hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Terminologia

Słownik terminów związanych z bezpieczeństwem IT

A

abuse/nadużycie

Termin oznaczający wykorzystanie czegoś niezgodnie z przeznaczeniem lub prawem. W dziedzinie informatyki, a zwłaszcza w sieci internet (często mówimy o „nadużyciu internetowym”) mamy do czynienia z nadużyciami w postaci ataków hakerskich, rozpowszechniania nielegalnych treści (spam), rozsyłanie wirusów i innych przypadków łamania zasad i reguł obowiązujących w sieci internet. W firmach zajmujących się dostarczaniem usług internetowych słowo „abuse” kojarzone jest z komórką odpowiedzialną za przyjmowanie i rozpatrywanie zgłoszeń dotyczących tego typu nadużyć. Przyjęło się również, że adres e-mail do komórki „abuse” to abuse@domenafirmy. W Orange Polska wszelkie nadużycia tego rodzaju prosimy zgłaszać na adres: cert.opl@orange.com (patrz również zgłaszanie incydentu).

Access Point/AP

Punkt dostępowy (stacja bazowa sieci WiFi) – urządzenie umożliwiające innym urządzeniom sieciowym dostęp do zasobów sieci za pomocą bezprzewodowego medium transmisyjnego (fale radiowe). Inaczej mówiąc jest punktem łączącym sieć bezprzewodową (jako jej jeden z elementów) z siecią przewodową oraz łączący klientów sieci ze sobą wzajemnie.

adware

Program, którego funkcją jest wyświetlanie reklam, zwykle w postaci banerów reklamowych czy wyskakujących okienek. Niestety programy tego typu często instalowane są na komputerze bez zgody i wiedzy jego użytkownika, często są również łączone z innymi złośliwymi i niechcianymi programami, np. programami szpiegującymi (w tym przypadku, zwykle tego typu program zbera informacje o użytkowniku komputera, na którym jest zainstaowany i na tej podstawie wyświetla mu reklamy). Niechciane programy reklamowe (adware) poprzez wyświetlanie reklam naruszają prywatność użytkownika, utrudniają obsługę komputera itp.

adres IP/Internet Protocol

Unikalny adres nadany każdemu urządzeniu (komputerowi/serwerowi) w sieci, który je jednoznacznie identyfikuje. Maszyny posługują się adresem IP, aby przesyłać między sobą informacje zgodnie z protokołem komunikacyjnym IP. W obecnym standardzie adresowania internetu (IP wersja 4), adres IP to liczba od 0 do 4 294 967 295 – jest to długi zapis adresu IP. Jednak najczęściej adres IP zapisuje się w postaci skróconej – liczby z zakresu 0 do 255, oddzielonych kropkami, np. 80.48.169.1. Adres IP może występować również w innej formie zapisu, np. jako nazwa domenowa (orange.pl = 80.48.169.1). Adresy IP można podzielić na adresy IP widoczne w internecie (tak zwany adres publiczny) oraz adresy prywatne (niepubliczne) ? adresy stosowane powszechnie w sieciach lokalnych. Komputer podłączony do sieci (internet) może mieć stały (niezmienny) adres IP lub zmienny adres IP (dynamiczny), np. podczas każdego połączenia.

adres MAC/MAC-adres

Media Access Control, adres kontroli dostępu do nośnika, nazywany fizycznym (również sprzętowym) adresem urządzenia sieciowego (jego interfejsu sieciowego, np. karty sieciowej), będący jego identyfikatorem. Jest to unikatowa 48 bitowa liczba składająca się z dwóch głównych części. Pierwsza część adresu identyfikuje producenta urządzenia, zaś druga rodzaj urządzenia i jego unikalny numer.

atak sieciowy/hakerski/komputerowy/cyberatak

Jakiekolwiek rozmyślne działanie przeprowadzane bez autoryzacji, które ma na celu zakłócenie funkcjonalności systemu teleinformatycznego (wraz z przetwarzaną w nim informacją), ograniczenie dostępu do niego, kradzież lub zniszczenie danych w nim znajdujących się itp. Obecnie ataki mają najczęściej charakter hybrydowy, tzn. atak przeprowadzany jest z wykorzystaniem różnych technik i metod. Ogólnie proces ataku na system teleinformatyczny można podzielić na na kilka etapów:

• etap wstępny: (przygotowanie ataku/zbieranie informacji o systemie – rozpoznanie systemu, czyli tzw. rekonesans) – etap ten obejmuje określenie celu i jego słabych punktów, czyli zbieranie informacji dotyczących potencjalnego celu ataku, aby zidentyfikować jego podatność (lub jego komponetów), która pozwoli pomyślnie przeprowadzić atak (np. podatności, która umożliwi uzyskanie dostępu do systemu). Można wyróżnić dwa sposoby gromadzenia informacji:

– pasywny: (informacje pozyskiwane są zazwyczaj w sposób nie wymagający interakcji z zasobami komputerowymi potencjalnego celu ataku). Rozpoznanie pasywne obejmuje zazwyczaj zbieranie informacji o potencjalnym celu ataku z ogólnodostępnych źródeł (bezpośrednio niezwiązanych z celem ataku), takich jak: zasoby internetowe (strony internetowe, np. bazy Whois – informacje o przestrzeni adresowej), przeszukiwanie śmieci, ale także mogą to być działania typu podsłuch transmisji (sniffing), czy działania socjotechniczne itp. Tego typu działania charekteryzują się małym ryzykiem ich wykrycia przez właściciela potencjalnego celu ataku (zasobu komputerowego)

– aktywny: (pozyskiwanie informacji wymaga interakcji z potencjalnym celem ataku). Rozpoznanie aktywne obejmuje m. in. takie działania jak próbkowanie, skanowanie celu ataku. Pozyskiwane informacje to m. in.: rodzaje urządzeń i oprogramowania, aktywne hosty, otwarte porty/dostępne usługi sieciowe, błędy konfiguracji itp. Tego typu działania charekteryzują się większym ryzykiem ich wykrycia niż rozpoznanie pasywne przez właściciela potencjalnego celu ataku oraz pozwalają zebrać bardziej szczegółowe informacje i bardziej precyzyjnie określić podatność potencjalnego celu

• etap główny: (wykorzystanie podatności/wejście do sytemu/uzyskanie niezbędnych uprawnień w systemie oraz wykorzystanie go) – na tym etapie następuje właściwy atak na wybrany obiekt, który został wcześniej (na I etapie) rozpoznany (zidentyfikowano podatność), czyli następuje wykorzystanie podatności, np. w celu uzyskania dostępu do systemu, ograniczenia dostępności systemu (atak DoS), ale także może to być uzyskanie niezbędnych uprawnień, aby móc przeprowadzać dalsze nieuprawnione działania (np. skasowanie określonych danych w systemie, wykorzystanie systemu do dalszych działań/ataków na inne komponenty tego systemu lub inne systemy). Często na tym etapie ataku podejmowane są działania mające na celu utrzymanie systemu, czyli umożliwiające atakującemu dostęp do systemu w późniejszym czasie, aby móc dalej go wykorzystywać. W tym celu mogą być instalowane różne niechciane narzędzia (rootkity, backdoory, trojany). Przykładowe działania na tym etapie to: ominięcie zabezpieczeń (np. wykorzystanie znanych luk systemu za pomocą exploitów), podszycie się, kopiowanie, kradzież, przerobienie (np. strony internetowej) itp. Dzięki zainstalowanym niechcianym narzędziom atakujący może m. in. zdalnie zarządzać przejętym komputerem (tzw. zombie) zazwyczaj w celu realizacji zautomatyzowanych ataków na inne komputery (np. ataki DoS, rozsyłanie spamu), ale także dzięki tym programom atakujący ukrywa swoją nieuprawnioną działalność w systemie

• etap końcowy: (opuszczenie systemu/zacieranie śladów) – na tym etapie następują działania związane z ukryciem faktu włamania do systemu (kompromitacji) i podjętych nieuprawnionych działań przed właścicielem/administratorem tego systemu i konsekwencjami z tym związanymi. W tym celu usuwane są wszelkie ślady ataku (np. logi systemowe, wpisy w dziennikach zdarzeń, alerty w systemach zabezpieczających). Działania te mogą być również podejmowane w momencie wejścia do systemu, uzyskiwania uprawnień czy utrzymania systemu (np. za pomocą niechcianych narzędzi)

atak siłowy/brute force attack

Kryptograficzna technika łamania haseł lub innych zaszyfrowanych informacji polegająca na sprawdzaniu wszystkich możliwych kombinacji ciągów znaków (np. liter, cyfr) w celu odnalezienia poprawnego. Efektywność tej metody uzależniona jest przede wszystkim od długości hasła, jego złożoności (zastosowania kombinacji wielu znaków), algorytmów szyfrowania, mocy obliczeniowej komputera łamiącego to zabezpieczenie.

atak słownikow/dictionary attack

Technika łamania haseł lub innych zaszyfrowanych informacji, która w swoim działaniu zbliżona jest do ataku siłowego, różnica jest taka, że sprawdzanie polega na porównywaniu hasła na podstawie przygotowanego słownika haseł (wszystkich najbardziej prawdopodobnych, kojarzących się z zabezpieczonym systemem/osobami, np imiona). Metoda ta jest bardzo szybka i całkiem skuteczna przy zastosowaniu prostych haseł (np. bez znaków specjalnych takich jak mi. in. przecinek czy kropka).

autentyczność/Authenticity

Własność zasobu teleinformatycznego (informacje, systemy) oznaczająca, że zawartość zasobu oraz tożsamość osoby lub innego systemu, mającego dostęp do tego zasobu, jest taka jak deklarowana.

autoryzacja SMTP

Rozszerzenie protokołu SMTP o mechanizm autentykacji (uwierzytelniania): SMTP-AUTH. Mechanizm ten zapobiega wysyłaniu poczty elektronicznej przez nieautoryzowanych użytkowników, a realizowany jest zazwyczaj poprzez zastosowanie identyfikatora (loginu) i hasła dostępu.

B

backdoor/tylne drzwi/tylna furtka/tylne wejście

Luka w zabezpieczeniach systemu komputerowego utworzona umyślnie w celu późniejszego wykorzystania (zazwyczaj poprzez umieszczenie złośliwego programu). Backdoor jest zazwyczaj pozostawiany w systemie przez intruza, który włamał się poprzez inną lukę w oprogramowaniu. Może być umyślnie utworzony przez twórcę danego programu, czy poprzez uruchomienie trojana przez użytkownika. Wykryć i usunąć backdoor’a można w wielu przypadkach (zazwyczaj tych bardziej znanych) programem antywirusowym.

 

bezpieczeństwo sieciowe (teleinformatyczne), informacji i systemów teleinformatycznych

Stan, w którym na każdym etapie przetwarzania danych (np. zbieranie, przechowywanie, modyfikacja, udostępnianie, przesyłanie, usuwanie) zapewnione są równocześnie przede wszystkim poufność, integralność, dostępność, rozliczalność, autentyczność informacji i systemów, w których są przetwarzane. Innym używanym terminem określającym bezpieczeństwo teleinformatyczne jest określenie bezpieczeństwo ICT (Information and Communication Technology) oznaczające bezpieczeństwo technologii informacyjnych i komunikacyjnych. Zapewnienie bezpieczeństwa teleinformatycznego oznacza ochronę zasobów sieciowych (informacji i systemów, w których są przetwarzane) przed niepożądanym (przypadkowym lub umyślnym) ujawnieniem, modyfikacją, zniszczeniem lub uniemożliwieniem przetwarzania. Zapewnienie bezpieczeństwa teleinformatycznego to ciągły proces a nie ostateczny cel. Proces ten można podzielić na kilka faz: zarządzanie i ocena, ochrona zasobów (zabezpieczanie), monitorowanie i wykrywanie zagrożeń oraz reakcja na incydent. Na proces ten składa się zespół środków organizacyjnych, technicznych i prawnych przy równoczesnym zapewnieniu opłacalności ekonomicznej itp. (tzw. właściwa ochrona).

bomba e-mail

(patrz mailbombing)

bot/robot

Program wykonujący zautomatyzowane czynności w zastępstwie człowieka. Z botami najczęściej mamy do czynienia na IRC’u (Internet Relay Chat), gdzie zazwyczaj wykorzystywane są do pilnowania porządku na kanale (np. przed używaniem obscenicznych słów), chronią kanał (np. przed spamem), ale niestety boty mogą służyć również jako narzędzie do zmasowanych ataków (np. na serwisy internetowe), rozsyłania spamu itp. Sieci do takich ataków to botnety.

botnet

Wiele botów połączonych w sieć. Najczęściej sieć zawirusowanych i przejętych komputerów, które raportują swojemu właścicielowi (twórcy bota i/lub wirusa) i są zarządzane w czasie rzeczywistym przez serwer kontrolujący. Przejęte (zawirusowane ) komputery nazywane są zombie (zdalnie kontrolowany komputer), które stanowią tzw. anonimowe open proxy. Botnety najczęściej wykorzystywane są do przeprowadzania zmasowanych ataków typu DDoS, rozsyłania spamu itp. Tego typu atak polega na tym, iż bot łączy się z punktem kontrolnym (najczęściej kanałem na serwerze IRC) bez wiedzy użytkownika, a następnie czeka na sygnał swojego właściciela. Kiedy to nastąpi, wszystkie boty danego właściciela np. wysyłają bardzo dużo danych lub rozsyłają spam pod wskazany cel.

C

 

CERT (Computer Emergency Response Team)

Zespół szybkiego reagowania na zagrożenia komputerowe (zespół ds. reagowania na przypadki zagrożeń i naruszeń bezpieczeństwa teleinformatycznego). To nazwa pierwszego zespołu typu CSIRT założonego w 1988 r. przez Agencję Zaawansowanych Projektów Badawczych z zakresu Obronności (DARPA) przy Uniwersytecie Carnegie Maleon (SEI – Software Engineering Institute) w USA w odpowiedzi na powstanie pierwszego robaka internetowego (Internet Worm). Celem było podjęcie wspólnej walki z tego typu zagrożeniami, tj. m. in. wykrywanie zagrożeń (np. luk w sieciach i systemach komputerowych) oraz szybka reakcja na tego typu przypadki zagrożeń i naruszeń bezpieczeństwa sieciowego. Chociaż zespół oficjalnie nazwano CERT®/CC (CERT Coordination Center®) to obecnie wielu użytkowników kojarzy ten zespół po prostu jako „CERT”. Obecnie również „CERT” to nie tylko organizacja, ale program w dziedzinie reagowania na przypadki zagrożeń i/lub naruszeń bezpieczeństwa ICT i zapobiegania im, którego składnikiem jest CERT/CC. To pojęcie jest równoznaczne z CSIRT. CERT® oraz CERT Coordination Center® to także zarejestrowana marka w USA. Więcej informacji na stronie http://www.cert.org/.

certyfikat cyfrowy

Dane w postaci elektronicznej powstające w wyniku przekształceń kryptograficznych (zwykle zapisane w postaci pliku, który zawiera m. in. takie informacje jak: podpisujący, jego klucz publiczny, o urzędzie certyfikacji wydającym dany certyfikat, termin ważności certyfikatu, jego przeznaczenie), które stanowią zaświadczenie, potwierdzające m. in. tożsamość osoby bądź organizacji, podpisu elektronicznego, klucza publicznego danej osoby, autentyczność urządzenia w sieci, np. serwera www itp. Tak więc certyfikaty cyfrowe zapewniają uwierzytelnianie (tożsamość podmiotu), poufność (możliwość ujawnienia danych tylko upoważnionym podmiotom), integralność (możliwość modyfikacji danych tylko przez upoważnione podmioty) oraz niezaprzeczalność (potwierdza pochodzenie danych oraz fakt ich odebrania). Certyfikat cyfrowy realizowany jest zwykle w oparciu o kryptografię klucza publicznego i dla zapewnienia wszystkich wymienionych funkcji niezbędna jest tzw. Infrastruktura Klucza Publicznego (PKI).

cracker

(kraker) – osoba, która celowo chce dokonać jak największych zniszczeń poprzez celowe rozsyłanie wirusów, włamywanie się i kasowanie danych. Można również spotkać określenie script-kiddies – przypisywane tym, którzy korzystają z gotowych zestawów narzędzi służących do przełamywania zabezpieczeń, a nie posiadających zbyt dużej wiedzy z dziedziny zabezpieczeń sieci komputerowych (patrz również cracking.

cracking

Łamanie zabezpieczeń systemu (np. haseł). Łamanie zabezpieczeń polega na wykorzystaniu znalezionej luki w zabezpieczeniach. Luka ta najczęściej wykorzystywana jest za pomocą opracowanych w tym celu programów komputerowych (tzw. exploit) lub ułatwiających odgadnięcie zastosowanego hasła (tzw. crack). Najczęstsze metody łamania haseł to: atak słownikowy (ang. dictionary attack) oraz brutalny atak siłowy (ang. brute force attack).

CSIRT

Computer Security Incident Response Team, zespół ds. reagowania na incydenty bezpieczeństwa teleinformatycznego. Organizacja świadcząca usługi związane z reagowaniem na incydenty bezpieczeństwa ICT (Information and Communication Technology) oraz z ich zapobieganiem dla określonej społeczności (grupy użytkowników). Inne terminy używane dla określenia tego typu zespołu to m. in. IRT (Incident Response Team), IRC (Incident Response Center or Incident Response Capability), CIRT (Computer Incident Response Team), CIRC (Computer Incident Response Capability), SERT (Security Emergency Response Team), SIRT (Security Incident Response Team). Równoznaczna nazwa to również CERT® (Computer Emergency Response Team) – patrz CERT. W zależności od różnych czynników, takich, jak m in. typów dostarczanych usług, oczekiwania i potrzeby społeczności, dla której zespół świadczy usługi (obszaru odpowiedzialności) mogą być różne typy zespołów reagujących, np. rządowe, narodowe, akademickie, komercyjne, sprzedawców i producentów itp. Więcej na: http://www.cert.org/.

czarne listy/blacklists

Publiczne, czyli tzw. RBL (Realtime Blackhole List) lub DNSBL (DNS-based Blocking List) w walce ze spamem są jedną z form walki (jako listy antyspamowe). Czarna lista to zbiór danych o komputerach (zwykle adresów IP) nadawców spamu (które były, są lub mogą być wykorzystane przez spamerów do rozsyłania spamu) lub sprzyjają spamawi, z których z założenia odbiorca nie chce otrzymywać poczty elektronicznej. Listy te są prowadzone przez niezależne organizacje i są publicznie dostępne. Korzystanie z nich z reguły jest nieodpłatne oraz opiera się o usługę DNS. Obrona przed spamem polega na nie wpuszczaniu poczty elektronicznej z adresu IP umieszczonego na czarnej liście do serwera pocztowego odbiorcy. Aby ochrona serwera pocztowego była skuteczna, czarne listy powinny być regularnie aktualizowane. Umieszczanie (listowanie) adresów IP na czarnych listach odbywa się według różnych kryteriów, np. open relay, open proxy, dynamiczne adresy IP, bezpośrednie źródła spamu i na różne sposoby, np. testowanie (skanowanie) na podatność komputerów, zgłoszenie bezpośrednio od użytkownika, który otrzymuje spam itp. Korzystanie z czarnych list powinno być przemyślane, ze względu iż jedne listy są bardziej rygorystyczne, niektóre mniej itp. Z tym związany jest również proces usuwania adresu IP z czarnych list, który jest różny w zależności od danej listy. Przykładowe czarne listy to m. in.: Spamhaus, SORBS (Spam and Open Relay Blocking System), SpamCop. Przeciwieństwem „czarnych list” są „białe listy” (ang. whitelists), z których odbiorca chce otrzymywać wiadomości e-mail (są to zaufane adresy serwerów).

D

DNS/Domain Name System

System Nazw Domen, protokół przypisywania słownych nazw (łatwiejszych dla użytkowników) numerom IP (zrozumiałym dla urządzeń tworzących sieć komputerową). Dla przykładu (domena tp.pl ma numer IP 217.97.216.10). DNS to nie tylko system komputerowy (rozproszona baza danych służąca do odwzorowania adresów tekstowych w numeryczne i odwrotnie) ale również organizacyjno-prawny porządkujący internet. Adresy DNS składają się z domen internetowych rozdzielonych kropkami.

domena internetowa

Element adresu DNS wykorzystywanego do nazywania urządzeń w sieci i internecie. Inaczej mówiąc jest to ciąg znaków (np. litery, cyfry, znaki specjalne) reprezentujących adres urządzenia w internecie. Dla przykładu adres (orange.pl) składa się z dwóch nazw domenowych rozdzielonych kropką. Układ nazw domenowych ma charakter hierarchiczny (można tworzyć poddomeny).

DoS/DDoS

Denial of Service, typ ataku sieciowego, który polega na wysłaniu do zaatakowanego systemu (komputera) tak dużej ilości danych, że zaatakowany komputer nie jest w stanie nadążyć z ich obsługą W wyniku ataku komputer może znacznie spowolnić swoje działanie, lub zawiesić się. Celem ataku może być również całe łącze zaatakowanego użytkownika, które może ulec przepełnieniu pakietami – śmieciami. Najczęściej ataki tego typu powstają na skutek manipulacji protokołami sieciowymi, które umożliwiają zalew (ang. floods) pakietami zaatakowanego komputera. Przykłady tego typu ataków to m. in. ICMP flooding, SYN flooding. Atak DoS, w którym bierze udział duża liczba komputerów (atakujących), nad którymi wcześniej przejęto kontrolę, nazywany jest rozproszonym atakiem DDoS (Distributed Denial of Service).

dostępność/Availability

Własność zasobu teleinformatycznego (informacje, systemy) oznaczająca, że wymagana informacja lub funkcjonalność systemu jest dostępna dla uprawnionych osób lub systemów, w żądanym czasie, miejscu i zakresie.

 

E

E-COAT

eCSIRT.net

European CSIRT Network lub European Computer Security Incident Response Team Network, więcej informacji na http://www.ecsirt.net/.

exploit

Program, skrypt lub część kodu umożliwiająca zdalne (poprzez sieć) przejęcie kontroli na systemem (komputerem), wykorzystując dziury (luki) w programach i systemach operacyjnych. Exploity wykorzystują różne techniki ataku i luki. Jedną z najczęstszych technik ataku wykorzystywaną przez exploity jest przepełnienie bufora (ang. buffer overflow). Szczególnie groźne są exploity zero-day. Tak mówimy o atakach, które następują natychmiast po ogłoszeniu informacji o podatności na atak danego systemu (dla których producent nie przygotował jeszcze łaty).

F

firewall

(Inaczej ściana ogniowa lub zapora sieciowa). Moduł (oprogramowanie i/lub urządzenie), którego główną funkcją jest monitoring i filtrowanie ruchu między co najmniej dwoma systemami teleinformatycznymi. Najczęstsze zastosowanie zapory sieciowej to kontrolowanie przepływu informacji pomiędzy siecią zewnętrzną (najczęściej internetem), a lokalnym komputerem lub siecią lokalną. W przypadku stacji roboczej (komputera osobistego) stosuje się tzw. osobiste zapory sieciowe (ang. personal firewall). Firewall między innymi zapobiega standardowym atakom, umożliwia wczesne rozpoznanie prób włamania oraz blokuje niepożądany ruch.

FIRST

Forum of Incident Response and Security Teams, globalne forum zespołów bezpieczeństwa i reagowania na incydenty. Powstało w roku 1990 w celu wspólnej wymiany doświadczeń i badań w zakresie bezpieczeństwa teleinformatycznego mających przyczyniać się do lepszych możliwości reagowania i zapobiegania incydentom bezpieczeństwa teleinformatycznego. Więcej informacji na stronie:http://www.first.org/.

flooding

(Inaczej: zalewanie, potop). Przesyłanie dużej ilości tych samych danych (przypadkowych znaków itp.) w krótkim odstępnie czasu do innych użytkowników, powodujące utrudnienie im w komunikowaniu się przez internet (np. poprzez IRC). Flooding jest również jednym ze sposobów ataku typu DoS i polega na wysyłania do atakowanego systemu (serwera) dużej liczby zapytań, jakiej ten nie jest w stanie obsłużyć.

G

GPG (GNU Privacy Guard)

narzędzie kryptograficzne, które spełnia standard OpenPGP (definiujący protokół kryptograficzny PGP – więcej informacji na stronie http://www.openpgp.org/) i dzięki temu może bez problemu współpracować z PGP. Narzędzie to jest darmowe i dostępne pod adresem http://www.gnupg.org/.

H

haker/hacker

Osoba posiadająca dogłębną wiedzę na temat systemów operacyjnych, aplikacji sieciowych oraz działania sieci komputerowych. Dla hackerów największym wyzywaniem jest poszukiwanie nowych możliwości przełamywania zabezpieczeń systemów informatycznych, zaś celem jest odkrywanie i wykorzystywanie luk w bezpieczeństwie dla satysfakcji oraz samej wiedzy. Hackerzy wbrew obiegowym opiniom nie czynią ze swych odkryć złego użytku. W potocznym języku słowo hacker jest mylnie kojarzone z osobą, którą określamy mianem crackera.

host

urządzenie (komputer) w sieci pozwalające świadczyć usługi innym urządzeniom (np. e-mail, www), czyli maszyna uczestnicząca w wymianie danych przez sieć. Maszyna ta posiada unikalny adres IP oraz zazwyczaj nazwę domenową. Mówimy wtedy o nazwie hosta (hostname), która jest rozumiana jako nazwa maszyny (komputera), albo też nazwa komputera uzupełniona o opis domeny.

hotspot/hot spot

Otwarty i dostępny publicznie punkt dostępu do internetu za pomocą sieci bezprzewodowej (WiFi). Rozwiązanie oferowane jest bezpłatnie lub płatnie, najczęściej w takich miejscach jak hotele, lotniska, centra handlowe, uczelnie, centra miast.

HTTP/Hypertext Transfer Protocol

Protokół komunikacyjny sieci WWW. Określa sposób komunikowania się przy przeglądaniu stron internetowych (przesyłania stron WWW, łączenia się klienta poprzez przeglądarkę internetową z serwerem stron WWW, przesyłania danych z formularzy itp.). Standardowo tej usłudze sieciowej przypisany jest port 80.

HTTPS/HyperText Transfer Protocol Secure

Protokół HTTP, umożliwiający bezpieczną wymianę informacji dzięki szyfrowaniu danych z wykorzystaniem technologii SSL. HTTPS działa domyślnie na porcie 443. Przy korzystaniu z bezpiecznego połączenia HTTPS adres URL (Uniform Resource Locator) jest postaci https://…, a zwykłego połączenia HTTP odwołania zaczynają się od http://….

 

I

ICMP

Internet Control Message Protocol, protokół komunikacyjny (ściśle związany z IP) służący do przekazywania komunikatów o nieprawidłowościach w funkcjonowaniu sieci IP oraz innych informacji kontrolnych. Na przykład przy pomocy komendy (programu) „ping”, który wykorzystuje ten protokół, możemy sprawdzić czy istnieje połączenie z innym komputerem w sieci.

ICMP/PING flooding

Rodzaj ataku DoS/DDoS polegający na wysyłaniu (zazwyczaj za pomocą programu ping) do systemu dużej ilości pakietów typu ICMP. Wysyłane zapytania do systemu (serwera) wymuszają odpowiedzi na każde z nich, co w konsekwencji, może doprowadzić do przeciążenia a nawet unieruchomienia systemu. Atak przeprowadzany jest zazwyczaj z komputera posiadającego łącze o większej przepustowości niż przepustowość łącza atakowanej maszyny lub z wielu niezależnych maszyn (komputerów).

ICT

Information and Comunication Technology (patrz bezpieczeństwo teleinformatyczne).

IDS

Intrusion Detection Systems, systemy wykrywania włamań (zagrożeń) nazywane również IRS (Intrusion Response Systems) są jedną z metod chroniących zasoby sieciowe. Ochrona zasobów polega na monitorowaniu (ruchu sieciowego), wykrywaniu zagrożeń (identyfikowaniu nieautoryzowanej działalności), reagowaniu na wykryte przypadki (powstrzymywaniu ataku w czasie rzeczywistym) oraz raportowaniu zdarzeń (powiadamianiu o zdarzeniu). Istnieje wiele rodzajów systemów IDS/IRS w zależności od zakresu działania, czy funkcji jaką spełniają. Obecnie coraz częściej spotykamy rozwiązania, które kładą nacisk na funkcję nie tylko wykrywania zagrożeń, ale również zapobiegania atakom w czasie rzeczywistym, np. IPS (Intrusion Prevention System), IDP (Intrusion Detection and Prevention).

incydent bezpieczeństwa teleinformatycznego

Zdarzenie zagrażające i/lub naruszające bezpieczeństwo teleinformatyczne, tj. działania obejmujące przede wszystkim naruszenie poufności, integralności, dostępności zasobów sieciowych, w sposób świadomy lub nieświadomy. Inaczej mówiąc, to każde wykryte naruszenie lub próba naruszenia bezpieczeństwa informacji. Definicja incydentu bezpieczeństwa może różnić się w zależności od wielu czynników w każdej organizacji. Najmniej jednak w poniższych kategoriach i przykładach, które są ogólnie przyjęte. Przykładowe działania, które stanowią incydent bezpieczeństwa sieciowego to m. in.:

• włamania lub próby włamań do systemów teleinformatycznych

• ograniczanie dostępności zasobów sieciowych (np. ataki typu DoS)

• rozpowszechnianie nielegalnych treści (np. spam)

• działania z użyciem złośliwych kodów (np. rozsyłanie wirusów)

• inne przypadki łamania zasad i reguł obowiązujących w sieci internet

integralność/Integrity

Własność zasobu teleinformatycznego (informacje, systemy) oznaczająca, że nie nastąpiła jego niezamierzona lub nieuprawniona zmiana.

IP/Internet Protocol

Protokół komunikacyjny używany do transmisji danych stosowany w sieci internet, który umożliwia wymianę informacji w postaci pakietów.

inżynieria społeczna/social engineering

Jeden z najskuteczniejszych sposobów zdobywania poufnych informacji, wykorzystujący najsłabsze ogniwo zabezpieczeń – człowieka. Beztroski użytkownik lub administrator może wyjawić hasło lub inne poufne informacje odbierając specjalnie przygotowany list elektroniczny lub telefon. Przykładem mogą być sytuacje, w których:

• przychodzi list elektroniczny, w którym pod pretekstem pojawienia się błędu systemowego występują prośby o podanie identyfikatora wraz z hasłem lub informacji o karcie kredytowej

• osoba przedstawiająca się jako dyrektor dzwoni do nowego administratora i pewnym, stanowczym głosem domaga się natychmiastowego dostępu do swojego konta

• zakłopotana i przygnębiona osoba dzwoni i prosi o zmianę swojego hasła

IRC/Internet Relay Chat

Usługa sieciowa umożliwiająca komunikację w czasie rzeczywistym (synchroniczną), podobnie jak chaty (pogawędki internetowe) realizowane przez www oraz komunikatory internetowe. Sieć IRC składa się z połączonych ze sobą serwerów IRC, do których łączą się użytkownicy za pomocą tzw. programów klienckich. Rozmowy w sieci IRC odbywają się na tzw. kanałach tematycznych.

K

keylogger

Program (i/lub sprzęt) rejestrujący znaki wpisywane z klawiatury komputera. W ten sposób programy tego typu mogą służyć do przechwytywania haseł i innych istotnych danych.

klucz kryptograficzny

Ciąg znaków (kod, hasło) w postaci elektronicznej o określonej długości stosowanych w procesach kryptograficznych (szyfrowanie/deszyfrowanie, podpisywanie/weryfikowanie podpisu). W zależności od funkcji jaką pełni w przekształceniach kryptograficznych możemy wyróżnić wiele rodzajów kluczy, np. klucz publiczny, klucz prywatny.

klucz prywatny (tajny)

Jeden z pary kluczy w kryptografii asymetrycznej używany do deszyfrowania danych (lub składania podpisu cyfrowego). Klucz ten powinien być starannie chroniony i być znany tylko użytkownikowi (właścicielowi), do którego jest przypisany.

klucz publiczny (jawny)

Drugi z kluczy w kryptografii asymetrycznej używany do szyfrowania danych (lub weryfikacji podpisu cyfrowego). Klucz publiczny jest ogólnie dostępny w sieci.

koń trojański/trojan

Program, który umożliwia zdalne przejęcie pełnej kontroli nad danym komputerem. Instalacja może nastąpić bez wiedzy użytkownika poprzez wykorzystanie luk w bezpieczeństwie systemu lub przy użyciu metod socjotechnicznych (np. poprzez uruchomienie niewinnie wyglądającego programu przez niczego niepodejrzewającego użytkownika). Koń trojański może być „zaszyty” w dowolnych aplikacjach pochodzących z niezaufanych stron internetowych, wygaszaczach ekranu, czy nawet specjalnie spreparowanych plikach (.jpg). Koń trojański po zainstalowaniu na zaatakowanym komputerze oczekuje na instrukcje od intruza. Konie trojańskie mogą być wyposażone w wiele różnych funkcji. Oprócz możliwości zdalnego wykonywania komend, można podsłuchiwać komunikację ofiary z innymi komputerami, przechwytywać hasła użytkownika, przejąć sterowanie urządzeniami komputera (klawiatura, mysz, CD-ROM, monitor). Programy takie umożliwiają również rozsyłanie spamu. Przykłady popularnych koni trojańskich: Back Orifice 2000, NetBus, Prosiak, Subseven.

kopia bezpieczeństwa/backup

Nazywana również kopią zapasową – dane (pliki, oprogramowanie itp.) służące do odtworzenia oryginalnych danych w przypadku ich utraty lub uszkodzenia. Kopię bezpieczeństwa zazwyczaj wykonuje się na zewnętrznych nośnikach pamięci masowej, takich jak np. DVD, CD. Proces tworzenia kopii bezpieczeństwa nazywany jest archiwizacją danych.

kradzież tożsamości

Przestępstwo, polegające na przechwyceniu cudzych poufnych informacji osobistych (dane personalne, numery kont itp.) i najczęściej wykorzystywaniu ich (podszywaniu się) do dokonywania różnych oszustw, np. zakupów w sklepach internetowych bez wiedzy i/lub zgody danej osoby. Przykładem kradzieży tożsamości może być oszustwo sieciowe typu phishing.

L

logi

Dziennik zdarzeń (rejestr aktywności) zachodzących w systemie (np. programu typu firewall, czy systemu operacyjnego), zazwyczaj zapisywany w pliku. Dzięki logom można wykryć błędy w konfiguracji, ataki, czy nadzorować wykorzystanie komputera (np. sprawdzić kto i kiedy oglądał strony www) itp. Dla przykładu sekwencje logów programu typu firewall zawierają m. in. takie informacje jak, adres IP i nr portu źródłowego, adres i port docelowy, datę i dokładny czas wystąpienia zdarzenia z uwzględnieniem strefy czasowej (UTC/GMT).

Ł

łańcuszki i fałszywe ostrzeżenia

Nie zawsze stanowią bezpośrednie zagrożenie dla użytkowników, głównie generują niepotrzebny ruch w sieci. Tego typu zagrożenia określane są jako hoax, czyli fałszywka, głupi dowcip, żart. Charakteryzują się treścią mającą skłonić odbiorców do rozesłania listu do jak największej liczby osób. W treści najczęściej znajdują się np. ostrzeżenia przed nowymi, bardzo groźnymi i równie fikcyjnymi wirusami. W przypadku łańcuszków św. Antoniego są to informacje o tym, jakie szczęście (lub pech) spotkało osoby, które już przesłały (bądź nie przekazały) maila dalej. Zagrożenie mogą stanowić w przypadku dołączonego do nich pliku, zawierającego malware.

 

łaty/patches

Inaczej poprawki bezpieczeństwa – programy poprawiające błędy (luki) w innych programach lub poszczególnych składnikach oprogramowania. Np. firma Microsoft używa innej terminologii dla swoich poprawek. Mniejsze poprawki nazywane są software updates (aktualizacje), natomiast te bardziej kompleksowe określane są jako service packs (pakiety serwisowe).

M

 

mailbombing

Jeden z rodzajów ataków powodujących odmowę świadczenia usług (DoS). Mailbombing polega na wysyłaniu ogromnej ilości wiadomości e-mail na określony adres pocztowy. Celem ataku może być serwer pocztowy lub indywidualne konto użytkownika. Skutkiem ataku najczęściej jest całkowite „zapchanie” (blokada) konta użytkownika.

 

malware/malicious software

Złośliwe oprogramowanie – to wszelkie aplikacje, skrypty i inne działania, których intencją jest złośliwe, szkodliwe, bądź przestępcze działanie w stosunku do użytkownika komputera. Czyli jest to jedno określenie na wszelkie rodzaje złośliwych kodów, takich jak np. wirusy, robaki, trojany, spyware, dialery.

 

N

nagłówek (pełny) poczty elektronicznej

Część wiadomości e-mail, która jest rzeczywistym zapisem dokładnej drogi przesyłki. Zapisane dane systemów pocztowych to m. in. adres nadawcy wiadomości (IP źródła) i odbiorcy wiadomości, data i dokładny czas z uwzględnieniem strefy czasowej wysłania wiadomości, jej unikalny identyfikator itp.

netykieta/netiquette

Kodeks zachowań użytkowników sieci, czyli tzw. ogólnie pojęta „kultura sieciowa”. Inaczej mówiąc jest to zbiór reguł poprawnej komunikacji w internecie (dobrych zwyczajów). Netykieta jest opracowywana przez społeczność internetową (często lokalnie) i można ją znaleźć na wielu serwerach oferujących usługi internetowe (np. konta www, pocztę elektroniczną), internetowych portalach i innych stronach internetowych poświęconych zagadnieniom internetu. Oficjalnym opracowaniem netykiety jest dokument RFC 1855. Ideą netykiety jest to, żeby ułatwić pracę i zabawę w sieci oraz uświadomić, pouczyć, zwrócić uwagę na pewne zachowania i czynności (np. żeby nie działać na czyjąś szkodę, nie nadużywać sieci itp.). Naruszenie netykiety (złamanie pewnych ustaleń) może się wiązać z różnymi przykrymi konsekwencjami, np. może doprowadzić do tego, że administrator lub dostawca usług internetowych, nie tylko zwróci uwagę ale również może zablokować dostęp do zasobów lub usług, których nadużycie dotyczyło.

O

open relay

„Otwarty przekaźnik poczty”, czyli nieautoryzowane wysyłanie poczty elektronicznej przez komputer (serwer pocztowy – SMTP lub inne oprogramowania do obsługi poczty elektronicznej, np. skrypt formmail, służący do wysyłania poczty – formularzy poprzez stronę www), który nie jest odpowiednio zabezpieczony (skonfigurowany) przed wykorzystaniem przez osoby nieuprawnione do wysyłki poczty elektronicznej. Mówimy wtedy, że serwer jest open relay, czyli umożliwia przesyłanie poczty elektronicznej bez żadnej autoryzacji. Takie komputery zazwyczaj wykorzystywane są do masowego rozsyłania spamu przez nieuprawnionych użytkowników (spamerów) do innych odbiorców. Konsekwencją wykorzystania serwera, który jest open relay do rozsyłania nieautoryzowanej poczty jest m. in:

• zmniejszenie mocy przerobowej serwera

• adres IP serwera trafi na tzw. czarne listy i wiele innych serwerów nie będzie odbierać od niego poczty (adres IP takiego serwera często jest umieszczany nawet w przypadku samego bycia open relay, czyli potencjalnego wykorzystania)

• sankcje ze strony dostawcy łącza internetowego z powodu wykorzystywania serwera do nielegalnego procederu itp.

open proxy

„Otwarty pośrednik” – serwery proxy, dostępny dla wszystkich użytkowników internetu. Najczęściej serwer proxy jest „open” z powodu niewłaściwej jego konfiguracji. Nieautoryzowani użytkownicy mogą wykorzystywać taki serwer do różnej niepożądanej aktywności (np. rozsyłania spamu). Do rozsyłania nieautoryzowanej poczty open proxy może być wykorzystany w identyczny sposób jak open relay (dodatkowo ukrywając adres maszyny, która połączyła się z danym serwerem w celu nadania poczty). Dla przykładu konsekwencją wykorzystania serwera, który jest open proxy do rozsyłania nieautoryzowanej poczty jest m. in.:

• zmniejszenie mocy przerobowej serwera

• adres IP serwera trafi na tzw. czarne listy i wiele innych serwerów nie będzie odbierać od niego poczty (adres IP takiego serwera często jest umieszczany nawet w przypadku samego bycia open relay, czyli potencjalnego wykorzystania)

• sankcje ze strony dostawcy łącza internetowego z powodu wykorzystywania serwera do nielegalnego procederu itp.

P

PGP

Pretty Good Privacy, oprogramowanie kryptograficzne, którego podstawowym zadaniem jest szyfrowanie różnego rodzaju danych i informacji w formacie elektronicznym, najczęściej wiadomości poczty elektronicznej, mający na celu zwiększenie poufności korespondencji. PGP pozwala także m. in. sygnować (podpisywać) w sposób umożliwiający adresatowi (adresatom) stwierdzenie, czy list pochodzi rzeczywiście od nadawcy, oraz czy jego treść nie była po podpisaniu modyfikowana przez osoby trzecie. Więcej informacji m. in. na stronie http://www.pgp.com/ oraz http://www.pgpi.org/. Na bazie PGP powstał standard PGP – więcej na stronie http://www.openpgp.org/, dzięki któremu powstały inne tego typu narzędzia jak np. GPG.

pharming

to bardziej niebezpieczna dla użytkowników odmiana phishingu. Cel jest ten sam, czyli wyłudzenie poufnych danych osobistych. Różnica jest taka, że nie jest wysyłana informacja nakłaniająca użytkownika do podania swoich poufnych informacji, natomiast w momencie odwiedzania przez użytkownika witryny internetowej następuje przekierowanie połączenia (bez jego wiedzy i udziału) do fałszywej strony oszusta, zamiast na właściwą stronę, mimo wpisania poprawnego adresu strony. W tym celu oszust najpierw atakuje serwer nazw domenowych (DNS), który tłumaczy dla nas nazwy domen na adresy IP. W efekcie serwer DNS, zamiast adresu prawdziwej instytucji, podaje przeglądarce użytkownika adres IP strony spreparowanej przez oszusta.

phishing

Rodzaj oszustwa internetowego mającego na celu kradzież tożsamości (czyli poufnych danych osobistych, np. numerów kart kredytowych, haseł do systemów bankowych, czy haseł do portali aukcji internetowych). Termin ten często tłumaczony jest z ang. password hervesting fishing jako łowienie haseł. Metoda phishingu może przebiegać na różne sposoby, ale najczęściej polega na nakłonieniu użytkownika do samodzielnego wpisania poufnych danych na specjalnie przygotowanej stronie internetowej mającej imitować oryginalną stronę instytucji (np. banku, serwisu aukcyjnego), pod którą podszywają się oszuści. Zazwyczaj stosowaną techniką przez phisherów jest wysyłanie spreparowanego listu elektronicznego, który rzekomo pochodzi np. z banku. Treść e-maila zwykle zawiera link prowadzący do sfałszowanej strony. Adres jest tak podrobiony, aby ofiara myślała, że to prawdziwa strona instytucji, z którą chcemy się połączyć. W tym celu wykorzystywane są błędy w przeglądarkach lub proste triki, np. adres strony zawiera cyfrę 1 zamiast litery  (małe el). Uzyskane poufne dane osobiste w wyniku ataku phishingowego najczęściej wykorzystywane są przez oszustów do dalszych przestępstw (np. dokonywanie transakcji obciążających rachunki oszukanej osoby.

PKI/Public Key Infrastructure

Infrastruktura Klucza Publicznego, ogół środków i mechanizmów technicznych (np. algorytmy, protokoły, sprzęt, programy), organizacyjnych (np. centra certyfikujące, które występując jako zaufana trzecia strona poświadczają m. in. związek klucza publicznego z konkretną osobą) oraz prawnych (np. dyrektywy, ustawy) umożliwiających realizację różnych usług bezpieczeństwa przy zastosowaniu kryptografii klucza publicznego i w oparciu o certyfikaty. Zadaniem systemu PKI jest zarządzanie kluczami publicznymi oraz certyfikatami podmiotów.

podatność/vulnerability

Jest charakterystyczną częścią technologii (sprzętu, oprogramowania) i oznacza, że praktycznie wszystkie systemy lub oprogramowanie zawierają błędy (luki), które stanowią zagrożenie dla bezpieczeństwa i mogą zostać wykorzystane do popełnienia incydentu bezpieczeństwa. Poprawkami na te „luki” są to tzw. „łaty” (ang. patches).

podpis cyfrowy/elektroniczny

Dane („znacznik”) w postaci elektronicznej powstające w wyniku przekształceń kryptograficznych, które wraz z innymi danymi, do których zostały dołączone i/lub z którymi są powiązane służą do identyfikacji osoby składającej podpis oraz umożliwiają sprawdzenie autentyczności i integralności tych danych. Podpisanie dokumentu w sposób elektroniczny pozwala w jednoznaczny i niezaprzeczalny sposób ustalić podpisującego dokument i zweryfikować źródło wiadomości. Podpis cyfrowy realizowany jest zwykle w oparciu o kryptografię klucza publicznego i dla zapewnienia wszystkich wymienionych funkcji niezbędna jest tzw. Infrastruktura Klucza Publicznego (PKI).

POP3

Post Office Protocol version 3, protokół komunikacyjny pozwalający na odbiór poczty elektronicznej ze zdalnego serwera (pocztowego) do lokalnego komputera (klienta pocztowego). Działa standardowo na porcie 110. Komunikacja POP3 może zostać zaszyfrowana z wykorzystaniem protokołu SSL. Innym tego typu protokołem jest IMAP (Internet Mail Access Protocol).

poprawki bezpieczeństwa

(patrz łaty).

port sieciowy

Interfejs służący komunikacji w sieci komputerowej. Pojęcie to związane jest z protokołami transportowymi TCP i UDP, używanymi w sieci internet do identyfikowania procesów (usług) działających na odległych systemach. Numery portów reprezentowane są przez liczby naturalne z zakresu od 0 do 65535. Czyli każdej usłudze sieciowej przypisany jest nr portu (jest to coś w rodzaju numeru wewnętrznego). Niektóre numery portów (od 0 do 1023) są ogólnie znane i zarezerwowane na standardowo przypisane do nich usługi, jak np. poczta elektorniczna (port 25). Dzięki temu można identyfikować nie tylko procesy, ale ogólnie znane usługi działające na odległych systemach. Numery poszczególnych portów można znaleźć m. in. na stronie: http://www.iana.org/assignments/port-numbers/.

poufność/Confidentiality

Właściwość zasobu teleinformatycznego (informacje, systemy) oznaczająca, że jest on dostępny wyłącznie uprawnionym osobom lub systemom.

program szpiegujący/spyware

Programy, których zadaniem jest szpiegowanie działań użytkownika komputera, na którym zostały zainstalowane. Szkodliwe i niechciane programy tego typu, bez zgody i wiedzy użytkownika zbierają informacje o nim i jego aktywności podczas pracy z komputerem i przekazują je swoim autorom lub innej nieuprawnionej osobie. Do zbieranych informacji należeć mogą m. in. adresy stron internetowych odwiedzanych przez użytkownika, adresy e-mail, dane o komputerze, hasła, numery kart kredytowych, dane osobowe. Podglądanie tego co robi użytkownik na komputerze ma na celu przede wszystkim to, by ukraść ważne dane i wykorzystać je do dalszych nieuprawnionych działań. Na podstawie zbieranych danych lub aby zebrać dane, czasami mogą wyświetlać reklamy (patrz adware) czy powodować inne zaplanowane szkodliwe funkcje (np. zmiana konfiguracji przeglądarki, aby wymuszać przeglądanie określonych witryn). Terminem spyware zazwyczaj określane są również inne niechciane programy, które realizują podobne funkcje, czyli monitorowanie działań użytkownika na komputerze (bez jego zgody) i/lub inne funkcje powiązane z tymi działaniami. Do takich programów należą m. in. adware, trojany, keyloggery, monitory systemu.

protokół sieciowy

Zbiór zasad i metod postępowania służących do komunikowania się urządzeń w sieci (nawiązanie łączności i wymiana danych, np. wysyłanie, odbieranie, kontrolowanie poprawności informacji). Inaczej mówiąc jest to sposób porozumiewania się komputerów w sieci, rodzaj sieciowego języka. Dzięki protokołom sieciowym połączenia pomiędzy urządzeniami w sieci mogą odbywać się automatycznie. W internecie mamy do czynienia z wieloma protokołami, np. IP, UDP, TCP.

proxy

(pośrednik) – oprogramowanie i/lub urządzenie z odpowiednim oprogramowaniem (zwykle jest to serwer), który pośredniczy w transmisji danych pomiędzy nadawcą a odbiorcą tych danych, wykonując pewne operacje. Najczęściej jest to połączenie pomiędzy klientem a serwerem, np. serwerem WWW a przeglądarką stron internetowych (mówimy wtedy o HTTP proxy). W tym przypadku serwer proxy spełnia zadanie bufora, czyli przechowuje ściągnięte strony internetowe lub jej część (w specjalnej bazie danych nazywanej W3cache) w celu zapobieżenia dublowania się zapytań i w konsekwencji przyśpieszenia transmisji danych (szybszy dostęp do stron). Inne role proxy to m. in. filtrowanie (np. ukrywanie danych klienta takich jak adres IP), zabezpieczenie danych. Serwery proxy mogą działać w oparciu o różne protokoły. Najczęściej jest to protokół HTTP (HTTP-CONECT, HTTP-POST), SOCKS (protokół proxy) i inne. Zwykle serwery proxy umożliwiają połączenia na portach 80, 81, 8000, 8080, 1080. Serwery proxy zazwyczaj instalowane są dla określonej grupy użytkowników, jednak wskutek najczęściej błędnej konfiguracji, są dostępne dla wszystkich użytkowników jako serwery publiczne (open proxy) i wykorzystywane do różnych niepożądanych działań (np. rozsyłanie spamu).

przepełnienie bufora

(ang. buffer overflow) – technika ataku, polegająca na wykorzystaniu błędu w przetwarzaniu danych, czyli umieszczenie w buforze (podręcznej pamięci) więcej danych niż może on pomieścić i wprowadzeniu do programu własnego fragmentu kodu, a następnie jego uruchomieniu.

R

RFC

Request for Comments, zbiór dokumentów dotyczących wszelkich rozwiązań (technicznych, organizacyjnych) związanych z internetem i sieciami komputerowymi. (np. opisujących protokoły sieciowe). Każdy z tych dokumentów ma przypisany unikalny numer identyfikacyjny a zbiór ich można znaleźć m. in. na stronie http://www.rfc-editor.org/http://www.rfc-archive.org/. Dokumenty te nie mają mocy prawnej, jednak wiele rozwiązań, które są opisane w dokumentach RFC stało się oficjalnym standardem sieciowym.

robak internetowy

Działaniem przypomina wirusa, jednakże do powielania się wykorzystuje on przede wszystkim sieć. Do zainfekowania kolejnych komputerów robaki wykorzystują bądź znane błędy (luki) w oprogramowaniu systemu lub aplikacji, bądź nieostrożność czy niewiedzę samych użytkowników. Robak po zarażeniu danego komputera usiłuje wysłać swoją kopię w e-mailu z zainfekowanym załącznikiem lub próbuje połączyć się bezpośrednio z innymi komputerami. Dodatkową cechą robaka może być zawarty w nim mechanizm konia trojańskiego lub inne cechy utrudniające użytkownikowi korzystanie z komputera. Obecnie granica pomiędzy wirusami i robakami komputerowymi zaciera się i bardzo często nie można danego programu sklasyfikować jednoznacznie. Przykłady popularnych robaków internetowych: Slammer, Slapper, Code Red, Nimda, Beagle, Klez, Netsky, MyDoom.

rootkit

Program zmieniający działanie systemu operacyjnego poprzez m. in. ukrywanie procesów, plików czy połączeń sieciowych, które umożliwiają utrzymanie kontroli nad systemem. Rootkit infekuje jądro i usuwa ukrywane programy z listy procesów i plików zwracanych do programów. Zazwyczaj rootkity ukrywają inne złośliwe programy, takie jak trojany, spywary czy tylne furtki przed narzędziami zabezpieczającymi system. Rootkit może się dostać do komputera użytkownika wraz z aplikacją będącą w rzeczywistości trojanem.

rozliczalność/Accountability

Własność zasobu teleinformatycznego (informacje, systemy) oznaczająca, że wykonane na nim działania mogą być jednoznacznie przypisane do wykonującej je osoby lub systemu.

 

S

serwer SMTP

Serwer poczty wychodzącej, komputer, na którym działa serwer poczty elektronicznej, umożliwiający jej wysyłanie.

S-HTTP/Secure HTTP

Protokół komunikacyjny, nazywany również protokołem bezpiecznej komunikacji, lub protokołem bezpieczeństwa, który jest rozszerzeniem protokołu HTTP umożliwiającym bezpieczną wymianę informacji poprzez szyfrowanie danych. Przy korzystaniu z protokołu S-HTTP adres URL (Uniform Resource Locator) jest postaci shttp://adres. Patrz również HTTPS.

SSID

Service Set IDentifier, nazwa identyfikująca daną sieć (podsieć) bezprzewodową. W złożonych bezprzewodowych sieciach, czyli składających się z kilku mniejszych podsieci stosowany jest rozszerzony identyfikator sieci, tzw. ESSID (Extended SSID). Wszystkie urządzenia współpracujące w danej sieci i punkt dostępowy, z którym się łączą muszą mieć taki sam identyfikator.

SMTP

Simple Mail Transfer Protocol, protokół komunikacyjny określający sposób przekazywania (wysyłania) poczty elektronicznej w internecie. Standardowo tej usłudze sieciowej przypisany jest port 25. SMTP z założenia umożliwia przesyłanie (relay) poczty od każdego do każdego (patrz open relay). Aby temu zapobiec wprowadzono mechanizm autentykacji (uwierzytelniania): SMTP-AUTH.

sniffing

Podsłuchiwanie i analiza ruchu w sieci. Narzędzia służące do tego celu nazywane są snifferami (analizatory). Sniffery często wykorzystywane są jako narzędzie administracyjne do zarządzania i usuwania problemów w sieci. Niestety często również sniffing wykorzystywany jest w celach podsłuchu i przechwytywania poufnych informacji (np. haseł) innych osób.

spam

Niezamawiana i niechciana przez odbiorcę wiadomość elektroniczna, rozpowszechniana zazwyczaj masowo, najczęściej za pomocą poczty elektronicznej. Tego typu wiadomości są najczęściej rozsyłane anonimowo z wyłudzonych lub przechwyconych adresów nadawcy (z fałszywymi nagłówkami listu). Przyjmuje się, że wiadomość uznawana jest za spam gdy:

• odbiorca jej nie zamawiał, czyli nie wyraził uprzedniej zgody na jej otrzymanie w sposób świadomy, weryfikowalny i możliwy do odwołania

• treść i kontekst są niezależne od tożsamości odbiorcy (czyli wiadomość może być przesyłana do wielu niezależnych odbiorców)

• treść daje podstawy do przypuszczeń, że wysyłający odniósł niewspółmierną korzyść z faktu wysłania wiadomości w stosunku do korzyści, jaką odniósł odbiorca w związku z jej odebraniem

Spam zazwyczaj posiada charakter komercyjny, przesyłane za jego pomocą treści reklamują produkty lub usługi.

społeczność internetowa Orange Polska

Użytkownicy internetu/cyberprzestrzeni Orange Polska, zarówno indywidualni, jak i organizacje, których systemy (komputery) przyłączone są do sieci OPL (których adresy IP są przydzielone OPL). Społeczność internetowa Orange Polska stanowi obszar działania OPL CERT.

spoofing/podszycie się

Metoda/technika pozwalająca dokonać włamania do systemu lub oszustwa sieciowego. Metoda ta polega na podszyciu się (komputera) pod inną maszynę w sieci. Przykładowe rodzaje podszywania się:

• fałszowanie adresów mailowych (wysyłanie podrobionego e-maila z fałszywym wierszem „Od”)

• fałszowanie adresu IP (wysyłanie pakietu z podrobionym źródłowym adresem IP do „ufającego” hosta, np. wykorzystywane do ataków DDoS)

• przejęcie kontroli nad sesją (napastnik wstawia podrobione pakiety do zestawionej sesji)

• fałszowanie stron WWW (ang. phishing) – napastnik sporządza kopię całej strony internetowej, ruch przechodzi przez komputer napastnika, co pozwala mu śledzić działania ofiary, przechwytywać hasła, numery kont

• fałszowanie konta (wykorzystanie czyjejś nazwy użytkownika i hasła do dostania się do hosta)

skanowanie portów

Działanie polegające na wysyłaniu zapytań do określonego systemu (komputera) w sieci. Połączenie może być na różne porty lub na jeden port w całej klasie adresowej. Dzięki skanowaniu uzyskuje się informacje na temat portów otwartych (nasłuchujących), co zwykle świadczy o działaniu na danym hoście określonej usługi. Skanowanie wykonywane jest jako wstęp do włamania lub w celu sprawdzenia zabezpieczeń.

SSL/Secure Socket Layer

Protokół komunikacyjny (nazywany również protokołem bezpiecznej komunikacji lub protokołem bezpieczeństwa), zapewniający poufność i integralność transmisji danych oraz ich autentyczność. Opiera się na szyfrach asymetrycznych i certyfikatach standardu X.509. Obecnie najczęściej używana jest wersja SSL3 i rozwijana jako TLS (Transport Layer Security).

SYN flooding/TCP SYN attack

Rodzaj ataku DoS/DDoS polegający na wysyłaniu do systemu dużej ilości niepożądanych (zazwyczaj ze sfałszowanym adresem źródłowym IP – patrz IP spoofing) pakietów TCP z flagą synchronizacyjną (SYN). Wysyłane odpowiedzi przez system (serwer) nie trafiają do nadawcy, stąd nie przychodzi potwierdzenie nawiązania połączenia. Duża liczba otwartych sesji doprowadza do tego, że system nie może otwierać już dalszych sesji, stając się w ten sposób niedostępnym dla innych użytkowników.

szare listy/greylists

Jedna z metod walki ze spamem. Szare listy opierają się na gromadzeniu informacji kopertowych poczty elektronicznej, tzw. trójki, czyli trzech danych: adres IP nadawcy (serwera źródłowego, który próbuje wysłać wiadomość), adres nadawcy (email), adres odbiorcy (email) w bazie danych (zazwyczaj na tym samym serwerze pocztowym). Dla każdej przychodzącej wiadomości serwer sprawdza czy posiada już taką trójkę w swojej bazie. Jeśli tak, list jest przyjmowany i dostarczany do odbiorcy. Jeśli nie, to serwer czasowo odmawia przyjęcia wiadomości (np. na okres 10 minut) i zapamiętuje tą trójkę w swojej bazie (którą przechowuje przez określony czas, np 2-3 miesiące). Typowy serwer pocztowy (niestety to również może być serwer, który jest open relay lub open proxy) po stronie nadawcy ponowi wysłanie wiadomości i zostanie ona dostarczona do odbiorcy, ponieważ nasz serwer będzie już posiadał informację o takiej trójce. Natomiast program do wysyłania spamu nie ponowi przesyłki, dlatego, że zazwyczaj nie oferuje pełnej funcjonalności serwera pocztowego oraz spamerzy prawie nigdy nie wysyłają spamu po raz drugi do tego samego odbiorcy stosując ten sam adres zwrotny, gdyż celem spamera jest wysłanie poczty do bardzo dużej ilości (nawet milionów) odbiorców. Ponadto dla spamera nie jest istotne, że część poczty nie zostanie dostarczona, ponieważ wiązałoby się to z dodatkowymi kosztami związanymi z utrzymywaniem bazy i analizowaniem komu dostarczono emaila a komu nie.

szyfrowanie

Proces przekształcenia czytelnych danych (tekst jawny) na postać niezrozumiałą (szyfrogram), w taki sposób, aby oryginalne dane można było otrzymać jedynie za pomocą procesu deszyfrowania posługując się przy tym odpowiednim kluczem szyfrowania. Celem zatem, zastosowania szyfru (algorytmu przekształcenia danych) jest uniemożliwienie odczytania danych przez każdego, kto nie posiada odpowiedniego klucza. Czyli szyfrowanie zapewnia poufność i integralność danych. Wyróżnia się dwa podstawowe rodzaje szyfrów: symetryczne i asymetryczne.

T

TCP

Transmission Control Protocol, protokół sieciowy sterowania (kontroli) transmisją danych stosowany w sieci internet do zapewnienia poprawnego przesyłania pakietów protokołu IP (umożliwia uzyskanie potwierdzenia, że dane dotarły do adresata).

TF-CSIRT

Task Force on Collaboration of Security Incident Response Teams. Inicjatywa powstała pod auspicjami TERENA (Trans-European Research and Education Networking Association – http://www.terena.org/) celem promowania współpracy między zespołami CSIRT w Europie poprzez rozwijanie środków i metod ułatwiających tą współpracę – więcej na http://www.terena.org/activities/tf-csirt/.

Trusted Introducer/TI

Inicjatywa europejskich CSIRT w ramach TF-CSIRT. Celem TI jest zapewnienie wzajemnego zaufania pomiędzy zespołami CSIRT, które jest konieczne do sprawnej i szybkiej współpracy w reagowaniu na incydenty i zagrożenia sieciowe. Więcej na stronach http://www.trusted-introducer.org/.

U

UDP

User Datagram Protocol, jeden z podstawowych protokołów sieciowych. Jest to strumień, w którym nie ma konieczności nawiązywania połączenia i obserwowania sesji między urządzeniami. Umożliwia, w przeciwieństwie do TCP, przesyłanie danych jednocześnie do kilku adresów docelowych (nie wymaga potwierdzenia, że dane dotarły do adresata). Protokół UDP zajmuje się dostarczaniem pojedynczych pakietów, udostępnionych przez IP, na którym się opiera.

W

wardriving

Wyszukiwanie miejsc, w których dostępne są bezprzewodowe sieci komputerowe (podatne na włamanie) polegające na jeździe (zazwyczaj samochodem) wardrivera (osoby dokonującej lokalizacji i penetracji sieci) z urządzeniem sieciowym wyposażonym w bezprzewodową kartę sieciową. Nazwa pochodzi od słowa „war” (skrót od wireless access revolution – rewolucja bezprzewodowego dostępu, albo wojna) oraz „driving” (jazda samochodem).

WEP/Wired Equivalent Privacy

Protokół bezpieczeństwa, standard szyfrowania i zabezpieczania sieci bezprzewodowej (standardu IEEE 802.11). Protokół ten zapewnia nie tylko poufność przesyłanych danych, dzięki zaimplementowanemu algorytmowi szyfrującemu, ale również jest wykorzystywany w procesie uwierzytelniania. Proces uwierzytelniania użytkowników odbywa się przy użyciu współdzielonego klucza SKA (Shared Key Authentication), który nie jest zmienny automatycznie w czasie. Algorytm szyfrujący bazuje na kluczu o stałej długości (zwykle 64, 128 lub 256 bitów), generowanym na podstawie wprowadzanego przez użytkownika ciągu znaków (hasła).

Wi-Fi/Wireless Fidelity

Standard (zestaw standardów, opartych na IEEE 802.11) bezprzewodowego przesyłu danych, realizowanego drogą radiową, służący do budowania bezprzewodowych sieci komputerowych, w szczególności lokalnych (WLAN).

WPA/Wi-Fi Protected Access

Protokół bezpieczeństwa, standard szyfrowania i zabezpieczania sieci bezprzewodowych. Protokół ten zapewnia nie tylko poufność przesyłanych danych, dzięki zaimplementowanemu algorytmowi szyfrującemu, ale również jest wykorzystywany w procesie uwierzytelniania. Uwierzytelnianie użytkowników w sieci chronionej odbywa się przy użyciu współdzielonego klucza PSK (Pre-Shared Key) lub EAP (Extensible Authentication Protocol), który jest zmienny automatycznie w czasie. W domowych zastosowaniach wystarczająca jest pierwsza metoda, czyli WPA-PSK. Zazwyczaj domyślnym algorytmem szyfrującym WPA jest TKIP (Temporal Key Integrity Protocol) lub AES (Advanced Encription System). W nowszej wersji tego standardu określanego jako WPA2 wykorzystywana jest metoda szyfrowania AES-CCMP (Advanced Encryption Standard -Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), podczas gdy w wersji pierwszej standard ten korzysta głównie z TKIP/RC4.

wirus komputerowy

Program mający za zadanie powielenie się w jak największej ilości kopii. Często wirus to fragment kodu ukryty wewnątrz innego programu. Wiele z nich posiada dodatkowe funkcje destrukcyjne, uprzykrzające lub uniemożliwiające użytkownikowi korzystanie z komputera. Przykładem takich działań mogą być:

• wyświetlanie różnych napisów na monitorze

• usuwanie plików

• blokowanie klawiatury

• formatowanie dysku

WWW/World Wide Web

Globalny system informacyjny oparty na hipertekście (nazywany również siecią WWW lub siecią Web). Strony internetowe lub WWW (dokument oparty przede wszystkim na języku pisania stron internetowych HTML – HyperText Markup Language) oprócz tekstu, grafiki i innych elementów multimedialnych, zawierają hiperłącza, które podczas korzystania z WWW przenoszą nas na inne strony internetowe, które mogą znajdować się na tym samym serwerze lub innym. Użytkownik łączy się z serwerem WWW aby pobrać stronę WWW poprzez przeglądarkę internetową. Komunikacja sieci WWW oparta jest na protokole HTTP.