程序员以代码的形式征服安全基础架构系列:不安全的密码学
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
