Kybernetická bezpečnost – seminární práce

informatika

 

Otázka: Kybernetická bezpečnost

Předmět: Informační technologie

Přidal(a): Daniel Coats

 

Obsah

  • 1. Na úrovni uživatele
    • Na WWW
    • Volba Hesla
    • Jak ukládat přístupová hesla
    • Volba prohlížeče
    • SSL šifrování
  • 2. Obecně
    • Prevence proti počítačovým virům
  • 3. Na úrovni správce systému/sítě
    • Zabezpečení dynamické webové stránky
    • TLS
    • Prevence proti SQL injection útokům
    • Cross Site Scripting
    • XML External Entities útok
    • Zabezpečení systému
    • Zabezpečení sítě
    • Firewall
    • Zabezpečení WIFI sítě
  • 4. Kryptografie
    • Symetrická
    • Message Authentication Code (MAC)
    • Asymetrická (Asymetric / Public Key Cryptography)
    • Kryptografický hash
  • 5 .Zdroje

 

1. Na úrovni uživatele

Na WWW

Volba hesla

Dobré heslo je minimálně osm znaků dlouhé, složené z pestrého výběru alfanumerických znaků (velká i malá písmena), a nejlépe bez zmínky anglických slov. Je důležité, aby neobsahovalo anglická slova, a to proto, aby se předešlo prolomení hesla útokem hrubou silou, kde se manuálně zkoušejí různá hesla (sestavená hlavně z anglických slov a číslic, protože právě tyto se v heslech nejvíce vyskytují).

Dobré heslo je také snadno zapamatovatelné. Tato dvě pravidla pro dobré heslo jdou proti sobě, takže je dobré trochu ubrat na bezpečnosti hesla, aby šlo lépe zapamatovat.

 

Jak ukládat přístupová hesla

Password manager je software, který je určen pro bezpečné ukládání hesel. Většinou je tento software implementován ve formě služby, která umožňuje synchronizaci hesel na všech platformách, na kterých je klientský software služby dostupný.

Rozhodnutí používat software pro správu hesel je u každého člověka jiné. Nakonec to vychází jen z osobní důvěry dané službě a z toho, jestli si daný člověk myslí, že tato služba kompetentně ochrání jeho hesla. Ukládání přístupových údajů na papír, do bloku atd. také není dobrý nápad.

Metodou pro nejlepší ochranu dat počítače je zaheslovaný BIOS. S zaheslovaným BIOSem a zašifrovanými daty lze předejít fyzickým zločinům krádeže dat.

 

Volba prohlížeče

Dnes nejpopulárnější prohlížeč je Chrome od společnosti Google. Má v sobě vestavěný správce hesel, která se automaticky ukládají do serverů Google (přiřazená ke Google účtu). Microsoft ve svém prohlížeči Microsoft Edge, založeném na technologii Chromium (stejně jako Chrome), má také podobný mechanismus.

 

SSL šifrování

SSL (Secure Sockets Layer) je protokol (vložený mezi transportní vrstvu a protokol, jako je HTTPS, SMTP atd.). Dnes už se SSL nepoužívá a jeho název je většinou zaměňován za jeho následovníka, TLS (Transport Layer Security). Více informací na toto téma je k dispozici zde: https://en.wikipedia.org/wiki/Transport_Layer_Security.

Digitální certifikát je digitální šifrovací klíč pro asymetrické šifrování (princip na obr. X), který je vydáván určitou certifikační autoritou (například Let’s Encrypt a Digicert). Certifikát je tzv. elektronicky podepsán certifikační autoritou. Obsahuje veřejný klíč a identifikaci certifikátu.

Digitální certifikáty jsou ověřovány prohlížečem pomocí databáze, kterou má buď v rámci systému (Microsoft Internet Explorer), nebo svojí vlastní (Mozilla Firefox). Pokud tedy váháte, jestli jste k webové stránce bezpečně připojeni, zkontrolujte aktualizace prohlížeče (i když toto je jen pravděpodobný problém s několik let zastaralým prohlížečem).

Self-signed certifikát (podepsaný nedůvěryhodnou autoritou, ale určitou třetí stranou). Webové prohlížeče většinou na tyto certifikáty upozorňují. Self-signed certifikáty ale nedávají uživateli webové stránky velkou úroveň důvěryhodnosti o bezpečnosti připojení k webové stránce nebo službě hostované pomocí protokolu jiného než HTTPS. Pro vytvoření vlastního certifikátu (podepsaného sebou) je vhodný software OpenSSL nebo keytool zahrnutý v Javě.

 

2. Obecně

Prevence proti počítačovým virům

Počítačové viry se mohou objevit na různých místech na internetu. Můžete je obdržet internetovou poštou, můžete je nevědomě stáhnout z World Wide Web při hledání zdrojů nelegálního stažení placeného softwaru a mohou se objevit i ve vsunutých externích úložných médiích (USB flash disk, externí HDD, CD/DVD RW atd.).

Počítačové viry se také mohou objevovat přestrojené za užitečný software, jako je například známý příklad malwaru Bonzi Buddy (obr. 1).

Když už se ale stane, že se na počítač dostane počítačový virus, je důležité mít nainstalovaný antivirový software. Každý počítač s verzí Windows nad 10 má už předinstalovaný základní antivirový software Windows Defender, který by měl postačit proti základním hrozbám počítačových virů.

Na operačních systémech MacOS, Linux, rodina operačních systémů BSD (FreeBSD, OpenBSD atd.) (plus k jádru doplňující sada softwaru, jako je GNU nebo BusyBox) se v uživatelských systémech nevyskytují moc počítačové viry díky menšímu počtu uživatelů, a tím pádem sektor antivirového softwaru není moc rozvinutý. Na Linuxu, když už se nějaký antivirový program používá, používá se open-source program ClamAV, který je vhodný a používá se ke skenování pošty na viry v online mailových klientech. ClamAV je vyvíjen hlavně společností vyrábějící síťovou infrastrukturu CISCO. Pokročilejší antivirový software většinou poskytuje takzvaný sandboxový režim, který využívá malé virtualizované prostředí pro spuštění nedůvěryhodného softwaru. Ten lze spustit pomocí otevření kontextového menu stisknutím pravého tlačítka.

 

3. Na úrovni správce systému/sítě

Zabezpečení dynamické webové stránky

Mezi časté problémy zabezpečení dynamických webových stránek patří:

  • TLS
  • SQL injection
  • Cross Site Scripting
  • XML External Entities

 

TLS

Protokol TLS používá asymetrické šifrování pro navázání spojení a symetrické pro pokračování spojení. Na moderním WWW se používá na téměř všech důležitých webových stránkách. Funguje na principu soukromého (private key) a veřejného klíče (public key). Soukromý klíč je tajný a nesmí být vyzrazen, jinak se už nejedná o soukromou komunikaci. Více informací ohledně TLS je k dispozici v tomto dokumentu zde (SSL šifrování) nebo na internetu.

 

Prevence proti SQL injection útokům

SQL injection útok je proces vpsání určitého SQL kódu do aplikace využívající databázový systém, který používá pro vstup jazyk SQL. SQL Injection není jen možný útok pro webové aplikace a stránky, je to validní způsob útoku pro jakoukoli nesprávně naprogramovanou aplikaci využívající SQL databáze.

Nejlepší způsob, jak předejít tomuto útoku při vývoji aplikace, je tvořit dotazy na databáze objektově orientovaným wrapperem, jako je framework Hibernate, nebo „sanitizovat“ vstup do databáze. Více info o prevenci SQL Injection útoků je k dispozici zde: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html.

 

Cross Site Scripting

Cross site scripting je častá chyba v bezpečnosti webových aplikací. Do instance webové aplikace, která je považována za důvěryhodnou, je vložen ústřižek kódu, který komunikuje se serverovým komponentem aplikace. Z pohledu aplikace to vypadá jako běžné fungování aplikace. Proti tomuto typu útoku se lze ubránit (ze serverové strany) stejně jako u SQL injection útoku – sanitizací vstupu do webové aplikace nebo API. Většina velkých prohlížečů má už vestavěnou ochranu proti XSS.

 

XML External Entities útok

V útoku XML External Entities se útočník nabourá do procesu procházení XML dat. Tento útok často umožňuje útočníkovi přístup k souborovému systému na serveru a k back-endovým systémům, ke kterým má bránící se aplikace přístup. K tomuto typu útoku dochází, když server zpracovává data odeslaná z klientské části aplikace ve formátu XML (Extensible Markup Language – většinou pro ukládání datových struktur při přenosu nebo uložení).

Tento vektor útoku na client-server aplikace je umožněn částmi standardu XML, které jsou implementovány parserem, i když nejsou příliš často používány aplikací. Více informací o tom, jak útoku předejít a jak funguje, naleznete zde: https://portswigger.net/web-security/xxe.

 

Zabezpečení systému

Pro systémového administrátora podniku je důležité zabezpečení nejen serverů a sítě, ale i individuálních systémů, které se v dané síti nacházejí.

 

Zabezpečení sítě

Firewall

Firewall je aktivní síťový prvek, který monitoruje veškerá data proudící ze sítě i do sítě a propouští/nepropouští data podle pravidel nastavených administrátorem sítě. Firewall může být hardwarový, softwarový nebo poskytovaný jinou organizací jako služba. Firewally plní funkci bariéry mezi lokální sítí a sítěmi (důvěřovanými a nedůvěřovanými) podle nastavených pravidel.

 

Typy firewallů:

  • Packet filter (první generace): První typ firewallu, který vznikl. Uchovává tzv. „access control list“, který obsahuje sadu pravidel pro filtrování příchozích a odchozích paketů do a ze sítě. Pravidla mohou stanovit IP adresy, protokol odesílání, zdrojový a cílový port.
  • Connection tracking (druhá generace): Fungují podobně jako packet filter firewally, ale pamatují si i jednotlivé „sessions“ pro pozdější přehled pro síťového administrátora.
  • Firewall na aplikační vrstvě („next generation“): Bližší informace nebyly poskytnuty.

 

Zabezpečení WIFI sítě

K zabezpečení WIFI sítě se používají různé bezpečnostní protokoly, např. WPA, WPA-2 a WPA-3 (Wireless Protected Access). Tyto protokoly šifrují provoz dat v síti.

Pro WIFI sítě je důležité mít silné a těžko prolomitelné přístupové heslo pro bezpečnou komunikaci. WPA-3 tomuto problému předchází tím, že přístupové heslo WIFI sítě nepoužívá pro šifrování komunikace v síti. WPA-2 oproti původnímu WPA používá pro šifrování komunikace v síti symetrický šifrovací protokol AES (symetrický = stejné heslo je použito pro zašifrování i dešifrování).

Protokol WAP byl původně navržen pro fungování i na zařízeních, která mu předcházela, tedy pouze na těch s podporou od vývojáře softwaru, protože je potřeba aktualizovat firmware.

 

4. Kryptografie

Kryptografie (jiným slovem šifrování) je nauka o metodách utajení informací (v tomto případě utajení dat).

 

Symetrická

V symetrické kryptografii používá odesílatel i příjemce stejný tajný klíč (v některých případech může být klíč jiný, ale snadno dopočitatelný z druhého).

V současnosti nejpoužívanější symetrická kryptografie je americký standard AES (Advanced Encryption Standard). Jeho předchůdce DES je méně bezpečný, ale stále se používá.

AES a DES jsou tzv. blokové šifry. Bloková šifra provádí kryptografický proces s klíčem na celý blok textu. Streamová šifra provádí kryptografický proces na každý individuální znak, a proto je pomalejší. Příkladem streamové šifry je RC4 (Rivest Cipher 4 / ARCFOUR).

 

Message Authentication Code (MAC)

Message authentication code je něco jako hash funkce. Používá tajný klíč k ověření zhashované hodnoty po obdržení.

 

Asymetrická (Asymetric / Public Key Cryptography)

Asymetrická šifra/kryptografie využívá dva klíče: soukromý (private key) a veřejný (public key). Data zašifrovaná veřejným klíčem mohou být rozšifrována pouze soukromým klíčem. Používá se v bezpečnostních protokolech, jako je např. TLS. Soukromý klíč musí být tajný, jinak je spojení nesoukromé (jak vyplývá z názvu). Veřejný klíč by měl být v asymetrické kryptografii volně dostupný.

 

Kryptografický hash

Kryptografické hashovací funkce generují kryptografický klíč k zašifrování dat, a proto na ně lze pohlížet jako na klíče samotné (tyto funkce jsou v podstatě klíčem). Jsou většinou jednosměrné. Dobrá hashovací funkce nevytvoří stejný hash z jiných textových řetězců.

 

Historické i dnes nejpoužívanější hash funkce (seřazeny od nejstarší):

  • Rodina MDX – Message Digest Algorithm
    • MD4
    • MD5
  • SHA-X – Secure Hash Algorithm
    • SHA-0
    • SHA-1
    • SHA-2
    • SHA-3 (od 2012)

 

5. Zdroje:


Podobné materiály:
💾 Stáhnout materiál   ✖ Nahlásit chybu
error: Stahujte 15 000 materiálů v naší online akademii 🎓.