Počítačová bezpečnost
Počítačová bezpečnost, kybernetická bezpečnost neboli bezpečnost informačních technologií (IT bezpečnost), resp. bezpečnost informačních a komunikačních technologií (ICT bezpečnost), je obor informatiky, který se zabývá ochranou počítačových systémů a sítí před neoprávněným přístupem k systémům – informacím, a před počítačovou kriminalitou – krádeží nebo poškozením hardwaru, softwaru nebo elektronických údajů, jakož i před narušením nebo zneužitím poskytovaných služeb, před kybernetickým útokem. Hlavním cílem je zajistit spolehlivost, integritu a soukromí údajů systému. Ovšem samotný bezpečnostní software může být zdrojem zranitelnosti.[1]
Charakteristika
[editovat | editovat zdroj]Počítačová ochrana ve třech krocích:
- prevence – ochrana před hrozbami (riziky)
- detekce – odhalení neoprávněných činností a slabých míst v systému
- náprava – odstranění slabých míst v systému
Počítačová bezpečnost, zabezpečení informací v počítačích, tj. odhalení a zmenšení rizik spojených s používáním počítače, zahrnuje:
- omezení fyzického přístupu k počítači a jeho zařízením, ochrana před neoprávněným manipulováním se zařízeními počítačového systému
- umožnit přístup jen oprávněným osobám dodržujícím bezpečnostní pravidla pro práci s počítačem a údaji, ochrana před neoprávněnou manipulací s údaji
- ochranu informací před krádeží, nelegální tvorbou kopií údajů nebo jejich poškozením
- použití hardwarových zařízení, např. hardwarových klíčů, které vynucují bezpečnostní opatření a snížují závislost počítačové bezpečnosti na software
- využití mechanismů operačního systému, které vynucují chování programů s souladu s počítačovou bezpečností
- omezení množství programů, kterým je nutné důvěřovat
- využití záznamů o změnách v programech a systémech (logování a verzování)
- využití zabezpečení operačního systému
- využití bezpečného šifrování (kryptografie) při komunikaci, práci s údaji, jejich přenosu
- využití bezpečného ukládání a zálohování údajů
- plánování reakce na incident, organizace přístupu k řešení a řízení následků počítačového bezpečnostního incidentu nebo poškození (kompromitace) s cílem zabránit narušení nebo zmařit kybernetický útok
- zajištění autentizace, autorizace a integrity údajů
Zranitelná místa a útoky
[editovat | editovat zdroj]Zranitelností chápeme citlivá místa či nedostatky systému, a mnoho chyb zabezpečení je popsáno v databázi Common Vulnerabilities and Exposures, správa slabých míst je opakující se praxe identifikace, třídění, nápravy a zmírnění zranitelností, když jsou objeveny. Využitelnou zranitelností chápeme takovou zranitelnost, pro kterou existuje alespoň jeden fungující útok nebo "Exploit".[2] Abychom zajistili počítačový systém, je důležité znát útoky, které mohou být proti němu prováděny. Tyto hrozby jsou klasifikovány podle následujících kategorií:
Backdoors – zadní vrátka
[editovat | editovat zdroj]Zadní vrátka znamenají kryptografický systém nebo algoritmus, je to metoda obcházení normální kontroly pro ověření a zabezpečení. Mohou existovat z několika důvodů, včetně původního návrhu nebo díky špatné konfiguraci. Zadní vrátka mohou být také úmyslně nainstalovány programátorem jako nástroj pro systémový debugging, nebo útočníkem za účelem škození. Avšak bez ohledu na motivy jejich existence vytváří zadní vrátka zranitelnost systému.
Denial of service (odepření služby)
[editovat | editovat zdroj]Denial of service útoky jsou navrženy tak, aby zařízení nebo síťové zdroje byly nedostupné pro jeho plánované uživatele.[3] Útočníci mohou upřít službu jednotlivým obětem, například záměrným zadáním chybného hesla tolikrát po sobě dokud způsobí uzamčení účtu oběti, nebo mohou přetížit kapacity zařízení nebo sítě a zablokovat tak všechny uživatele najednou. Zatímco síťový útok z jedné IP adresy může být blokován přidáním nového pravidla brány firewall, mnoho forem distribuovaného odmítnutí služby (DDoS) útoků častěji pochází z velkého počtu bodů - a bránit se je mnohem obtížnější. Takové útoky mohou pocházet ze zombie počítačů botnetu, ale umožňuje to i řada dalších technik, včetně odrazu a zesílení útoků, kde jsou nevinné systémy zmateny tak, že posílají provoz na oběti.
Útoky s přímým přístupem
[editovat | editovat zdroj]Neoprávněný uživatel, který získá fyzický přístup k počítači, je s největší pravděpodobností z něj schopen přímo kopírovat data. Mohou také ohrozit bezpečnost vytvářením modifikací operačního systému, instalací softwarových červů, keyloggerů, odposlouchávacích zařízení nebo pomocí bezdrátových myší.[4] I když je systém chráněn standardními bezpečnostními opatřeními, mohou být schopni je obejít bootováním jiného operačního systému nebo nástroje z disku CD-ROM nebo jiného zaváděcího média. Šifrování disku a Trusted Platform Module jsou navrženy tak, aby zabránily těmto útokům.
Odposlech
[editovat | editovat zdroj]Odposlech znamená tajné poslouchání soukromých rozhovorů, typicky mezi hosty v síti. Například programy jako Carnivore a NarusInsight byly použity FBI a NSA pro odposlouchávání systémů poskytovatelů internetových služeb. Dokonce i zařízení, které fungují jako uzavřený systém (tj., bez kontaktu s okolním světem) lze odposlouchávat pomocí sledování slabých elektromagnetických přenosů generovaných hardwarem.
Spoofing
[editovat | editovat zdroj]Padělání (spoofing) je obecně podvodný nebo škodlivý postup, ve kterém je komunikace odeslána z neznámého zdroje, který se tváří jako zdroj známý přijímači. Spoofing nejvíce převládají v komunikačních mechanismech, které nemají vysoký stupeň bezpečnosti.[5]
Tampering/Zasahování
[editovat | editovat zdroj]Tampering popisuje škodlivou modifikaci produktů nebo dat. Příkladem jsou takzvané "Evil Maid" útoky a bezpečnostní služby, které vkládají do směrovačů schopnost dozoru.[6]
Elevace oprávnění
[editovat | editovat zdroj]Elevace oprávnění popisuje situaci, kdy útočník s určitou mírou omezeného přístupu je schopen bez povolení zvýšit své výsady nebo úroveň přístupu. Tak například běžný počítačový uživatel může být schopen oklamat systém vložení přístupu k omezeným datům; nebo dokonce "stát se rootem" a získat tak plný neomezený přístup k systému.
Phishing
[editovat | editovat zdroj]Phishing je snaha získat citlivé informace, jako jsou uživatelská jména, hesla či informace o kreditní kartě, přímo od uživatelů.[7] Phishing se obvykle provádí pomocí falešných e-mailových zpráv nebo zneužitím instant messagingu. Často se snaží uživatele přesvědčit k zadání podrobností na falešných webových stránkách, které se zdají (téměř) totožné s legitimními stránkami. „Lovením” důvěřivých obětí lze phishing klasifikovat jako nelegální využití sociálního inženýrství.
Zero day útoky
[editovat | editovat zdroj]Zero day útok není označení pro konkrétní techniku. Je to označení pro zranitelnosti softwaru, které jsou odhaleny (a případně zneužívány) ještě před vydáním aktualizace, která příslušnou chybu opravuje. Je to tedy třída velmi závažných zranitelností, protože ani zcela aktualizovaný systém není proti zneužití takových chyb odolný a až do doby vydání příslušné opravy je potřeba systém chránit jinými prostředky (např. aplikačním firewallem, úplným vypnutím některých funkcí apod.).
Clickjacking
[editovat | editovat zdroj]Clickjacking, také známý jako "UI redressing nebo User Interface redressing" (převléknutí uživatelského rozhraní), je škodlivá technika ve kterém útočník oklame uživatele, aby kliknul na tlačítko nebo odkaz na webovou stránku, zatímco uživatel měl v úmyslu kliknout na vrchní úroveň stránky. To se provádí pomocí více průhledné nebo neprůhledné vrstvy. Útočník v podstatě "unese" kliknutí určené pro horní stránku a přesměruje jej je na nějaké jiné irelevantní stránky, s největší pravděpodobností ve vlastnictví někoho jiného.
Sociální inženýrství
[editovat | editovat zdroj]Za sociální inženýrství je považována snaha přesvědčit uživatele, aby dobrovolně prozradil své citlivé údaje, například hesla pro přístup k soukromým službám (e-mail, sociální sítě, internetové bankovnictví, ...), čísla bankovních karet, PIN kód a podobně, například tím, že se vydává za existující instituci (banku, poskytovatele služeb,...), ale i za kamaráda, příbuzného a podobně.[8] Typické je naléhání na rychlé "řešení", aby oběť neměla čas zjistit si o útoku podrobnosti a tím ho odhalit.
Populární a ziskový cyber podvod zahrnuje falešné e-maily odeslané na účetní a finanční oddělení. Na začátku roku 2016 ohlásil Federální úřad pro vyšetřování (FBI), že podvod stála americké firmy více než 2 miliardy dolarů v průběhu dvou let.[9]
V květnu 2016 byl tým Milwaukee Bucks NBA obětí tohoto druhu kybernetického podvodu, pomocí zosobnění prezidenta týmu Petera Feigina, což mělo za následek předání daňových formulářů všech zaměstnanců týmu.[10]
Motivace útočníků
[editovat | editovat zdroj]Stejně jako u fyzické bezpečnosti se motivace pro narušení počítačové bezpečnosti u jednotlivých útočníků liší. Někteří jsou hledači vzrušení nebo vandalové, někteří jsou aktivisté, jiní zločinci, kteří hledají finanční zisk. Běžně dnes vidět státem podporované útočníci s dobrými zdroji, kteří začínali s amatéry, jako jsou Markus Hess, který hackoval pro KGB, jak popsal Clifford Stoll v The Cuckoo’s Egg.
Nedávné motivace útočníků lze navíc vysledovat až do extremistických organizací, které se snaží získat politickou výhodu nebo narušit sociální agendy. Růst internetu, mobilních technologií a levných počítačových zařízení vedl ke zvýšení schopností, ale také k ohrožení prostředí, která jsou považována za nezbytné pro provoz. Všechna kritická cílená prostředí jsou citlivá k ohrožení, což vedlo k řadě proaktivních studií o tom, jak migrovat riziko s ohleduplností k motivacím těchto typů aktérů. Existuje několik výrazných rozdílů mezi motivací hackerů a motivací představitelů národních států, kteří se snaží útočit na základě ideologických preferencí.
Standardní součástí modelování hrozeb pro jakýkoli konkrétní systém je identifikace toho, co by mohlo motivovat k útoku na tento systém a kdo by mohl být motivován k jeho prolomení. Úroveň a podrobnosti opatření se budou lišit v závislosti na systému, který má být zabezpečen. Domácí osobní počítač, banka a tajná vojenská síť čelí velmi odlišným hrozbám, i když základní používané technologie jsou podobné.
Bezpečnostní projekt
[editovat | editovat zdroj]Aby byla ochrana počítačového systému efektivní, je potřebné vypracovat bezpečnostní projekt. Cílem tohoto projektu je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou, která je bezpečnostním systémem chráněna.
Části bezpečnostního projektu
[editovat | editovat zdroj]- Zabezpečení fyzického přístupu
- Zabezpečení fyzického přístupu spočívá v zabránění přístupu nepovolaných osob k částem počítačového systému. Na toto zabezpečení se používají bezpečnostní prvky jako přidělení rozdílných práv zaměstnancům, elektronické zámky, poplašné zařazení, kamerové systémy, autorizační systémy chráněné hesly, čipovými kartami, autentizační systémy na snímání otisků prstů, dlaně, oční duhovky, rozpoznání hlasu, auditovací systémy na sledování a zaznamenávání určitých akcií zaměstnanců (vstup zaměstnanců do místnosti, přihlášení se do systému, kopírování údajů atd.).
Zabezpečení počítačového systému
[editovat | editovat zdroj]Zabezpečení počítačového systému spočívá v zabezpečení systému před útokem crackerů, škodlivých programů (viry, červy, trojské koně, spyware, adware, ...). do této části patří i zaškolení zaměstnanců, aby se chovali v souladu s počítačovou bezpečností a dodržovali zásady bezpečného chování na síti.
Zabezpečení informací
[editovat | editovat zdroj]Zabezpečení informací spočívá v bezpečném zálohování dat. Záloha dat by měla být vytvořena tak, aby ji neohrozil útočník ani přírodní živelní pohroma (požár, záplavy, pád letadla, ...). Zálohovaná data je také potřeba chránit proti neoprávněné manipulaci použitím vhodného šifrovacího systému. Záloha dat má být aktuální.
Ekonomické a právní zabezpečení
[editovat | editovat zdroj]Ekonomické a právní zabezpečení spočívá ve správné motivaci a postihu zaměstnanců.
Informování o bezpečnostních incidentech ale nemá preventivní vliv.[11]
Reference
[editovat | editovat zdroj]V tomto článku byly použity překlady textů z článků Computer security na anglické Wikipedii, Počítačová bezpečnosť na slovenské Wikipedii a Computer security na anglické Wikipedii.
- ↑ CrowdStrike crash showed us how invasive cyber security software is. Is there a better way?. techxplore.com [online]. [cit. 2024-07-23]. Dostupné online.
- ↑ Computer Security and Mobile Security Challenges [online]. [cit. 2016-08-04]. Dostupné online.
- ↑ Distributed Denial of Service Attack [online]. [cit. 2014-11-12]. Dostupné online.
- ↑ AMNA. Wireless mouse leave billions at risk of computer hack: cyber security firm [online]. 2016-03-30 [cit. 2022-05-25]. Dostupné online. (anglicky)
- ↑ What is Spoofing? - Definition from Techopedia. Techopedia.com [online]. [cit. 2022-05-25]. Dostupné online. (anglicky)
- ↑ GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant [online]. Ars Technica, May 14, 2014 [cit. 2014-08-03]. Dostupné online.
- ↑ Identifying Phishing Attempts [online]. Case [cit. 2016-08-27]. Dostupné v archivu pořízeném dne 2015-09-13.
- ↑ ARCOS SERGIO. Social Engineering [online]. Dostupné online.
- ↑ SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online [cit. 7 May 2016].
- ↑ Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online [cit. 20 May 2016].
- ↑ Research reveals massive failures in US cybersecurity laws. techxplore.com [online]. [cit. 2024-02-19]. Dostupné online.
Související články
[editovat | editovat zdroj]Externí odkazy
[editovat | editovat zdroj]- Obrázky, zvuky či videa k tématu počítačová bezpečnost na Wikimedia Commons