Cesko.wiki Počítačová bezpečnost
Author
Albert FloresPočítačová bezpečnost, kybernetická bezpečnost neboli bezpečnost informačních technologií (IT bezpečnost), resp. bezpečnost informačních a komunikačních technologií (ICT bezpečnost), je obor informatiky, který se zabývá ochranou počítačových systémů a sítí před neoprávněným přístupem k systémům - informacím, a před počítačovou kriminalitou - krádeží nebo poškozením hardwaru, softwaru nebo elektronických údajů, jakož i před narušením nebo zneužitím poskytovaných služeb, před kybernetickým útokem. Hlavním cílem je zajistit spolehlivost, integritu a soukromí údajů systému.
Charakteristika
Počítačová ochrana ve třech krocích: # prevence - ochrana před hrozbami (riziky) # detekce - odhalení neoprávněných činností a slabých míst v systému # náprava - odstranění slabých míst v systému
Počítačová bezpečnost, zabezpečení informací v počítačích, tj. odhalení a zmenšení rizik spojených s používáním počítače, zahrnuje: * omezení fyzického přístupu k počítači a jeho zařízením, ochrana před neoprávněným manipulováním se zařízeními počítačového systému * umožnit přístup jen oprávněným osobám dodržujícím bezpečnostní pravidla pro práci s počítačem a údaji, ochrana před neoprávněnou manipulací s údaji * ochranu informací před krádeží, nelegální tvorbou kopií údajů nebo jejich poškozením * použití hardwarových zařízení, např. +more hardwarových klíčů, které vynucují bezpečnostní opatření a snížují závislost počítačové bezpečnosti na software * využití mechanismů operačního systému, které vynucují chování programů s souladu s počítačovou bezpečností * omezení množství programů, kterým je nutné důvěřovat * využití záznamů o změnách v programech a systémech (logování a verzování) * využití zabezpečení operačního systému * využití bezpečného šifrování (kryptografie) při komunikaci, práci s údaji, jejich přenosu * využití bezpečného ukládání a zálohování údajů * plánování reakce na incident, organizace přístupu k řešení a řízení následků počítačového bezpečnostního incidentu nebo poškození (kompromitace) s cílem zabránit narušení nebo zmařit kybernetický útok * zajištění autentizace, autorizace a integrity údajů.
Zranitelná místa a útoky
Zranitelností chápeme citlivá místa či nedostatky systému, a mnoho chyb zabezpečení je popsáno v databázi Common Vulnerabilities and Exposures, správa slabých míst je opakující se praxe identifikace, třídění, nápravy a zmírnění zranitelností, když jsou objeveny. Využitelnou zranitelností chápeme takovou zranitelnost, pro kterou existuje alespoň jeden fungující útok nebo "Exploit". +more Abychom zajistili počítačový systém, je důležité znát útoky, které mohou být proti němu prováděny. Tyto hrozby jsou klasifikovány podle následujících kategorií:.
Backdoors - zadní vrátka
Zadní vrátka znamenají kryptografický systém nebo algoritmus, je to metoda obcházení normální kontroly pro ověření a zabezpečení. Mohou existovat z několika důvodů, včetně původního návrhu nebo díky špatné konfiguraci. +more Zadní vrátka mohou být také úmyslně nainstalovány programátorem jako nástroj pro systémový debugging, nebo útočníkem za účelem škození. Avšak bez ohledu na motivy jejich existence vytváří zadní vrátka zranitelnost systému.
Denial of service (odepření služby)
Denial of service útoky jsou navrženy tak, aby zařízení nebo síťové zdroje byly nedostupné pro jeho plánované uživatele. Útočníci mohou upřít službu jednotlivým obětem, například záměrným zadáním chybného hesla tolikrát po sobě dokud způsobí uzamčení účtu oběti, nebo mohou přetížit kapacity zařízení nebo sítě a zablokovat tak všechny uživatele najednou. +more Zatímco síťový útok z jedné IP adresy může být blokován přidáním nového pravidla brány firewall, mnoho forem distribuovaného odmítnutí služby (DDoS) útoků častěji pochází z velkého počtu bodů - a bránit se je mnohem obtížnější. Takové útoky mohou pocházet ze zombie počítačů botnetu, ale umožňuje to i řada dalších technik, včetně odrazu a zesílení útoků, kde jsou nevinné systémy zmateny tak, že posílají provoz na oběti.
Útoky s přímým přístupem
Neoprávněný uživatel, který získá fyzický přístup k počítači, je s největší pravděpodobností z něj schopen přímo kopírovat data. Mohou také ohrozit bezpečnost vytvářením modifikací operačního systému, instalací softwarových červů, keyloggerů, odposlouchávacích zařízení nebo pomocí bezdrátových myší. +more I když je systém chráněn standardními bezpečnostními opatřeními, mohou být schopni je obejít bootováním jiného operačního systému nebo nástroje z disku CD-ROM nebo jiného zaváděcího média. Šifrování disku a Trusted Platform Module jsou navrženy tak, aby zabránily těmto útokům.
Odposlech
Odposlech znamená tajné poslouchání soukromých rozhovorů, typicky mezi hosty v síti. Například programy jako Carnivore a NarusInsight byly použity FBI a NSA pro odposlouchávání systémů poskytovatelů internetových služeb. +more Dokonce i zařízení, které fungují jako uzavřený systém (tj. , bez kontaktu s okolním světem) lze odposlouchávat pomocí sledování slabých elektromagnetických přenosů generovaných hardwarem.
Spoofing
Padělání (spoofing) je obecně podvodný nebo škodlivý postup, ve kterém je komunikace odeslána z neznámého zdroje, který se tváří jako zdroj známý přijímači. Spoofing nejvíce převládají v komunikačních mechanismech, které nemají vysoký stupeň bezpečnosti.
Tampering/Zasahování
Tampering popisuje škodlivou modifikaci produktů. Příkladem jsou takzvané "Evil Maid" útoky a bezpečnostní služby, které vkládají do směrovačů schopnost dozoru.
Elevace oprávnění
Elevace oprávnění popisuje situaci, kdy útočník s určitou mírou omezeného přístupu je schopen bez povolení zvýšit své výsady nebo úroveň přístupu. Tak například běžný počítačový uživatel může být schopen oklamat systém vložení přístupu k omezeným datům; nebo dokonce "stát se rootem" a získat tak plný neomezený přístup k systému.
Phishing
Phishing je snaha získat citlivé informace, jako jsou uživatelská jména, hesla či informace o kreditní kartě, přímo od uživatelů. Phishing se obvykle provádí pomocí falešných e-mailových zpráv nebo zneužitím instant messagingu. +more Často se snaží uživatele přesvdčit k zadání podrobností na falešných webových stránkách, které se zdají (téměř) totožné s legitimními stránkami. „Lovením” důvěřivých obětí lze phishing klasifikovat jako nelegální využití sociálního inženýrství.
Zero day útoky
Zero day útok není označení pro konkrétní techniku. Je to označení pro zranitelnosti softwaru, které jsou odhaleny (a případně zneužívány) ještě před vydáním aktualizace, která příslušnou chybu opravuje. +more Je to tedy třída velmi závažných zranitelností, protože ani zcela aktualizovaný systém není proti zneužití takových chyb odolný a až do doby vydání příslušné opravy je potřeba systém chránit jinými prostředky (např. aplikačním firewallem, úplným vypnutím některých funkcí apod. ).
Clickjacking
Clickjacking, také známý jako "UI redressing nebo User Interface redressing" (převléknutí uživatelského rozhraní), je škodlivá technika ve kterém útočník oklame uživatele, aby kliknul na tlačítko nebo odkaz na webovou stránku, zatímco uživatel měl v úmyslu kliknout na vrchní úroveň stránky. To se provádí pomocí více průhledné nebo neprůhledné vrstvy. +more Útočník v podstatě "unese" kliknutí určené pro horní stránku a přesměruje jej je na nějaké jiné irelevantní stránky, s největší pravděpodobností ve vlastnictví někoho jiného.
Sociální inženýrství
Za sociální inženýrství je považována snaha přesvědčit uživatele, aby dobrovolně prozradil své citlivé údaje, například hesla pro přístup k soukromým službám (e-mail, sociální sítě, internetové bankovnictví, . ), čísla bankovních karet, PIN kód a podobně, například tím, že se vydává za existující instituci (banku, poskytovatele služeb,. +more), ale i za kamaráda, příbuzného a podobně. Typické je naléhání na rychlé "řešení", aby oběť neměla čas zjistit si o útoku podrobnosti a tím ho odhalit.
Populární a ziskový cyber podvod zahrnuje falešné e-maily odeslané na účetní a finanční oddělení. Na začátku roku 2016 ohlásil Federální úřad pro vyšetřování (FBI), že podvod stála americké firmy více než 2 miliardy dolarů v průběhu dvou let.
V květnu 2016 byl tým Milwaukee Bucks NBA obětí tohoto druhu kybernetického podvodu, pomocí zosobnění prezidenta týmu Petera Feigina, což mělo za následek předání daňových formulářů všech zaměstnanců týmu.
Bezpečnostní projekt
Aby byla ochrana počítačového systému efektivní, je potřebné vypracovat bezpečnostní projekt. Cílem tohoto projektu je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou, která je bezpečnostním systémem chráněna.
Části bezpečnostního projektu
;Zabezpečení fyzického přístupu: Zabezpečení fyzického přístupu spočívá v zabránění přístupu nepovolaných osob k částem počítačového systému. Na toto zabezpečení se používají bezpečnostní prvky jako přidělení rozdílných práv zaměstnancům, elektronické zámky, poplašné zařazení, kamerové systémy, autorizační systémy chráněné hesly, čipovými kartami, autentizační systémy na snímání otisků prstů, dlaně, oční duhovky, rozpoznání hlasu, auditovací systémy na sledování a zaznamenávání určitých akcií zaměstnanců (vstup zaměstnanců do místnosti, přihlášení se do systému, kopírování údajů atd. +more).
Zabezpečení počítačového systému
Zabezpečení počítačového systému spočívá v zabezpečení systému před útokem crackerů, škodlivých programů (viry, červy, trojské koně, spyware, adware, . ). +more do této části patří i zaškolení zaměstnanců, aby se chovali v souladu s počítačovou bezpečností a dodržovali zásady bezpečného chování na síti.
Zabezpečení informací
Zabezpečení informací spočívá v bezpečném zálohování dat. Záloha dat by měla být vytvořena tak, aby ji neohrozil útočník ani přírodní živelní pohroma (požár, záplavy, pád letadla, . +more). Zálohovaná data je také potřeba chránit proti neoprávněné manipulaci použitím vhodného šifrovacího systému. Záloha dat má být aktuální.
Ekonomické a právní zabezpečení
Ekonomické a právní zabezpečení spočívá ve správné motivaci a postihu zaměstnanců.
Reference
Související články
Informační bezpečnost * Security through obscurity * Síťové zabezpečení * Počítačová kriminalita