Los sabios instalan OpenBSD.
El resto de ellos puede instalar una distribución de Linux reforzada, un detector de intrusión de red, varios detectores de intrusión de host, un detector de rootkit, posiblemente un honeypot, posiblemente coreboot y uno de los sistemas de control de acceso obligatorios.
Los detectores de intrusos en la red identificarán actividades sospechosas que podrían ser malware que intenta ingresar o malware que ya intenta comunicarse con una red de comandos o infectar otras máquinas.
- ¿Cuál es el mejor antivirus para Windows 8?
- ¿Por qué Windows 10 viene con un keylogger? Siento que les roba la privacidad de los usuarios. Entonces, ¿cómo podría Windows hacerse popular?
- ¿Por qué hay tantos problemas de seguridad con el sistema operativo Windows?
- ¿Cuáles son las 5 mejores técnicas de prueba de penetración?
- Cómo transferir Norton 360 a una computadora nueva
Hay dos tipos de detectores de intrusión de host que son de interés. El primero verifica los cambios en los binarios. Algún cambio. Esto generalmente se hace mediante el uso de firmas criptográficamente seguras utilizando una clave de cifrado segura, o simplemente hashes criptográficamente seguros, almacenados en un directorio en el que los controles de acceso discrecionales y obligatorios prohíben que cualquier usuario o aplicación escriba a otra aplicación que no sea la aplicación específicamente para regenerar firmas. Esta aplicación requiere todo tipo de controles de seguridad para ejecutarse y solo puede ser ejecutada por un usuario designado. No es perfecto, pero nunca más necesitará descargar un archivo de firma de virus. Si puede detectar la firma del virus para empezar, puede detectar un cambio. Si puede detectar un cambio no autorizado, ¿importa qué software hostil realizó el cambio?
El segundo escanea la computadora host en busca de vulnerabilidades típicas. Hay dos tipos No hay sorpresa allí. El primero actúa como un intruso desde el exterior para ver qué sucede, el segundo tipo busca configuraciones inseguras, versiones sospechosas de software, configuraciones de firewall poco fiables, cosas así. Es completamente interno.
Los rootkits son esencialmente malware que ejecuta el sistema operativo. Un hipervisor malicioso, en algunos aspectos. Puede detectarlos al ver si está accediendo al hardware directamente, en qué anillo está ejecutando el procesador, etc., pero un rootkit lo suficientemente inteligente podría potencialmente interceptar todo eso y devolver valores que hagan que la máquina parezca segura.
Ahí es donde coreboot puede ser útil. Si no hay BIOS / UFI / como se llame esta semana, si el núcleo es lo primero que hace la máquina antes de que algo se cargue del disco, es mucho más difícil meterse debajo del núcleo. Sin embargo, un movimiento en falso bloqueará su costosa máquina de escritorio. Una falla en el software coreboot, una falla en la memoria flash, de hecho una falla en el diseño de la placa base, hará exactamente lo mismo. También debe confiar en Linux para detectar automáticamente todo y no confiar en que el código de arranque lo haga por usted.
Los proveedores de hardware rara vez juegan bien con Linux y algunos han sido activamente hostiles. No puede ejecutar un Winmodem en Linux, aunque estos son en gran parte obsoletos, porque parte del firmware se transfirió del dispositivo al sistema operativo y los fabricantes se negaron a proporcionar versiones de Linux o liberar la información. Limitó esos dispositivos a Windows y solo a Windows (y solo a las versiones compatibles). Eso está bien desde su punto de vista, la diferencia entre el acceso al 98% del mercado y el 100% no vale la pena invertir. En estos días, es más probable que obtenga hardware que no se puede usar, excepto en un sistema operativo firmado digitalmente que se ejecuta en un UFI firmado digitalmente (donde Microsoft tiene las únicas claves ampliamente aceptadas). Esto hace que coreboot sea una solución difícil para cualquier persona que no sea un experto.
Honeypots son computadoras virtuales que se ejecutan dentro de un espacio especialmente protegido en la computadora. Prácticamente no hacen nada, su único propósito es lucir muy tentador para el malware y los piratas informáticos, y luego registrar todo lo que intentan y hacen. No debería haber ninguno, ya que cualquier persona sensata configura su firewall de hardware para bloquear todas las conexiones entrantes y todas las conexiones salientes en puertos no autorizados. Sin embargo, la confianza en los dispositivos de red no está exactamente en niveles estelares en estos días.
Los controles de acceso obligatorios son políticas que se imponen centralmente a las llamadas del sistema, usuarios, archivos (incluidos directorios y archivos de dispositivos), controladores de dispositivos y conexiones de red. Se utilizan para garantizar que todo tenga la menor cantidad de privilegios posibles y que sigan funcionando según lo previsto. Se pueden combinar con las capacidades de Linux (que permiten que un administrador apague parte del sistema operativo pero no lo inicie nuevamente) para garantizar que las máquinas con fines especiales (servidores de impresión, controladores de correo electrónico, enrutadores de software, etc.) no puedan funcionar cualquier cosa no intencionada y dónde, en caso de que un proceso sea secuestrado, garantiza que el proceso no pueda hacer nada extra.
En la práctica, se necesitaría una gran paranoia para llegar a tales extremos. Si eres tan paranoico, habrás instalado OpenBSD. A menos que sea un desarrollador de Linux. Pero si eres un desarrollador paranoico, probablemente estarías trabajando en OpenBSD. Linux no tiende a atraer a los paranoicos. De hecho, solo atrajo a un psicópata certificado, lo cual es impresionante. Eso es 1: 100,000 y está muy por debajo del promedio nacional.