Aplikovaná informatika Bezpečný přístup k datům, analýza bezpečnosti a legislativního omezení. ZEMÁNEK, Z. – PLUSKAL,D. – SMETANA, B.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326
Bezpečný přístup k datům, analýza bezpečnosti a legislativního omezení.
i
1. 2. 3. 4.
Bezpečný přístup k datům - řešení Analýza bezpečnosti dat Legislativní opatření Kontrolní otázky a úkoly do samostudia
Cíle přednášky 1. Předat studentům základní informace o bezpečném přístupu k datům. 2. Objasnit význam analýzy bezpečnosti dat, rozmanitost projevů malware. 3. Charakterizovat rozmanitost legislativních zákonných omezení.
Bezpečný přístup k datům
Realizovat aktualizace samotného operačního systému Microsoft Windows, případně Microsoft Office tolik problémové není (aktualizace se stahují automaticky, automaticky případně je lze jednoduše dohledat přes službu Windows Update). Co aktualizace dalších aplikací? Velkým rizikem mohou být například nezáplatované aplikace třetích stran, které jsou přidruženy k prohlížečům ve formě různých plug-inů (prohlížece PDF jako Adobe Acrobat Reader, přehrávače „fleš“ animací - Adobe Flash Player…). Pokud je díra v nich a útočník ji zneužije (dostane do PC bez vědomí uživatele škodlivý program a například odcizí citlivá data…). Otázky bezpečnosti informací jsou stále prioritní, tak jak se stává [1] prostředí škodlivého software stále sofistikovanější.
Bezpečný přístup k datům
Máte v počítači citlivá data, data finanční údaje, seznam kontaktů a další věci, které nechcete, aby viděl někdo jiný? Počítačová bezpečnost je často diskutovaným tématem. Nemusíte nutně trpět paranoiou, abyste si chtěli zabezpečit přístup k citlivým datům. Zabezpečte si tak přístup do operačního systému i k datům. Toho lze dosáhnout několika různými metodami s různými softwarovými pomocníky. Důležité je také poznat možné hrozby a rizika, která znamená malware. malware [2] Foto: technet.idnes.cz
Bezpečný přístup k datům? Malware Škodlivý kód je speciální programový kód, jejichž úkolem je poškodit zařízení, data programy, vyčerpat systémové zdroje, zcizit informace atd. Rychlost šíření malware Code Red - 2001 Počátek infekce
... o 19 hodin později
Source: caida.com
Bezpečný přístup k datům? Malware Malware - je zvláštní typ programů, které nekupujete, jsou
nežádoucí, nechtěné, škodlivé. Výraz malware vznikl složením anglických slov „malicious“ (zákeřný) a „software“ a popisuje záměr autora takového programu spíše, než jeho specifické vlastnosti. Klasifikace malweru: Viry (virus). Červi (worms). Trojské koně (trojan horses). Spamy. Poplašné zprávy (hoax). Spyware. Další parazitující programy – Backdoor, Rootkit, … [3]
Bezpečný přístup k datům? Malware Viry (virus) Počítačový virus je počítačový program, zpravidla
škodlivý, který dokáže sám vytvářet své kopie a sám se šířit, it aniž by o tom uživatel věděl. Viry můžou provádět jakoukoliv škodlivou činnost a dělí se do mnoha různých skupin. Červi (worms) Jsou viry, které pro své šíření využívají programy komunikující pomocí počítačové sítě (lokální i globální).
Foto: technet.idnes.cz
[3]
Bezpečný přístup k datům? Malware Trojský kůň (trojan hors) Je program, který se skrytě nainstaluje zároveň
s jiným programem, ve kterém je „schovaný“.
Skrytě pak provádí škodlivou činnost. Nepatří mezi PC viry, protože neumí sám vytvářet kopie a šířit se. Často se pokouší dostat do počítače při otevírání závadných internetových stránek.
[3]
Bezpečný přístup k datům? Malware SPAM Je obtěžující e-mail, nejčastěji s reklamním obsahem. Některé viry se šíří pomocí spamu a bývají v příloze jako spustitelný soubor. V mnoha zemích je rozesílání spamu trestné.
Hoax (čti houks = falešná zpráva) Je druh spamu, jakákoliv lživá e-mailová zpráva, která se nezakládá na pravdě. Může například varovat před velmi nebezpečným virem, který neexistuje, láká peníze od lidí a podobně. V poslední době se objevila upravená verze „policejního viru“, ta zdražila, je hezčí a naučila se lépe česky…
[3]
Bezpečný přístup k datům? Malware Příklad Hoax (z kategorie sociálního inženýrství) Novější upravená verze „policejního viru“. Pokud se vám na PC zobrazí něco podobného jako na obrázcích, pak jste se stali obětí Hoax, která spadá do kategorie „ransomware“. To znamená, že všechno co vidíte je smyšlené, nelze se toho jednoduše zbavit a snaží se vás přinutit [4] k zaplacení 3 tisíc Kč. U všech trestných činů které jsou uvedeny hrozí významnější výše pokut, tudíž pokud by někdo tomuto triku uvěřil, pak jsou ty tři tisícovky opravdu nejlepší volbou. Jinak neschází portrét samotného uživatele počítače (za předpokladu, že je k dispozici webkamera a ta míří na jeho obličej a uživatele vyfotí) a textem: „Pro vyšší efektivitu policejní práce, 4. prosince 2012 byla podepsána mezinárodní smlouva se společnostmi, které vyrábějí antivirové software [4] k odhalení kybernetických zločinců“.
Bezpečný přístup k datům? Malware Phishing (někdy převáděno do češtiny jako rybaření), modifikace Hoax.
Je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky, či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.
Bezpečný přístup k datům? Malware Spyware
Je sledovací program. Může zachytávat text psaný na klávesnici, krade data, hesla, sleduje síťovou komunikaci a podobně. Často bývá instalován ve firmách pro monitorování práce zaměstnanců!
Adware
Je program, který znepříjemňuje práci pomocí aplikace, která zobrazuje reklamy. Často mění nastavení domovské stránky internetového prohlížeče. [3] Foto:http://www.stahuj.centrum.cz
Bezpečný přístup k datům? Malware Zadní vrátka (anglicky backdoor) Je v informatice název metody, která umožňuje obejít běžnou autentizaci, která za běžných okolností brání uživateli v neoprávněném využívání počítačového systému. Zadní vrátka jsou součástí softwaru a mohou být využívána k seriózním účelům (např. pro servisní přístup), avšak často jsou zneužívána (crackerem jako exploit), takže jsou klasifikována jako bezpečnostní riziko, resp. zranitelnost. Exploit je v informatice speciální program, data nebo sekvence příkazů, které využívají programátorskou chybu, která způsobí původně nezamýšlenou činnost software a umožňuje tak získat nějaký prospěch. Většina exploitů slouží k získání přímo administrátorských práv (uživatel, root, administrator), ale existují i takové, kterými útočník nejprve získá nižší práva a použitím dalších exploitů se propracuje [3] až k právům administrátorským.
Bezpečný přístup k datům? Malware Rootkit (vyslovuj [růtkyt]) - Je škodlivý program měnící chování a zabezpečení
operačního systému. - Pomáhá v průniku dalším škodlivým programů do počítače a napomáhá jejich krytí. - Rootkit technologie maskuje přítomnost zákeřných programů skrýváním adresářů. Příklad: V roce 2006 rootkity „proslavila“ společnost Sony BMG, která je dávala na vybraná audio CD. Jejich účelem bylo zabránit uživateli kopírovat obsah CD do počítače. Navíc rootkit odesílal firmě Sony BMG zprávy o činnosti uživatele, což je samozřejmě protizákonné. [3]
Šíření počítačových virů PC viry zneužívají při svém šíření různé programy spuštěné v počítači, které ale musí obsahovat určité bezpečnostní chyby. Chyby se dají odstranit instalací aktualizací. Starší viry napadaly nejčastěji programy a spustitelné soubory (exe, vbs, dll), ale v dnešní době je rozsah napadnutelných souborů poměrně velký. Pro své šíření využívají počítačové sítě a přenosná paměťová zařízení (USB paměti, paměťové karty, externí disky). [3] Obrázek: http://www. alfacomputer.cz
Analýza bezpečnosti dat Zásady Aktualizovat operační systém a jiné programy. Nainstalovat antivirový program, program pravidelně aktualizovat program i virovou databázi. Pravidelně kontrolovat (skenovat) data v počítači. Nainstalovat firewall. firewall Pravidelně zálohovat data (týdně, měsíčně), například na externí harddisk. Nikdy neotvírat podezřelou elektronickou poštu, tu například e-maily od neznámých osob (přiložené soubory). Přenos dat zabezpečit šifrováním. [5]
Analýza bezpečnosti dat - Antivir
Antivirový program sleduje všechny nejpodstatnější vstupní/výstupní místa, kterými by viry mohly do počítačového systému proniknout.
[3] www.antivirovecentrum.cz www.virovyradar.cz www.viry.cz
Analýza bezpečnosti dat Firewall (čti "fajrvol") je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně se dá říct, že slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje. Tato pravidla historicky vždy zahrnovala identifikaci zdroje a cíle dat (zdrojovou a cílovou IP adresu) a zdrojový a cílový port, což je však pro dnešní firewally už poměrně nedostatečné. Modernější firewally se opírají přinejmenším o informace o stavu spojení, znalost kontrolovaných protokolů a případně prvky IDS (systém pro odhalení průniku). [5]
Analýza bezpečnosti dat Nejčastější problémy Jednoduchost hesla, odvozenina hesla, psaní hesla na snadno přístupná místa, stejná hesla do různých systémů nebo jejich částí, fyzický přístup k datům.
Řešení přenášet data dostatečně zašifrovaná => použití kvalitní KRYPTOGRAFIE.
Analýza bezpečnosti dat Kryptografie – základní pojmy Kryptografie doslova znamená studium tajného písma, známe je od starověku, přes Caesarovu šifru (100 př.n.l. – 44 př.n.l.), Enigmu ... Znamená umění udržet důvěrnou zprávu utajenou = šifrování.
Kryptoanalýza je umění rozluštit šifru a tím pádem odhalit utajenou zprávu.
Analýza bezpečnosti dat Kryptografie – základní pojmy
Kryptologie je matematika pro kryptografii a kryptoanalýzu, šifrovací algoritmus je funkce sestavená na matematickém základě a provádí šifrování (kryptování) a dešifrování (dekryptování) dat, šifra - šifrovací klíč se dá přirovnat k heslu.
Analýza bezpečnosti dat Symetrické šifrování
[5]
Výhody Rychlost (asi 1000 rychlejší než asymetrické šifrování). Nevýhody Klíč je tajný a je třeba jej udržovat v tajnosti. S kolika protějšky komunikuji, tolik musím mít klíčů! Klíč je třeba domluvit předem (a tak aby se jej nedozvěděl nikdo jiný).
Analýza bezpečnosti dat Asymetrické šifrování Výhody Veřejný klíč nemusí být udržován v tajnosti. Nevýhody Pomalé algoritmy. Asymetrická kryptografie (kryptografie s veřejným klíčem) je skupina kryptografických metod, ve kterých se pro šifrování a dešifrování používají odlišné klíče. To je základní rozdíl oproti symetrické kryptografii, která používá k šifrování i dešifrování jediný klíč.
[5]
Analýza bezpečnosti dat Elektronický podpis jsou elektronické identifikační údaje autora (odesílatele) elektronického dokumentu, připojené k němu. V České Republice upraven zákonem o elektronickém podpisu č. 227/2000 Sb.
[5]
Rovnají-li se otisky – pak je podpis dat ověřen.
Analýza bezpečnosti dat Elektronický podpis dokumentu zajišťuje: autenticitu – lze ověřit původnost (identitu subjektu, kterému patří elektronický podpis), integritu – lze prokázat, že po podepsání nedošlo k žádné změně, soubor není úmyslně či neúmyslně poškozen, nepopiratelnost – autor nemůže tvrdit, že podepsaný elektronický dokument nevytvořil (např. nemůže se zříct vytvoření a odeslaní výhružného dopisu), může obsahovat časové razítko, tko které prokazuje datum a čas podepsání dokumentu.
Problémy spojené s elektronickým podpisem: ověřování elektronického podpisu po delším čase od jeho vytvoření (např. poté co vyprší certifikát určený pro verifikaci tohoto podpisu), dlouhodobá archivace elektronicky podepsaných dokumentů.[5]
Legislativní opatření O tom jak dynamicky se tato problematika rozvíjí nejlépe ilustruje:
101/2000 Sb., ZÁKON ze dne 4. dubna 2000 o ochraně osobních údajů a o změně některých zákonů. Změna: 227/2000 Sb., 177/2001 Sb., 450/2001 Sb., 107/2002 Sb., 310/2002 Sb., 517/2002 Sb., 439/2004 Sb., 480/2004 Sb., 439/2004 Sb. (část), 626/2004 Sb., 413/2005 Sb., 444/2005 Sb., 342/2006 Sb., 109/2006 Sb., 170/2007 Sb., 52/2009 Sb., 41/2009 Sb., 227/2009 Sb., 281/2009 Sb., 468/2011 Sb., 375/2011 Sb.
227/2000 Sb., ZÁKON ze dne 29.6.2000 o elektronickém podpisu
a o změně některých dalších zákonů (zákon o elektronickém podpisu)… Novela zákona o elektronickém podpisu (č. 167/2012 Sb.) Smyslem zákona o elektronickém podpisu je umožnit použití digitálního podpisu v rámci elektronické komunikace jako ekvivalent podpisu vlastnoručního při běžné listinné formě komunikace. Zákon byl vytvořen na základě směrnice Evropské unie 1999/93/EC ze dne 13.12.1999.
Úkoly pro samostatnou práci Předat studentům základní informace o bezpečném přístupu k datům. Objasnit význam analýzy bezpečnosti dat, rozmanitost projevů malware . Charakterizovat rozmanitost legislativních zákonných omezení.
Zdroje - doplňující studijní literatura: 1. 2.
3. 4. 5.
6.
Záplatování bezpečnostních děr [online]. 2012-10-17. [cit. 2013-12-27]. Dostupné z: http://viry.cz/?s=Bezpečnost+dat KRAUS, Josef. Nejlepší program pro zabezpečení přístupu do počítače [online]. 2012-06-10. [cit. 2013-12-18]. Dostupné z: http:// www.zive.cz/clanky/nejlepsi-program-pro-zabezpecenipristupu-do-pocitace/sc-3-a-164090/default.aspx Počítače - počítačové viry [online]. [cit. 2013-11-23]. Dostupné z: www.zskomslavkov.cz/pages/download/.../zapis_pocitacove_viry.ppt Policie ČR zdražuje! 2013-01-11. [cit. 2013-12-23]. Dostupné z: http:// www.viry.cz/policie-cr-zdrazuje/ ČEKAN, Lukáš. Podniková informatika přednáška 08 [online]. 2013-04-07. [cit. 2013-12-25]. Studijní materiály z FEI UPCE, obor Informační technologie. Dostupné z: http://fei.pepiczech.cz/?p=136 Pozor na to, co instalujete! [online]. 2013-04-07.[cit. 2013-12-25]. Dostupné z: http://viry.cz/?s=Bezpečnost+dat
