Пређи на садржај

Рачунарска безбедност

С Википедије, слободне енциклопедије
(преусмерено са Computer security)
Овај чланак је део серије чланака о
Информатичкој безбедности
Сличне категорије безбедности
Претње
Одбрана

Рачунарска безбедност је процес заштите рачунара и рачунарских система од нежељене употребе, угрожавања система и уљеза.[1] Под угрожавањем се сматра вид употребе рачунара у циљу наношења штете подацима, програмима или рачунарским процесима. Недостаци у рачунарској безбједности се јављају због рањивости или слабости рачунарског система, али чешће због људских фактора, односно људске грешке у подешавању система. Агент који има намјеру да угрози неки рачунарски систем, било да се ради о особи, догађају, или одређеним околностима, искориштава те слабости. Рачунарска безбједност обухвата заштиту од недоступности рачунарског система (такође: ускраћивање услуга, енгл. denial of service - DoS), заштиту интегритета података и програма и повјерљивости и приватности података и информација.

Поље постаје значајније због повећаног ослањања на рачунарске системе, интернет[2] и стандарде бежичне мреже као што су Блутuт и вај-фај, као и због раста заступљености „паметних“ уређаја, укључујући паметне телефоне, телевизоре и разни уређаји који чине „интернет ствари“. Захваљујући својој сложености, како у погледу политике, тако и технологије, сајбербезбедност је такође један од главних изазова у савременом свету.[3]

Рањивости

[уреди | уреди извор]
Главни чланак: Рањивост (рачунарство)

Рањивост је слабост у дизајну, имплементацији, раду или унутрашњој контроли. Већина откривених рањивости документована је у бази заједничких рањивости и изложености (CVE). Рањивост која се може искористити јесте она рањивост за коју постоји барем један напад који ради.[4] Контролисање рањивости система је циклус идентификовања и отклањања или ублажавања рањивости,[5] посебно у софтверу и фирмверу. То је саставни део рачунарске сигурности и сигурности рачунарске мреже.

Рањивости се могу открити помоћу скенера рањивости који анализира рачунарски систем у потрази за познатим рањивостима,[6] као што су отворени портови, несигурна конфигурација софтвера и подложност злонамерном софтверу. Претње се у правилу могу сврстати у једну од следећих категорија:

Бекдор

[уреди | уреди извор]

Бекдор у рачунарском систему, криптосистему или алгоритму јесте свака тајна метода заобилажења нормалне провере аутентичности или сигурности. Могу се налазити у систему по дизајну или због слабе конфигурације или бити постављени од неког нападача. Без обзира на мотиве њиховог постојања они стварају рањивост система.

DDoS напад

[уреди | уреди извор]

DoS или DDoS (енгл. Distributed Denial of service) napad, je pokušaj napadača da učini računar nedostupnim korisnicima kojima je on namijenjen. On onesposobljava mrežu, računar ili neki drugi dio infrastrukture na taj način da ih korisnici ne mogu koristiti

Физички приступ

[уреди | уреди извор]

Неовлаштени корисник који има физички приступ рачунару најверојатније може директно копирати податке са њега. Они такође могу угрозити сигурност тако што ће направити модификације оперативног система, инсталирати софтверске црве, килогере, прикривене уређаје за слушање. Чак и када је систем заштићен стандардним сигурносним мерама, могуће их је заобићи покретањем другог оперативног система или алата са CD-ROM-а, USB меморије, или других средстава за покретање. Šifriranje diska i стандард за сигурни криптопроцесор (Trusted Platform Module) осмишљени су да спрече овакве нападе.

Вишевекторски, полиморфни напади

[уреди | уреди извор]

Од 2017. године се појављује нова класа мултивекторских[7] и полиморфних[8] претњи које комбинују некоилико врста напада истовремено. Полиморфни малвер мења своје карактеристике које би могле да постану препознатљиве како би избегао познате технике идентификације претњи. Те су претње класификоване као цајбер-напади пете генерације.[9]

Пецање

[уреди | уреди извор]
Пријем лажне поруке е-поште, прерушен у службену е-пошту (измишљене) банке. Пошиљалац покушава да превари приматеља у откривању поверљивих података тако што ће га „потврдити” на лажној wеб страници.

Пецање је покушај добивања осетљивих података попут корисничких имена, лозинки и података о кредитној картици директно од корисника обмањивањем корисника.[10] Лажно представљање обично се врши преварама путем е-поште или директним слањем порука, а корисници се често упућују на уношење детаља на лажну веб страницу чији је изглед готово идентичан стварној wеб страници. Ово се може окарактерисати као пример друштвеног инжењеринга.

Добијање привилегија

[уреди | уреди извор]

Нападач може са неким нивоом ограниченог приступа без ауторизације, да повиси своје привилегије или ниво приступа. На пример, стандардни корисник рачунара може бити у могућности да искористи рањивост у систему да добије приступ ограниченим подацима или чак постати „роот” и имати потпуно неограничен приступ неком систему.

Социјални инжењеринг

[уреди | уреди извор]

Социјални инжењеринг има за циљ да увјери корисника да открије тајне попут лозинки, бројева картица итд. На пример, лажним представљањем банке или купца.[11]

Спуфинг

[уреди | уреди извор]

Спуфинг је чин представљања као ваљаног субјекта фалсифицирањем података (попут ИП адресе или корисничког имена), како би се добио приступ информацијама или ресурсима.[12] Постоји неколико врста спуфинга, укључујући:

  • Е-маил спуфинг, где је нападач кривотвори адресу пошиљатеља е-поште
  • Спуфинг ИП адресе, где нападач мења изворну ИП адресу у мрежном пакету како би сакрио свој идентитет или лажно представљао неки други рачунарски систем.
  • MAC спуфинг, где нападач модификује MAC (енгл. Media Access Control Address) адресу свог мрежног интефејса како би се представио као ваљан корисник на мрежи.
  • Биометријски спуфинг, где нападач произведе лажни биометријски узорак да би се представљао као други корисник.

Смањивање рањивости

[уреди | уреди извор]

Мултифактор аутентикацијска метода може смањити могућност неовлаштеног приступа систему. Захтева нешто „што корисник зна” као што лозинка или ПИН и „нешто што има” као што су картице, мобител или други хардвер. То повећава сигурност, јер је неовлаштеној особи потребно и једно и друго да би добили приступ. Социјални инжињеринг и физички напади на рачунар могу се спречити само нерачунарским методама. Обука је често укључена како би се ублажио овај ризик, али чак и у високо дисциплинираним срединама напади социјалног инжењеринга и даље могу бити тешко предвидљиви.

Механизми заштите хардвера

[уреди | уреди извор]

Иако сам хардвер може представљати извор несигурности, као што је рањивост микрочипа који је злонамјерно испрограмиран током производног процеса,[13][14] hardverski bazirana ili потпомогнута рачунарска сигурност може бити алтернатива софтверском приступу. Кориштење уређаја и метода попут кључева[15], TPM[16], онемогућавања УСБ портова и приступа мобилним уређајима[17], iskopčavanja nekih komponenti (kao što su web kamera ili GPS)[16] могу се сматрати сигурнијим због тога што је онда потребан физички приступ или софистицирани бекдор како би нападач успео.

Правни питања и регулатива

[уреди | уреди извор]

Међународна правна питања везана за сајбер нападе су сложена по својој природи.[18][19] Не постоји глобална основа за заједничка правила за процену и, на крају, кажњавање сајбер криминала и сајбер криминалаца, а тамо где безбедносне фирме или агенције идентификују сајбер криминалца који стоји иза стварања одређеног злонамерног софтвера или облика сајбер напада, локалне власти често не могу да предузму мере због недостатка закона према којима би могли да гоне.[20] Доказивање умешаности у сајбер криминал и сајбер нападе такође је озбиљан изазов за све органе за спровођење закона. „Компјутерски вируси се крећу из једне земље у другу, из једне јурисдикције у другу — померајући се по целом свету, користећи чињеницу да нема могућности за глобалну контролу таквих операција.“

У САД, 1986. године 18 USC § 1030, Закон о компјутерским преварама и злоупотребама је кључни закон.[21] Он забрањује неовлашћен приступ или оштећење заштићених рачунара, како је дефинисано у 18 USC § 1030(e)(2). Године 2013. потписана је уредба 13636 „О побољшању сајбербезбедности критичне инфраструктуре“, која је послужила као подстицај за стварање оквира за сајбербезбедност НИСТ.

14. априла 2016. године Европски парламент и Савет Европске уније усвојили су Општу уредбу о заштити података (GDPR).[22] GDPR, који је ступио на снагу 25. маја 2018. године, пружа појединцима унутар Европске уније (ЕУ) и Европске економске зоне (ЕЕЗ) право на заштиту личних података. Уредба захтева да сваки субјект који обрађује личне податке укључује заштиту података по подразумеваној вредности и по дизајну. Она такође захтева да неке организације именују службеника за заштиту података (DPO).

У 2017. години Кина је усвојила Закон о сајбер безбедности, камен темељац правног оквира за јачање националне сајбер инфраструктуре. Он је објединио претходне законе и прописе везане за информационе технологије и сајбер безбедност.[23]

Од 2010. године у Канади је на снази стратегија сајбер безбедности. Она делује као аналог Националној стратегији и плану акција за критичну инфраструктуру. Стратегија је заснована на три основна принципа: осигурање безбедности државних система, осигурање безбедности виталних приватних сајбер система и помагање Канађанима да осигурају своју безбедност на интернету.[24]

Референце

[уреди | уреди извор]
  1. ^ Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). „Towards a More Representative Definition of Cyber Security”. Journal of Digital Forensics, Security and Law (на језику: енглески). 12 (2). ISSN 1558-7215. 
  2. ^ "Reliance spells end of road for ICT amateurs", 7 May 2013, The Australian
  3. ^ Stevens, Tim (2018-06-11). „Global Cybersecurity: New Directions in Theory and Methods” (PDF). Politics and Governance. 6 (2): 1—4. doi:10.17645/pag.v6i2.1569. 
  4. ^ „Computer Security and Mobile Security Challenges”. researchgate.net. 3. 12. 2015. Архивирано из оригинала 12. 10. 2016. г. Приступљено 4. 8. 2016. 
  5. ^ Foreman, P: Vulnerability Management. ISBN 978-1-4398-0150-5. , page 1. Taylor & Francis Group, 2010.
  6. ^ Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 „Defensics Fuzz Testing: Find Hidden Vulnerabilities | Synopsys”. Архивирано из оригинала 27. 2. 2011. г. Приступљено 22. 2. 2011. 
  7. ^ „Multi-Vector Attacks Demand Multi-Vector Protection”. MSSP Alert. 24. 7. 2018. 
  8. ^ Millman, Renee (15. 12. 2017). „New polymorphic malware evades three quarters of AV scanners”. SC Magazine UK. Архивирано из оригинала 14. 6. 2018. г. Приступљено 19. 11. 2019. 
  9. ^ Turner, Rik (22. 5. 2018). „Thinking about cyberattacks in generations can help focus enterprise security plans”. Informa PLC. Ovum. Архивирано из оригинала 25. 5. 2018. г. Приступљено 19. 11. 2019. 
  10. ^ „Identifying Phishing Attempts”. Case. Архивирано из оригинала 13. 9. 2015. г. Приступљено 4. 7. 2016. 
  11. ^ Arcos Sergio. „Social Engineering” (PDF). Архивирано из оригинала (PDF) 3. 12. 2013. г. 
  12. ^ „What is Spoofing? – Definition from Techopedia”. Архивирано из оригинала 30. 6. 2016. г. 
  13. ^ Villasenor, John (2010). „The Hacker in Your Hardware: The Next Security Threat”. Scientific American. 303 (2): 82—88. Bibcode:2010SciAm.303b..82V. PMID 20684377. doi:10.1038/scientificamerican0810-82. 
  14. ^ Waksman, Adam; Sethumadhavan, Simha (2010), Tamper Evident Microprocessors (PDF), Oakland, California, Архивирано из оригинала (PDF) 21. 9. 2013. г. 
  15. ^ „Sentinel HASP HL”. E-Spin. Архивирано из оригинала 20. 3. 2014. г. Приступљено 20. 3. 2014. 
  16. ^ а б James Greene (2012). „Intel Trusted Execution Technology: White Paper” (PDF). Intel Corporation. Архивирано (PDF) из оригинала 11. 6. 2014. г. Приступљено 18. 12. 2013. 
  17. ^ „Forget IDs, use your phone as credentials”. Fox Business Network. 4. 11. 2013. Архивирано из оригинала 20. 3. 2014. г. Приступљено 20. 3. 2014. 
  18. ^ „Legal Challenges In Combatting Cyber Terrorism” (PDF). www.afjbs.com. Приступљено 23. 4. 2025. 
  19. ^ „Is the International Law of Cyber Security in Crisis?” (PDF). ccdcoe.org. Приступљено 23. 4. 2025. 
  20. ^ „A systematic literature review on cybercrime legislation”. pmc.ncbi.nlm.nih.gov. Приступљено 23. 4. 2025. 
  21. ^ „Computer Fraud and Abuse Act (CFAA)”. www.nacdl.org. Приступљено 23. 4. 2025. 
  22. ^ „General Data Protection Regulation – start planning now”. www.sorainen.com. Приступљено 23. 4. 2025. 
  23. ^ „China Cybersecurity Law: Guide for Businesses”. msadvisory.com. Приступљено 23. 4. 2025. 
  24. ^ „Canada's Cyber Security Strategy” (PDF). nsarchive.gwu.edu. Приступљено 23. 4. 2025. 

Литература

[уреди | уреди извор]

Спољашње везе

[уреди | уреди извор]
Рачунарска безбедност на Викимедијиној остави.
Преузето из „https://sr.wikipedia.org/w/index.php?title=Рачунарска_безбедност&oldid=29807982