電腦保安

電腦保安din6 nou5 bou2 on1（英文：computer security / cybersecurity）係資訊保安嘅一個分支，目的係喺保證被授權用戶能夠正常噉攞到同使用資產嘅情況下，保護資訊同財產唔受偷竊、污染或者自然災害等嘅損壞。

呢幅圖畫描繪想像中嘅黑客；响廿一世紀初，有好多心懷惡意嘅人都會想搞其他人嘅電腦，偷走啲重要嘅資訊。

啲人之所以電腦會有保安問題，其中一個主因係佢哋成日亂咁 download（粵拼：daang1 lou1）嘢^[1]。

概論

内文：電腦科學

睇埋：電腦網絡同網絡保安

基本定義

睇埋：資訊同存取控制

要保護一部電腦最簡單嗰個方法－索性搵個鎖鎖住佢，噉啲人就唔能夠（例如）打開個殼偷走部電腦嘅硬碟。

有關電腦保安領域要點界定，2022 年嘅不列顛百科全書係噉樣描述電腦保安嘅^[2]：

「

（粵文翻譯）電腦保安係一系列工作，負責保護電腦系統同埋資訊免受傷害、偷竊同埋未經授權使用。

」

電腦本質上就係能夠大量噉儲起同快速處理數據嘅系統，好多時都收埋咗好多重要資訊－例如係個人嘅儲蓄戶口嘅密碼，或者一間企業內部有關研發緊嗰件產品嘅詳情嘅資料... 呀噉。有好多人都有誘因想傷害或者偷呢啲資訊，例如黑客可能會想偷啲人嘅儲蓄戶口密碼（用嚟偷錢），又或者有啲企業可能會想破壞競爭對手嘅研發數據，令自己喺競爭當中得到優勢。電腦保安呢個領域嘅目標，正正就係想深究點樣保護電腦系統，確保啲系統入面嘅資訊，淨係得有授權嘅人先至可以睇或者郁^[3][4]。

主要功能

根據美國 NIST 電腦保安框架，電腦保安好抽象化噉講包含咗 5 大功能^{[註 1][5]}：

• Identify（搵出）：首先，保安專家要清楚噉知道嗮個組織嘅特性，要知個組織係做咩工作嘅，知道個組織有邊啲資產係可以有電腦保安問題嘅，仲有需要知道每隻資產分別有幾大風險... 呀噉。
• Protect（保護）：要開發適當嘅服務，保護呢啲可能受到攻擊嘅資產，例如存取控制就係一種常用嘅保護方法；
• Detect（探測）：要有適當嘅措施，確保啲資產受到攻擊嗰陣電腦保安人員會即刻知，例如啲防毒軟件探測到啲檔案有輘輷嗰時會即刻彈條信息出嚟；
• Respond（反應）：要講明嗮「一旦電腦保安問題出現嗰時，要畀啲咩反應」；
• Recover（恢復）：如果攻擊搞到個系統（或者個系統某啲部份）daang1 咗－例子可以睇吓阻斷服務攻擊，個組織要有一套方案修理返好個系統^{[註 2]}。

典型嘅電腦保安用軟件，都係執行緊上述呢啲功能。

漏洞類型

内文：漏洞

睇埋：Bug同安全 bug

後門

部電腦嘅系統有冇後門（正常以外嘅進入途徑）呢？

内文：軟件後門

後門（backdoor）係指一啲能夠直接 skip 咗部電腦系統正常保安機制嘅攻擊途徑。

舉個簡單例子，軟件工程師製作軟件嗰陣，好多時都會將隻軟件設定成用家要入密碼或者用第啲方法做鑑別，確定咗佢身份，先至准佢哋用隻軟件；同時軟件工程師好多時又會特登設計一啲另類嘅方法，畀用家唔使做呢啲鑑別就用到隻軟件－用意可能係想（例如）確保技術人員能夠喺用家唔記得咗自己密碼嗰時照行隻軟件，從而幫用家 reset 密碼。不過事實表明，黑客等嘅惡意人物成日會利用呢啲噉嘅後門嚟偷取資訊^[6][7]。

攻擊方要用後門攻擊，可以有多種途徑。最直接嗰種方法，可能攻擊方對佢想攻擊嗰個系統或者嗰隻軟件好熟，甚至知個系統或者隻軟件嘅源碼，知道（例如）喺開咗隻軟件之後撳某段掣再入某段密碼^{[註 3]}，就能夠直接略過正常鑑別程序，直接用到隻軟件嘅，於是就用呢種方法攻擊；亦都有一種做法係用某啲方法（例如釣魚）吸引用家單daang1撈隻惡意程式，然後隻惡意程式會喺用家唔為意嗰陣單撈第啲惡意程式，等呢啲其他惡意程式唔使經用家同意就入到用家部電腦^{[註 4]}－帶頭嗰隻惡意程式可以算係一道由黑客自己整、再擺落用家部電腦度嘅後門^[8]。

攻擊類型

内文：網絡攻擊

睇埋：心理操縱

釣魚攻擊

「我哋係受信銀行（TrustedBank）。
親愛嘅客戶，我哋留意到您最近嘗試由第個國家度提取 135.25 文咁多錢。如果上述嘅資訊唔正確，可能表示有人偷入您個戶口。為咗安全起見，請您撳以下條拎去我哋個網站：」
（收到呢封 e-mail 嘅人一撳條拎就出事。）

内文：釣魚 (網絡)

釣魚（phishing）係廿一世紀初其中一種最常見嘅攻擊，用嚟引受害人提供密碼或者信用咭號碼等嘅敏感資訊。一場釣魚式嘅攻擊過程如下^[9]：

• 攻擊方假扮成一啲信得過嘅人或者組織，例如扮成銀行或者政府嘅人員呀噉；
• 向受害方傳信息或者電郵，而且提到一啲會令受害方「揗雞，想即刻行動」嘅內容，例如「我哋係 XX 銀行，你個戶口喺三日前畀一個身處美國嘅人提咗咁多咁多錢」噉；
• 靠呢種信息或者電郵引受害方提供一啲敏感資訊，例如「如果啲錢唔係你提取嘅，麻煩撳下面條拎，提供你嘅信用咭號碼」噉；
• 釣魚式攻擊通常會配合埋各種嘅惡意軟件嚟用，受害方一撳條拎，就會出事－可能條拎會連去一個叫受害方填敏感資訊嘅網站，甚至一撳條拎隻惡意軟件就會單撈落受害方部機度。

黑客寫好信息設好條拎之後，就向 1,000 個人 send（粵拼：sen1）釣魚電郵，梗會有一兩個人上當^[10]。進階啲嘅釣魚式攻擊仲可以好個人化（魚叉式釣魚）－例如黑客望到某個人手上有啲價值連城嘅資產，就走去調查吓嗰個人，知佢有咩朋友，跟住喺釣魚用嘅電郵度模仿佢啲朋友嘅口吻寫嘢。

事實表明，釣魚式攻擊可以造成巨大嘅損失，例如喺 2020 年代初就出咗好多單案涉及有黑客用釣魚式攻擊引人撳拎，用拎嘅惡意軟件嚟偷走值成幾廿萬美金嘅 NFT ^[11]，甚至仲有荷里活嘅演員畀人透過呢種方法偷走佢嘅 NFT 資產^[12]。因為噉，有唔少電腦保安工作者都有研究點樣對付釣魚式攻擊，例如反垃圾電郵技術，就可以減少啲人睇到釣魚用電郵嘅機率。

阻斷服務

内文：阻斷服務攻擊

阻斷服務攻擊（Dos）：指攻擊者嘗試搞到攻擊目標（好多時係一部伺服器）冇辦法通過互聯網向啲用家提供服務；例如攻擊者用某啲方法突然間係噉勁要求部目標伺服器做嘢，搞到部伺服器唔夠系統資源服務正常嘅用家。分散式阻斷服務攻擊（DDos）係 Dos 嘅一種，指個攻擊者利用俾佢攻陷咗嘅一柞電腦嚟做「用家」，控制呢柞電腦一齊勁要求個目標伺服器做嘢（好似下圖嘅抽象圖解噉）^[13]。

惡意程式

事實表明咗，啲人會中黑客嘅招，往往係因為佢哋亂咁 download 嘢。

内文：惡意程式

惡意程式（malware）：「有惡意」嘅軟件，即係指隻軟件設計出嚟用意係想對電腦、伺服器、用家或者電腦網絡造成傷害。

• 病毒：一種常見嘅惡意程式，一旦一隻電腦病毒開始行，佢就會郁手篡改第啲電腦程式，對呢啲程式（host）做代碼注入（指加插一啲本來唔屬於嗰個程式嘅碼），從而自我複製，好多時仲會控制 host 所屬嘅電腦，要呢啲電腦幫手散佈隻病毒（例如教部電腦將隻病毒附喺電郵度再傳去俾第啲電腦）^[14]。
• 廣告軟件（adware）：泛指一啲用嚟勁喺用家部機度顯示廣告嘅軟件；呢啲軟件可以透過好多途徑進入用家嘅電腦，例如係「匿喺」一啲正常嘅程式裏面，一齊俾用家下載落部機度；一旦一隻廣告軟件裝咗落部機度，就會開始用各種方法向用家顯示廣告，例如係上上吓網無啦啦彈個廣告出嚟，或者係擅自改咗用家網頁瀏覽器嘅頭版噉；比較有攻擊性嘅廣告軟件甚至會（例如）靜靜雞查用家「上邊啲網站」嘅資訊，再將呢啲資訊傳返去開發隻軟件嘅人度，用嚟做「已知呢位用家對呢啲呢啲嘢有興趣，要彈啲咩廣告俾呢位用家睇？」噉嘅決策^[15]。
• 鍵盤側錄（keylogging）：係指一部電腦（通常暗中）記住喺某段時間內用家撳咗鍵盤邊啲掣，可以係一嚿硬件；鍵盤側錄程式一般都唔犯法，成日俾 IT 工作者攞嚟查返啲用家做過啲乜，不過亦都有啲人會用鍵盤側錄嚟做「偷密碼」等嘅犯法嘢^[16]。

拉雜攻擊類型

内文：夾硬執行代碼

• 夾硬執行代碼（ACE）係指「揀定一部機，揀定一柞命令或者電腦碼，再夾硬要部機執行嗰柞命令或者碼」。有唔少軟件都會有漏洞，令到用家有可能揀一段特定嘅碼，再做 ACE 嘅過程，如果黑客用 ACE 嚟叫部電腦（例如）將部機嘅檔案目錄顯示嗮畀佢睇，等佢有得睇啲佢唔應該睇到嘅檔案；又或者個黑客叫部機行剷走某啲特定嘅數據（想像個黑客係幫佢間企業破壞競爭對手嘅研發數據），甚至將部機入面嘅某啲數據（例如用家嘅銀行密碼）顯示出嚟睇... 呀噉^[17]。

防守方法

睇埋：密碼學同運算複雜度理論

存取控制

「你想 log in 呀？我哋啱啱傳咗一段有 6 個數嘅核證碼（verification code）去你部手機度，唔該打段核證碼。」
用家：（望吓自己部手機收到嗰個信息，將嗰 6 個數字打落去。）

内文：電腦存取控制、通行碼同密碼強度

睇埋：窮舉攻擊同多重要素鑑別

存取控制可以話係電腦保安最直接嗰種做法，泛指用某啲方法限住淨係某啲人先可以睇同攞個系統啲數據。

例如密碼^{[註 5]}就係廿一世紀初電腦保安嘅一個大課題：如果有人想睇某啲敏感資訊，例如係喺網上銀行服務度 log in（粵拼：lok1 in1）噉，部電腦會要佢入密碼，入啱先至可以睇，而且正常嚟講個系統仲會限住佢可以撞幾多次密碼，如果佢（例如）入咗三次密碼都入唔啱，佢望落就似係黑客喺度撞密碼，個系統就會暫時封咗佢個戶口。不過問題係，密碼好多時都係畀啲人自己設嘅，而現實表明咗啲人成日都會設啲太易估中嘅密碼，例如調查顯示^[18]，

• 123456
• password（英文密碼噉解）
• qwerty（標準羅馬字鍵盤最上面嗰行嘅頭嗰 6 隻字母）

... 等嘅密碼成日畀人攞嚟用，黑客是但搵 10 個戶口，個個戶口都嘗試用 123456 嚟 log in，可能己經成功噉入到其中一個，入到戶口就會攞到用戶嘅信用咭號碼同埋其他重要嘅資訊。因為噉，廿一世紀初有唔少電腦保安專家都喺度研究點樣產生難破解嘅密碼，仲要教啲人用噉嘅密碼。

2010 年代後半橛仲開始盛行多重要素鑑別（MFA），即係唔再齋靠密碼嚟做存取控制：用家入咗密碼之後，電腦簡單講可以用雜湊函數將段密碼轉化成一段望落亂七八糟嘅碼（hash）－接收密碼嗰方可以對吓段 hash 同埋「如果入啱咗密碼，會出嘅 hash 嘅樣」睇吓兩者夾唔夾，夾嘅話就表示用家入啱咗密碼^{[註 6]}；如果黑客偷取到段 hash，佢哋唔能夠直接睇到段密碼係乜，但佢哋可以靠段 hash 嘅樣嚟估到密碼係乜^[19][20]。因為噉嘅緣故，愈嚟愈多嘅電腦保安工作者開始唔想再一味靠密碼嚟做保安，而係會要求用家用入密碼以外嘅方法證明佢哋嘅身份，例如 Google 喺 2016 年起就開始採取一種做法，用家打啱密碼想 log in 之後，Google 會傳段信息去佢部手機度，要求佢喺手機度確認「頭先嘗試 log in 嘅係你」，呢種做法吸引咗好多組織仿傚^[21]。

專化軟件

防毒軟件（antivirus）：泛指用嚟幫一部電腦探測、防範同清除惡意程式嘅軟件；响一開始嗰陣，防毒軟件淨係攞嚟防電腦病毒嘅，不過到咗廿一世紀初，防毒軟件曉應付嘅唔淨只係電腦病毒，仲會有功能幫用家防範勒索軟件、特洛伊木馬程序、濫發電子訊息同釣魚等嘅威脅^[22]。

虛擬私人網路（VPN）：軟件嘅一種，主要功能係將一個私人網絡「擴張」到去一個公用網絡（例如互聯網）度，等用家有得喺唔使俾個公用網絡睇到自己 IP 位址（好多時係透過加密嘅技術）嘅情況下同個網絡收發資訊－達致「保護用家個人資料」噉嘅效果；喺廿一世紀初，VPN 嘅使用幾有爭議性，例如唔少人都質疑 VPN 係咪信得過，會唔會乘機偷用家嘅個資^[23]。

黑客

内文：黑客

睇埋

• 電腦保安嘅大綱，有列表式噉將電腦保案啲重要概念列嗮出嚟。
• 修補程式，開發軟件嘅人之所以會發佈修補程式，一個常見嘅理由係因為隻軟件喺保安上有啲甩漏。
• 電腦犯罪
• 資訊系統
• 閉路電視

註釋

1. 「抽象化」即係唔諗郁手做嗰陣需要嗰啲細節住。
2. 可以睇睇容錯能力嘅概念。
3. 同時假設出隻軟件嗰間公司保安做得好差，密碼畀攻擊方破解咗。
4. 睇埋特洛伊木馬程式嘅概念。
5. 唔好同密碼學講嗰啲密文碼撈亂。
6. 雜湊函數嘅運作原理有啲複雜，呢度唔詳細講。

文獻

• Harry, C., & Gallagher, N. (2018). Classifying cyber events (PDF). Journal of Information Warfare, 17(3), 17-31，依篇英文文章講咗當代電腦保安要應對嘅問題，可以分做邊幾類，提到網絡攻擊通常一係阻礙正常運作一係唔合法噉攞數據。

攷

1. "Basic Computer Security: How to Protect Yourself from Viruses, Hackers, and Thieves". How-To Geek (美國英文). 2022-04-14. 喺2023-07-06搵到.
2. Computer security. Encylcopedia Britannica，原文："Computer security, the protection of computer systems and information from harm, theft, and unauthorized use."
3. Confidence In Cybersecurity Regulation For Critical Infrastructure，《福布斯》出咗篇文講到用電腦保安技術保護重要嘅基建。
4. Harry, C., & Gallagher, N. (2018). Classifying cyber events (PDF). Journal of Information Warfare, 17(3), 17-31
5. NIST Cybersecurity Framework (PDF). National Institute of Standards and Technology，呢篇英文文章有詳講 NIST 呢個保安框架。
6. Eckersley, Peter; Portnoy, Erica (8 May 2017). "Intel's Management Engine is a security hazard, and users need a way to disable it". www.eff.org.
7. Kuppa, A., & Le-Khac, N. A. (2021). Adversarial xai methods in cybersecurity. IEEE transactions on information forensics and security, 16, 4924-4938.
8. What is a Backdoor Attack. Imperva.
10. Phishing Scams: Hook, Line, and Sinker. Stevenson University Online.
11. Bored Ape NFTs Worth $135K Stolen by Prolific Phishing Thief. BeInCrypto.
12. 4 NFTs Including a Bored Ape Stolen From Hollywood Actor Seth Green. Crypto Potato.
13. Schwabach, Aaron (2006). Internet and the Law. ABC-CLIO.
14. Stallings, William (2012). Computer security : principles and practice. Boston: Pearson. p. 182.
15. Tulloch, Mitch (2003). Koch, Jeff; Haynes, Sandra (eds.). Microsoft Encyclopedia of Security. Redmond, Washington: Microsoft Press. p. 16.
16. Nyang, DaeHun; Mohaisen, Aziz; Kang, Jeonil (2014-11-01). "Keylogging-Resistant Visual Authentication Protocols". IEEE Transactions on Mobile Computing. 13 (11): 2566-2579.
17. Team, KernelCare. "Remote code execution attack: what it is, how to protect your systems". blog.kernelcare.com.
18. Most common passwords: latest 2023 statistics. Cybernews（英文），講到 2023 年最多人用嘅密碼係邊啲。
19. Top 5 Password Cracking Techniques Used by Hackers. Bleeping computer.
20. The top 12 password-cracking techniques used by hackers. ITPro.
21. Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. Retrieved 11 September 2017.
22. Szor, Peter (2005). The Art of Computer Virus Research and Defense. Addison-Wesley.
23. Mason, Andrew G. (2002). Cisco Secure Virtual Private Network. Cisco Press. p. 7.

拎

• ChatGPT could boost phishing scams （英文），TechTargets 出文講 ChatGPT 有可能令釣魚式攻擊更加難防。