Počítačová bezpečnost

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Počítačová bezpečnost je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených s používáním počítače). Počítačová bezpečnost zahrnuje tyto úkoly:

  • zabezpečení ochrany před neoprávněným manipulováním se zařízeními počítačového systému,
  • ochranu před neoprávněnou manipulací s daty,
  • ochranu informací před krádeží (nelegální tvorba kopií dat) nebo poškozením,
  • bezpečnou komunikaci a přenos dat (kryptografie),
  • bezpečné uložení dat,
  • celistvost a nepodvrhnutelnost dat.

Charakteristika[editovat | editovat zdroj]

Počítačová ochrana je často více zaměřena na techniku a matematiku, než některé jiné oblasti kybernetiky a informatiky. Spočívá ve třech krocích:

  1. prevence – ochrana před hrozbami
  2. detekce – odhalení neoprávněných (skrytých, nezamýšlených) činností a slabých míst v systému
  3. náprava – odstranění slabého místa v systému

Zlepšení počítačové bezpečnosti může zahrnovat následující kroky:

  • omezení fyzického přístupu k počítači pouze pro ty, kteří budou dodržovat bezpečnost při práci s počítačem a daty
  • použití hardwarových zařízení, která vynucují bezpečnostní opatření, což snižuje závislost počítačové bezpečnosti na software (počítačových programech)
  • využití mechanismů operačního systému, která vynucují pravidla chování programů, aby byl omezen rozsah programů, kterým je nutné důvěřovat
  • využití záznamů o změnách v programu (verzování), které je možné využít pro sledování jejich vývoje

Pokud budeme mluvit o počítačové bezpečnosti, nesmíme zapomenout na bezpečnost operačního systému, bezpečnostní projekt a bezpečné šifrování (kryptografie).

Zranitelná místa a útoky[editovat | editovat zdroj]

Hlavní článek: Zranitelost

Zranitelností chápeme citlivá místa či nedostatky systému, a mnoho chyb zabezpečení je popsáno v databázi Common Vulnerabilities and Exposures, správa slabých míst je opakující se praxe identifikace, třídění, nápravy a zmírnění zranitelností, když jsou objeveny. Využitelnou zranitelností chápeme takovou zranitelnost, pro kterou existuje alespoň jeden fungující útok nebo "Exploit".[1] Abychom zajistili počítačový systém, je důležité znát útoky, které mohou být proti němu prováděny. Tyto hrozby jsou klasifikovány podle následujících kategorií:

Backdoors – zadní vrátka[editovat | editovat zdroj]

V počítačovém systému znamenají „zadní vrátkakryptografický systém nebo algoritmus, je to metoda obcházení normální kontroly pro ověření a zabezpečení. Mohou existovat z několika důvodů, včetně původního návrhu nebo díky špatné konfiguraci. Zadní vrátka mohou být také úmyslně nainstalovány programátorem jako nástroj pro systémový debugging, nebo útočníkem za účelem škození. Avšak bez ohledu na motivy jejich existence vytváří zadní vrátka zranitelnost systému.

Denial of service (odepření služby)[editovat | editovat zdroj]

Denial of service útoky jsou navrženy tak, aby zařízení nebo síťové zdroje byly nedostupné pro jeho plánované uživatele.[2] Útočníci mohou upřít službu jednotlivým obětem, například záměrným zadáním chybného hesla tolikrát po sobě dokud způsobí uzamčení účtu oběti, nebo mohou přetížit kapacity zařízení nebo sítě a zablokovat tak všechny uživatele najednou. Zatímco síťový útok z jedné IP adresy může být blokován přidáním nového pravidla brány firewall, mnoho forem distribuovaného odmítnutí služby (DDoS) útoků častěji pochází z velkého počtu bodů - a bránit se je mnohem obtížnější. Takové útoky mohou pocházet ze zombie počítačů botnetu, ale umožňuje to i řada dalších technik, včetně odrazu a zesílení útoků, kde jsou nevinné systémy zmateny tak, že posílají provoz na oběti.

Útoky s přímým přístupem[editovat | editovat zdroj]

Neoprávněný uživatel, který získá fyzický přístup k počítači, je s největší pravděpodobností z něj schopen přímo kopírovat data. Mohou také ohrozit bezpečnost vytvářením modifikací operačního systému, instalací softwarových červů, keyloggerů, odposlouchávacích zařízení nebo pomocí bezdrátových myší.[3] I když je systém chráněn standardními bezpečnostními opatřeními, mohou být schopni je obejít bootováním jiného operačního systému nebo nástroje z disku CD-ROM nebo jiného zaváděcího média. Šifrování disku a Trusted Platform Module jsou navrženy tak, aby zabránily těmto útokům.

Odposlech[editovat | editovat zdroj]

Odposlech znamená tajné poslouchání soukromých rozhovorů, typicky mezi hosty v síti. Například programy jako Carnivore a NarusInsight byly použity FBI a NSA pro odposlouchávání systémů poskytovatelů internetových služeb. Dokonce i zařízení, které fungují jako uzavřený systém (tj., bez kontaktu s okolním světem) lze odposlouchávat pomocí sledování slabých elektromagnetických přenosů generovaných hardwarem.

Spoofing[editovat | editovat zdroj]

Padělání (spoofing) je obecně podvodný nebo škodlivý postup, ve kterém je komunikace odeslána z neznámého zdroje, který se tváří jako zdroj známý přijímači. Spoofing nejvíce převládají v komunikačních mechanismech, které nemají vysoký stupeň bezpečnosti.[4]

Tampering/Zasahování[editovat | editovat zdroj]

Tampering popisuje škodlivou modifikaci produktů. Příkladem jsou takzvané "Evil Maid" útoky a bezpečnostní služby, které vkládají do směrovačů schopnost dozoru.[5]

Elevace oprávnění[editovat | editovat zdroj]

Elevace oprávnění popisuje situaci, kdy útočník s určitou mírou omezeného přístupu je schopen bez povolení zvýšit své výsady nebo úroveň přístupu. Tak například běžný počítačový uživatel může být schopen oklamat systém vložení přístupu k omezeným datům; nebo dokonce "stát se rootem" a získat tak plný neomezený přístup k systému.

Phishing[editovat | editovat zdroj]

Phishing je pokus získat citlivé informace, jako jsou uživatelská jména, hesla a informace o kreditní kartě přímo od uživatelů.[6] Phishing se obvykle provádí pomocí falšování e-mailů nebo instant messagingu, a to často vede uživatele k zadání podrobností na falešné webové stránky, které vypadají a zdají se téměř totožné s těmi legitimními. Lovením důvěřujících oběti, phishing lze klasifikovat jako formu sociálního inženýrství.

Clickjacking[editovat | editovat zdroj]

Clickjacking, také známý jako "UI redressing nebo User Interface redressing" (převléknutí uživatelského rozhraní), je škodlivá technika ve kterém útočník oklame uživatele, aby kliknul na tlačítko nebo odkaz na webovou stránku, zatímco uživatel měl v úmyslu kliknout na vrchní úroveň stránky. To se provádí pomocí více průhledné nebo neprůhledné vrstvy. Útočník v podstatě "unese" kliknutí určené pro horní stránku a přesměruje jej je na nějaké jiné irelevantní stránky, s největší pravděpodobností ve vlastnictví někoho jiného.

Sociální inženýrství[editovat | editovat zdroj]

Sociální inženýrství si klade za cíl přesvědčit uživatele prozradit tajemství, jako jsou hesla, čísla karet, apod například tím, že se vydává za banku, dodavatele nebo zákazníka.[7]

Populární a ziskový cyber podvod zahrnuje falešné e-maily odeslané na účetní a finanční oddělení. Na začátku roku 2016 ohlásil Federální úřad pro vyšetřování (FBI), že podvod stála americké firmy více než 2 miliardy dolarů v průběhu dvou let.[8]

V květnu 2016 byl tým Milwaukee Bucks NBA obětí tohoto druhu kybernetického podvodu, pomocí zosobnění prezidenta týmu Petera Feigina, což mělo za následek předání daňových formulářů všech zaměstnanců týmu.[9]

Bezpečnostní projekt[editovat | editovat zdroj]

Aby byla ochrana počítačového systému efektivní, je potřebné vypracovat bezpečnostní projekt. Cílem tohoto projektu je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou, která je bezpečnostním systémem chráněna.

Části bezpečnostního projektu[editovat | editovat zdroj]

Zabezpečení fyzického přístupu
Zabezpečení fyzického přístupu spočívá v zabránění přístupu nepovolaných osob k částem počítačového systému. Na toto zabezpečení se používají bezpečnostní prvky jako přidělení rozdílných práv zaměstnancům, elektronické zámky, poplašné zařazení, kamerové systémy, autorizační systémy chráněné hesly, čipovými kartami, autentizační systémy na snímání otisků prstů, dlaně, oční duhovky, rozpoznání hlasu, auditovací systémy na sledování a zaznamenávání určitých akcií zaměstnanců (vstup zaměstnanců do místnosti, přihlášení se do systému, kopírování údajů atd.).

Zabezpečení počítačového systému[editovat | editovat zdroj]

Zabezpečení počítačového systému spočívá v zabezpečení systému před útokem crackerů, škodlivých programů (viry, červy, trojské koně, spyware, adware, ...). do této části patří i zaškolení zaměstnanců, aby se chovali v souladu s počítačovou bezpečností a dodržovali zásady bezpečného chování na síti.

Zabezpečení informací[editovat | editovat zdroj]

Zabezpečení informací spočívá v bezpečném zálohování dat. Záloha dat by měla být vytvořena tak, aby ji neohrozil útočník ani přírodní živelní pohroma (požár, záplavy, pád letadla, ...). Zálohovaná data je také potřeba chránit proti neoprávněné manipulaci použitím vhodného šifrovacího systému. Záloha dat má být aktuální.

Ekonomické a právní zabezpečení[editovat | editovat zdroj]

Ekonomické a právní zabezpečení spočívá ve správné motivaci a postihu zaměstnanců.

Související články[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Computer security na anglické Wikipedii.

V tomto článku byl použit překlad textu z článku Počítačová bezpečnosť na slovenské Wikipedii.

  1. Computer Security and Mobile Security Challenges [pdf]. [cit. 2016-08-04]. [1]. (anglicky) 
  2. Distributed Denial of Service Attack [online]. [cit. 2014-11-12]. [2]. (anglicky) 
  3. Wireless mouse leave billions at risk of computer hack: cyber security firm
  4. [3]
  5. GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant [online]. Ars Technica, May 14, 2014, [cit. 2014-08-03]. [4]. (anglicky) 
  6. Identifying Phishing Attempts [online]. Case. [5]. (anglicky) 
  7. ARCOS SERGIO. Social Engineering [online]. . [6]. (anglicky) 
  8. "CEO email scam costs companies $2bn", Financial Times, 24 Feb 2016. Ověřeno k 7 May 2016. 
  9. "Bucks leak tax info of players, employees as result of email scam", Associated Press, 20 May 2016. Ověřeno k 20 May 2016.