Počítačová bezpečnost

Počítačová bezpečnost je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených s používáním počítače). Počítačová bezpečnost zahrnuje tyto úkoly:

zabezpečení ochrany před neoprávněným manipulováním se zařízeními počítačového systému,
ochranu před neoprávněnou manipulací s daty,
ochranu informací před krádeží (nelegální tvorba kopií dat) nebo poškozením,
bezpečnou komunikaci a přenos dat (kryptografie),
bezpečné uložení dat,
celistvost a nepodvrhnutelnost dat.

Charakteristika

Počítačová ochrana je často více zaměřena na techniku a matematiku, než některé jiné oblasti kybernetiky a informatiky. Spočívá ve třech krocích:

prevence – ochrana před hrozbami
detekce – odhalení neoprávněných (skrytých, nezamýšlených) činností a slabých míst v systému
náprava – odstranění slabého místa v systému

Zlepšení počítačové bezpečnosti může zahrnovat následující kroky:

omezení fyzického přístupu k počítači pouze pro ty, kteří budou dodržovat bezpečnost při práci s počítačem a daty
použití hardwarových zařízení, která vynucují bezpečnostní opatření, což snižuje závislost počítačové bezpečnosti na software (počítačových programech)
využití mechanismů operačního systému, která vynucují pravidla chování programů, aby byl omezen rozsah programů, kterým je nutné důvěřovat
využití záznamů o změnách v programu (verzování), které je možné využít pro sledování jejich vývoje

Pokud budeme mluvit o počítačové bezpečnosti, nesmíme zapomenout na bezpečnost operačního systému, bezpečnostní projekt a bezpečné šifrování (kryptografie).

Zranitelná místa a útoky

Zranitelností chápeme citlivá místa či nedostatky systému, a mnoho chyb zabezpečení je popsáno v databázi Common Vulnerabilities and Exposures, správa slabých míst je opakující se praxe identifikace, třídění, nápravy a zmírnění zranitelností, když jsou objeveny. Využitelnou zranitelností chápeme takovou zranitelnost, pro kterou existuje alespoň jeden fungující útok nebo "Exploit".^[1] Abychom zajistili počítačový systém, je důležité znát útoky, které mohou být proti němu prováděny. Tyto hrozby jsou klasifikovány podle následujících kategorií:

Backdoors – zadní vrátka

V počítačovém systému znamenají „zadní vrátka“ kryptografický systém nebo algoritmus, je to metoda obcházení normální kontroly pro ověření a zabezpečení. Mohou existovat z několika důvodů, včetně původního návrhu nebo díky špatné konfiguraci. Zadní vrátka mohou být také úmyslně nainstalovány programátorem jako nástroj pro systémový debugging, nebo útočníkem za účelem škození. Avšak bez ohledu na motivy jejich existence vytváří zadní vrátka zranitelnost systému.

Denial of service (odepření služby)

Denial of service útoky jsou navrženy tak, aby zařízení nebo síťové zdroje byly nedostupné pro jeho plánované uživatele.^[2] Útočníci mohou upřít službu jednotlivým obětem, například záměrným zadáním chybného hesla tolikrát po sobě dokud způsobí uzamčení účtu oběti, nebo mohou přetížit kapacity zařízení nebo sítě a zablokovat tak všechny uživatele najednou. Zatímco síťový útok z jedné IP adresy může být blokován přidáním nového pravidla brány firewall, mnoho forem distribuovaného odmítnutí služby (DDoS) útoků častěji pochází z velkého počtu bodů - a bránit se je mnohem obtížnější. Takové útoky mohou pocházet ze zombie počítačů botnetu, ale umožňuje to i řada dalších technik, včetně odrazu a zesílení útoků, kde jsou nevinné systémy zmateny tak, že posílají provoz na oběti.

Útoky s přímým přístupem

Neoprávněný uživatel, který získá fyzický přístup k počítači, je s největší pravděpodobností z něj schopen přímo kopírovat data. Mohou také ohrozit bezpečnost vytvářením modifikací operačního systému, instalací softwarových červů, keyloggerů, odposlouchávacích zařízení nebo pomocí bezdrátových myší.^[3] I když je systém chráněn standardními bezpečnostními opatřeními, mohou být schopni je obejít bootováním jiného operačního systému nebo nástroje z disku CD-ROM nebo jiného zaváděcího média. Šifrování disku a Trusted Platform Module jsou navrženy tak, aby zabránily těmto útokům.

Odposlech

Odposlech znamená tajné poslouchání soukromých rozhovorů, typicky mezi hosty v síti. Například programy jako Carnivore a NarusInsight byly použity FBI a NSA pro odposlouchávání systémů poskytovatelů internetových služeb. Dokonce i zařízení, které fungují jako uzavřený systém (tj., bez kontaktu s okolním světem) lze odposlouchávat pomocí sledování slabých elektromagnetických přenosů generovaných hardwarem.

Spoofing

Padělání (spoofing) je obecně podvodný nebo škodlivý postup, ve kterém je komunikace odeslána z neznámého zdroje, který se tváří jako zdroj známý přijímači. Spoofing nejvíce převládají v komunikačních mechanismech, které nemají vysoký stupeň bezpečnosti.^[4]

Tampering/Zasahování

Tampering popisuje škodlivou modifikaci produktů. Příkladem jsou takzvané "Evil Maid" útoky a bezpečnostní služby, které vkládají do směrovačů schopnost dozoru.^[5]

Elevace oprávnění

Elevace oprávnění popisuje situaci, kdy útočník s určitou mírou omezeného přístupu je schopen bez povolení zvýšit své výsady nebo úroveň přístupu. Tak například běžný počítačový uživatel může být schopen oklamat systém vložení přístupu k omezeným datům; nebo dokonce "stát se rootem" a získat tak plný neomezený přístup k systému.

Phishing

Phishing je snaha získat citlivé informace, jako jsou uživatelská jména, hesla či informace o kreditní kartě, přímo od uživatelů.^[6] Phishing se obvykle provádí pomocí falešných e-mailových zpráv nebo zneužitím instant messagingu. Často se snaží uživatele přesvdčit k zadání podrobností na falešných webových stránkách, které se zdají (téměř) totožné s legitimními stránkami. „Lovením” důvěřivých obětí lze phishing klasifikovat jako nelegální využití sociálního inženýrství.

Clickjacking

Clickjacking, také známý jako "UI redressing nebo User Interface redressing" (převléknutí uživatelského rozhraní), je škodlivá technika ve kterém útočník oklame uživatele, aby kliknul na tlačítko nebo odkaz na webovou stránku, zatímco uživatel měl v úmyslu kliknout na vrchní úroveň stránky. To se provádí pomocí více průhledné nebo neprůhledné vrstvy. Útočník v podstatě "unese" kliknutí určené pro horní stránku a přesměruje jej je na nějaké jiné irelevantní stránky, s největší pravděpodobností ve vlastnictví někoho jiného.

Sociální inženýrství

Za sociální inženýrství je považována snaha přesvědčit uživatele, aby dobrovolně prozradil své citlivé údaje, například hesla pro přístup k soukromým službám (e-mail, sociální sítě, internetové bankovnictví, ...), čísla bankovních karet, PIN kód a podobně, například tím, že se vydává za existující instituci (banku, poskytovatele služeb, ...), ale i za kamaráda, příbuzného a podobně.^[7] Typické je naléhání na rychlé "řešení", aby oběť neměla čas zjistit si o útoku podrobnosti a tím ho odhalit.

Populární a ziskový cyber podvod zahrnuje falešné e-maily odeslané na účetní a finanční oddělení. Na začátku roku 2016 ohlásil Federální úřad pro vyšetřování (FBI), že podvod stála americké firmy více než 2 miliardy dolarů v průběhu dvou let.^[8]

V květnu 2016 byl tým Milwaukee Bucks NBA obětí tohoto druhu kybernetického podvodu, pomocí zosobnění prezidenta týmu Petera Feigina, což mělo za následek předání daňových formulářů všech zaměstnanců týmu.^[9]

Bezpečnostní projekt

Aby byla ochrana počítačového systému efektivní, je potřebné vypracovat bezpečnostní projekt. Cílem tohoto projektu je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou, která je bezpečnostním systémem chráněna.

Části bezpečnostního projektu

Zabezpečení fyzického přístupu: Zabezpečení fyzického přístupu spočívá v zabránění přístupu nepovolaných osob k částem počítačového systému. Na toto zabezpečení se používají bezpečnostní prvky jako přidělení rozdílných práv zaměstnancům, elektronické zámky, poplašné zařazení, kamerové systémy, autorizační systémy chráněné hesly, čipovými kartami, autentizační systémy na snímání otisků prstů, dlaně, oční duhovky, rozpoznání hlasu, auditovací systémy na sledování a zaznamenávání určitých akcií zaměstnanců (vstup zaměstnanců do místnosti, přihlášení se do systému, kopírování údajů atd.).

Zabezpečení počítačového systému

Zabezpečení počítačového systému spočívá v zabezpečení systému před útokem crackerů, škodlivých programů (viry, červy, trojské koně, spyware, adware, ...). do této části patří i zaškolení zaměstnanců, aby se chovali v souladu s počítačovou bezpečností a dodržovali zásady bezpečného chování na síti.

Zabezpečení informací

Zabezpečení informací spočívá v bezpečném zálohování dat. Záloha dat by měla být vytvořena tak, aby ji neohrozil útočník ani přírodní živelní pohroma (požár, záplavy, pád letadla, ...). Zálohovaná data je také potřeba chránit proti neoprávněné manipulaci použitím vhodného šifrovacího systému. Záloha dat má být aktuální.

Ekonomické a právní zabezpečení

Ekonomické a právní zabezpečení spočívá ve správné motivaci a postihu zaměstnanců.

Reference

V tomto článku byly použity překlady textů z článků Computer security na anglické Wikipedii a Počítačová bezpečnosť na slovenské Wikipedii.

↑ Computer Security and Mobile Security Challenges [online]. [cit. 2016-08-04]. Dostupné online.
↑ Distributed Denial of Service Attack [online]. [cit. 2014-11-12]. Dostupné online.
↑ Wireless mouse leave billions at risk of computer hack: cyber security firm
↑ [1]
↑ GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant [online]. Ars Technica, May 14, 2014 [cit. 2014-08-03]. Dostupné online.
↑ Identifying Phishing Attempts [online]. Case [cit. 2016-08-27]. Dostupné v archivu pořízeném z originálu dne 2015-09-13.
↑ ARCOS SERGIO. Social Engineering [online]. Dostupné online.
↑ SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online [cit. 7 May 2016].
↑ Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online [cit. 20 May 2016].

Související články

[1] Computer Security and Mobile Security Challenges [online]. [cit. 2016-08-04]. Dostupné online.

[2] Distributed Denial of Service Attack [online]. [cit. 2014-11-12]. Dostupné online.

[3] Wireless mouse leave billions at risk of computer hack: cyber security firm

[4] [1]

[5] GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant [online]. Ars Technica, May 14, 2014 [cit. 2014-08-03]. Dostupné online.

[6] Identifying Phishing Attempts [online]. Case [cit. 2016-08-27]. Dostupné v archivu pořízeném z originálu dne 2015-09-13.

[7] ARCOS SERGIO. Social Engineering [online]. Dostupné online.

[8] SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online [cit. 7 May 2016].

[9] Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online [cit. 20 May 2016].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]