跳去內容

電腦保安

出自維基百科,自由嘅百科全書
(由Cybersecurity跳轉過嚟)
呢幅圖畫描繪想像中嘅黑客;响廿一世紀初,有好多心懷惡意嘅人都會想搞其他人嘅電腦,偷走啲重要嘅資訊

電腦保安din6 nou5 bou2 on1英文computer security / cybersecurity)係資訊保安嘅一個分支,目的係喺保證被授權用戶能夠正常噉攞到同使用資產嘅情況下,保護資訊同財產唔受偷竊、污染或者自然災害等嘅損壞。

啲人之所以電腦會有保安問題,其中一個主因係佢哋成日亂咁 download粵拼daang1 lou1)嘢[1]

概論

[編輯]
内文:電腦科學

基本定義

[編輯]
睇埋:資訊存取控制
要保護一部電腦最簡單嗰個方法-索性搵個鎖住佢,噉啲人就唔能夠(例如)打開個殼偷走部電腦嘅硬碟

有關電腦保安領域要點界定,2022 年嘅不列顛百科全書係噉樣描述電腦保安[2]

粵文翻譯)電腦保安係一系列工作,負責保護電腦系統同埋資訊免受傷害、偷竊同埋未經授權使用。

電腦本質上就係能夠大量噉儲起同快速處理數據系統,好多時都收埋咗好多重要資訊-例如係個人嘅儲蓄戶口密碼,或者一間企業內部有關研發緊嗰件產品嘅詳情嘅資料... 呀噉。有好多人都有誘因想傷害或者偷呢啲資訊,例如黑客可能會想偷啲人嘅儲蓄戶口密碼(用嚟偷),又或者有啲企業可能會想破壞競爭對手嘅研發數據,令自己喺競爭當中得到優勢。電腦保安呢個領域嘅目標,正正就係想深究點樣保護電腦系統,確保啲系統入面嘅資訊,淨係得有授權嘅人先至可以睇或者郁[3][4]

主要功能

[編輯]

根據美國 NIST 電腦保安框架,電腦保安好抽象化噉講包含咗 5 大功能[註 1][5]

  • Identify(搵出):首先,保安專家要清楚噉知道嗮個組織嘅特性,要知個組織係做咩工作嘅,知道個組織有邊啲資產係可以有電腦保安問題嘅,仲有需要知道每隻資產分別有幾大風險... 呀噉。
  • Protect(保護):要開發適當嘅服務,保護呢啲可能受到攻擊嘅資產,例如存取控制就係一種常用嘅保護方法;
  • Detect(探測):要有適當嘅措施,確保啲資產受到攻擊嗰陣電腦保安人員會即刻知,例如啲防毒軟件探測到啲檔案有輘輷嗰時會即刻彈條信息出嚟;
  • Respond(反應):要講明嗮「一旦電腦保安問題出現嗰時,要畀啲咩反應」;
  • Recover(恢復):如果攻擊搞到個系統(或者個系統某啲部份)daang1 咗-例子可以睇吓阻斷服務攻擊,個組織要有一套方案修理返好個系統[註 2]

典型嘅電腦保安用軟件,都係執行緊上述呢啲功能。

漏洞類型

[編輯]
内文:漏洞
睇埋:Bug安全 bug

後門

[編輯]
部電腦嘅系統有冇後門(正常以外嘅進入途徑)呢?
内文:軟件後門

後門backdoor)係指一啲能夠直接 skip 咗部電腦系統正常保安機制嘅攻擊途徑。

舉個簡單例子,軟件工程師製作軟件嗰陣,好多時都會將隻軟件設定成用家要入密碼或者用第啲方法做鑑別,確定咗佢身份,先至准佢哋用隻軟件;同時軟件工程師好多時又會特登設計一啲另類嘅方法,畀用家唔使做呢啲鑑別就用到隻軟件-用意可能係想(例如)確保技術人員能夠喺用家唔記得咗自己密碼嗰時照行隻軟件,從而幫用家 reset 密碼。不過事實表明,黑客等嘅惡意人物成日會利用呢啲噉嘅後門嚟偷取資訊[6][7]

攻擊方要用後門攻擊,可以有多種途徑。最直接嗰種方法,可能攻擊方對佢想攻擊嗰個系統或者嗰隻軟件好熟,甚至知個系統或者隻軟件嘅源碼,知道(例如)喺開咗隻軟件之後撳某段掣再入某段密碼[註 3],就能夠直接略過正常鑑別程序,直接用到隻軟件嘅,於是就用呢種方法攻擊;亦都有一種做法係用某啲方法(例如釣魚)吸引用家daang1惡意程式,然後隻惡意程式會喺用家唔為意嗰陣單撈第啲惡意程式,等呢啲其他惡意程式唔使經用家同意就入到用家部電腦[註 4]-帶頭嗰隻惡意程式可以算係一道由黑客自己整、再擺落用家部電腦度嘅後門[8]

攻擊類型

[編輯]
内文:網絡攻擊
睇埋:心理操縱

釣魚攻擊

[編輯]
「我哋係受信銀行(TrustedBank)。
親愛嘅客戶,我哋留意到您最近嘗試由第個國家度提取 135.25 文咁多錢。如果上述嘅資訊唔正確,可能表示有人偷入您個戶口。為咗安全起見,請您撳以下條拎去我哋個網站:」
(收到呢封 e-mail 嘅人一撳條拎就出事。)

釣魚(phishing)係廿一世紀初其中一種最常見嘅攻擊,用嚟引受害人提供密碼或者信用咭號碼等嘅敏感資訊。一場釣魚式嘅攻擊過程如下[9]

  • 攻擊方假扮成一啲信得過嘅人或者組織,例如扮成銀行或者政府嘅人員呀噉;
  • 向受害方傳信息或者電郵,而且提到一啲會令受害方「揗雞,想即刻行動」嘅內容,例如「我哋係 XX 銀行,你個戶口喺三日前畀一個身處美國嘅人提咗咁多咁多錢」噉;
  • 靠呢種信息或者電郵引受害方提供一啲敏感資訊,例如「如果啲錢唔係你提取嘅,麻煩撳下面條,提供你嘅信用咭號碼」噉;
  • 釣魚式攻擊通常會配合埋各種嘅惡意軟件嚟用,受害方一撳條拎,就會出事-可能條拎會連去一個叫受害方填敏感資訊嘅網站,甚至一撳條拎隻惡意軟件就會單撈落受害方部機度。

黑客寫好信息設好條拎之後,就向 1,000 個人 send(粵拼sen1)釣魚電郵,梗會有一兩個人上當[10]。進階啲嘅釣魚式攻擊仲可以好個人化(魚叉式釣魚)-例如黑客望到某個人手上有啲價值連城嘅資產,就走去調查吓嗰個人,知佢有咩朋友,跟住喺釣魚用嘅電郵度模仿佢啲朋友嘅口吻寫嘢。

事實表明,釣魚式攻擊可以造成巨大嘅損失,例如喺 2020 年代初就出咗好多單案涉及有黑客用釣魚式攻擊引人撳拎,用拎嘅惡意軟件嚟偷走值成幾廿萬美金NFT [11],甚至仲有荷里活嘅演員畀人透過呢種方法偷走佢嘅 NFT 資產[12]。因為噉,有唔少電腦保安工作者都有研究點樣對付釣魚式攻擊,例如反垃圾電郵技術,就可以減少啲人睇到釣魚用電郵嘅機率

阻斷服務

[編輯]

阻斷服務攻擊(Dos):指攻擊者嘗試搞到攻擊目標(好多時係一部伺服器)冇辦法通過互聯網向啲用家提供服務;例如攻擊者用某啲方法突然間係噉勁要求部目標伺服器做嘢,搞到部伺服器唔夠系統資源服務正常嘅用家。分散式阻斷服務攻擊(DDos)係 Dos 嘅一種,指個攻擊者利用俾佢攻陷咗嘅一柞電腦嚟做「用家」,控制呢柞電腦一齊勁要求個目標伺服器做嘢(好似下圖嘅抽象圖解噉)[13]

惡意程式

[編輯]
事實表明咗,啲人會中黑客嘅招,往往係因為佢哋亂咁 download 嘢。
内文:惡意程式

惡意程式(malware):「有惡意」嘅軟件,即係指隻軟件設計出嚟用意係想對電腦、伺服器、用家或者電腦網絡造成傷害。

  • 病毒:一種常見嘅惡意程式,一旦一隻電腦病毒開始行,佢就會郁手篡改第啲電腦程式,對呢啲程式(host)做代碼注入(指加插一啲本來唔屬於嗰個程式嘅碼),從而自我複製,好多時仲會控制 host 所屬嘅電腦,要呢啲電腦幫手散佈隻病毒(例如教部電腦將隻病毒附喺電郵度再傳去俾第啲電腦)[14]
  • 廣告軟件(adware):泛指一啲用嚟勁喺用家部機度顯示廣告嘅軟件;呢啲軟件可以透過好多途徑進入用家嘅電腦,例如係「匿喺」一啲正常嘅程式裏面,一齊俾用家下載落部機度;一旦一隻廣告軟件裝咗落部機度,就會開始用各種方法向用家顯示廣告,例如係上上吓網無啦啦彈個廣告出嚟,或者係擅自改咗用家網頁瀏覽器頭版噉;比較有攻擊性嘅廣告軟件甚至會(例如)靜靜雞查用家「上邊啲網站」嘅資訊,再將呢啲資訊傳返去開發隻軟件嘅人度,用嚟做「已知呢位用家對呢啲呢啲嘢有興趣,要彈啲咩廣告俾呢位用家睇?」噉嘅決策[15]
  • 鍵盤側錄(keylogging):係指一部電腦(通常暗中)記住喺某段時間內用家撳咗鍵盤邊啲掣,可以係一嚿硬件;鍵盤側錄程式一般都唔犯法,成日俾 IT 工作者攞嚟查返啲用家做過啲乜,不過亦都有啲人會用鍵盤側錄嚟做「偷密碼」等嘅犯法嘢[16]

拉雜攻擊類型

[編輯]
  • 夾硬執行代碼(ACE)係指「揀定一部機,揀定一柞命令或者電腦碼,再夾硬要部機執行嗰柞命令或者碼」。有唔少軟件都會有漏洞,令到用家有可能揀一段特定嘅碼,再做 ACE 嘅過程,如果黑客用 ACE 嚟叫部電腦(例如)將部機嘅檔案目錄顯示嗮畀佢睇,等佢有得睇啲佢唔應該睇到嘅檔案;又或者個黑客叫部機行剷走某啲特定嘅數據(想像個黑客係幫佢間企業破壞競爭對手嘅研發數據),甚至將部機入面嘅某啲數據(例如用家嘅銀行密碼)顯示出嚟睇... 呀噉[17]

防守方法

[編輯]

存取控制

[編輯]
「你想 log in 呀?我哋啱啱傳咗一段有 6 個數嘅核證碼(verification code)去你部手機度,唔該打段核證碼。」
用家:(望吓自己部手機收到嗰個信息,將嗰 6 個數字打落去。)

存取控制可以話係電腦保安最直接嗰種做法,泛指用某啲方法限住淨係某啲人先可以睇同攞個系統啲數據。

例如密碼[註 5]就係廿一世紀初電腦保安嘅一個大課題:如果有人想睇某啲敏感資訊,例如係喺網上銀行服務度 log in(粵拼lok1 in1)噉,部電腦會要佢入密碼,入啱先至可以睇,而且正常嚟講個系統仲會限住佢可以撞幾多次密碼,如果佢(例如)入咗三次密碼都入唔啱,佢望落就似係黑客喺度撞密碼,個系統就會暫時封咗佢個戶口。不過問題係,密碼好多時都係畀啲人自己設嘅,而現實表明咗啲人成日都會設啲太易估中嘅密碼,例如調查顯示[18]

  • 123456
  • password(英文密碼噉解)
  • qwerty(標準羅馬字鍵盤最上面嗰行嘅頭嗰 6 隻字母)

... 等嘅密碼成日畀人攞嚟用,黑客是但搵 10 個戶口,個個戶口都嘗試用 123456 嚟 log in,可能己經成功噉入到其中一個,入到戶口就會攞到用戶嘅信用咭號碼同埋其他重要嘅資訊。因為噉,廿一世紀初有唔少電腦保安專家都喺度研究點樣產生難破解嘅密碼,仲要教啲人用噉嘅密碼。

2010 年代後半橛仲開始盛行多重要素鑑別(MFA),即係唔再齋靠密碼嚟做存取控制:用家入咗密碼之後,電腦簡單講可以用雜湊函數將段密碼轉化成一段望落亂七八糟嘅碼(hash)-接收密碼嗰方可以對吓段 hash 同埋「如果入啱咗密碼,會出嘅 hash 嘅樣」睇吓兩者夾唔夾,夾嘅話就表示用家入啱咗密碼[註 6];如果黑客偷取到段 hash,佢哋唔能夠直接睇到段密碼係乜,但佢哋可以靠段 hash 嘅樣嚟估到密碼係乜[19][20]。因為噉嘅緣故,愈嚟愈多嘅電腦保安工作者開始唔想再一味靠密碼嚟做保安,而係會要求用家用入密碼以外嘅方法證明佢哋嘅身份,例如 Google 喺 2016 年起就開始採取一種做法,用家打啱密碼想 log in 之後,Google 會傳段信息去佢部手機度,要求佢喺手機度確認「頭先嘗試 log in 嘅係你」,呢種做法吸引咗好多組織仿傚[21]

專化軟件

[編輯]

防毒軟件(antivirus):泛指用嚟幫一部電腦探測、防範同清除惡意程式嘅軟件;响一開始嗰陣,防毒軟件淨係攞嚟防電腦病毒嘅,不過到咗廿一世紀初,防毒軟件曉應付嘅唔淨只係電腦病毒,仲會有功能幫用家防範勒索軟件特洛伊木馬程序濫發電子訊息釣魚等嘅威脅[22]

虛擬私人網路(VPN):軟件嘅一種,主要功能係將一個私人網絡「擴張」到去一個公用網絡(例如互聯網)度,等用家有得喺唔使俾個公用網絡睇到自己 IP 位址(好多時係透過加密嘅技術)嘅情況下同個網絡收發資訊-達致「保護用家個人資料」噉嘅效果;喺廿一世紀初,VPN 嘅使用幾有爭議性,例如唔少人都質疑 VPN 係咪信得過,會唔會乘機偷用家嘅個資[23]

黑客

[編輯]
内文:黑客

睇埋

[編輯]

註釋

[編輯]
  1. 「抽象化」即係唔諗郁手做嗰陣需要嗰啲細節住。
  2. 可以睇睇容錯能力嘅概念。
  3. 同時假設出隻軟件嗰間公司保安做得好差,密碼畀攻擊方破解咗。
  4. 睇埋特洛伊木馬程式嘅概念。
  5. 唔好同密碼學講嗰啲密文碼撈亂。
  6. 雜湊函數嘅運作原理有啲複雜,呢度唔詳細講。

文獻

[編輯]
  • Harry, C., & Gallagher, N. (2018). Classifying cyber events (PDF). Journal of Information Warfare, 17(3), 17-31,依篇英文文章講咗當代電腦保安要應對嘅問題,可以分做邊幾類,提到網絡攻擊通常一係阻礙正常運作一係唔合法噉攞數據。

[編輯]
  1. "Basic Computer Security: How to Protect Yourself from Viruses, Hackers, and Thieves". How-To Geek (美國英文). 2022-04-14. 喺2023-07-06搵到.
  2. Computer security. Encylcopedia Britannica,原文:"Computer security, the protection of computer systems and information from harm, theft, and unauthorized use."
  3. Confidence In Cybersecurity Regulation For Critical Infrastructure,《福布斯》出咗篇文講到用電腦保安技術保護重要嘅基建
  4. Harry, C., & Gallagher, N. (2018). Classifying cyber events (PDF). Journal of Information Warfare, 17(3), 17-31
  5. NIST Cybersecurity Framework (PDF). National Institute of Standards and Technology,呢篇英文文章有詳講 NIST 呢個保安框架。
  6. Eckersley, Peter; Portnoy, Erica (8 May 2017). "Intel's Management Engine is a security hazard, and users need a way to disable it". www.eff.org.
  7. Kuppa, A., & Le-Khac, N. A. (2021). Adversarial xai methods in cybersecurity. IEEE transactions on information forensics and security, 16, 4924-4938.
  8. What is a Backdoor Attack. Imperva.
  9. [1]
  10. Phishing Scams: Hook, Line, and Sinker. Stevenson University Online.
  11. Bored Ape NFTs Worth $135K Stolen by Prolific Phishing Thief. BeInCrypto.
  12. 4 NFTs Including a Bored Ape Stolen From Hollywood Actor Seth Green. Crypto Potato.
  13. Schwabach, Aaron (2006). Internet and the Law. ABC-CLIO.
  14. Stallings, William (2012). Computer security : principles and practice. Boston: Pearson. p. 182.
  15. Tulloch, Mitch (2003). Koch, Jeff; Haynes, Sandra (eds.). Microsoft Encyclopedia of Security. Redmond, Washington: Microsoft Press. p. 16.
  16. Nyang, DaeHun; Mohaisen, Aziz; Kang, Jeonil (2014-11-01). "Keylogging-Resistant Visual Authentication Protocols". IEEE Transactions on Mobile Computing. 13 (11): 2566-2579.
  17. Team, KernelCare. "Remote code execution attack: what it is, how to protect your systems". blog.kernelcare.com.
  18. Most common passwords: latest 2023 statistics. Cybernews(英文),講到 2023 年最多人用嘅密碼係邊啲。
  19. Top 5 Password Cracking Techniques Used by Hackers. Bleeping computer.
  20. The top 12 password-cracking techniques used by hackers. ITPro.
  21. Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. Retrieved 11 September 2017.
  22. Szor, Peter (2005). The Art of Computer Virus Research and Defense. Addison-Wesley.
  23. Mason, Andrew G. (2002). Cisco Secure Virtual Private Network. Cisco Press. p. 7.

[編輯]