電腦保安
啲人之所以電腦會有保安問題,其中一個主因係佢哋成日亂咁 download(粵拼:daang1 lou1)嘢[1]。
概論
[編輯]基本定義
[編輯]有關電腦保安領域要點界定,2022 年嘅不列顛百科全書係噉樣描述電腦保安嘅[2]:
「 | 」 |
電腦本質上就係能夠大量噉儲起同快速處理數據嘅系統,好多時都收埋咗好多重要資訊-例如係個人嘅儲蓄戶口嘅密碼,或者一間企業內部有關研發緊嗰件產品嘅詳情嘅資料... 呀噉。有好多人都有誘因想傷害或者偷呢啲資訊,例如黑客可能會想偷啲人嘅儲蓄戶口密碼(用嚟偷錢),又或者有啲企業可能會想破壞競爭對手嘅研發數據,令自己喺競爭當中得到優勢。電腦保安呢個領域嘅目標,正正就係想深究點樣保護電腦系統,確保啲系統入面嘅資訊,淨係得有授權嘅人先至可以睇或者郁[3][4]。
主要功能
[編輯]根據美國 NIST 電腦保安框架,電腦保安好抽象化噉講包含咗 5 大功能[註 1][5]:
- Identify(搵出):首先,保安專家要清楚噉知道嗮個組織嘅特性,要知個組織係做咩工作嘅,知道個組織有邊啲資產係可以有電腦保安問題嘅,仲有需要知道每隻資產分別有幾大風險... 呀噉。
- Protect(保護):要開發適當嘅服務,保護呢啲可能受到攻擊嘅資產,例如存取控制就係一種常用嘅保護方法;
- Detect(探測):要有適當嘅措施,確保啲資產受到攻擊嗰陣電腦保安人員會即刻知,例如啲防毒軟件探測到啲檔案有輘輷嗰時會即刻彈條信息出嚟;
- Respond(反應):要講明嗮「一旦電腦保安問題出現嗰時,要畀啲咩反應」;
- Recover(恢復):如果攻擊搞到個系統(或者個系統某啲部份)daang1 咗-例子可以睇吓阻斷服務攻擊,個組織要有一套方案修理返好個系統[註 2]。
典型嘅電腦保安用軟件,都係執行緊上述呢啲功能。
漏洞類型
[編輯]後門
[編輯]後門(backdoor)係指一啲能夠直接 skip 咗部電腦系統正常保安機制嘅攻擊途徑。
舉個簡單例子,軟件工程師製作軟件嗰陣,好多時都會將隻軟件設定成用家要入密碼或者用第啲方法做鑑別,確定咗佢身份,先至准佢哋用隻軟件;同時軟件工程師好多時又會特登設計一啲另類嘅方法,畀用家唔使做呢啲鑑別就用到隻軟件-用意可能係想(例如)確保技術人員能夠喺用家唔記得咗自己密碼嗰時照行隻軟件,從而幫用家 reset 密碼。不過事實表明,黑客等嘅惡意人物成日會利用呢啲噉嘅後門嚟偷取資訊[6][7]。
攻擊方要用後門攻擊,可以有多種途徑。最直接嗰種方法,可能攻擊方對佢想攻擊嗰個系統或者嗰隻軟件好熟,甚至知個系統或者隻軟件嘅源碼,知道(例如)喺開咗隻軟件之後撳某段掣再入某段密碼[註 3],就能夠直接略過正常鑑別程序,直接用到隻軟件嘅,於是就用呢種方法攻擊;亦都有一種做法係用某啲方法(例如釣魚)吸引用家
攻擊類型
[編輯]釣魚攻擊
[編輯]釣魚(phishing)係廿一世紀初其中一種最常見嘅攻擊,用嚟引受害人提供密碼或者信用咭號碼等嘅敏感資訊。一場釣魚式嘅攻擊過程如下[9]:
- 攻擊方假扮成一啲信得過嘅人或者組織,例如扮成銀行或者政府嘅人員呀噉;
- 向受害方傳信息或者電郵,而且提到一啲會令受害方「揗雞,想即刻行動」嘅內容,例如「我哋係 XX 銀行,你個戶口喺三日前畀一個身處美國嘅人提咗咁多咁多錢」噉;
- 靠呢種信息或者電郵引受害方提供一啲敏感資訊,例如「如果啲錢唔係你提取嘅,麻煩撳下面條拎,提供你嘅信用咭號碼」噉;
- 釣魚式攻擊通常會配合埋各種嘅惡意軟件嚟用,受害方一撳條拎,就會出事-可能條拎會連去一個叫受害方填敏感資訊嘅網站,甚至一撳條拎隻惡意軟件就會單撈落受害方部機度。
黑客寫好信息設好條拎之後,就向 1,000 個人 send(粵拼:sen1)釣魚電郵,梗會有一兩個人上當[10]。進階啲嘅釣魚式攻擊仲可以好個人化(魚叉式釣魚)-例如黑客望到某個人手上有啲價值連城嘅資產,就走去調查吓嗰個人,知佢有咩朋友,跟住喺釣魚用嘅電郵度模仿佢啲朋友嘅口吻寫嘢。
事實表明,釣魚式攻擊可以造成巨大嘅損失,例如喺 2020 年代初就出咗好多單案涉及有黑客用釣魚式攻擊引人撳拎,用拎嘅惡意軟件嚟偷走值成幾廿萬美金嘅 NFT [11],甚至仲有荷里活嘅演員畀人透過呢種方法偷走佢嘅 NFT 資產[12]。因為噉,有唔少電腦保安工作者都有研究點樣對付釣魚式攻擊,例如反垃圾電郵技術,就可以減少啲人睇到釣魚用電郵嘅機率。
阻斷服務
[編輯]阻斷服務攻擊(Dos):指攻擊者嘗試搞到攻擊目標(好多時係一部伺服器)冇辦法通過互聯網向啲用家提供服務;例如攻擊者用某啲方法突然間係噉勁要求部目標伺服器做嘢,搞到部伺服器唔夠系統資源服務正常嘅用家。分散式阻斷服務攻擊(DDos)係 Dos 嘅一種,指個攻擊者利用俾佢攻陷咗嘅一柞電腦嚟做「用家」,控制呢柞電腦一齊勁要求個目標伺服器做嘢(好似下圖嘅抽象圖解噉)[13]。
惡意程式
[編輯]惡意程式(malware):「有惡意」嘅軟件,即係指隻軟件設計出嚟用意係想對電腦、伺服器、用家或者電腦網絡造成傷害。
- 病毒:一種常見嘅惡意程式,一旦一隻電腦病毒開始行,佢就會郁手篡改第啲電腦程式,對呢啲程式(host)做代碼注入(指加插一啲本來唔屬於嗰個程式嘅碼),從而自我複製,好多時仲會控制 host 所屬嘅電腦,要呢啲電腦幫手散佈隻病毒(例如教部電腦將隻病毒附喺電郵度再傳去俾第啲電腦)[14]。
- 廣告軟件(adware):泛指一啲用嚟勁喺用家部機度顯示廣告嘅軟件;呢啲軟件可以透過好多途徑進入用家嘅電腦,例如係「匿喺」一啲正常嘅程式裏面,一齊俾用家下載落部機度;一旦一隻廣告軟件裝咗落部機度,就會開始用各種方法向用家顯示廣告,例如係上上吓網無啦啦彈個廣告出嚟,或者係擅自改咗用家網頁瀏覽器嘅頭版噉;比較有攻擊性嘅廣告軟件甚至會(例如)靜靜雞查用家「上邊啲網站」嘅資訊,再將呢啲資訊傳返去開發隻軟件嘅人度,用嚟做「已知呢位用家對呢啲呢啲嘢有興趣,要彈啲咩廣告俾呢位用家睇?」噉嘅決策[15]。
- 鍵盤側錄(keylogging):係指一部電腦(通常暗中)記住喺某段時間內用家撳咗鍵盤邊啲掣,可以係一嚿硬件;鍵盤側錄程式一般都唔犯法,成日俾 IT 工作者攞嚟查返啲用家做過啲乜,不過亦都有啲人會用鍵盤側錄嚟做「偷密碼」等嘅犯法嘢[16]。
拉雜攻擊類型
[編輯]- 夾硬執行代碼(ACE)係指「揀定一部機,揀定一柞命令或者電腦碼,再夾硬要部機執行嗰柞命令或者碼」。有唔少軟件都會有漏洞,令到用家有可能揀一段特定嘅碼,再做 ACE 嘅過程,如果黑客用 ACE 嚟叫部電腦(例如)將部機嘅檔案目錄顯示嗮畀佢睇,等佢有得睇啲佢唔應該睇到嘅檔案;又或者個黑客叫部機行剷走某啲特定嘅數據(想像個黑客係幫佢間企業破壞競爭對手嘅研發數據),甚至將部機入面嘅某啲數據(例如用家嘅銀行密碼)顯示出嚟睇... 呀噉[17]。
防守方法
[編輯]存取控制
[編輯]存取控制可以話係電腦保安最直接嗰種做法,泛指用某啲方法限住淨係某啲人先可以睇同攞個系統啲數據。
例如密碼[註 5]就係廿一世紀初電腦保安嘅一個大課題:如果有人想睇某啲敏感資訊,例如係喺網上銀行服務度 log in(粵拼:lok1 in1)噉,部電腦會要佢入密碼,入啱先至可以睇,而且正常嚟講個系統仲會限住佢可以撞幾多次密碼,如果佢(例如)入咗三次密碼都入唔啱,佢望落就似係黑客喺度撞密碼,個系統就會暫時封咗佢個戶口。不過問題係,密碼好多時都係畀啲人自己設嘅,而現實表明咗啲人成日都會設啲太易估中嘅密碼,例如調查顯示[18],
... 等嘅密碼成日畀人攞嚟用,黑客是但搵 10 個戶口,個個戶口都嘗試用 123456 嚟 log in,可能己經成功噉入到其中一個,入到戶口就會攞到用戶嘅信用咭號碼同埋其他重要嘅資訊。因為噉,廿一世紀初有唔少電腦保安專家都喺度研究點樣產生難破解嘅密碼,仲要教啲人用噉嘅密碼。
2010 年代後半橛仲開始盛行多重要素鑑別(MFA),即係唔再齋靠密碼嚟做存取控制:用家入咗密碼之後,電腦簡單講可以用雜湊函數將段密碼轉化成一段望落亂七八糟嘅碼(hash
)-接收密碼嗰方可以對吓段 hash
同埋「如果入啱咗密碼,會出嘅 hash
嘅樣」睇吓兩者夾唔夾,夾嘅話就表示用家入啱咗密碼[註 6];如果黑客偷取到段 hash
,佢哋唔能夠直接睇到段密碼係乜,但佢哋可以靠段 hash
嘅樣嚟估到密碼係乜[19][20]。因為噉嘅緣故,愈嚟愈多嘅電腦保安工作者開始唔想再一味靠密碼嚟做保安,而係會要求用家用入密碼以外嘅方法證明佢哋嘅身份,例如 Google 喺 2016 年起就開始採取一種做法,用家打啱密碼想 log in 之後,Google 會傳段信息去佢部手機度,要求佢喺手機度確認「頭先嘗試 log in 嘅係你」,呢種做法吸引咗好多組織仿傚[21]。
專化軟件
[編輯]防毒軟件(antivirus):泛指用嚟幫一部電腦探測、防範同清除惡意程式嘅軟件;响一開始嗰陣,防毒軟件淨係攞嚟防電腦病毒嘅,不過到咗廿一世紀初,防毒軟件曉應付嘅唔淨只係電腦病毒,仲會有功能幫用家防範勒索軟件、特洛伊木馬程序、濫發電子訊息同釣魚等嘅威脅[22]。
虛擬私人網路(VPN):軟件嘅一種,主要功能係將一個私人網絡「擴張」到去一個公用網絡(例如互聯網)度,等用家有得喺唔使俾個公用網絡睇到自己 IP 位址(好多時係透過加密嘅技術)嘅情況下同個網絡收發資訊-達致「保護用家個人資料」噉嘅效果;喺廿一世紀初,VPN 嘅使用幾有爭議性,例如唔少人都質疑 VPN 係咪信得過,會唔會乘機偷用家嘅個資[23]。
黑客
[編輯]睇埋
[編輯]註釋
[編輯]文獻
[編輯]- Harry, C., & Gallagher, N. (2018). Classifying cyber events (PDF). Journal of Information Warfare, 17(3), 17-31,依篇英文文章講咗當代電腦保安要應對嘅問題,可以分做邊幾類,提到網絡攻擊通常一係阻礙正常運作一係唔合法噉攞數據。
攷
[編輯]- ↑ "Basic Computer Security: How to Protect Yourself from Viruses, Hackers, and Thieves". How-To Geek (美國英文). 2022-04-14. 喺2023-07-06搵到.
- ↑ Computer security. Encylcopedia Britannica,原文:"Computer security, the protection of computer systems and information from harm, theft, and unauthorized use."
- ↑ Confidence In Cybersecurity Regulation For Critical Infrastructure,《福布斯》出咗篇文講到用電腦保安技術保護重要嘅基建。
- ↑ Harry, C., & Gallagher, N. (2018). Classifying cyber events (PDF). Journal of Information Warfare, 17(3), 17-31
- ↑ NIST Cybersecurity Framework (PDF). National Institute of Standards and Technology,呢篇英文文章有詳講 NIST 呢個保安框架。
- ↑ Eckersley, Peter; Portnoy, Erica (8 May 2017). "Intel's Management Engine is a security hazard, and users need a way to disable it". www.eff.org.
- ↑ Kuppa, A., & Le-Khac, N. A. (2021). Adversarial xai methods in cybersecurity. IEEE transactions on information forensics and security, 16, 4924-4938.
- ↑ What is a Backdoor Attack. Imperva.
- ↑ [1]
- ↑ Phishing Scams: Hook, Line, and Sinker. Stevenson University Online.
- ↑ Bored Ape NFTs Worth $135K Stolen by Prolific Phishing Thief. BeInCrypto.
- ↑ 4 NFTs Including a Bored Ape Stolen From Hollywood Actor Seth Green. Crypto Potato.
- ↑ Schwabach, Aaron (2006). Internet and the Law. ABC-CLIO.
- ↑ Stallings, William (2012). Computer security : principles and practice. Boston: Pearson. p. 182.
- ↑ Tulloch, Mitch (2003). Koch, Jeff; Haynes, Sandra (eds.). Microsoft Encyclopedia of Security. Redmond, Washington: Microsoft Press. p. 16.
- ↑ Nyang, DaeHun; Mohaisen, Aziz; Kang, Jeonil (2014-11-01). "Keylogging-Resistant Visual Authentication Protocols". IEEE Transactions on Mobile Computing. 13 (11): 2566-2579.
- ↑ Team, KernelCare. "Remote code execution attack: what it is, how to protect your systems". blog.kernelcare.com.
- ↑ Most common passwords: latest 2023 statistics. Cybernews(英文),講到 2023 年最多人用嘅密碼係邊啲。
- ↑ Top 5 Password Cracking Techniques Used by Hackers. Bleeping computer.
- ↑ The top 12 password-cracking techniques used by hackers. ITPro.
- ↑ Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. Retrieved 11 September 2017.
- ↑ Szor, Peter (2005). The Art of Computer Virus Research and Defense. Addison-Wesley.
- ↑ Mason, Andrew G. (2002). Cisco Secure Virtual Private Network. Cisco Press. p. 7.
拎
[編輯]- ChatGPT could boost phishing scams (英文),TechTargets 出文講 ChatGPT 有可能令釣魚式攻擊更加難防。