以下呢篇大綱,旨在將 cybersecurity 最重要嗰啲概念列嗮出嚟。

要保護一部電腦嘅最簡單方法-索性搵個鎖住佢,噉啲人就唔能夠(例如)打開個殼偷走部電腦嘅硬碟

定位 編輯

内文:電腦保安
睇埋:資訊科技

有關「電腦保安」要點界定,2022 年嘅不列顛百科全書係噉樣描述 cybersecurity粵拼saai1 baa1 sek6 kiu1 rit4 ti4)呢隻字嘅[1]

原版英文:"Computer security, the protection of computer systems and information from harm, theft, and unauthorized use."

粵文翻譯:電腦保安,(係)保護電腦系統同埋資訊免受傷害、偷竊同埋未經授權使用嘅工作。

電腦本質上就係能夠大量噉儲起同快速處理數據系統,好多時都收埋咗好多重要資訊-例如係個人嘅儲蓄戶口密碼,或者一間企業內部有關研發緊嗰件產品嘅詳情嘅資料... 呀噉。有好多人都有誘因想傷害或者偷呢啲資訊,例如黑客可能會想偷啲人嘅儲蓄戶口密碼(用嚟偷),又或者有啲企業可能會想破壞競爭對手嘅研發數據,令自己喺競爭當中得到優勢。電腦保安呢個領域嘅目標,正正就係想深究點樣保護電腦系統,確保啲系統入面嘅資訊,淨係得有授權嘅人先至可以睇或者郁[2]

要保護嘅系統 編輯

睇埋:資訊系統

漏洞類型 編輯

 
部電腦嘅系統有冇後門(正常以外嘅進入途徑)呢?
内文:漏洞
睇埋:Bug
  • Backdoor粵拼bek1 do1 aa4;有譯做後門):指一啲能夠直接 skip 咗部電腦系統正常保安機制嘅攻擊途徑。舉個簡單例子,軟件工程師製作軟件嗰陣,好多時都會將隻軟件設定成用家要入密碼或者用第啲方法做鑑別,確定咗佢身份,先至准佢哋用隻軟件;同時軟件工程師好多時又會特登設計一啲另類嘅方法,畀用家唔使做呢啲鑑別就用到隻軟件-用意可能係想(例如)確保技術人員能夠喺用家唔記得咗自己密碼嗰時照行隻軟件,從而幫用家 reset 密碼。不過事實表明,黑客等嘅惡意人物成日會利用呢啲噉嘅 backdoor 嚟偷取資訊[3][4]

攻擊類型 編輯

網絡攻擊 編輯

内文:網絡攻擊
  • 阻斷服務攻擊(denial-of-service attack,Dos attack):指攻擊者嘗試搞到攻擊目標(好多時係一部伺服器)冇辦法通過互聯網向啲用家提供服務;例如攻擊者用某啲方法突然間係噉勁要求部目標伺服器做嘢,搞到部伺服器唔夠系統資源服務正常嘅用家。分散式阻斷服務攻擊(distributed Dos,DDos)係 Dos 嘅一種,指個攻擊者利用俾佢攻陷咗嘅一柞電腦嚟做「用家」,控制呢柞電腦一齊勁要求個目標伺服器做嘢(好似下圖嘅抽象圖解噉)[5]
 

惡意程式 編輯

内文:惡意程式

惡意程式(malware):「有惡意」嘅軟件,即係指隻軟件設計出嚟用意係想對電腦、伺服器、用家或者電腦網絡造成傷害。

  • 病毒(virus):一種常見嘅惡意程式,一旦一隻電腦病毒開始行,佢就會郁手篡改第啲電腦程式,對呢啲程式(host)做代碼注入(code injection;指加插一啲本來唔屬於嗰個程式嘅碼),從而自我複製,好多時仲會控制 host 所屬嘅電腦,要呢啲電腦幫手散佈隻病毒(例如教部電腦將隻病毒附喺電郵度再傳去俾第啲電腦)[6]
  • 廣告軟件(adware):泛指一啲用嚟勁喺用家部機度顯示廣告嘅軟件;呢啲軟件可以透過好多途徑進入用家嘅電腦,例如係「匿喺」一啲正常嘅程式裏面,一齊俾用家下載落部機度;一旦一隻廣告軟件裝咗落部機度,就會開始用各種方法向用家顯示廣告,例如係上上吓網無啦啦彈個廣告出嚟,或者係擅自改咗用家網頁瀏覽器頭版噉;比較有攻擊性嘅廣告軟件甚至會(例如)靜靜雞查用家「上邊啲網站」嘅資訊,再將呢啲資訊傳返去開發隻軟件嘅人度,用嚟做「已知呢位用家對呢啲呢啲嘢有興趣,要彈啲咩廣告俾呢位用家睇?」噉嘅決策[7]
 
事實表明咗,啲人會中黑客嘅招,往往係因為佢哋亂咁 download 嘢。
  • 鍵盤側錄(keylogging / keystroke logging):係指一部電腦(通常暗中)記住喺某段時間內用家撳咗鍵盤邊啲掣,可以係一嚿硬件;鍵盤側錄程式一般都唔犯法,成日俾 IT 工作者攞嚟查返啲用家做過啲乜,不過亦都有啲人會用鍵盤側錄嚟做「偷密碼」等嘅犯法嘢[8]

拉雜攻擊類型 編輯

  • 夾硬執行代碼(arbitrary code execution,ACE)係指「揀定一部機,揀定一柞命令或者電腦碼,再夾硬要部機執行嗰柞命令或者碼」。有唔少軟件都會有漏洞,令到用家有可能揀一段特定嘅碼,再做 ACE 嘅過程,如果黑客用 ACE 嚟叫部電腦(例如)將部機嘅檔案目錄顯示嗮畀佢睇,等佢有得睇啲佢唔應該睇到嘅檔案;又或者個黑客叫部機行剷走某啲特定嘅數據(想像個黑客係幫佢間企業破壞競爭對手嘅研發數據),甚至將部機入面嘅某啲數據(例如用家嘅銀行密碼)顯示出嚟睇... 呀噉[9]

防守方法 編輯

睇埋:密碼學
  • 存取控制(access control):泛指用某啲方法嚟限住「邊個有權用呢件呢件資源或者睇呢件呢件資訊」。
  • 防毒軟件(antivirus software):泛指用嚟幫一部電腦探測、防範同清除惡意程式嘅軟件;响一開始嗰陣,防毒軟件淨係攞嚟防電腦病毒嘅,不過到咗廿一世紀初,防毒軟件曉應付嘅唔淨只係電腦病毒,仲會有功能幫用家防範勒索軟件特洛伊木馬程序濫發電子訊息釣魚等嘅威脅[10]
  • 虛擬私人網路(virtual private network,VPN):軟件嘅一種,主要功能係將一個私人網絡「擴張」到去一個公用網絡(例如互聯網)度,等用家有得喺唔使俾個公用網絡睇到自己 IP 位址(好多時係透過加密嘅技術)嘅情況下同個網絡收發資訊-達致「保護用家個人資料」噉嘅效果;喺廿一世紀初,VPN 嘅使用幾有爭議性,例如唔少人都質疑 VPN 係咪信得過,會唔會乘機偷用家嘅個資[11]

密碼學 編輯

内文:密碼學
  • 密碼學
    • 雜湊函數(hash function):一種函數;一個雜湊函數能夠攞任何長度嘅數據(input),再將段數據轉化成一個長度固定嘅位陣列output;下圖嘅 digest),例如攞一大拃人嘅英文名(可以有幾多個字母都得),再將啲名冚唪唥轉換做兩個位嘅數-John Smith02Lisa Smith03Sam Doe02... 呀噉[12]
    • 密碼雜湊函數(cryptographic hash function;睇埋 checksum 嘅概念):密碼學上成日用嘅一類演算法;一個密碼雜湊函數會將任何長度嘅數據(input)轉化成一個長度固定嘅位陣列output;下圖嘅 digest),而且有以下嘅特徵[13]
      • 冇隨機性喺入面;
      • 要「由出嗰啲位陣列嗰度,計返串輸入數據出嚟」,係極之困難甚至冇可能嘅;
      • 是但搵兩串唔同嘅輸入數據,佢哋出嘅位陣列都會唔一樣;
      • 串輸入數據變咗少少,出嘅位陣列都會唔同嗮樣。
       
    • 區塊鏈(blockchain):一種分散式嘅數據庫;一條區塊鏈會用好多部彼此之間有網絡連住、但位置上可以相距好遠嘅電腦,喺一條區塊鏈當中,數據會斬開做一嚿嚿區塊(block),每嚿區塊都會儲若干嘅數據,儲滿就封(唔俾人再改)同埋連去打前嗰啲區塊度(用 prev_hash),而且每嚿區塊都掕住咗個時間標記(好似下圖噉)[14]
      • 區塊鏈最出名嘅用途係用嚟儲住加密電子貨幣啲交易紀錄:一條區塊鏈正路會將網絡入面唔同電腦嘅紀錄做較對,如果有其中一部機啲數據同其餘嗰啲機唔夾,噉就知道嗰部機啲數據有問題,而噉亦都表示,如果有黑客想偷錢(必然會涉及篡改紀錄)就實要改個網絡入面 51% 嘅電腦儲咗嘅數據-呢樣係一樣極之困難嘅工作,而且因為一條區塊鏈每嚿區塊都帶有有關打前啲區塊嘅資訊(用咗密碼雜湊函數),令到防守方更加容易留意到有人對啲紀錄做咗手腳[14]
         

睇埋 編輯

編輯

  1. Computer security. Encylcopedia Britannica.
  2. Confidence In Cybersecurity Regulation For Critical Infrastructure. Forbes.
  3. Eckersley, Peter; Portnoy, Erica (8 May 2017). "Intel's Management Engine is a security hazard, and users need a way to disable it". www.eff.org.
  4. Kuppa, A., & Le-Khac, N. A. (2021). Adversarial xai methods in cybersecurity. IEEE transactions on information forensics and security, 16, 4924-4938.
  5. Schwabach, Aaron (2006). Internet and the Law. ABC-CLIO.
  6. Stallings, William (2012). Computer security : principles and practice. Boston: Pearson. p. 182.
  7. Tulloch, Mitch (2003). Koch, Jeff; Haynes, Sandra (eds.). Microsoft Encyclopedia of Security. Redmond, Washington: Microsoft Press. p. 16.
  8. Nyang, DaeHun; Mohaisen, Aziz; Kang, Jeonil (2014-11-01). "Keylogging-Resistant Visual Authentication Protocols". IEEE Transactions on Mobile Computing. 13 (11): 2566-2579.
  9. Team, KernelCare. "Remote code execution attack: what it is, how to protect your systems". blog.kernelcare.com.
  10. Szor, Peter (2005). The Art of Computer Virus Research and Defense. Addison-Wesley.
  11. Mason, Andrew G. (2002). Cisco Secure Virtual Private Network. Cisco Press. p. 7.
  12. Knuth, D. (1973). The Art of Computer Programming, Vol. 3, Sorting and Searching, p.527. Addison-Wesley, Reading, MA., United States.
  13. Alshaikhli, Imad Fakhri; AlAhmad, Mohammad Abdulateef (2015), "Cryptographic Hash Function", Handbook of Research on Threat Detection and Countermeasures in Network Security, IGI Global.
  14. 14.0 14.1 Narayanan, Arvind; Bonneau, Joseph; Felten, Edward; Miller, Andrew; Goldfeder, Steven (2016). Bitcoin and cryptocurrency technologies: a comprehensive introduction. Princeton: Princeton University Press.