều gì xảy ra trong 350 ngày còn lại. Và điều này đúng với nhiều quản trị viên hệ thống. Cuối cùng tôi đã có thể chứng nhận mình là LFCS (Tôi để nó cho bạn tìm nơi tôi đã làm điều đó 🙂) và đây là một điểm quan trọng trong suốt khóa học. Giữ cho thiết bị của bạn và các chương trình của nó được cập nhật là rất quan trọng, quan trọng, để tránh hầu hết rủi ro. Chắc chắn nhiều người ở đây sẽ nói với tôi, nhưng chương trình chúng tôi sử dụng không hoạt động trong phiên bản tiếp theo hoặc cái gì đó tương tự, bởi vì sự thật là chương trình của bạn là một quả bom hẹn giờ nếu nó không hoạt động trong phiên bản mới nhất. Và điều đó đưa chúng ta đến phần trước, Bạn có thể giảm nhẹ nó không ?, Bạn có thể chuyển nó ?, Bạn có thể chấp nhận nó không? ...
Sự thật mà nói, chỉ cần lưu ý rằng 75% các cuộc tấn công bảo mật máy tính bắt nguồn từ bên trong. Điều này có thể là do bạn có người dùng không nghi ngờ hoặc độc hại trong công ty. Hoặc rằng các quy trình bảo mật của họ đã không gây khó khăn cho của hacker đột nhập vào cơ sở hoặc mạng của bạn. Và gần như hơn 90% các cuộc tấn công là do phần mềm lỗi thời, Không do lỗ hổng của ngày không.
Suy nghĩ như một cái máy, không giống như một con người
Đây sẽ là một lời khuyên nhỏ mà tôi để lại cho bạn kể từ đây:
Suy nghĩ như máy móc
Đối với những người chưa hiểu, bây giờ tôi cho bạn một ví dụ.
Tôi giới thiệu bạn John. Trong số những người yêu thích bảo mật, đây là một trong những điểm khởi đầu tốt nhất khi bạn bắt đầu trong thế giới hack ethicla. nhà vệ sinh anh ấy rất hòa hợp với bạn của chúng tôi giòn. Và về cơ bản, anh ta lấy một danh sách được giao cho anh ta và bắt đầu thử nghiệm các kết hợp cho đến khi anh ta tìm thấy một chìa khóa giải mật khẩu mà anh ta đang tìm kiếm.
Crunch là một máy phát điện của sự kết hợp. điều này có nghĩa là bạn có thể nói với crunch rằng bạn muốn một mật khẩu dài 6 ký tự, chứa các chữ cái viết hoa và viết thường và crunch sẽ bắt đầu kiểm tra từng cái một ... đại loại là:
aaaaaa,aaaaab,aaaaac,aaaaad,....
Và họ tự hỏi mất bao lâu để xem qua toàn bộ danh sách chắc chắn ... không mất nhiều hơn một vài phút. Đối với những người trong số các bạn khó hiểu, hãy để tôi giải thích. Như chúng ta đã thảo luận trước đó, mắt xích yếu nhất trong chuỗi là con người và cách suy nghĩ của anh ta. Đối với một máy tính, không khó để thử các kết hợp, nó là một thứ gì đó cực kỳ lặp đi lặp lại, và qua nhiều năm, các bộ xử lý đã trở nên mạnh mẽ đến mức không mất hơn một giây để thực hiện một nghìn lần thử, hoặc thậm chí nhiều hơn.
Nhưng bây giờ điều tốt, ví dụ trước là với suy nghĩ của con người, bây giờ chúng ta đi cho nó tư duy máy móc:
Nếu chúng tôi yêu cầu crunch bắt đầu tạo mật khẩu chỉ với 8 các chữ số, theo cùng các yêu cầu trước đó, chúng tôi đã đi từ vài phút đến giờ. Và đoán xem điều gì sẽ xảy ra nếu chúng tôi yêu cầu bạn sử dụng nhiều hơn 10, chúng sẽ trở thành ngày. Trong hơn 12, chúng tôi đã ở thángNgoài thực tế là danh sách sẽ có tỷ lệ không thể lưu trữ trên máy tính thông thường. Nếu chúng ta lên 20, chúng ta sẽ nói về những thứ mà máy tính sẽ không thể giải mã trong hàng trăm năm nữa (tất nhiên là với các bộ vi xử lý hiện tại). Điều này có lời giải thích toán học của nó, nhưng vì lý do không gian, tôi sẽ không giải thích nó ở đây, nhưng đối với những người tò mò nhất, nó liên quan nhiều đến hoán vị, The tổ hợp và kết hợp. Nói chính xác hơn, với thực tế là đối với mỗi chữ cái mà chúng ta thêm vào độ dài, chúng ta có gần 50 các khả năng, vì vậy chúng tôi sẽ có một cái gì đó như:
20^50 kết hợp có thể cho mật khẩu cuối cùng của chúng tôi. Nhập số đó vào máy tính của bạn để xem có bao nhiêu khả năng xảy ra với độ dài khóa là 20 ký hiệu.
Làm sao tôi có thể suy nghĩ như một cái máy?
Thật không dễ dàng chút nào, nhiều người sẽ bảo tôi nghĩ ra mật khẩu gồm 20 chữ cái liên tiếp, đặc biệt là với quan niệm cũ rằng mật khẩu là từ Chìa khóa. Nhưng hãy xem một ví dụ:
dXfwHd
Điều này là khó đối với con người để nhớ, nhưng cực kỳ dễ dàng đối với máy móc.
caballoconpatasdehormiga
Mặt khác, điều này cực kỳ dễ nhớ đối với con người (thậm chí là buồn cười) nhưng nó là địa ngục cho giòn. Và bây giờ sẽ có nhiều hơn một người nói với tôi, nhưng việc thay đổi các phím liên tiếp có phải là điều không nên? Vâng, nó được khuyến khích, vì vậy bây giờ chúng ta có thể giết hai con chim bằng một viên đá. Giả sử tháng này tôi đang đọc Don Quixote de la Mancha, tập I. Trong mật khẩu của tôi, tôi sẽ đặt một cái gì đó như:
ElQuijoteDeLaMancha1
20 ký hiệu, một thứ khá khó phát hiện nếu không biết tôi, và điều tuyệt vời nhất là khi tôi đọc xong cuốn sách (giả sử rằng họ đọc liên tục 🙂) họ sẽ biết rằng họ phải đổi mật khẩu, thậm chí đổi thành:
ElQuijoteDeLaMancha2
Đây là sự tiến bộ 🙂 và chắc chắn nó sẽ giúp bạn giữ mật khẩu an toàn và đồng thời nhắc bạn hoàn thành cuốn sách của mình.
Những gì tôi đã viết là đủ, và mặc dù tôi rất muốn có thể nói về nhiều vấn đề bảo mật hơn, chúng ta sẽ để nó vào lúc khác 🙂 Xin chào
Rất thú vị!!
Tôi hy vọng bạn có thể tải lên các hướng dẫn về cách làm cứng trên Linux, nó sẽ rất tuyệt vời.
Chúc mừng!
Xin chào 🙂 tốt, bạn có thể cho tôi chút thời gian, nhưng tôi cũng chia sẻ một tài nguyên mà tôi thấy cực kỳ thú vị 🙂
https://wiki.gentoo.org/wiki/Security_Handbook
Cái này không được dịch sang tiếng Tây Ban Nha 🙁 nhưng nếu ai đó được khuyến khích giúp đỡ và giúp đỡ thì thật tuyệt vời 🙂
Liên quan
Rất thú vị, nhưng theo quan điểm của tôi, các cuộc tấn công brute force đang trở nên lỗi thời và việc tạo ra các mật khẩu như "ElQuijoteDeLaMancha1" dường như cũng không phải là một giải pháp khả thi, điều này là do với một chút kỹ thuật xã hội, có thể tìm thấy Mật khẩu thuộc loại này, chỉ rộng rãi với việc điều tra người đó một cách hời hợt và chính cô ấy sẽ tiết lộ điều đó cho chúng ta, trên mạng xã hội, cho người quen hoặc tại nơi làm việc, là một phần bản chất của con người.
Theo quan điểm của tôi, giải pháp tốt nhất là sử dụng trình quản lý mật khẩu, vì sử dụng mật khẩu 100 chữ số sẽ an toàn hơn so với mật khẩu 20 chữ số, ngoài ra, có một lợi thế là vì mật khẩu chính chỉ được biết đến, không thể tiết lộ ngay cả về phía tây các mật khẩu được tạo ra vì chúng không được biết đến.
Đây là trình quản lý mật khẩu của tôi, nó là mã nguồn mở và bằng cách mô phỏng bàn phím, nó miễn nhiễm với các keyloger.
https://www.themooltipass.com
Chà, tôi không giả vờ đưa ra một giải pháp hoàn toàn an toàn (hãy nhớ rằng không có gì là không thể xuyên thủng 100%) chỉ trong 1500 từ 🙂 (Tôi không muốn viết nhiều hơn thế trừ khi nó thực sự cần thiết) nhưng cũng giống như bạn nói vậy 100 tốt hơn 20, tốt 20 chắc chắn tốt hơn 8 🙂 và tốt, như chúng ta đã nói ở phần đầu, mắt xích yếu nhất là người đàn ông, vì vậy đó là nơi luôn luôn được chú ý. Tôi biết một số "kỹ sư xã hội" không biết nhiều về công nghệ, nhưng chỉ đủ để làm công việc tư vấn bảo mật. Khó khăn hơn nhiều là tìm ra những tin tặc thực sự tìm thấy lỗ hổng trong chương trình (được biết đến là zero-day).
Nếu chúng ta nói về các giải pháp "tốt hơn", chúng ta đang đi vào một chủ đề dành cho những người có chuyên môn trong lĩnh vực này và tôi đang chia sẻ với bất kỳ kiểu người dùng nào 🙂 nhưng nếu bạn muốn, chúng ta có thể nói về các giải pháp "tốt hơn" vào lúc khác. Và cảm ơn vì liên kết, chắc chắn là ưu và nhược điểm của nó, nhưng nó cũng sẽ không ảnh hưởng nhiều đến trình quản lý mật khẩu, bạn sẽ ngạc nhiên bởi sự dễ dàng và mong muốn mà chúng tấn công họ, sau tất cả ... một chiến thắng duy nhất hàm ý nhiều chìa khóa tiết lộ.
Liên quan
Bài báo thú vị, ChrisADR. Với tư cách là quản trị viên hệ thống Linux, đây là một lời nhắc nhở tốt để bạn không bị vướng vào việc không coi nó là tầm quan trọng hàng đầu cần thiết ngày nay để giữ cho mật khẩu được cập nhật và bảo mật theo yêu cầu của thời đại ngày nay. Ngay cả khi đây là một bài báo sẽ đi rất xa đối với những người bình thường nghĩ rằng mật khẩu không phải là nguyên nhân của 90% các cơn đau đầu. Tôi muốn xem thêm các bài viết về bảo mật máy tính và cách duy trì tính bảo mật cao nhất có thể trong hệ điều hành yêu quý của chúng ta. Tôi tin rằng luôn có điều gì đó để học hỏi thêm ngoài kiến thức mà một người có được thông qua các khóa học và đào tạo.
Ngoài ra, tôi luôn tham khảo blog này để tìm hiểu về một chương trình mới cho Gnu Linux để bắt tay vào thực hiện.
Chúc mừng!
Bạn có thể giải thích chi tiết một chút, với các con số và đại lượng, tại sao "DonQuijoteDeLaMancha1" ("DonQuijote de La Mancha" không tồn tại; p) an toàn hơn "• M¡ ¢ 0nt®a $ 3Ñ @ •"?
Tôi không biết gì về toán tổ hợp, nhưng tôi vẫn không bị thuyết phục bởi ý tưởng thường được lặp đi lặp lại rằng một mật khẩu dài với bộ ký tự đơn giản sẽ tốt hơn mật khẩu ngắn hơn với bộ ký tự lớn hơn nhiều. Số lượng các kết hợp có thể có thực sự nhiều hơn nếu chỉ sử dụng các chữ cái Latinh và các số so với việc sử dụng tất cả UTF-8?
Chúc mừng.
Xin chào Dani, chúng ta hãy đi vào từng phần để làm rõ hơn ... bạn đã bao giờ có một trong những chiếc vali có tổ hợp số làm ổ khóa chưa? Hãy xem trường hợp sau đây ... giả sử chúng đạt đến chín tuổi, chúng ta có một cái gì đó như:
| 10 | | 10 | | 10 |
Mỗi cái đều có khả năng diaz, vì vậy nếu bạn muốn biết số lượng kết hợp có thể có, bạn chỉ cần thực hiện một phép nhân đơn giản, chính xác là 10³ hoặc 1000.
Bảng ASCII chứa 255 ký tự cần thiết, trong đó chúng ta thường sử dụng số, chữ thường, chữ hoa và một số dấu câu. Giả sử rằng bây giờ chúng ta sẽ có một mật khẩu 6 chữ số với khoảng 70 tùy chọn (chữ hoa, chữ thường, số và một số ký hiệu)
| 70 | | 70 | | 70 | | 70 | | 70 | | 70 |
Như bạn có thể tưởng tượng, đó là một con số khá lớn, chính xác là 117. Và đó là tất cả các kết hợp có thể tồn tại cho không gian phím 649 chữ số. Bây giờ chúng ta sẽ giảm phạm vi các khả năng nhiều hơn nữa, hãy tiếp tục rằng chúng ta sẽ chỉ sử dụng 000 (chữ thường, số và ký hiệu không thường xuyên) nhưng với một mật khẩu dài hơn nhiều, giả sử có thể là 000 chữ số (Đó là ví dụ có thích 6).
| 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |
Số khả năng trở thành… 1 159 445 329 576 199 417 209 625 244 140 625… Tôi không biết con số đó được tính như thế nào, nhưng đối với tôi thì nó dài hơn một chút :), nhưng chúng tôi sẽ giảm nó nhiều hơn nữa , chúng tôi sẽ chỉ sử dụng các số từ 0 đến 9 và hãy xem điều gì xảy ra với số lượng
| 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |
Với quy tắc đơn giản này, bạn có thể đưa ra 100 kết hợp đáng kinh ngạc :). Điều này là do mỗi chữ số được thêm vào phương trình làm tăng số khả năng theo cấp số nhân, trong khi việc thêm các khả năng trong một ô duy nhất sẽ làm tăng tuyến tính.
Nhưng bây giờ chúng ta đi đến những gì là "tốt nhất" cho con người chúng ta.
Bạn mất bao lâu để viết “• M¡ ¢ 0nt®a $ 3Ñ @ •” theo nghĩa thực tế? Hãy giả sử rằng bạn phải viết nó ra mỗi ngày, vì bạn không thích lưu nó vào máy tính. Điều này sẽ trở thành công việc tẻ nhạt nếu bạn phải thực hiện các động tác co cơ tay theo những cách khác thường. Nhanh hơn nhiều (theo quan điểm của tôi) là viết những từ mà bạn có thể viết một cách tự nhiên, vì một yếu tố quan trọng khác là thay đổi các phím thường xuyên.
Và cuối cùng nhưng không kém phần quan trọng ... Nó phụ thuộc rất nhiều vào tâm trạng của người đã phát triển hệ thống, ứng dụng, chương trình của bạn, có thể bình tĩnh sử dụng TẤT CẢ các ký tự của UTF-8, trong một số trường hợp thậm chí có thể vô hiệu hóa việc sử dụng trong số đó được tính là do ứng dụng "chuyển đổi" một số mật khẩu của bạn và khiến mật khẩu đó không thể sử dụng được ... Vì vậy, có lẽ tốt hơn nên chơi nó an toàn với các ký tự mà bạn luôn biết có sẵn.
Hy vọng điều này sẽ giúp giải quyết những nghi ngờ 🙂 Xin chào