電腦保安嘅大綱
閱讀設定
以下呢篇大綱,旨在將 cybersecurity 最重要嗰啲概念列嗮出嚟。
定位
[編輯]内文:電腦保安
睇埋:資訊科技
有關「電腦保安」要點界定,2022 年嘅不列顛百科全書係噉樣描述 cybersecurity(粵拼:saai1 baa1 sek6 kiu1 rit4 ti4)呢隻字嘅[1]:
「 | 」 |
電腦本質上就係能夠大量噉儲起同快速處理數據嘅系統,好多時都收埋咗好多重要資訊-例如係個人嘅儲蓄戶口嘅密碼,或者一間企業內部有關研發緊嗰件產品嘅詳情嘅資料... 呀噉。有好多人都有誘因想傷害或者偷呢啲資訊,例如黑客可能會想偷啲人嘅儲蓄戶口密碼(用嚟偷錢),又或者有啲企業可能會想破壞競爭對手嘅研發數據,令自己喺競爭當中得到優勢。電腦保安呢個領域嘅目標,正正就係想深究點樣保護電腦系統,確保啲系統入面嘅資訊,淨係得有授權嘅人先至可以睇或者郁[2]。
要保護嘅系統
[編輯]睇埋:資訊系統
漏洞類型
[編輯]内文:漏洞
睇埋:Bug
- Backdoor(粵拼:bek1 do1 aa4;有譯做後門):指一啲能夠直接 skip 咗部電腦系統正常保安機制嘅攻擊途徑。舉個簡單例子,軟件工程師製作軟件嗰陣,好多時都會將隻軟件設定成用家要入密碼或者用第啲方法做鑑別,確定咗佢身份,先至准佢哋用隻軟件;同時軟件工程師好多時又會特登設計一啲另類嘅方法,畀用家唔使做呢啲鑑別就用到隻軟件-用意可能係想(例如)確保技術人員能夠喺用家唔記得咗自己密碼嗰時照行隻軟件,從而幫用家 reset 密碼。不過事實表明,黑客等嘅惡意人物成日會利用呢啲噉嘅 backdoor 嚟偷取資訊[3][4]。
攻擊類型
[編輯]網絡攻擊
[編輯]内文:網絡攻擊
- 阻斷服務攻擊(denial-of-service attack,Dos attack):指攻擊者嘗試搞到攻擊目標(好多時係一部伺服器)冇辦法通過互聯網向啲用家提供服務;例如攻擊者用某啲方法突然間係噉勁要求部目標伺服器做嘢,搞到部伺服器唔夠系統資源服務正常嘅用家。分散式阻斷服務攻擊(distributed Dos,DDos)係 Dos 嘅一種,指個攻擊者利用俾佢攻陷咗嘅一柞電腦嚟做「用家」,控制呢柞電腦一齊勁要求個目標伺服器做嘢(好似下圖嘅抽象圖解噉)[5]。
惡意程式
[編輯]内文:惡意程式
惡意程式(malware):「有惡意」嘅軟件,即係指隻軟件設計出嚟用意係想對電腦、伺服器、用家或者電腦網絡造成傷害。
- 病毒(virus):一種常見嘅惡意程式,一旦一隻電腦病毒開始行,佢就會郁手篡改第啲電腦程式,對呢啲程式(host)做代碼注入(code injection;指加插一啲本來唔屬於嗰個程式嘅碼),從而自我複製,好多時仲會控制 host 所屬嘅電腦,要呢啲電腦幫手散佈隻病毒(例如教部電腦將隻病毒附喺電郵度再傳去俾第啲電腦)[6]。
- 廣告軟件(adware):泛指一啲用嚟勁喺用家部機度顯示廣告嘅軟件;呢啲軟件可以透過好多途徑進入用家嘅電腦,例如係「匿喺」一啲正常嘅程式裏面,一齊俾用家下載落部機度;一旦一隻廣告軟件裝咗落部機度,就會開始用各種方法向用家顯示廣告,例如係上上吓網無啦啦彈個廣告出嚟,或者係擅自改咗用家網頁瀏覽器嘅頭版噉;比較有攻擊性嘅廣告軟件甚至會(例如)靜靜雞查用家「上邊啲網站」嘅資訊,再將呢啲資訊傳返去開發隻軟件嘅人度,用嚟做「已知呢位用家對呢啲呢啲嘢有興趣,要彈啲咩廣告俾呢位用家睇?」噉嘅決策[7]。
- 鍵盤側錄(keylogging / keystroke logging):係指一部電腦(通常暗中)記住喺某段時間內用家撳咗鍵盤邊啲掣,可以係一嚿硬件;鍵盤側錄程式一般都唔犯法,成日俾 IT 工作者攞嚟查返啲用家做過啲乜,不過亦都有啲人會用鍵盤側錄嚟做「偷密碼」等嘅犯法嘢[8]。
拉雜攻擊類型
[編輯]- 夾硬執行代碼(arbitrary code execution,ACE)係指「揀定一部機,揀定一柞命令或者電腦碼,再夾硬要部機執行嗰柞命令或者碼」。有唔少軟件都會有漏洞,令到用家有可能揀一段特定嘅碼,再做 ACE 嘅過程,如果黑客用 ACE 嚟叫部電腦(例如)將部機嘅檔案目錄顯示嗮畀佢睇,等佢有得睇啲佢唔應該睇到嘅檔案;又或者個黑客叫部機行剷走某啲特定嘅數據(想像個黑客係幫佢間企業破壞競爭對手嘅研發數據),甚至將部機入面嘅某啲數據(例如用家嘅銀行密碼)顯示出嚟睇... 呀噉[9]。
防守方法
[編輯]睇埋:密碼學
- 存取控制(access control):泛指用某啲方法嚟限住「邊個有權用呢件呢件資源或者睇呢件呢件資訊」。
- 防毒軟件(antivirus software):泛指用嚟幫一部電腦探測、防範同清除惡意程式嘅軟件;响一開始嗰陣,防毒軟件淨係攞嚟防電腦病毒嘅,不過到咗廿一世紀初,防毒軟件曉應付嘅唔淨只係電腦病毒,仲會有功能幫用家防範勒索軟件、特洛伊木馬程序、濫發電子訊息同釣魚等嘅威脅[10]。
- 虛擬私人網路(virtual private network,VPN):軟件嘅一種,主要功能係將一個私人網絡「擴張」到去一個公用網絡(例如互聯網)度,等用家有得喺唔使俾個公用網絡睇到自己 IP 位址(好多時係透過加密嘅技術)嘅情況下同個網絡收發資訊-達致「保護用家個人資料」噉嘅效果;喺廿一世紀初,VPN 嘅使用幾有爭議性,例如唔少人都質疑 VPN 係咪信得過,會唔會乘機偷用家嘅個資[11]。
密碼學
[編輯]内文:密碼學
睇埋:運算複雜度
- 密碼學
- 雜湊函數(hash function):一種函數;一個雜湊函數能夠攞任何長度嘅數據(input),再將段數據轉化成一個長度固定嘅位陣列(output;下圖嘅
digest
),例如攞一大拃人嘅英文名(可以有幾多個字母都得),再將啲名冚唪唥轉換做兩個位嘅數-John Smith
→02
、Lisa Smith
→03
、Sam Doe
→02
... 呀噉[12]。 - 密碼雜湊函數(cryptographic hash function;睇埋 checksum 嘅概念):密碼學上成日用嘅一類演算法;一個密碼雜湊函數會將任何長度嘅數據(input)轉化成一個長度固定嘅位陣列(output;下圖嘅
digest
),而且有以下嘅特徵[13]:- 冇隨機性喺入面;
- 要「由出嗰啲位陣列嗰度,計返串輸入數據出嚟」,係極之困難甚至冇可能嘅;
- 是但搵兩串唔同嘅輸入數據,佢哋出嘅位陣列都會唔一樣;
- 串輸入數據變咗少少,出嘅位陣列都會唔同嗮樣。
- 區塊鏈(blockchain):一種分散式嘅數據庫;一條區塊鏈會用好多部彼此之間有網絡連住、但位置上可以相距好遠嘅電腦,喺一條區塊鏈當中,數據會斬開做一嚿嚿區塊(block),每嚿區塊都會儲若干嘅數據,儲滿就封(唔俾人再改)同埋連去打前嗰啲區塊度(用
prev_hash
),而且每嚿區塊都掕住咗個時間標記(好似下圖噉)[14]。
- 雜湊函數(hash function):一種函數;一個雜湊函數能夠攞任何長度嘅數據(input),再將段數據轉化成一個長度固定嘅位陣列(output;下圖嘅
睇埋
[編輯]攷
[編輯]- ↑ Computer security. Encylcopedia Britannica.
- ↑ Confidence In Cybersecurity Regulation For Critical Infrastructure. Forbes.
- ↑ Eckersley, Peter; Portnoy, Erica (8 May 2017). "Intel's Management Engine is a security hazard, and users need a way to disable it". www.eff.org.
- ↑ Kuppa, A., & Le-Khac, N. A. (2021). Adversarial xai methods in cybersecurity. IEEE transactions on information forensics and security, 16, 4924-4938.
- ↑ Schwabach, Aaron (2006). Internet and the Law. ABC-CLIO.
- ↑ Stallings, William (2012). Computer security : principles and practice. Boston: Pearson. p. 182.
- ↑ Tulloch, Mitch (2003). Koch, Jeff; Haynes, Sandra (eds.). Microsoft Encyclopedia of Security. Redmond, Washington: Microsoft Press. p. 16.
- ↑ Nyang, DaeHun; Mohaisen, Aziz; Kang, Jeonil (2014-11-01). "Keylogging-Resistant Visual Authentication Protocols". IEEE Transactions on Mobile Computing. 13 (11): 2566-2579.
- ↑ Team, KernelCare. "Remote code execution attack: what it is, how to protect your systems". blog.kernelcare.com.
- ↑ Szor, Peter (2005). The Art of Computer Virus Research and Defense. Addison-Wesley.
- ↑ Mason, Andrew G. (2002). Cisco Secure Virtual Private Network. Cisco Press. p. 7.
- ↑ Knuth, D. (1973). The Art of Computer Programming, Vol. 3, Sorting and Searching, p.527. Addison-Wesley, Reading, MA., United States.
- ↑ Alshaikhli, Imad Fakhri; AlAhmad, Mohammad Abdulateef (2015), "Cryptographic Hash Function", Handbook of Research on Threat Detection and Countermeasures in Network Security, IGI Global.
- ↑ 14.0 14.1 Narayanan, Arvind; Bonneau, Joseph; Felten, Edward; Miller, Andrew; Goldfeder, Steven (2016). Bitcoin and cryptocurrency technologies: a comprehensive introduction. Princeton: Princeton University Press.