Kryptografia klucza symetrycznego

szyfrowanie klucza symetrycznego (kryptografia klucza tajnego): zarówno nadawca, jak i odbiorca używają tego samego klucza do szyfrowania i odszyfrowywania wiadomości

Data Encryption Standard (DES): opracowany przez National Security Agency (NSA) i IBM. Używa 56-bitowego klucza szyfrowania

Advanced Encryption Standard (AES): najczęściej używany algorytm klucza symetrycznego, oferujący klucze 128-, 192- i 256-bitowe

Aby odszyfrować (odszyfrować) te wiadomości, odbiorca musiałby znać tajny szyfr, który został użyty do zaszyfrowania zwykłego tekstu. Nazywa się to kryptografią klucza symetrycznego lub kryptografią klucza tajnego. W kryptografii klucza symetrycznego zarówno nadawca, jak i odbiorca używają tego samego klucza do szyfrowania i odszyfrowywania wiadomości. W jaki sposób nadawca i odbiorca mają ten sam klucz? Muszą przesłać go jakimś środkiem komunikacji lub osobiście wymienić klucz. Kryptografia klucza symetrycznego była szeroko stosowana podczas II wojny światowej i nadal stanowi część kryptografii internetowej. Możliwości prostych szyfrów podstawieniowych i transpozycyjnych są nieograniczone, ale wszystkie mają wspólne wady. Po pierwsze, w erze cyfrowej komputery są tak potężne i szybkie, że te starożytne metody szyfrowania można szybko złamać. Po drugie, kryptografia klucza symetrycznego wymaga, aby obie strony miały ten sam klucz. Aby współdzielić ten sam klucz, muszą wysłać klucz przez prawdopodobnie niezabezpieczony nośnik, gdzie można go ukraść i wykorzystać do odszyfrowania wiadomości. Jeśli tajny klucz zostanie zgubiony lub skradziony, cały system szyfrowania zawiedzie. Po trzecie, w zastosowaniach komercyjnych, gdzie nie wszyscy jesteśmy częścią tego samego zespołu, potrzebujesz tajnego klucza dla każdej ze stron, z którymi przeprowadzałeś transakcje, to znaczy jednego klucza do banku, innego do domu towarowego i innego dla rządu. W dużej populacji użytkowników może to spowodować wystąpienie aż n (n – 1) kluczy. W populacji milionów użytkowników Internetu potrzeba byłoby tysięcy milionów kluczy, aby pomieścić wszystkich klientów handlu elektronicznego (szacunkowo około 177 milionów w Stanach Zjednoczonych). Potencjalnie potrzebnych byłoby 177² milionów różnych kluczy. Oczywiście taka sytuacja byłaby zbyt nieporęczna, aby sprawdzić się w praktyce. Nowoczesne systemy szyfrowania są cyfrowe. Szyfry lub klucze używane do przekształcania zwykłego tekstu w zaszyfrowany tekst to ciągi cyfrowe. Komputery przechowują tekst lub inne dane jako ciągi binarne złożone z zer i jedynek. Na przykład binarna reprezentacja dużej litery „A” w kodzie komputerowym ASCII jest wykonywana za pomocą ośmiu cyfr binarnych (bitów): 01000001. Jednym ze sposobów przekształcania ciągów cyfrowych w zaszyfrowany tekst jest pomnożenie każdej litery przez inną liczbę binarną powiedzmy ośmiobitowy klucz o numerze 0101 0101. Jeśli pomnożymy każdy znak cyfrowy w naszych wiadomościach tekstowych przez ten ośmiobitowy klucz i wyślemy zaszyfrowaną wiadomość do znajomego wraz z tajnym ośmiobitowym kluczem, przyjaciel mógłby łatwo odszyfrować wiadomość. Siła współczesnych zabezpieczeń jest mierzona długością klucza binarnego używanego do szyfrowania danych. W poprzednim przykładzie ośmiobitowy klucz można łatwo odszyfrować, ponieważ istnieje tylko 28 lub 256 możliwości. Jeśli intruz wie, że używasz ośmiobitowego klucza, może zdekodować wiadomość w ciągu kilku sekund przy użyciu nowoczesnego komputera stacjonarnego, używając tylko metody brutalnej siły, sprawdzającej każdy z 256 możliwych kluczy. Z tego powodu stosowane są nowoczesne cyfrowe systemy szyfrowania kluczem z 56, 128, 256 lub 512 cyframi binarnymi. Dzięki kluczom szyfrowania o 512 cyfrach istnieje 2512 możliwości do sprawdzenia. Szacuje się, że wszystkie komputery na świecie musiałyby pracować przez 10 lat, zanim natkną się na odpowiedź. Data Encryption Standard (DES) został opracowany przez National Security Agency (NSA) i IBM w latach pięćdziesiątych XX wieku. DES używa 56-bitowego klucza szyfrowania. Aby poradzić sobie ze znacznie szybszymi komputerami, został ulepszony przez algorytm Triple DES Encryption Algorithm (TDEA) – zasadniczo szyfruje wiadomość trzy razy, każdy z osobnym kluczem. Obecnie najczęściej używanym algorytmem klucza symetrycznego jest Advanced Encryption Standard (AES), który oferuje klucze o rozmiarach 128, 192 i 256 bitów. Uznano, że AES jest względnie bezpieczny, ale w 2011 r. Naukowcy z Microsoft i belgijskiego uniwersytetu ogłosili, że odkryli sposób na złamanie algorytmu, a dzięki tej pracy „margines bezpieczeństwa” AES nadal ulega erozji. Istnieje również wiele innych systemów kluczy symetrycznych, które są obecnie rzadziej używane, z kluczami do 2048 bitów

SZYFROWANIE

szyfrowanie: proces przekształcania zwykłego tekstu lub danych w zaszyfrowany tekst, którego nie może odczytać nikt inny niż nadawca i odbiorca. Celem szyfrowania jest (a) zabezpieczenie przechowywanych informacji i (b) zabezpieczenie transmisji informacji

zaszyfrowany tekst: tekst, który został zaszyfrowany i dlatego nie może być odczytany przez nikogo poza nadawcą i odbiorcą

klucz (szyfr): dowolna metoda przekształcania zwykłego tekstu na tekst zaszyfrowany

szyfr podstawieniowy; każde wystąpienie danej litery jest systematycznie zastępowane inną literą

szyfr transpozycyjny: kolejność liter w każdym słowie zmienia się w pewien systematyczny sposób

Szyfrowanie to proces przekształcania zwykłego tekstu lub danych w zaszyfrowany tekst, którego nie może odczytać nikt inny niż nadawca i odbiorca. Celem szyfrowania jest (a) zabezpieczenie przechowywanych informacji i (b) zabezpieczenie transmisji informacji. Szyfrowanie może zapewnić cztery z sześciu kluczowych wymiarów bezpieczeństwa handlu elektronicznego, o których mowa w Tabeli 5.3 na stronie 260:

  • Integralność wiadomości – daje pewność, że wiadomość nie została zmieniona.
  • Niezaprzeczalność – uniemożliwia użytkownikowi odmowę wysłania wiadomości.
  • Uwierzytelnienie – umożliwia weryfikację tożsamości osoby (lub komputera) wysyłającej wiadomość.
  • Poufność – daje pewność, że wiadomość nie została przeczytana przez innych.

Ta transformacja zwykłego tekstu na tekst zaszyfrowany jest wykonywana przy użyciu klucza lub szyfru. Klucz (lub szyfr) to dowolna metoda przekształcania zwykłego tekstu na tekst zaszyfrowany. Szyfrowanie było praktykowane od najwcześniejszych form pisania i transakcji handlowych. Zapisy handlowe starożytnego Egiptu i Fenicjan zostały zaszyfrowane przy użyciu szyfrów podstawieniowych i transpozycyjnych. W szyfrze podstawieniowym każde wystąpienie danej litery jest systematycznie zastępowane inną literą. Na przykład, jeśli użyjemy szyfru „litera plus dwa” – co oznacza zastąpienie każdej litery w słowie nową literą dwa miejsca do przodu – wówczas słowo „Witaj” w zwykłym tekście zostanie przekształcone w następujący zaszyfrowany tekst: „JGNNQ. ” W szyfrze transpozycji kolejność liter w każdym słowie zmienia się w pewien systematyczny sposób. Leonardo Da Vinci nagrał swoje notatki ze sklepu w odwrotnej kolejności, dzięki czemu można je było odczytać tylko w lustrze. Słowo „Hello” można zapisać od tyłu jako „OLLEH”. Bardziej skomplikowany szyfr (a) podzieliłby wszystkie słowa na dwa słowa i (b) przeliterowałby pierwsze słowo z każdym drugim zaczynając od pierwszej litery, a następnie przeliteruj drugie słowo wszystkimi pozostałymi literami. W tym szyfrze „HELLO” byłoby zapisane jako „HLO EL”.

OCHRONA KOMUNIKACJI INTERNETOWEJ

Ponieważ transakcje e-commerce muszą przepływać przez publiczny Internet, a zatem obejmować tysiące routerów i serwerów, przez które przepływają pakiety transakcji, eksperci ds. Bezpieczeństwa uważają, że największe zagrożenia dla bezpieczeństwa występują na poziomie komunikacji internetowej. To bardzo różni się od sieci prywatnej, w której między dwiema stronami ustanowiona jest dedykowana linia komunikacyjna. Dostępnych jest wiele narzędzi do ochrony bezpieczeństwa komunikacji internetowej, z których najbardziej podstawowym jest szyfrowanie wiadomości.

ROZWIĄZANIA TECHNOLOGICZNE

Na pierwszy rzut oka może się wydawać, że niewiele można zrobić z atakiem naruszeń bezpieczeństwa w Internecie. Przeglądając zagrożenia bezpieczeństwa w poprzedniej sekcji, jest jasne, że zagrożenia dla handlu elektronicznego są bardzo realne, powszechne, globalne, potencjalnie niszczycielskie dla osób fizycznych, firm i całych narodów, i prawdopodobnie będą narastać wraz ze wzrostem e-commerce i ciągła ekspansja internetu. Jednak w rzeczywistości duże postępy poczyniły prywatne firmy ochroniarskie, użytkownicy korporacyjni i domowi, administratorzy sieci, firmy technologiczne i agencje rządowe. Istnieją dwie linie obrony: rozwiązania technologiczne i rozwiązania polityczne. W tej sekcji rozważymy niektóre rozwiązania technologiczne, aw następnej przyjrzymy się niektórym działającym rozwiązaniom politycznym. Pierwszą linią obrony przed różnorodnymi zagrożeniami dla witryny handlu elektronicznego jest zestaw narzędzi, które mogą utrudniać osobom postronnym zaatakowanie lub zniszczenie witryny.

WYZWANIE: MOŻLIWE IMPLIKACJE

Wiele urządzeń IoT, takich jak czujniki, ma zostać wdrożonych na znacznie większą skalę niż tradycyjne urządzenia połączone z Internetem, tworząc ogromną liczbę wzajemnie połączonych łączy, które można wykorzystać. :

Aby poradzić sobie z tą bezprecedensową skalą, należy opracować istniejące narzędzia, metody i strategie.

Wiele instancji IoT składa się z kolekcji identycznych urządzeń, które mają te same cechy. : Zwiększa potencjalny wpływ luki w zabezpieczeniach.

Przewiduje się, że wiele urządzeń IoT będzie miało znacznie dłuższą żywotność niż typowe urządzenia. Urządzenia mogą „przeżyć” producenta, pozostawiając je bez długoterminowego wsparcia, co stwarza trwałe luki w zabezpieczeniach.

Wiele urządzeń IoT jest celowo projektowanych bez możliwości ich aktualizacji lub proces aktualizacji jest trudny: zwiększa prawdopodobieństwo, że wrażliwe urządzenia nie mogą lub nie zostaną naprawione, pozostawiając je wiecznie bezbronnymii.

Wiele urządzeń IoT nie zapewnia użytkownikowi wglądu w działanie urządzenia lub generowanych danych, ani nie ostrzega użytkownika, gdy pojawia się problem z bezpieczeństwem. : Użytkownicy mogą sądzić, że urządzenie IoT działa zgodnie z przeznaczeniem, podczas gdy w rzeczywistości może działać w złośliwy sposób.

Niektóre urządzenia IoT, takie jak czujniki, są dyskretnie osadzone w środowisku, tak że użytkownik może nawet nie być świadomy istnienia urządzenia. : Naruszenie bezpieczeństwa może trwać przez długi czas, zanim zostanie zauważone.

INTERNET RZECZY .ZAGADNIENIA BEZPIECZEŃSTWA

Jak dowiedziałeś się , Internet rzeczy (IoT) polega na wykorzystaniu Internetu do łączenia szerokiej gamy czujników, urządzeń i maszyn oraz napędza rozwój wielu inteligentnych urządzeń połączonych, takich jak elektronika domowa. (inteligentne telewizory, termostaty, systemy bezpieczeństwa w domu i nie tylko), połączone samochody, urządzenia medyczne i sprzęt przemysłowy, który wspiera produkcję, energię, transport i inne sektory przemysłu. IoT wiąże się z wieloma problemami związanymi z bezpieczeństwem, które są pod pewnymi względami podobne do istniejących problemów z bezpieczeństwem, ale są jeszcze trudniejsze, biorąc pod uwagę potrzebę radzenia sobie z szerszą gamą urządzeń, działających w mniej kontrolowanym, globalnym środowisku i z rozszerzonym zakresem atak. W świecie połączonych rzeczy urządzenia, dane wytwarzane i wykorzystywane przez urządzenia oraz systemy i aplikacje obsługiwane przez te urządzenia mogą być potencjalnie atakowane (IBM, 2015). W tabeli 5.5 przyjrzymy się bliżej niektórym wyjątkowym wyzwaniom związanym z bezpieczeństwem, jakie stwarza IoT, zidentyfikowanym przez Internet Society (ISOC), konsorcjum korporacji, agencji rządowych i organizacji non-profit, które monitorują polityki i praktyki internetowe (Internet Society, 2016, 2015) . Już teraz w popularnej prasie pojawiają się niepokojące doniesienia o zhakowanych urządzeniach IoT. Na przykład w lipcu 2015 r. Naukowcy zademonstrowali możliwość włamania się do Jeepa Cherokee za pośrednictwem jego systemu rozrywki, wysyłając polecenia do deski rozdzielczej, układu kierowniczego, hamulców i układu transmisji ze zdalnego laptopa, który obrócił kierownicę, wyłączył hamulce i wyłącz silnik (Greenberg, 2015). Fiat Chrysler Automobiles natychmiast wydał zawiadomienie o wycofaniu, aby naprawić lukę w oprogramowaniu, ale jest prawie pewne, że takie incydenty będą nadal występować, ponieważ producenci samochodów dodają do samochodów coraz więcej bezprzewodowych funkcji „samochodów podłączonych do sieci”. Pojawiły się inne doniesienia o włamaniach do bezprzewodowych monitorów dziecięcych, a także urządzeń medycznych, takich jak laboratoryjne analizatory gazometryczne, archiwum obrazów radiologicznych i systemy komunikacji, pompy infuzyjne leków i szpitalne systemy rentgenowskie (Storm, 2015a, 2015b). Wspomniany wcześniej atak DDoS 2016 na Dyn polegał częściowo na milionach kamer bezpieczeństwa podłączonych do Internetu

KWESTIE BEZPIECZEŃSTWA W CHMURZE

Przeniesienie tak wielu usług internetowych do chmury również wiąże się z zagrożeniami dla bezpieczeństwa. Z punktu widzenia infrastruktury ataki DDoS zagrażają dostępności usług w chmurze, na których polega coraz więcej firm. Na przykład, jak wcześniej zauważono, atak DDoS na Dyn w 2016 roku spowodował poważne zakłócenia w usługach w chmurze w całych Stanach Zjednoczonych. Według firmy Alert Logic, która przeanalizowała 1 miliard zdarzeń związanych z bezpieczeństwem w środowiskach IT ponad 3000 klientów korporacyjnych, liczba ataków na usługi i aplikacje w chmurze wzrosła o 45%. Alert Logic wykrył również 36% wzrost podejrzanych działań w środowisku chmury, takich jak próby przeskanowania infrastruktury (Alert Logic, 2015). Ochrona danych przechowywanych w środowisku chmury publicznej jest również poważnym problemem (Cloud Security Alliance, 2016). Na przykład badacze zidentyfikowali kilka sposobów, w jakie można uzyskać dostęp do danych bez autoryzacji w Dropbox, który oferuje popularną usługę udostępniania plików w chmurze. W 2014 roku opublikowano w sieci zdjęcia aż 100 celebrytów, takich jak Jennifer Lawrence, które podobno zostały skradzione z iCloud firmy Apple. Chociaż początkowo sądzono, że włamanie było możliwe dzięki luce w interfejsie API Find My iPhone firmy Apple, najwyraźniej wynikało to z ataków phishingowych o niższej technologii, które umożliwiły uzyskanie haseł, których można użyć do połączenia z iCloud. Podobny włamanie do konta Apple iCloud pisarza Mat Honana przy użyciu taktyk inżynierii społecznej w 2012 roku umożliwiło hakerom wyczyszczenie wszystkiego z jego komputera Mac, iPhone’a i iPada, które były połączone z usługą w chmurze, a także przejęcie jego kont na Twitterze i Gmailu (Honan, 2012). Te incydenty uwypuklają związane z nimi ryzyko, ponieważ urządzenia, tożsamości i dane stają się coraz bardziej ze sobą połączone w chmurze. Badanie przeprowadzone przez Ponemon Insititute z 2016 r. Na 3400 dyrektorach IT wykazało, że większość ankietowanych praktyków IT i bezpieczeństwa IT uważała, że ​​prawdopodobieństwo naruszenia danych wzrasta z powodu chmury, częściowo z powodu faktu, że wiele organizacji nie zbadało wcześniej dokładnie bezpieczeństwa chmury. wdrażanie usług w chmurze. Badanie wykazało również, że tylko jedna trzecia wrażliwych danych w aplikacjach opartych na chmurze była zaszyfrowana, a połowa zaangażowanych firm nie ma proaktywnego podejścia do bezpieczeństwa w chmurze, polegając zamiast tego na dostawcach chmury, aby zapewnić bezpieczeństwo

KWESTIE BEZPIECZEŃSTWA PLATFORM MOBILNYCH

Eksplozja urządzeń mobilnych rozszerzyła możliwości hakerów. Użytkownicy mobilni wypełniają swoje urządzenia informacjami osobistymi i finansowymi i używają ich do przeprowadzania coraz większej liczby transakcji, od zakupów detalicznych po bankowość mobilną, co czyni ich doskonałymi celami dla hakerów. Ogólnie rzecz biorąc, urządzenia mobilne są narażone na takie same zagrożenia jak wszystkie urządzenia internetowe, a także na nowe zagrożenia związane z bezpieczeństwem sieci bezprzewodowej. Na przykład publiczne sieci Wi-Fi, które nie są zabezpieczone, są bardzo podatne na włamania. Podczas gdy większość użytkowników komputerów osobistych zdaje sobie sprawę, że ich komputery i strony internetowe mogą zostać zhakowane i zawierać złośliwe oprogramowanie, większość użytkowników telefonów komórkowych uważa, że ​​ich telefon komórkowy jest tak samo bezpieczny jak tradycyjny telefon stacjonarny. Podobnie jak w przypadku członków sieci społecznościowych, użytkownicy mobilni są skłonni myśleć, że znajdują się we wspólnym, godnym zaufania środowisku. Złośliwe oprogramowanie dla telefonów komórkowych (czasami określane jako złośliwe aplikacje mobilne (MMA) lub nieuczciwe aplikacje mobilne) zostało opracowane już w 2004 r. Wraz z Cabir, robakiem Bluetooth wpływającym na systemy operacyjne Symbian (telefony Nokia) i powodującym ciągłe wyszukiwanie innych urządzeń Bluetooth -aktywne urządzenia, szybko rozładowujące baterię. Robak iKee.B, po raz pierwszy odkryty w 2009 roku, zaledwie dwa lata po wprowadzeniu iPhone’a, zainfekował iPhone’y z jailbreakiem, zamieniając je w urządzenia kontrolowane przez botnet. IPhone w Europie może zostać zhakowany przez iPhone’a w Stanach Zjednoczonych, a wszystkie jego prywatne dane zostaną przesłane na serwer w Polsce. IKee.B ustaliła wykonalność botnetów telefonii komórkowej. W 2015 roku firma Symantec przeanalizowała 10 milionów aplikacji i odkryła, że ​​3 miliony to złośliwe oprogramowanie. Firma Symantec oczekuje, że wzrost mobilnego szkodliwego oprogramowania będzie kontynuowany w 2016 r. I będzie bardziej agresywny w atakowaniu mobilnych płatności i aplikacji bankowości mobilnej. Większość mobilnego szkodliwego oprogramowania nadal atakuje platformę Android. Na przykład firma Symantec wykryła już złośliwe oprogramowanie dla systemu Android, które może przechwytywać wiadomości tekstowe z kodami uwierzytelniającymi banku i przekazywać je atakującym, a także fałszywe wersje  legalnych aplikacji bankowości mobilnej. Jednak platforma Apple iPhone również staje się coraz bardziej celem ataków, a w 2015 roku chińscy hakerzy zainfekowali Xcode, zintegrowany zestaw narzędzi programistycznych Apple do tworzenia aplikacji na iOS, w wyniku czego niczego nie podejrzewający chińscy programiści iOS nieświadomie stworzyli tysiące aplikacji za pomocą złośliwy kod (Keizer, 2015). Niebezpieczne są nie tylko nieuczciwe aplikacje, ale także popularne legalne aplikacje, które po prostu mają niewielką ochronę przed hakerami. Na przykład w 2014 r. Badacze bezpieczeństwa ujawnili, że aplikacja mobilna Starbucks, najczęściej używana aplikacja do płatności mobilnych w Stanach Zjednoczonych, przechowuje nazwy użytkowników, adresy e-mail i hasła w postaci zwykłego tekstu w taki sposób, że każdy, kto ma do nich dostęp telefon mógł zobaczyć hasła i nazwy użytkowników po podłączeniu telefonu do komputera. Według naukowców Starbucks popełnił błąd, kładąc nacisk na wygodę i łatwość użytkowania w projektowaniu aplikacji nad względami bezpieczeństwa (Schuman, 2014). Ataki Vishing są wymierzone w łatwowiernych użytkowników telefonów komórkowych za pomocą komunikatów słownych, aby zadzwonić pod określony numer i, na przykład, przekazać pieniądze głodującym dzieciom na Haiti. Ataki smishingowe wykorzystują SMS-y / wiadomości tekstowe. Zaatakowane wiadomości tekstowe mogą zawierać adresy e-mail i witryn internetowych, które mogą prowadzić niewinnego użytkownika do witryny zawierającej złośliwe oprogramowanie. Pojawiły się przestępcze usługi fałszowania SMS-ów, które ukrywają prawdziwy numer telefonu cyberprzestępcy, zastępując go fałszywą nazwą alfanumeryczną. Podszywanie się pod SMS-y może być również wykorzystywane przez cyberprzestępców do zwabienia użytkowników mobilnych na złośliwą witrynę internetową, wysyłając tekst, który wydaje się pochodzić z legalnej organizacji w polu Od i sugerując odbiorcy kliknięcie złośliwego hiperłącza URL w celu zaktualizowania konta lub uzyskania karta podarunkowa. Niewielka liczba aplikacji pobranych ze sklepów z aplikacjami zawierała również złośliwe oprogramowanie. Madware – niewinnie wyglądające aplikacje zawierające oprogramowanie typu adware, które uruchamia wyskakujące reklamy i wiadomości tekstowe na urządzeniu mobilnym – również staje się coraz większym problemem. Badanie 3 milionów aplikacji w 2015 roku, które Symantec sklasyfikował jako grayware (programy, które nie zawierają wirusów i nie są jawnie złośliwe, ale które mogą być irytujące lub szkodliwe), wykazało, że 2,3 miliona tych reklam to oprogramowanie typu madware (Symantec, 2016). Przeczytaj etui Insight on Technology. Myślisz, że Twój smartfon jest bezpieczny? w celu dalszego omówienia niektórych kwestii związanych z bezpieczeństwem smartfonów.

KWESTIE BEZPIECZEŃSTWA SIECI SPOŁECZNOŚCIOWYCH

Sieci społecznościowe, takie jak Facebook, Twitter, LinkedIn, Pinterest i Tumblr, zapewniają hakerom bogate i satysfakcjonujące środowisko. W sieciach społecznościowych można znaleźć wirusy, przejęcia witryn, oszustwa tożsamości, aplikacje zawierające złośliwe oprogramowanie, przechwytywanie kliknięć, wyłudzanie informacji i spam. Według firmy Symantec najczęstszym rodzajem oszustwa w serwisach społecznościowych w 2015 r. Były oszustwa polegające na ręcznym udostępnianiu, w ramach których ofiary nieświadomie udostępniały filmy, historie i zdjęcia zawierające łącza do złośliwych witryn. Fałszywe oferty zapraszające ofiary do przyłączenia się do fałszywego wydarzenia lub grupy z zachętami, takimi jak bezpłatne karty podarunkowe, i które wymagają od użytkownika udostępnienia swoich informacji napastnikowi, to kolejna powszechna technika.

Inne techniki obejmują fałszywe przyciski Like, które po kliknięciu instalują złośliwe oprogramowanie i publikują aktualizacje w kanale aktualności użytkownika, dalej rozprzestrzeniając atak, oraz fałszywe aplikacje (Symantec, 2016). Zakradając się do naszych znajomych, hakerzy mogą udawać znajomych i oszukiwać użytkowników w oszustwach. Firmy sieci społecznościowych były do ​​tej pory stosunkowo kiepskimi policjantami, ponieważ nie udało im się agresywnie odfiltrować kont, które odsyłają odwiedzających do witryn zawierających złośliwe oprogramowanie (w przeciwieństwie do Google, które prowadzi listę znanych witryn ze złośliwym oprogramowaniem i patroluje wyniki wyszukiwania w poszukiwaniu linków do witryn zawierających złośliwe oprogramowanie). Sieci społecznościowe są otwarte: każdy może założyć stronę osobistą, nawet przestępcy. Większość ataków to ataki socjotechniczne, które zachęcają odwiedzających do klikania linków, które brzmią rozsądnie. Aplikacje społecznościowe pobrane z sieci społecznościowej lub zagranicznej witryny nie mają certyfikatu sieci społecznościowej jako wolne od złośliwego oprogramowania. To jest „uwaga na klikacze”.

ŹLE ZAPROJEKTOWANE OPROGRAMOWANIE

Atak z iniekcją SQL: wykorzystuje źle zakodowane oprogramowanie aplikacji internetowej, które nie sprawdza poprawności ani nie filtruje danych wprowadzonych przez użytkownika na stronie internetowej

luka dnia zerowego: luka w zabezpieczeniach oprogramowania, która nie została wcześniej zgłoszona i dla której nie ma jeszcze poprawki

Heartbleed bug: luka w systemie szyfrowania OpenSSL, która umożliwiła hakerom odszyfrowanie sesji SSL i wykrycie nazw użytkowników, haseł i innych danych użytkowników.

Wiele zagrożeń bezpieczeństwa poluje na źle zaprojektowane oprogramowanie, czasami w systemie operacyjnym, a czasami w oprogramowaniu aplikacyjnym, w tym przeglądarkach. Wzrost złożoności i rozmiaru programów, w połączeniu z wymaganiami terminowego dostarczania na rynki, przyczynił się do wzrostu liczby luk w oprogramowaniu lub luk w zabezpieczeniach, które mogą wykorzystać hakerzy. Na przykład ataki typu SQL injection wykorzystują luki w słabo zakodowanych aplikacjach internetowych, które nie sprawdzają poprawnie lub nie filtrują danych wprowadzonych przez użytkownika na stronie internetowej w celu wprowadzenia złośliwego kodu programu do systemów i sieci firmy. Osoba atakująca może wykorzystać ten błąd sprawdzania poprawności danych wejściowych, aby wysłać fałszywe zapytanie SQL do bazowej bazy danych w celu uzyskania dostępu do bazy danych, umieszczenia złośliwego kodu lub uzyskania dostępu do innych systemów w sieci. Duże aplikacje internetowe mają setki miejsc do wprowadzania danych użytkownika, z których każde stwarza okazję do ataku typu SQL injection. Uważa się, że wiele aplikacji internetowych ma luki w zabezpieczeniach umożliwiających wstrzyknięcie kodu SQL, a hakerzy mają do dyspozycji narzędzia do sprawdzania aplikacji internetowych pod kątem tych luk. Każdego roku firmy zajmujące się bezpieczeństwem identyfikują tysiące luk w zabezpieczeniach oprogramowania przeglądarek internetowych, komputerów PC, Macintosh i Linux, a także urządzeń mobilnych ,systemy i aplikacje. Według firmy Microsoft ujawnienia luk w zabezpieczeniach w branży oprogramowania w drugiej połowie 2015 r. Wzrosły o 9% w porównaniu z tym samym okresem w 2014 r. Zidentyfikowano ponad 3300 luk (Microsoft, 2016). W szczególności luki w zabezpieczeniach przeglądarek są popularnym celem, podobnie jak wtyczki do przeglądarek, takie jak Adobe Reader. Luka typu zero-day to taka, która nie została wcześniej zgłoszona i dla której nie istnieje jeszcze łatka. W 2015 roku zgłoszono 54 luki w zabezpieczeniach typu zero-day, w porównaniu z 24 w 2014 (Symantec, 2016). Sam projekt komputera osobistego zawiera wiele otwartych portów komunikacyjnych, które mogą być używane, a nawet są przeznaczone do używania, przez komputery zewnętrzne do wysyłania i odbierania wiadomości. Często atakowane porty obejmują port TCP 445 (Microsoft-DS), port 80 (WWW / HTTP) i 443 (SSL / HTTPS). Ze względu na złożoność i cele projektowe wszystkie systemy operacyjne i aplikacje, w tym Linux i Macintosh, mają luki w zabezpieczeniach. W 2014 roku odkryto lukę w systemie szyfrowania OpenSSL, używanym przez miliony witryn internetowych, zwaną błędem Heartbleed (dalsze omówienie SSL znajduje się w sekcji 5.3). Luka ta umożliwiła hakerom odszyfrowanie sesji SSL i wykrycie nazw użytkowników, haseł i innych danych użytkowników za pomocą protokołu OpenSSL w połączeniu z protokołem komunikacyjnym zwanym pulsem RFC6520, który pomaga zdalnemu użytkownikowi pozostać w kontakcie po połączeniu się z serwerem witryny internetowej. W trakcie tego procesu może wyciec niewielka część zawartości pamięci serwera (stąd nazwa zawrotna), potencjalnie wystarczająco duża, aby pomieścić hasło lub klucz szyfrujący, który pozwoliłby hakerowi na dalsze wykorzystanie serwera. Błąd Heartbleed wpłynął również na ponad 1300 aplikacji na Androida. Później w 2014 roku ujawniono kolejną lukę znaną jako ShellShock lub BashBug, która dotyczyła większości wersji Linuksa i Uniksa, a także Mac OS X. Osoby atakujące z włączoną funkcją ShellShock mogą używać CGI (patrz Rozdział 4) do dodawania złośliwych poleceń (Symantec, 2015). W 2015 roku badacze ogłosili, że odkryli nową lukę w zabezpieczeniach SSL / TLS, którą nazwali FREAK (Factoring Attack on RSA-Export Keys), która umożliwia ataki typu man-in-the-middle, które umożliwiają przechwycenie i odszyfrowanie zaszyfrowanej komunikacji między klientami a serwery, które umożliwiłyby następnie atakującym kradzież haseł i innych danych osobowych. Podobno ponad 60% zaszyfrowanych witryn internetowych było narażonych na ataki za pośrednictwem tej luki w zabezpieczeniach, w tym witryny Białego Domu, FBI i Agencji Bezpieczeństwa Narodowego (Hackett, 2015; Vaughan-Nichols, 2015). Niedawne badanie wykazało, że ponad 1200 witryn internetowych największych firm nie rozwiązało całkowicie problemu.