a-13
Elektrická ochrana počítača, sociálne inžinierstvo, bezpečnostná politika, adresovanie IPv4 a IPv6, objektovo orientované programovanie, objekt
Elektrická ochrana počítača
Výboj statického náboja, nepriaznivého prostredia, zlá kvalita elektrického zdroja môže spôsobiť poškodenie vybavenia počítača. Dodržujte správne podmienky pre manipuláciu, dajte si pozor na podmienky prostredia a používajte zariadenia, ktoré stabilizujú napäťový zdroj, aby ste zabránili poškodeniu a strate dát. Statický elektrický náboj sa hromadí na povrchu.
ESD vzniká, keď sa nahromadený náboj uvoľní a prenesie sa na komponent, kde spôsobí škodu, môže byť nebezpečný pre elektroniku a počítačové systémy.
Ak sa vybijete a bolí vás to a počujete zvuk výboja, pravdepodobne ste mali náboj okolo 10000 V. Na porovnanie menej ako 30 V statického elektrického náboja, môže poškodiť počítačový komponent. ESD môže spôsobiť permanentnú škodu počítačovému komponentu.
Ochrana ESD:
Udržujte všetky komponenty v antistatickej taške, pokiaľ ich nechcete inštalovať do počítača.
Používajte uzemnenú podložku na pracovisku.
Používajte uzemnený koberec na podlahu.
Používajte antistatický prúžok, keď pracujete s počítačom.
EMI
Elektromagnetické rušenie je prenikanie vonkajších elektromagnetických signálov na prenosové médium ako kovový kábel. V sieťovom prostredí, EMI skresľuje signály, takže prijímajúce zariadenie má problém ho správne prečítať. Nie vždy prichádza z očakávaných zdrojov, ako sú mobilné zariadenia. Iné typy elektrického vybavenia môžu produkovať elektromagnetické pole, až do vzdialenosti viac ako 1 míľu. Hocijaký zdroj, ktorý je navrhnutý na generovanie elektromagnetickej energie. Človekom vytvorené zdroje ako elektrická prenosová sústava a motory. Prírodné úkazy, ako sú elektrické búrky, alebo solárna a medzihviezdna radiácia.
Fluktuácie napájania
Odborný výraz Blackout. Je kompletná strata napájania. Spálená poistka, vyhodený istič, poškodený transformátor, alebo spadnuté elektrické vedenie môže spôsobiť výpadok.
Podpätie
Odborný názov Brownout. Znížené napätie striedavého napätia za posledný čas. Vyskytuje sa, keď napätie klesne pod 80 percent normálneho napätia. Preťažené elektrické obvody, môžu spôsobiť podpätie.
Zariadenia na elektrickú ochranu počítača
Umožňuje chrániť zariadenia pred prepätím a napäťovými špičkami. Odvádza nadbytočné napätie na zem.
UPS sú zariadenia ktorých funkciou je spravidla krátkodobá dodávka energie v prípade nestability vstupného napätia či pri úplnom výpadku siete. Úlohou UPS je chrániť dáta a citlivé zariadenia pred poškodením vplyvom nepredvídaných udalostí na sieti ako sú šumy, rázy, napäťové špičky, poklesy napätia alebo úplné výpadky. Ak dôjde k výpadku elektrickej energie, záložný zdroj dodáva spotrebičom energiu zo svojich akumulátorov. Vzhľadom k cene elektronických zariadení a prenášaných dát sú UPS nevyhnutným vybavením všetkých informačných systémov.
Sociálne inžinierstvo
Jedným z najefektívnejších nástrojov pre získavanie citlivých informácií zo zabezpečených systémov je sociálne inžinierstvo. Nevyžaduje takmer žiadne technické schopnosti a napriek tomu je s jeho využitím možné exfiltrovať informácie aj z technicky dobre zabezpečených informačných systémov. Je to možné vďaka tomu, že sa tento typ útoku zameriava na jednu z najzávažnejších a najrozšírenejších zraniteľností – na človeka. Útoky pomocou sociálneho inžinierstva sú rôznorodé - od hromadných phishingových emailov až po cielené, viacvrstvové a sofistikované útoky s využitím viacerých techník. Všetky ale majú spoločné to, že sa zameriavajú na manipuláciu bežných spôsobov ľudského chovania a existuje len obmedzená množina technických opatrení na ochranu pred týmito útokmi. Najlepším spôsobom ochrany je zvyšovanie bezpečnostného povedomia o jednotlivých technikách sociálneho inžinierstva, ktoré sú útočníkmi využívané v kombinácii s celkovým prístupom organizácie k informačnej bezpečnosti, ktorý dôsledne vyžaduje dodržiavanie bezpečnostných politík a pravidiel a podporuje aktívnu participáciu zamestnancov na bezpečnosti. Základným stavebným kameňom sociálneho inžinierstva je dôvera. Útočník podnikne kroky na to, aby si ju u budúcej obeti vybudoval a následne túto dôveru prehlbuje. Pred samotným útokom si útočník zistí informácie potrebné o obeti alebo o organizácii prostredníctvom OSINT– čo je získavanie spravodajských informácií z verejne dostupných zdrojov (médiá, webové komunity, sociálne siete, blogy, vládne reporty, rozpočty, tlačové konferencie, šedá literatúra a iné). S využitím takto získaných informácií nadviaže útočník s obeťou kontakt, vybuduje si u nej dôveru a na jej základe ju zmanipuluje tak, aby vykonala nejakú činnosť v jeho prospech. Na to, aby obeť zmanipuloval, potrebuje útočník falošný príbeh alebo zámienku, ktorú je možné vytvoriť s pomocou verejne dostupných informácií o organizácii (napr. z ich webovej stránky) a následné zneužiť vlastnosti obete, ku ktorým patrí ochota pomáhať, slabé povedomie o hrozbách na internete, slabé povedomie o bezpečnostných zásadách organizácie, prípadne umiestňovanie citlivých informácií na sociálne média.
Phishing
Phishing je typ útoku, pri ktorom sa útočník pokúša získať citlivé informácie prostredníctvom elektronických komunikácií vydávaním sa za dôveryhodnú entitu. Aj keď niektorí bezpečnostní analytici nepovažujú phishing za techniku sociálneho inžinierstva, pretože nevyužíva priamu interakciu človeka s človekom. Využíva ale manipuláciu človeka a klamstvo na to, aby od používateľa vylákal prihlasovacie údaje, údaje o kreditných kartách alebo nakazil jeho počítač škodlivým kódom. Phishingové emaily sú koncipované tak, aby pôsobili dôveryhodne a tvária sa, že ich odosielateľom sú inštitúcie ako banky, prepravné spoločnosti a iné organizácie, pri ktorých je predpoklad, že s nimi bude mať obeť nejaký vzťah.
Spear phishing
Spear phishing email je cieleným útokom na úzku skupinu potenciálnych obetí, väčšinou takých, ktorí majú prístup k citlivým informáciám o organizácii a spravidla sú v organizačnom rebríčku vyššie postavení. Takéto emaily sú úzko zamerané a personalizované, čo je výsledkom prieskumu, ktorý útočník vykonal pred samotným útokom. Takto pripravený je útočník schopný vytvoriť veľmi špecificky zameraný text emailu, ktorý bude pôsobiť dôveryhodne a veľmi uveriteľne. Predstavte si, že ste vedúci zamestnanec ministerstva, vaše kontaktné informácie sú zverejnené na webovej stránke ministerstva, máte vytvorený profil na sociálnych sieťach ako Facebook, Twitter či LinkedIn. S využitím informácií, ktoré ste sám a dobrovoľne poskytli, môže útočník spearphishingové emaily lepšie personalizovať a koncipovať ich spôsobom, ktorý vás prinúti kliknúť na link alebo otvoriť prílohu čo spôsobí inštaláciu malvéru. Po následnej nákaze vašej pracovnej stanice je možné, že škodlivý kód bude v tichosti čakať a nebude vykonávať žiadnu aktivitu a teda ho nebude možné spozorovať. Až po následnom pokyne od útočníka začne malvér exfiltrovať informácie o stlačených klávesových znakoch (keylogger) pri prístupe k emailovým či bankovým účtom, alebo začne odosielať dokumenty či vykonávať aktivitu požadovanú útočníkom.
Baiting
V prípade fyzickej podoby tohto typu sociálneho inžinierstva útočník nastraží infikované fyzické dátové médium, napr. USB kľúč, DVD alebo iné na mieste, kde ho obeť určite nájde. K takýmto miestam môže patriť výťah, toaleta, chodník, parkovisko alebo spoločná kuchynka. V prípade DVD alebo CD médií sa dôveryhodnosť tohto média zvyšuje jeho atraktívnym označením. Kto zo zamestnancov by napríklad odolal nastraženému CD s označením „návrh miezd na rok 2016“ alebo „plán prepúšťania zamestnancov“. Útočník následne počká, kým obeť pripojí nastražené médium k svojej pracovnej stanici a škodlivý kód sa nainštaluje. V tomto momente už má útočník plný prístup k pracovnej stanici obete a pravdepodobne aj do vnútornej siete cieľovej organizácie. Pokiaľ útočník infikuje nástražné škodlivé médium nejakým štandardným a známym typom škodlivého kódu, tak je možné, že aktualizovaný antivírusový program dokáže činnosť takéhoto kódu zastaviť. Pokiaľ ale útočník použije upravenú verziu takéto kódu alebo napíše vlastný škodlivý kód, tak antivírusové programy sú v podstate bezbranné.
Bezpečnostná politika informačného systému je základným a nevyhnutným procesom v každej spoločnosti. Vzhľadom na to, že útok môže prísť kedykoľvek, či z externého alebo interného prostredia a môže za ním stáť akýkoľvek útočník pokúšajúci sa vedome alebo nevedome ohroziť systém, je dôležité, aby sieťový administrátor vedel ako sa zachovať. Pri rovnakých incidentoch možno postupovať rôzne, čo často vedie k nesprávnym rozhodnutiam. A tak nie je vhodné, aby zodpovední pracovníci (správcovia systému alebo iní špecializovaní zamestnanci) postupovali podľa svojich domnienok. Jedným z dôvodov je aj možná výmena pracovnej pozície alebo zmeny v tíme. Nevyhnutným procesom sa tak stáva tvorba presných zásad a pravidiel záväzných pre všetky kompetentné osoby. Tieto pravidlá a zásady nazývame bezpečnostnou politikou informačného systému. Vypracovanie takéhoto dokumentu je vo vlastnom záujme každej spoločnosti. Umožní jej to ľahšie a efektívnejšie zvládať bezpečnostné incidenty. Spoločnosť, ktorej bezpečnostná politika zlyhá stráca kredit. Zákazníci jej môžu prestať vo veľkej miere dôverovať. Niekedy môže útok viesť aj k ďalším útokom vedeným cez túto spoločnosť, čo ju môže vystaviť právnym problémom. Pri procese tvorby bezpečnostnej politiky je dôležité zamerať sa na tri hlavné oblasti: Diskrétnosť (dáta sa nesmú dostať do rúk nepovolaných osôb, najčastejšie do rúk potenciálnych útočníkov), integrita (dáta nesmú byť neoprávneným spôsobom modifikované, poškodené alebo zmazané) a dostupnosť (dáta musia byť dostupné legitímnym používateľom, najčastejšie teda zamestnancom, pre ktorých pracovné aktivity sú nevyhnutné). Bezpečnostné opatrenia nemôžu príliš skomplikovať prácu v spoločnosti.
IPv6, IPv4
Adresa IP alebo IP adresa je logický číselný identifikátor daného uzla v sieti, ktorý komunikuje s inými uzlami prostredníctvom protokolu IP. Adresa IP je 32-bitové číslo, takže teoreticky existuje 4 294 967 296 možných adries. Je nepraktické a nepohodlné pracovať s takto zapísaným číslom, preto sa 32 bitov adresy IP delí na štyri 8-bitové čísla, ktoré sa zapisujú v desiatkovej sústave oddelené bodkou, napríklad 207.142.131.205. Nie je pravda, že každý počítač na svete má jedinečnú adresu IP. Je tomu tak len vtedy, ak má daný uzol priamy prístup na Internet. Ak teda ide o sprostredkované spojenie, napr. proxy-bránou, počítače vnútri podsiete môžu mať adresy nezávislé od zvyšného internetu. Pred pár rokmi sa ukázalo, že rapídne zvyšovanie pripojených počítačov do Internetu spôsobuje, že počet adries IP, ktoré možno zaznamenať 4 číslami 0 – 255, už nebude na jednoznačnú identifikáciu uzlov stačiť. Preto sa zaviedol IPv6, kde sa 128-bitové adresy zaznamenávajú ôsmimi hexadecimálnymi číslami. Zavedenie protokolu IPv6 umožňuje adresovať až 2128 adries.
IPv4 je verzia 4 Internet Protocolu. Bola prvou široko používanou verziou a tvorí základ väčšej časti súčasného Internetu. Je opísaný v IETF RFC 791, ktorý bol prvýkrát zverejnený v septembri 1981. Pv4 používa 32-bitové adresy, čo obmedzuje adresný priestor na 4 294 967 296 jedinečných adries, z ktorých je množstvo vyhradených pre zvláštne účely ako lokálne siete alebo multicastové adresy, čo redukuje počet adries použiteľných ako verejné internetové adresy. Viac v článku Vyčerpanie adresného priestoru IPv4. Toto obmedzenie pomohlo stimulovať presadzovanie IPv6, ktorý v súčasnosti prechádza skorými štádiami nasadenia a plánuje sa, že postupne celkom nahradí IPv4.
IPv6 je verzia 6 Internet protokolu; pôvodne sa volal IP Next Generation, keď vyhral výberové konanie IETF pre IPng. IPv6 má nahradiť predchádzajúci štandard IPv4, ktorý podporuje "iba" niečo viac ako 4 miliardy adries, zatiaľ čo IPv6 podporuje až približne 340 sextiliónov adries. To je približne 3.4×1038 adries na štvorcový palec. Zemského povrchu. Očakáva sa, že IPv4 bude podporované aspoň do roku 2025, aby bol ponechaný čas na opravu „múch“ a systémových nedostatkov. Hlavným dôvodom vytvorenia IPv6 bol nedostatok adresného priestoru, obzvlášť v husto obývaných krajinách Ázie ako sú India a Čína. Podrobnejšie v článku Vyčerpanie adresného priestoru IPv4. Predstavenie Network Address Translation do určitej miery zmiernilo tento problém. NAT však znemožňuje alebo technicky komplikuje isté peer-to-peer aplikácie ako VoIP a isté mnohopoužívateľské hry. Súčasným prínosom IPv6 sú nové aplikácie ako mobilita, QoS, povinné zabezpečenie atď. IPv6 je druhou verziou IP protokolu formálne prijatou pre široké použitie. Plánom je, aby sa IPv6 stal základom pre budúce rozširovanie internetu. Hoci bol IPv6 prijatý IETF ako nasledovník IPv4 už pred viac ako dvadsiatimi rokmi, celosvetové nasadenie IPv6 ako verejne prístupného internetu je stále iba niekoľko percent veľkosti celosvetovej IPv4 siete.
Objektovo orientované programovanie
Objektové programovanie alebo objektovo orientované programovanie je metodika vývoja softvéru založená na používaní dátových štruktúr nazývaných objekty a ich interakcie na vývoj aplikácií. Princípy objektového programovania boli rozpracované už v 70. rokoch 20. storočia, no širšie sa vo vývoji softvéru začalo uplatňovať až koncom 20. storočia. V súčasnosti existuje veľa jazykov využívajúcich princípy OOP. Objekty majú svoje vlastnosti, metódy a udalosti, pomocou ktorých objekt vykonáva určité činnosti na ktoré bol naprogramovaný.
Z obsahového hľadiska vlastnosti typu trieda sú vo svojej podstate položky typu záznam. Metódy a udalosti sú svojim charakterom funkcie a procedúry. Udalosťou sa nazýva každá zmena stavových veličín, napr. Click, DoubleClick, stlačenie klávesy na klávesnici, impulz z časovača, Zmena veľkosti okna, zatvorenie okna. Základom objektového programovania je dátový typ trieda. Dátový typ trieda je odvodený dátový typ a vychádza z dátového typu štruktúra. Objekt - premenná typu trieda. Existuje mnoho programovacích jazykov používajúcich princíp OOP, napr.: Visual Basic, C++, C Sharp, Java, Python, PHP a mnoho iných.