Bakalářská diplomová práce

Masarykova univerzita Filozofická fakulta

Ústav české literatury a knihovnictví

Kabinet informačních studií a knihovnictví

Bakalářská diplomová práce

2014

Edita Hečová

Masarykova univerzita Filozofická fakulta

Kabinet informačních studií a knihovnictví Informační studia a knihovnictví

Edita Hečová

Zabezpečení veřejných počítačů v knihovnách městského typu Bakalářská diplomová práce

Vedoucí práce: PhDr. Pavla Kovářová 2014

Bibliografický záznam: HEČOVÁ, Edita. Zabezpečení veřejných počítačů v knihovnách městského typu. Tišnov, 2014. Bakalářská práce. Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, Kabinet informačních studií a knihovnictví. Vedoucí práce PhDr. Pavla Kovářová.

Anotace: Bakalářská diplomová práce „Zabezpečení veřejných počítačů v knihovnách městského typu“ se zabývá otázkou zabezpečení počítačů pro veřejnost. Jsou zde popsány jednotlivé hrozby, které knihovně hrozí a jsou navrhnuty postupy jejich řešení. Cílem práce je přinést přehled o nebezpečích pro knihovny městského typu a pomoci knihovnám s jejich řešením. Nejsou zde popsána veškerá nebezpečí, ale jsou vybrána jen ty nejběžnější a nejčastější. Praktická část vychází z mé zkušenosti v Městské knihovně Tišnov, kde jsem se s těmito problémy setkala osobně. U navrhovaných řešení jsou uváděny informační zdroje, které mohou být využity při jejich aplikaci v praxi.

Annotation: Bachelor thesis "Securing public computers in urban type libraries" addresses the issue of computer security for the public.There are described all threats that threaten library and procedures are designed to address them. The aim is to provide an overview of the dangers for urban type libraries and help the libraries with their solutions. There are not described all dangers, but there are chosen only the most common and the most frequent. The practical part is based on my experience in the Municipal Library Tišnov, where I met these issues personally. For the proposed solutions are given information sources that can be used in their application in practice

Klíčová slova: zabezpečení počítače, městské knihovny, informační bezpečnost

Keywords: Computer security, City Library, Information security

Prohlášení Prohlašuji, že jsem diplomovou práci vypracovala samostatně s využitím uvedených pramenů a literatury. …………………………………………… podpis autora

Poděkování: Tímto bych ráda poděkovala své vedoucí diplomové práce PhDr. Pavle Kovářové za ochotu, cenné připomínky a trpělivost. Také bych chtěla poděkovat Městské knihovně Tišnov, která mi byla nápomocna při realizaci mé práce a všem knihovnicím, které mi byly oporou a poskytovaly cenné informace z praxe.

Obsah: 1. Úvod ..................................................................................................................... 6 2. Deskripce prostředí .............................................................................................. 7 2.1. Městské knihovny ..................................................................................... 8 2.2 Hrozby ....................................................................................................... 9 2.2.1 Soukromí, ochrana osobních údajů ................................................ 10 2.2.2 Počítačová infiltrace ........................................................................ 11 2.2.3 Škodlivý kód .................................................................................... 12 2.3. Autentizace uživatele ............................................................................... 16 2.4. Řízení přístupu ........................................................................................ 17 3. Zabezpečení ........................................................................................................ 18 3.1 Operační systém ...................................................................................... 20 3.1.1. Uživatelské účty .............................................................................. 21 3.1.2 Ochrana dat .................................................................................... 23 3.2 Specializované nástroje ............................................................................ 25 3.2.1. Antimalware programy .................................................................. 25 3.2.2 Firewall ........................................................................................... 27 3.3. Webové prohlížeče .................................................................................. 29 3.3.1 Stahování ........................................................................................ 29 3.3.2. Filtrování obsahu na internetu ..................................................... 30 4. Praxe.................................................................................................................... 31 4.1. Uživatelské účty ...................................................................................... 32 4.2. Filtrování obsahu na internetu ............................................................... 34 4.3. Obnovení nastavení ................................................................................ 36 Závěr ...................................................................................................................... 38 Zdroje: .................................................................................................................... 38

7

1. Úvod Problematiku zabezpečení veřejných počítačů v knihovnách jsem si vybrala proto, že v jedné městské knihovně pracuji a s tímto problémem se setkávám téměř denně. Práce popisuje základní problémy v zabezpečení veřejných počítačů v knihovnách. Vybrala jsem ty nejčastější problémy, které se vyskytovaly v městských knihovnách v regionu Brnovenkov1. V závěru práce jsou navrhnuta některá praktická řešení nejčastějších problémů, některá z nich již v praxi fungují. Základním problémem je nevzdělanost uživatelů v problematice informační bezpečnosti. Uživatelé si často nejsou vědomi, že dělají něco špatného a následků svého nebezpečného chování na internetu. Z tohoto důvodu je důležité, aby knihovny měly dostatečně zabezpečené veřejné počítače. A proto je v teoretické části práce věnována kapitola popisu hrozeb, které mohou nastat. Další možností řešení je uživatele v dané oblasti vzdělávat ale tohle téma není předmětem této práce. Mezi základní bezpečností opatření považujeme užívání uživatelských účtů. Tato problematika se prolíná celou prací a její použití je uvedeno i v praktické části. Podstatná část je věnována formám zabezpečení. Existuje spousta možností jak efektivně zabezpečit veřejné počítače, proto zde budou popsány některé nástroje a typy aplikací, které mohou knihovny využít pro zefektivnění ochrany nejen svých počítačů ale i uživatelů veřejného internetu. Cílem této práce je, aby mohla sloužit řadovým knihovníkům jako návod při řešení bezpečnostních problémů na počítačích. Měla by knihovníky seznámit jak s hrozbami, které je mohou při výkonu práce potkat, tak i s možnostmi jejich řešení. Jelikož je práce určena právě zaměstnancům městských knihoven, je psaná jednodušším jazykem, aby byla pro tyto zaměstnance s knihovnickým vzděláním srozumitelná.

2. Deskripce prostředí Tato kapitola se zabývá problematikou zabezpečení počítačů obecně. Řeší, jaké mohou nastat hrozby při práci uživatele knihovny na veřejném internetu. Kapitola se také zabývá vymezením prostředí knihoven a to, jakým způsobem jsou knihovny, jejich povinnosti a práva, zakotveny v legislativě. 1

Vycházím z konzultace s knihovníky z regionu Brno-venkov na pravidelných poradách.

8

Problematiku knihoven zabezpečuje knihovní zákon. Určuje, jaké mají knihovny povinnosti, a zároveň udává práva uživatelů. Knihovna jako instituce se může ještě více specifikovat interními knihovními předpisy (knihovním řádem). Tento knihovní řád je prvním stupněm ochrany instituce nejen před neukázněnými uživateli, ale knihovna se takto chrání celkově. Knihovní řád je pro každou instituci individuální, nicméně se odkazuje na knihovní zákon. Mezi věci, které upravuje, patří specifikace činnosti uživatelů veřejného internetu. Například zákaz navštěvovat internetové stránky s nelegálním a nevhodným obsahem, zákaz stahování a instalací aplikací, programů a podobně. Tohle vymezení činnosti může být považováno za první stupeň ochrany knihovny před hrozbami. Nicméně je na soudnosti uživatelů, zda tyto pokyny budou respektovat nebo je porušovat. Proti tomuto nežádoucímu chování je potřeba veřejné počítače dostatečně zabezpečit. Dále se v kapitole rozebírají problémy, které se týkají veřejných počítačů. Hlavním problémem je dostatečná nevzdělanost jak samotných uživatelů tak často i knihovníků, v problematice zabezpečení počítačů. Sice by knihovny měly mít svého správce a administrátora počítačové sítě, ale některé znalosti, nejen ohledně zabezpečení, by měli mít i samotní knihovníci, aby určitým problémům mohli předcházet sami. Tato kapitola rozepisuje obecnou charakteristiku jednotlivých hrozeb. Seznamuje čtenáře (knihovníka) s problémy, které mohou na veřejných počítačích nastat. Mimo jiné také vytyčuje základní typy ochrany a seznamuje čtenáře s jejich charakteristikou. Týká se to problematiky autentizace uživatele a řízení přístupu. Sice se již jedná o druh ochrany, nicméně do této části jsou začleněny záměrně, jelikož se jedná o vysvětlení pojmů. Úzce spolu souvisejí a jejich použití se prolíná v použití uživatelských účtů. Ty jsou rozepsány ve třetí kapitole věnující se zabezpečení.

2.1. Městské knihovny Všechny knihovny v České republice mají jasně vymezené pravomoci, které jsou dané Knihovním zákonem. Knihovní zákon udává systém knihoven a podle druhu knihoven jim přiřazuje určité funkce. V našem případě se budeme zabývat nejnižším stupněm knihoven a to knihovnami městského typu nebo dle výkladu knihovního zákona, knihovnami základními, jejichž zřizovatelem je obec. Od jiných knihoven se základní knihovna liší svojí činností. Knihovní zákon základní knihovnu definuje takto: “ Základní knihovna je součástí

9

systému knihoven vykonávající informační, kulturní a vzdělávací činnosti.”.2 Základní knihovny mohou mít univerzální knihovní fond nebo specializovaný fond a kromě informačních služeb se zaměřují i na kulturně - vzdělávací činnost. Každá knihovna musí být zapsána v evidenci Ministerstva kultury. Mezi základní funkce knihoven patří poskytování veřejných informačních služeb, a to všem bez rozdílu. Podle základní listiny práv a svobod mají všichni bez rozdílu právo na vytváření, publikování a přístupu k informacím. Většinu služeb je knihovna povinna poskytovat bezplatně. A to konkrétně knihovní zákon definuje takto: „zpřístupnění fondu knihovny, poskytování ústních bibliografických, referenčních a faktografických informací a rešerší, umož-

nění přístupu k vnějším informačním zdrojům, ke kterým má knihovna bezplatný přístup, pomocí telekomunikačního zařízení.““3 Dle knihovního zákona jsou knihovny povinny umožnit uživatelům i široké veřejnosti bezplatný přístup k internetu. Tím pádem je internet provozován na veřejných počítačích. Tyto počítače je potřeba určitým způsobem zabezpečit. Jelikož se jedná o veřejné počítače, je potřeba specifická forma ochrany jak uživatele, tak i samotné knihovny jako instituce. Ovšem při zabezpečování veřejných počítačů je třeba dbát na Knihovní zákon a zákon o svobodném přístupu k informacím4. Nemůžeme tedy znepřístupnit internetové prostředí, vyhledávání informací apod. Nicméně na nezabezpečeném počítači hrozí jistá nebezpečí. Jednotlivé druhy hrozeb jsou rozepsány v následující kapitole.

2.2 Hrozby Tato kapitola popisuje nejčastější problémy, které na veřejných počítačích vznikají. Zabývá se problematikou bezpečnostních hrozeb obecně. Řešení hrozeb, které mohou ohrozit nejen uživatele veřejných počítačů ale i knihovnu samotnou, budou nastíněna v dalších kapitolách, kde se jim budeme věnovat podrobněji. Existují studie veřejných 2Zákon

č. 257/2001 Sb., o knihovnách a podmínkách provozování veřejných knihovnických a informačních služeb (knihovní zákon). epravo.cz. [online]. [cit. 20113-06-10]. Dostupný z . ISSN 1213-189X. 3Zákon č. 257/2001 Sb., o knihovnách a podmínkách provozování veřejných knihovnických a informačních služeb (knihovní zákon). epravo.cz. [online]. [cit. 20113-06-10]. Dostupný z . ISSN 1213-189X. 4Česká republika. ZÁKON ze dne 11. května 1999 o svobodném přístupu k informacím. In: č. 106/1999 Sb. 1999. Dostupné z: http://www.sagit.cz/pages/sbirkatxt.asp?cd=76&typ=r&zdroj=sb99106

10

počítačů, které tuto problematiku popisují. Ve studii z roku 2011 The computer security of public/open computer space se píše: „Pozorovali jsme rozsáhlý nedostatek v zabezpečení veřejných počítačů, které jsme zkoumaly. Těch několik málo bezpečnostních programů dostatečně nechrání systémy proti útočníkovi, jsou na nízké nebo střední technické úrovni. Počítače jsou často vybaveny jen antivirovým programem (asi 75%), který je často špatně nakonfigurován. Podařilo se nám systematickým postupem skenovat protokoly nebo odinstalovat některé programy nebo s nimi manipulovat (konfigurovat).“5 Tato studie popisuje, jak zoufalý byl stav zabezpečení veřejných počítačů v Evropě.

Kapitola v první řadě pojednává o ochraně osobních údajů a soukromí. Všeobecně je velice jednoduché se k citlivým osobním údajům dostat. „ Získat data o předchozích uživatelích veřejných počítačů z pevného disku nebo je obnovit pokud jsou smazána, je velmi snadné, i když byla udělána některá technická opatření proti tomuto zneužití dat. Byli jsme schopni vydolovat gigabajty dat. Nejvíce zarážející je citlivost zjištěných údajů: ekonomické (finanční) údaje, politická data, právní data, soukromé údaje (například jsme našli kompletní sadu dokumentů, umožňující krást a uzurpovat identity: daňová přiznání, pasy, občanské průkazy...) a někdy dokonce důvěrné dokumenty.“

6

Opět tato studie ukazuje jak je situace neošetřená a uživatelé veřejných

počítačů jsou neopatrní.

Další podkapitola se zabývá problematikou počítačové infiltrace. Za počítačovou infiltraci je považováno jakékoliv neoprávněné narušení či vstup do počítačového systému, tím i do jeho dat. 7 Kapitola popisuje co to je škodlivý kód a jeho jednotlivé příklady. Obecně se jedná o malware nebo software, který má za úkol svým specifickým způsobem škodit, nebo získávat data o uživatelích. Může se jednat o relativně neškodnou cílenou reklamu nebo naopak o získávání přístupových hesel a jiných citlivých údajů. Forma ochrany bude popsána v samostatné kapitole.

FILIOL, E. The Computer Security of Public/Open Computer Spaces: Feedback of a Field Study in Europe. Reading, United Kingdom, Reading: Academic Conferences International Limited, 2011. ProQuest Central. Dostupné z: http://search.proquest.com/docview/1010350810?accountid=16531. Pozn. Volný překlad 6FILIOL, E. The Computer Security of Public/Open Computer Spaces: Feedback of a Field Study in Europe. Reading, United Kingdom, Reading: Academic Conferences International Limited, 2011. ProQuest Central. Dostupné z: http://search.proquest.com/docview/1010350810?accountid=16531. Pozn. Volný překlad 7KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80247-1408-6 5

11

Dále se zde budeme zabývat problematikou autentizace uživatele. Jaké způsoby je možné využít pro veřejné počítače v knihovnách. Mezi další problémy patří i konzumace nevhodného a nelegálního obsahu. S touto problematikou jsou spojeny i škodlivé kódy. Uživatelé konzumující nevhodný obsah (např. Internetové stránky s pornografickým obsahem a pod) svým jednáním mohou infikovat počítač, jestliže není dostatečně zabezpečen. Kapitola jako další popisuje hrozbu narušení informačního systému, což je v legislativě zakotveno jako trestný čin, proto se jím budeme také zabývat

Nejčastější příčinou většiny problému je zanedbávání aktualizací programů aplikací8. K některým aktualizacím je potřeba přístup administrátora, knihovníci jej ve většině případů nemohou provést sami, protože administrátoři jsou externí pracovníci. Nicméně jsou zanedbávány i banální aktualizace, ke kterým není třeba přístup administrátora. Aktualizace řeší chyby v programu, zacelují bezpečnostní chyby. Jejich provedení je nezbytná prevence před útoky.

2.2.1 Soukromí, ochrana osobních údajů V této kapitole se zaměříme více na bezpečnost uživatelů knihovny než knihovny jako instituce. Mezi nejčastější problémy vzniklé na veřejných počítačích je ochrana soukromí. K jednomu přístroji má přístup několik uživatelů denně. Největším nebezpečím je pro uživatele zneužití jeho osobních údajů. Spousta uživatelů, dostatečně nevzdělaných v problematice užívání informačních technologií, nechává volný přístup k veškerým datům, která si na daném přístroji nashromáždili a to nejen v internetových prohlížečích, jako například přihlašovací údaje, uložený životopis s osobními údaji a pod9. Potencionální útočník má velice snadný přístup k citlivým osobním údajům. Každý prohlížeč nabízí možnost ukládání hesel a přístupových údajů. Pro uživatele je možnost pamatování si přihlašovacích údajů prohlížečem velice praktická. Nicméně často zapomínají, že v knihovně využívají veřejné počítače. Ty jsou přístupné široké 8NOSKA,

Martin. Výzkum: pětina používaných aplikací pro Windows jsou bezpečnostním rizikem!. In:Computerworld: Ucelený informační zdroj pro IT profesionály [online]. Praha: IDG Czech, a.s,2008-01-02 [cit. 2013-11-03]. Dostupné z: http://computerworld.cz/securityworld/vyzkum-petina-pouzivanych-aplikaci-pro-windows-jsoubezpecnostnim-rizikem-1873 9Informace jsou nashromážděny z 3leté praxe v Městské knihovně Tišnov

12

veřejnosti a tudíž má kdokoliv, kdo bude daný počítač používat, přístup k informacím o předchozích uživatelích a jejich činnosti na daném počítači. Tyto informace mohou být uloženy v souborech cookies.

10

Správné používání cookies usnadňuje komunikaci

s webovou stránkou. Např. v elektronických obchodech umožňuje uložení zboží do nákupního košíku. Nicméně cookies mimo jiné umožňují shromažďovat data pro cílenou reklamu. Cookies soubory daná data obsahují pouze v případě, že jim to uživatel sám umožní, tedy nenastaví preference v prohlížeči. Mezi další shromažďovatele osobních údajů řadíme spyware. Tomu je věnována samostatná podkapitola 2.3.3. Škodlivý kód.

2. 2. 2 Počítačová infiltrace Při této hrozbě je role člověka zásadní ať už jako záměrného útočníka nebo pouze neopatrného uživatele. Mylně je zaměňována s hrozbou škodlivých kódů, ty jsou jednou ze specifických skupin infiltrace. Pojem počítačová infiltrace se používá pro jakýkoliv druh napadení počítače. Může se jednat i o hackerský útok. Nicméně i interní zaměstnanci mohou, byť nezáměrně, sytém narušit. Většinou se jedná o nechtěnou nehodu, která je zapříčiněna nedostatečnou kvalifikací zaměstnanců v problematice informačních technologií. V tomto případě se bavíme o fyzické počítačové infiltraci, ale tohle není předmětem naší práce. Infiltrace hrozí i na veřejných počítačích v knihovnách. Přístup ke zdrojům a objektům musí být nějakým způsobem zabezpečen tak, aby jednotliví uživatelé neměli možnost, byť neúmyslně, měnit jakákoliv nastavení a infikovat počítač škodlivým kódem. Tato hrozba je již částečně vyřešena a to správou uživatelských účtů a nastavením jejich práv, tedy autorizací uživatele a řízením přístupu. Omezením přístupu k jednotlivým komponentům se zamezí jejich narušení. I když uživatel knihovny a veřejného internetu nemá vytvořený svůj individuální uživatelský účet, do prostředí počítače vstupují pod společným účtem s omezenými právy. Nicméně toto řešení není vždy stoprocentní. Pokud se útočníkovi podaří prolomit heslo a přihlásit se do administrátorského účtu, v tomto případě nám řízení přístupu nepomůže. Uživatelským účtům se budeme podrobněji věnovat v kapitole 3.1.1. Správou uživatelských účtů je možné přecházet určitým nebezpečným situacím. Například můžeme jistým způsobem zabezpečit data jednotlivých uživatelů veřejného internetu právě zavedením

10cookies

= datové soubory obsahující informace o uživateli o jeho komunikaci s danou webou stránkou (Bott, Ed), obsahují i osobní identifikační údaje jako email, adresa, telefoní číslo a pod.

13

individuálních uživatelských účtů. Problém může nastat tehdy, kdy bude chtít služeb veřejného internetu využít zákazník, který není uživatelem knihovny. V této situaci nemá udělený unikátní kód a heslo. V takovém případě by bylo vhodné využít program nebo aplikaci pro vygenerování jednorázových přihlašovacích údajů, které platí jen určitou dobu. Nebo využít již existujících služeb jako je služba Moje ID. Tomuto problému a jeho řešení se věnujeme podrobněji v dalších kapitolách.

2.2.3 Škodlivý kód Škodlivý kód neboli malware, je označení nejen pro virus, červa nebo trójského koně ale i spyware apod. Všechny tyto škodlivé kódy mají za cíl poškodit data v infikovaném počítači nebo získat informace o uživateli či uživatelích počítače a tyto data následně zneužít pro další trestnou nebo nelegální činnost. Možnosti poškození jsou různé podle druhu malware. Může se jednat od úplného smazání pevného disku až po nenápadné pozměňování jednotlivých dat a souborů či snímání stisků kláves. Takováto forma poškození se bohužel těžko odhaluje i napravuje. Zdroje malwaru jsou rozmanité. Může se vyskytovat jako součást softwaru nebo aplikace, v emailové komunikaci jako součást sociálního inženýrství. V praxi je ale kombinováno několik technik zároveň. Níže jsou rozepsané jednotlivé škodlivé kódy, jak píše Bott „Když chcete udržet svůj počítač a síť mimo dosah těchto programů, musíte pochopit, jak fungují.“11 I proto se níže budeme bavit o jednotlivých škodlivých kódech. Ochrana počítačů před škodlivými kódy by měla patřit mezi základní ochranu počítače. Pokud se infikuje nějaký počítač v knihovně škodlivým kódem, může dojít k destrukci celé knihovnické počítačové sítě a tak být znemožněna práce knihovníků. I proto se touto otázkou zabýváme v této práci. Dalším důvodem, proč jsou zde jednotlivé typy škodlivých kódu rozepsané, je ten, že brzké rozpoznání hrozby napomůže k jejímu včasnému a správnému řešení. Knihovny tak mohou efektivně předcházet následkům těchto hrozeb.

11

BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows Vista. Vyd. 1. Brno:

Computer Press, 2007, 1048 s. ISBN 978-80-251-1748-4.

14

Viry Virus je program, který se sám dokáže replikovat. Replikaci provádí tak, že se připojí k jinému objektu (hostiteli) s alespoň částečně spustitelným kódem. Infekce se šíří pomocí výměnných médií nebo prostřednictvím Internetu. Virus se v infikovaném počítači dokáže šířit bez vědomí uživatele. Už jen samotná reprodukce viru dokáže zahltit počítač. Jeho funkční část má za úkol napadat infikovaný počítač. Mezi téměř neškodné viry řadíme takové, které nám „pouze“ zahltí obrazovku obrázky, ideologickými hesly nebo neustále vyžadují určitou činnost. Naopak viry naprogramované k destrukci nám z počítače mohou vymazat veškerá data uložená na pevném disku, zamezit jakékoliv komunikaci a dokonce poškodit i operační systém 12 . Příznaky a jejich řešením se budeme zabývat v dalších kapitolách.

Červ (Worm) Červy jsou specifickou formou škodlivého kódu. Jsou lépe šiřitelnou volbou útočníka. Převážně se šíří jako příloha elektronické pošty nebo pomocí sítě. Červ je schopen se sám replikovat a rozšiřovat. Král ve své publikaci píše: "Tento program rozesílá sám sebe na více emailových adres bez vědomí uživatele. Zneužívá bezpečnostních děr v operačním systému nebo aplikacích." 13 Tento program využívá přístupu k adresáři napadeného uživatele a na jeho základě se šíří dál. Počítač se může infikovat například pomocí emailové komunikace. Příchozí email obsahuje přílohu, která má lákavý název typu "Zcela nahá Pamela koukni se" apod. Nicméně otevřením těchto příloh si do počítače nainstalujeme škodlivý kód. Jeho součástí může být i virus, která do infikovaného počítače nainstaluje tzv. „zadní vrátka“. Útočník poté může vzdáleně ovládat napadený počítač. Počítačový červ je také spojován s útoky typu DoS/DDoS14. Jak ve své publikaci definuje Král: "Při tomto typu útoku není napaden přímo cíl, ale přístupový zdroj."15 Příkladem je obsazení přenosové kapacity, zahlcení serveru požadavky. Červ získá přístup k nějakému počítači a odtud poté vysílá cílené požadavky na poškozený server. Servery většinou 12BOTT,

Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 (480) s. ISBN 978-80-251-2817-6. 13KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80247-1408-6 14DoS = Denial of Service; DDos= Distributed DoS 15KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80247-1408-6

15

takový nápor nejsou schopny zvládnout a daná služba je dočasně nedostupná. Může se jednat například o internetové stránky, u kterých odstávka znamená finanční ztrátu provozovatele. Útok DDoS funguje na stejném principu. Jediný rozdíl je v tom, že je mířen z více napadených počítačů. Tyto počítače jsou označovány jako "zombie". Jsou využívány i k rozesílání např. Spamu.

Spyware Spyware16 je další formou škodlivého kódu. Jak definuje Edd Bott ve své publikaci jedná se o: „jakýkoliv program nainstalovaný bez uživatelova plného a informovaného souhlasu, často klamným způsobem, který zobrazuje reklamu, zaznamenává osobní informace nebo mění konfiguraci počítače bez výslovného souhlasu uživatele. 17 “ Je důležité vědět o hrozbě zaznamenávání osobních informací, jelikož se v práci zabýváme i touto hrozbou. Mojmír Král definuje spyware jednodušeji: „ …neumožní uživateli se rozhodnout, zda tyto informace chce poskytnout.

18

“ Ne všechny programy nabízející reklamu jsou spywareme.

Pokud používáte programy jako ICQ, které zobrazují reklamu, tímto způsobem platíte korporaci za používání tohoto programu. Základní rozdíl je v informovanosti. Při instalaci takového programu, je v licenčních podmínkách uvedeno, že vám bude reklama zobrazována. Souhlasem s tímto licenčním ujednáním dáváte souhlas i k zasílání reklamy. V případě spyware o této jeho funkci informováni nejste.19 Spyware bývá součástí různých programů a aplikací, například programů na sdílení tzv. peer to peer (P2P) sítí. Tyto programy nejsou zcela legální, jelikož umožňují šíření materiálů chráněných autorským právem. Spyware je také často spojen se softwarem, který zobrazuje reklamy tzv. adwarem, ten je do počítače instalován s vědomím uživatele. Tento software automaticky generuje reklamy. Spyware mu dodává potřebná data o činnosti uživatele, aby reklama mohla být cílená.

16Název

z anglického výrazu spy=špehovat (pozn) Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 (480) s. ISBN 978-80-251-2817-6. 18KOCMAN, Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0 19KOCMAN, Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. s 138. ISBN 80-251-0793-0 17BOTT,

16

Součástí spyware může být např. Keylogger 20 , který získává data o stisku kláves. Tyto data odesílá bez vědomí uživatele. Prvotně byl spyware vyvíjen pro kontrolu činnosti zaměstnanců nebo dětí ve škole. Později jeho funkcí bylo zneužito k rozesílání cílené reklamy. Odhalení spyware není jednoduché. Nicméně krom "vyskakujících oken", které se také nazývají pop-up21 okna, jej můžeme poznat podle neznámých ikon, změny nastavení domovské stránky v prohlížeči a obecně podle pomalého fungování počítače. Nicméně výše zmíněné příznaky se nemusí vždy projevit.

Trójský kůň (Trojan Horses) Tento druh malwaru má jméno odvozené od mytologického Trójského koně. Funguje totiž na stejném principu jako jeho mytologický předchůdce. Je součástí programu či aplikace, která se zdá být uživateli užitečná např. Hry, aplikace na pamatování hesel apod. Nicméně součástí takovéto aplikace či programu bývá škodlivý kód. Často není lehce rozpoznatelný. Daná aplikace nebo program plní svoji funkci. Tímto ale zakrývají činnost trójského koně.

Rozdíl mezi počítačovým virem, červem a trójským koněm je ten, že trójský kůň se nedokáže sám reprodukovat. Uživatel jej sám rozesílá. Existují červy, kteří jsou naprogramovaní primárně na to, aby trójského koně rozesílaly dál mezi počítače. Činnost trójského koně je velice těžko odhalitelná.

Existuje několik druhů trójských koní.

Nejčastější jsou trójské koně, které umožní útočníkovi vzdálený přístup k napadenému počítači (často fungují v kombinaci s jiným druhem malware, viz Červ), aniž by to uživatel zjistil. Tento druh bývá také označován jako "zadní vrátka". Takto napadené počítače jsou označovány jako "zombie". Bez vědomí uživatele jsou využívány k rozesílání spamu apod.

20Keylogger

= systém, který snímá jednotlivé stisky kláves, mezi jeho funkde patří například zjišťování hesel uživatelů 21Pop-up okna = reklamní webové stránky, které se samy otevírají jako malá okénka v okamžiku, kdy si uživatel prohlíží nějakou webovou stránku

17

2.3. Autentizace uživatele Problematika autentizace uživatele je rozsáhlá. Existuje několik druhů autentizačních protokolů. Ovšem ne všechny jsou vhodné pro využití v knihovně. Mezi základní dělení autentizací patří: – autentizace důkazem znalostí (hesla) – autentizace důkazem vlastnictví (bezpečnostní předmět, čipová karta) – autentizace důkazem vlastností (biometrické metody- otisk prstu, obraz sítnice) Obecně je autentizace definována jako „způsob ověření identity uživatele v systému za účelem řízení přístupu k systému či zdrojům“ 22 Primárně slouží k zajištění přístupu do systému. V našem případě k přístupu k uživatelskému účtu na veřejných počítačích v knihovnách. Nejčastěji užívanou autentizační metodou je autentizace důkazem znalostí tedy heslem. Uživatel je vyzván k zadání předem definovaného hesla. Na jeho základě je umožněn přístup do systému. Autentizace důkazem vlastnictví nebo vlastností není příliš vhodná pro využití v městských knihovnách, jelikož její zřízení je nákladnější a složitější než autentizace důkazem znalostí. Aby autentizace byla bezpečná je potřeba respektovat určitá pravidla nejen při tvorbě hesla. Král23 ve své publikaci uvádí základní pravidla pro tvorbu silného hesla. Silné heslo by nemělo být kratší než 8 znaků. Za silné heslo je považováno takové heslo, u kterého čas prolomení hesla nepřesáhl dobu jeho používání24 Při tvorbě hesla, by mělo být použito několik zásad. Použití numerických znaků v kombinaci s alfabetickými znaky, nejlépe i v kombinaci se speciálními znaky. Obecně se doporučuje vyvarovat se jménům, datům narození a podobným osobním údajům, která jsou pro útočníky relativně snadno zjistitelná. V dnešní době, kdy se v prostředí internetu přihlašujeme do různých aplikací jako třeba internetové bankovnictví a pod, si již nevystačíme pouze s jedním nebo dvěma typy hesel. Proto je nutné dodržovat zásady tvorby silného hesla.25 Vaše heslo by neměl znát nikdy jiný, nikomu je nesdělujte ani si je nikam nezapisujte.

DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004. ISBN 80-251-0106-1. Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80247-1408-6 24MÁJKOVÁ, Lucie. Autentizace důkazem znalostí se zaměřením na běžného uživatele IT [online]. Brno, 2011 [cit. 2013-11-05]. Dostupné z: . Bakalářská práce. Masarykova univerzita. Filozofická fakulta. Vedoucí práce PhDr. Pavla Kovářová. 25ČEPIČKA, David a Sascha ZÄCH. Neprozraďte se!. In: PC world [online]. São Paulo: IDG Computerworld do Brasil, 2006-12-01[cit. 2013-11-12]. Dostupné z: http://pcworld.cz/archiv/neprozradte-se-18689 22

23KRÁL,

18

Operační systém Windows umožňuje nastavení zásad hesla pro uživatele. V tomto programu je možno nastavit různé parametry hesla jako je minimální a maximální stáří hesla, složitost hesla (heslo musí splňovat požadavky silného hesla) apod.26 V dnešní době některé stránky umožňují přihlášení uživatele podle jednorázového hesla. Společnost Google v poslední době spustila dvoufázové autentizace uživatelských účtů. Kromě standardních přihlašovacích údajů je uživateli zasláno jednorázové heslo pomocí SMS, na předem definované telefonní číslo.27 Tato hesla jsou automaticky vygenerovaná pomocí různých programů pro tvorbu hesel. Tato jednorázová hesla mají pouze omezenou platnost. Forma přihlašování se pomocí jednorázového hesla je vhodná právě pro činnost na veřejných počítačích v knihovnách.

2.4. Řízení přístupu Řízení přístupu je proces, při kterém je ověřována míra oprávnění a uživatelských práv k přístupu ke zdrojům. Ověřují se uživatelé, skupiny uživatelů i počítače. Zdroje jsou vnímány jako sdílené hodnoty, které může počítač nabídnout např. kapacita pevného disku, tiskárny, operační paměť apod. Jako objekty řízení přístupu vnímáme účelný shluk dat tedy soubory, skupiny souborů uložené na paměťovém médiu.28 Pojem uživatel, se kterým se v této části pracuje, je virtuální identita člověka, u kterého je autentizací zajištěno, že je vlastníkem oné identity právě on. V řízení přístupu přinesl Systém Windows Vista novinku v zabezpečení a to řízení uživatelských účtů UAC. Tento program upozorní uživatele vždy, když se chystá provést nějakou systémovou administrativní úlohu.29 Tato možnost ve starším operačním systému Windows XP nebyla. Zde fungovalo pouze řízení přístupu tedy přiřazení různých oprávnění uživatele. Oprávnění určovalo typ povoleného přístupu k jednotlivým objektům. Na podobném principu fungují řízení přístupu i v novějších OS jako jsou Windows Vista a Windows 7.

26KRÁL,

Mojmír Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80247-1408-6 27CALETKA, Ondřej. Google Authenticator: bezpečněji s jednorázovými hesly. In: Root.cz [online]. © 1998 – 2013 [cit. 2013-11-13]. Dostupné z: http://www.root.cz/clanky/google-authenticator-jednorazovahesla-snadno-a-rychle/ ,ISSN 1212-8309 28DOSEDĚL, Tomáš.Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004. ISBN 80-251-0106-1. 29 BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows Vista. Vyd. 1. Brno: Computer Press, 2007, 1048 s. ISBN 978-80-251-1748-4.

19

Aby systém Windows mohl určovat práva uživatelů, je každému uživatelskému účtu přiřazen jedinečný číselný kód tzv. identifikátor zabezpečení (SID) 30 tento kód zůstane svázán s účtem, dokud účet nebude smazán.

Ed Bott ve své publikaci Mistrovství

v zabezpečení Windows 7 problematiku rozepisuje podrobněji: Po každém přihlášení systém ověří vaše údaje a poté vtvoří přístupový token zabezpečení, který lze považovat za elektronický ekvivalent identifikační karty. Obsahuje veškeré informace o uživateli včetně skupin zabezpečení, do kterých uživatelský účet patří. Operační systém podle tohoto identifikátoru rozhoduje, zda vám jako uživateli umožní přístup nebo nikoli. Při řízení přístupu systém Windows používá seznam řízení přístupu, kde jsou definovány jednotlivé SID s jejich přístupovými oprávněními. Stejně jako ve starších OS Windows, i zde fungují základní typy oprávnění, které se mohou u jednotlivých účtů prolínat. Pro uživatelské účty v knihovnách by bylo vhodné oprávnění Číst, Spouštět a Zapisovat. Tato dvě oprávnění umožní uživatelům veřejného počítače základní práci na počítači jako vytvářet soubory, zobrazovat soubory a spouštět programy. Díky nastavení řízení můžeme aplikovat pravidlo nejnižšího oprávnění (LUA31), kdy je uživateli zpřístupněno vše, co ke své práci potřebuje a zároveň je počítač nejvíce zabezpečen proti hrozbám implementace a jiné záškodné činnosti.32 Jak je z výše uvedeného textu vidět řízení přístupu úzce souvisí s používáním uživatelských účtů. Nejlépe tyto dva aspekty fungují vzájemné kombinaci. Aby knihovny docílily efektivního zabezpečení veřejných počítačů, bylo by vhodné tyto dva aspekty používat současně. Tento postup bude popsán v poslední kapitole „Návrhy řešení“, kde se budeme zabývat implementací jednotlivých prostředků do praxe.

3. Zabezpečení V této části práce se budeme zaobírat problematikou zabezpečení počítačů. Kapitola popisuje možné způsoby zabezpečení. Pojednává, jak o softwarovém zabezpečí, tak se budeme zaobírat i aplikacemi (pluginy). Aplikační software, ve zkrácené podobě aplikace, je veškeré softwarové vybavení počítače. Kapitola se zabývá bezpečnostními aplikacemi, 30

BOTT, Ed, Carl SIECHERT a Craig STINSON.Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978-80-251-2817-6. 31 Anglickou zkratku pro pravidlo nejnižšího oprávnění je vykládána různě např. limited user account, least user account apod. Nicméně všechny anglické výrazy pro tuto zkratku dají vysvětlit stejným významem nejmenší nebo nejnižší oprávnění přístupu uživatele. 32 BOTT, Ed, Carl SIECHERT a Craig STINSON.Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978-80-251-2817-6.

20

které chrání počítač před různými hrozbami popsanými v kapitole 2.2. Hrozby. Mezi základní aplikace chránící počítač patří antivirové programy, těm je věnována samostatná kapitola. Programové a aplikační vybavení se dá dále rozšiřovat pomocí různých podpůrných aplikací. Nazývají se Plugin 33 (psáno také plug-in ), jsou to podpůrné programy, které ovšem nepracují samostatně. Jedná se o tzv. zásuvné moduly, které doplňují funkci aplikací. Jsou využívány ve spolupráci s webovými prohlížeči, jejich funkce podporují. Tyto příklady budou popisovány na operačním systému Windows 7. Řešení budou porovnávány i se staršími operačními systémy jako Windows Vista a XP. Dalším tématem, kterým se kapitola bude zabývat, je zabezpečením internetových prohlížečů. Řeší jakým způsobem zabránit uživatelům veřejných počítačů v navštěvování nevhodného obsahu na internetu, jako jsou s webové stránky s pornografickým obsahem, webové stránky obsahující násilí a extremistické materiály apod. Problematika zabezpečení prohlížečů je zaměřena spíše na dětské uživatele městských knihoven a veřejných počítačů. Existuje studie, která zkoumá zabezpečení počítačů v knihovnách a navrhuje některé programy pro efektivní využití pro knihovny.34 Jedná se o softwarové vybavení počítače a jeho efektivní správu. V tomto případě správu po síti. Dále pracuje s pravidelnými aktualizacemi apod. Další studie, zaměřená na uživatele domácích počítačů a jejich povědomí o problematice zabezpečení počítačů se zabývá pěti základními problémy:35 1.

pochopení problematiky zabezpečení

2.

uvědomění si negativních důsledků a bezpečnostních postupů

3.

povědomí o zdrojích zabezpečení

4.

pravděpodobnost negativních důsledků

5.

náklady na vyřešení negativních důsledků

Studie je zde uvedena pro to, aby demonstrovala povědomí uživatelů počítačů (nejenom těch domácích) o problematice zabezpečení. 33Plugin

– název vznikl z anglického plug in = zasunout R.: Security-Control Software. Computers in Libraries. 2006. June. vol. 6, no. 6, s. 21-25 ProQuest Central. ISSN 10417915. Dostupné z: http://search.proquest.com/docview/231146527?accountid=16531. 35 HOWE, A.E.; RAY, I.; ROBERTS, M.; URBANSKA, M.; BYRME, Z. The Psychology of Security for the Home Computer User, Security and Privacy (SP), 2012. IEEE Symposium on. s.209-223, 20-23. May 2012, Dostupné z: http://ieeexplore.ieee.org/stamp/stamp.jsptp=&arnumber=6234414&isnumber=6234400 34WAYNE,

21

Pokud se zvýší informovanost o problematice hrozeb a jejich řešení, lidé se budou i na veřejných počítačích v knihovnách chovat bezpečněji. Uživatelé si budou vědomi následků svého chování. Tato studie je zde uvedena pro ukázku toho, že většina problémů s bezpečností na počítačích může vzniknout chybou uživatele, protože nemá povědomí o této problematice a následcích svého chování.

3.1

Operační systém

Zabezpečení operačního systému počítače by mělo být prvním krokem v postupu zabezpečení veřejných počítačů v městských knihovnách. Změna v nastavení operačního systému může mít vážné následky, od nabourání se do dat až po jejich zneužití. Řešení toho problému je vcelku jednoduché. Při řešení této problematiky využijeme autentizaci uživatele a řízení přístupu (viz kapitoly 2.2 a 2.3.) Tyto dva postupy se spojí v jednom použití a to v použití Uživatelských účtů. V prostředí knihoven nastává otázka, jakým způsobem uživatele veřejných počítačů identifikovat. Každá knihovny musí identifikovat své čtenáře. K této identifikaci je využíváno číselných kódu nebo jiných identifikátorů. Každý uživatel má přidělenou jedinečnou číselnou kombinaci, podle které je knihovníky v systému vyhledáván. Tohoto číselného kódu můžeme využít i k identifikaci pro veřejné počítače. Tomuto problému se budeme věnovat v poslední části práce, kde budou navrhnuta řešení. Problém v tomto navrhovaném řešení nastává tehdy, kdy uživatel veřejného internetu není zákazníkem knihovny. Nicméně pro tyto případy by se dalo využít jednorázových přihlašovacích údajů. Tato problematika je řešena v kapitole 3.1.1. Uživatelské účty. Dalším doporučením v zabezpečení dat na veřejných počítačích je užívání bezpečného a silného hesla. Tohle doporučení se netýká knihoven, ale jejich uživatelů, aby i oni byli chráněni. Pokud je počítač a soubory v něm uložené, chráněn dostatečně silným heslem, je částečně eliminována hrozba zneužití těchto údajů. Potencionálnímu útočníkovi potrvá déle prolomení silného bezpečnostního hesla než hesla slabého. V tomto případě může být snaha o prolomení hesla objevena a mohou být včas provedena bezpečnostní opatření a útok zneškodněn. Problematice silného hesla jsme se věnovali v kapitole 2.3. Autentizace uživatele.

22

Jako další krok k zabezpečení systému je práce s uživatelskými účty. Pokud je na počítači předdefinováno více uživatelských účtů, je dobré nepoužívané účty odstranit nebo alespoň zablokovat. První cesta k nabourání počítače vede právě přes nezabezpečené uživatelské účty.

3.1.1. Uživatelské účty V této kapitole se prolíná teorie z kapitol 2.2. Autentizace uživatele a 2.3. Řízení přístupu. Uživatelské účty jsou základním stavebním kamenem ochrany počítače před vnějším vniknutím. Pro zabezpečení veřejných počítačů je v první řadě potřeba vytvořit uživatelský účet, který bude chráněn individuálním heslem. Uživateli, který vlastní své individuální přihlašovací jméno a heslo, bude umožněn přístup k počítači. Po přihlášení uživatele systém vyhodnotí, jaká práva přístupu uživatel vlastní. Jedná se o způsob řízení přístupu ke sdíleným i privátním datům jako jsou složky, tiskárny apod. Účelem přihlašování uživatele je ověření jeho identity. Uživatelské účty můžeme rozdělit podle jejich typu na: 36 -

Správce (Admin) – je první účet, který je vytvořen, standardně je zablokován a skrytý, má plnou kontrolu nad systémem (správa uživatelských účtů, správa programů, nastavení oprávnění, konfigurace rodičovské kontroly37…)

-

Standardní uživatel (Users) – určen pro běžné uživatele. Na rozdíl od starších OS (Windows XP, 2000) jsou některé úlohy dostupné i „běžným“ uživatelům (změna hesla a obrázku, instalace aktualizací, zobrazení oprávnění, vlastní nastavení uživatelského rozhraní (motivy), změna časového pásma) standardně je tento účet zakázaný

-

Uživatelský účet host (Guest) – má podobná oprávnění jako User (např. Nemůže si vytvořit heslo pro tento účet) nemá přístup ke všem souborům v počítači, standardně je tento účet zakázaný. Tento účet by se dal použít pro přihlášení uživatele veřejného internetu, který není registrován v knihovně.

36BOTT,

Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978-80-251-2817-6.

Dělení podle typu uživatelského účtu se užívá u systému Windows XP,tohle dělení nahrazuje bezpečnostní skupiny. U jiného druhu operačního systému Windows se účty přidělují do bezpečnostních skupin. 37 Tato funkce je systémem pojmenována „Rodičovská kontrola“

23

Systém ukládá veškeré údaje o uživatelských účtech do chráněné databáze, která se nazývá Security Accounts Manager (SAM). Systém využívá hodnoty proměnné délky, označované jako bezpečnostní identifikátor (SID), pod kterými jsou ukládané veškeré účty spolu s přiřazenými právy a oprávněními.38 Každý uživatelský účet má přiřazenou jedinečnou hodnotu SID. Hodnota začíná S-1 a zbývající číselná část je identifikátor daného uživatelského účtu. Hodnota SID se vytvoří pouze jednou a zůstává s daným účtem spjata až do jeho odstranění. Stejná hodnota se již nikdy znovu nepoužije. Pro uživatele není podstatné znát svoji hodnotu SID. Některé hodnoty SID jsou ve všech počítačích se systémem Windows standardní. 39 Každý uživatelský účet by měl být přiřazen do příslušné bezpečnostní skupiny. Bezpečnostní skupina sdružuje účty s podobnými bezpečnostními požadavky. Bezpečnostní oprávnění jsou přidělovány celé skupině. Oprávnění nemusejí být přidělovány jednotlivě. Každý účet může patřit do více bezpečnostních skupin. Systém Windows definuje několik bezpečnostních skupin, z nichž každá má předdefinovaná přístupová práva, omezení a oprávnění. Kromě skupin systém Windows udržuje množství integrovaných bezpečnostních objektů. Tyto objekty jsou na seznamu Místní uživatelé a skupiny vidět administrátor nemá možnost ovlivňovat jejich členství. Přihlašování do systému je několik druhů. Dělí se podle využívaného ověřovacího protokolu. V našem případě se budeme bavit o Interaktivním přihlašování, které využívá protokol NTLM. Jde o proces přihlašování k přímému fyzickému přístupu k počítači. Při procesu ověřování jsou přístupové informace posílány šifrovaně, aby nedošlo k jejich odhalení. Informace se posílají na počítač, který je zodpovědný za bezpečnost. Protokol NTLM je používán při ověřování více počítačů (počítače v pracovních skupinách libovolné velikosti), jejichž součástí jsou běžící systémy Windows. Protokol NTLM využívá ověřovací mechanismus výzva/odpověď. Tento mechanismus popisuje Ed Bott ve své publikaci takto: „ Počítač, který je zodpovědný za zabezpečení daného prostředku, vyšle zašifrovanou výzvu počítači, který požaduje přístup; tento počítač musí nazpět odeslat správnou zašifrovanou odpověď, k čemuž použije šifrovací klíč, vycházející z hesla daného uživatelského účtu.“

38BOTT,

Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978-80-251-2817-6.

39BOTT,

Ed a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. Brno: Computer Press, 2004. ISBN 80-7226-878-3

24

Proces bezpečného přihlašování je tedy takový, který zamezí přihlášení neautorizovaným uživatelům. K dosažení bezpečného přihlašování, je potřeba vypnout některá usnadnění, které systém Windows umožňuje například úvodní obrazovku. Úvodní obrazovka umožňuje přihlášení jediným kliknutím bez nutnosti zadávat přístupové údaje.40 Dále zveřejňuje všechna uživatelská jména ve formě seznamu účtů a jsou zde k dispozici nápovědy k zadávání hesla. Všechny uživatelské profily jsou tedy viditelné a tudíž snadno prolomitelné (díky nápovědě pro zadávání hesla). Místo úvodní obrazovky je doporučováno použití dialogového okna „Vítá Vás systém Windovs“, které požaduje stisk kláves Ctrl + Alt + Delete. Tento postup zajišťuje bezpečnost vkládaných autentizačních údajů. Údaje se dostanou výhradně k systému Windows a nemohou být zneužity třetí stranou, například trójským koněm. Dalším usnadněním, které je vhodné vypnout je automatické přihlašování. Pokud máme zapnuté automatické přihlašování, systém se po každém zapnutí počítače, automaticky spustí. Tím pádem jsme umožnili přístup každému, kdo daný počítač zapne. Systém umožňuje nastavení zásad přihlašovacího hesla. Je tedy možné nastavit zásady hesla takovým způsobem, aby nutili uživatele k vytvoření silného hesla a jeho pravidelným obměnám. Heslo a další osobní údaje jsou v daném počítači uloženy v zašifrované podobě a dostupné jsou tehdy, je-li na počítači přihlášen uživatel příslušného účtu. Z tohoto důvodu je vhodné, aby měl každý uživatel počítače svůj uživatelský účet. V prostředí knihoven je toto řešení nejvíce vyhovujícím nejenom skrze ochranu osobních údajů uživatelů veřejného internetu, ale pokud se něco stane, knihovnice mohou zpětně dohledat, kdo na daném počítači pracoval a vyvodit důsledky. Pokud bude mít jakýkoliv návštěvník knihovny přístup k jednomu uživatelskému rozhraní, kde mohou být, byť neúmyslně, uloženy soubory s citlivými údaji, jsou tyto údaje snadno zneužitelné. Založení uživatelských účtů by eliminovalo nejenom tuto hrozbu ale také hrozbu implementace do systémů a usnadnilo by identifikaci uživatelů veřejného internetu. Tomuto řešení se budeme věnovat v poslední kapitole, kde budou navrhnuta jednotlivá řešení bezpečnostních hrozeb.

40U

uživatelských účtů s nastavením práv Host (guest)

25

3.1.2 Ochrana dat V této kapitole se nejedná ani tak o ochranu instituce knihovny, ale spíše o ochranu jejích uživatelů a jejich dat. Nicméně zde navrhovaná řešení se dají použít i na počítače zaměstnanců k jejich ochraně. Na druhou stranu lze níže zmíněná řešení aplikovat i na programové vybavení počítačů. Téma vzdálené zálohy počítače bude nastíněno v poslední kapitole jako jedno z navrhovaných řešení. Kvůli čemu vlastně počítač chráníme? Nejdůležitější jsou data. Doseděl41 ve své publikaci uvádí: „Operační systém disponuje prostředky, které dokáží zamezit neoprávněnému přístupu k datům, která jsou na nosičích dat uloženy. Pro tento účel je potřeba nejprve správně identifikovat a autentizovat uživatele. Poté mu musí být správně nastaven systém přístupových práv, podle něhož operační systém řídí přístup jednotlivých uživatelů k jednotlivým datům.“ V první řadě je potřeba filtrovat přístup k datům v počítači. Tuto problematiku řeší uživatelské účty, které jsou prvním stupněm ochrany dat. Nejdůležitější ochranou dat, z hlediska jejich dostupnosti, je správné zálohování. Pokud by byla veškerá bezpečnostní opatření prolomena, a data zničena nebo ztracena, představuje zálohování nejbezpečnější cestu k uchování dat v počítači42. Za data považujeme veškeré informace v digitální podobě, které jsou určeny k digitálnímu zpracování, může se tedy jednat jak o software, tak i o dokument vytvořený uživatelem. Správné zálohování umožňuje i efektivní obnovu dat, pokud by byla nějakým způsobem znehodnocena. Existuje několik hrozeb, které mohou počítač postihnout a data v něm uložená znehodnotit43: – závada pevného disku – mohou být způsobeny mnoha faktory jako např. prudký pohyb počítačem, výboj statické elektřiny, chyba disku apod. – elektrické přepětí – způsobené bleskem – poškození vnějšími vlivy (oheň, záplavy…) – krádež zařízení 41DOSEDĚL,

Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004. ISBN 80-251-0106-1. BOERI, Robert. How Safe Is Your Personal Big Data?. EContent [online]. 2012-12-01, vol. 35, issue 10, s. 31-31 [cit. 2014-05-18]. Dostupné z: http://search.ebscohost.com.ezproxy.muni.cz/login.aspx?direct=true&db=lxh&AN=83832995&lang=cs &site=ehost-live 43HADOW, K. Data Security for Libraries: Prevent Problems, Don't Detect them. Feliciter. 2009, vol. 55, no. 2, s. 50-52 ProQuest Central. ISSN 00149802. Dostupné z: http://search.proquest.com/docview/223154936?accountid=16531 42

26

– chyba uživatele – nechtěné odstranění souborů, bezmyšlenkovité odklikávání dialogových oken – chybné programy – nesprávnou instalací nebo chybou programu se může zablokovat chod zařízení V těchto případech je důležité mít zálohu, z níž je možné systém obnovit do funkčního stavu. Zálohovat můžeme veškeré soubory a konfigurace, které jsme na počítači provedli. Nejedná se tedy pouze o zálohu dokumentů, ale i o zálohu nastavení. Pravidelné zálohy nám umožní jednoduchou obnovu systému a všech jeho nastavení. To znamená, že nebudeme muset hledat všechny instalační balíčky a disky všech programů, které chceme obnovit. Zálohovat můžeme několika způsoby. V dnešní době máme na výběr několik možností paměťových médií: pevný disk, externí pevné disky, USB disky, síťové disky, on-line úložiště apod. Nejčastější metodou zálohování je záloha vybraných složek. Nemusíme zálohovat celý systém, ale uživatel nebo v našem případě správce systému, vybere pouze ty složky a data, která chce zkopírovat na záložní umístění. Systém Windows nabízí funkci kompletní zálohování počítače. Tento program udělá bitovou kopii, která obsahuje kopie programů, systémových nastavení a souborů. Tato kopie je uložena na nějakém odlišném místě. Dané úložiště je ale potřeba nakonfigurovat podle protokolu NTFS. Kompletní zálohu systému by měl počítač provádět každého půl roku.44 V případě veřejných počítačů v městských knihovnách, nám záloha systému umožní obnovu veškerého nastavení, pokud bylo uživateli nějak změněno, aby bylo navráceno do původního stavu bez nutnosti ruční přeinstalace. Obnova systému je služba, která je spuštěna v pozadí systému Windows a zaznamenává změny v systému. Tento program zálohuje jednou za den systémové soubory do tzv. bodu obnovení. Systém nezálohuje dokumenty a soubory, nýbrž konfigurace. Díky tomu můžeme počítač uvést do stavu předdefinované konfigurace bez poškození souborů a dokumentů. Tento úkon může provádět pouze člen skupiny Administrátor.

44

Zálohování programů, systémového nastavení a souborů. MICROSOFT. Windows [online]. 2014 [cit. 201403-12]. Dostupné z: http://windows.microsoft.com/cs-cz/windows/back-up-programs-system-settingsfiles#1TC=windows-vista

27

3.2 Specializované nástroje Kapitola pojednává o specializovaných bezpečnostních nástrojích. Aplikace, neboli jinak nazývané aplikační programy, jsou programovým vybavením počítače, které je určeno k vykonávání specifických úloh. Softwarové aplikace jsou rozšířením operačního systému. Nemusí se vždy jednat pouze o bezpečnostní aplikace. Nicméně my se budeme zabývat právě rozšiřujícími bezpečnostními aplikacemi. Mezi základní bezpečnostní nástroje patří antivirové programy. Existují různé druhy antivirových programů. Některé programy jsou placené, jiné naopak dostupné zdarma. Jejich funkce je ale vždy stejná. Uživatel (knihovna) si může vybrat, jaký balíček ochrany počítačů bude chtít využívat a podle toho přizpůsobí výběr antivirového programu. Další bezpečnostní program, o kterém budeme hovořit, je firewall. Jedná se o síťovou ochranu před vnějšími vlivy. Původně slovo firewall označovalo protipožární zeď. Ve výpočetní technice má podobnou funkci. Odděluje provoz mezi dvěma sítěmi, internetovou sítí a sítí počítače. Firewall řídí tok informací podle předem definovaných pravidel. Jedním ze specializovaných programů je i rodičovská kontrola. Funkce rodičovská kontrola umožňuje kontrolovat používání počítače jednotlivými uživateli. Mezi základní funkce tohoto nástroje patří omezení návštěvnosti webových serverů, her a programů. Jako další lze definovat dobu strávenou na daném počítači.

45

Této aplikace lze

v knihovnách využít k omezení přístupu na nevhodné webové stránky nebo hraní her apod. Této funkce lze využít v kombinaci s nastavením webových prohlížečů. Eliminuje se tak riziko, že si uživatelé budou přenastavovat zabezpečení prohlížečů, aby se dostali na blokované webové stránky. Ke správě rodičovské kontroly je totiž potřeba povolení administrátora.

3.2.1. Antimalware programy Antimalware program, my tyto programy nazýváme nepřesně antivirovými programy, by měl mít každý počítač nainstalovaný ještě před tím, než se připojí k internetu. Tento program je základní ochranou počítače před vnějším napadením (infikováním) škodlivým kódem. Jednotlivé druhy malwaru jsme popisovali ve druhé kapitole práce. Tyto škodlivé 45

BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows Vista. Vyd. 1. Překlad Ivo Fořt, Pavel Vaida. Brno: Computer Press, 2007, 1048 s. ISBN 978-80-251-1748-4.

28

kódy mohou, při nedostatečné ochraně, napadnout počítač a způsobit fatální škody (ztrátu dat, získat citlivé informace o uživateli a ty nadále zneužít apod.) Antimalware program funguje na principu vyhledávání škodlivého kódu podle virové databáze, skenuje data na pozadí. Tato databáze musí být neustále aktualizována. Program rozpozná jen ty škodlivé kódy, které zná. Proto je velice důležité aktualizovat tuto databázi. Databáze jsou výrobci zveřejňovány na internetu, odkud si je programy mohou stáhnout. Stáří vaší virové databáze je možné zjistit v nabídce Nápověda, některé programy mají aktualizace na viditelném místě.46 Pokud není databáze pravidelně aktualizována, program není plně funkční a nechrání daný počítač. Problém může nastat v tzv. „zero day“ neboli „nultý den“. Zero day je období, kdy může nový druh malware napadnout počítač (využije slabinu v zabezpečení), protože antivirové databáze jej ještě nestihly zpracovat a vytvořit proti němu ochranu. Této skuliny využívají hackeři k prolomení bariér do počítače.47 Antivirový program dokáže prohledat počítač a najít přítomné škodlivé kódy. Ve většině případů je dokáže bezpečně odstranit bez případného poškození napadeného souboru. Mimo tuto činnost chrání počítač od doby, co je spuštěn.48 V dnešní době se škodlivé kódy šíří převážně po internetové síti, v emailových zprávách jako připojený soubor, pomocí internetových stránek jako zajímavá aplikace ke stažení, většinou nelegálním způsobem. Úkolem antivirového programu je kontrolovat veškeré soubory.49 Z tohoto důvodu je vhodné mít neustále zapnutý program na prohlížení emailové pošty. I když emailové schránky prohlíží i provozovatel (například Seznam nebo Volný), je spolehlivější nechat si poštu zkontrolovat antivirovým programem.50 Jestliže počítač používá více uživatelů, jako veřejné počítače v knihovnách, je důležité antivirový program nastavit tak, aby nebylo možné jeho chod vypnout nebo nějak pozměnit nastavení. Vypnutí nebo pozastavení chodu antivirového programu by znemožnilo pravidelné prohledávání počítače a kontrolu otevíraných složek (Word, Excel), které uživa46KOCMAN,

Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0. 47 GREENBERG, Andy. Hackers Exploit 'Zero-Day' Bugs For 10 Months On Average Before They're Exposed.Forbes.com [online]. 2012-10-16, s. 19-19 [cit. 2014-06-18]. Dostupné z: http://ezproxy.muni.cz/login?url=http://search.ebscohost.com/login.aspx?direct=true&AuthType=ip,co okie,uid&db= bth&AN=82574615&lang=cs&site=eds-live&scope=site 48KOCMAN, Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0. 49Soubory, které jsou v počítači spuštěné i ty, které do počítače přicházejí, uživatel je stahuje, popřípadě instaluje do počítače. 50KOCMAN, Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0. str 17

29

telé otevírají z přenosných disků. Tato kontrola zabezpečí, že se do počítače nedostane virus od jiného uživatele. Práva k provádění změn v nastavení by měl obsahovat pouze administrátorský účet. Nicméně antivirový program neochrání počítač proti útoku hackerů (ten může být často doprovázen malwarem). Proti takovému útoku je potřeba využít antivirový program v kombinaci s firewallem. O fairewallech budeme hovořit v další kapitole. Antivirové programy můžeme dělit podle několika kritérií od způsobu vyhledávání malware až po jejich dostupnost. Obecně nelze říci, který antivirový program je nejlepší.

3.2.2 Firewall Firewall může mít několik podob. Ve většině případů se jedná o softwarové vybavení počítače, které slouží pro filtraci a kontrolu dat, která odcházejí z počítače nebo se naopak snaží dostat z internetu do počítače. Další funkcí firewallu je zabránit vnějším útokům na síť. Ve druhém případě může mít firewall podobu hardwaru. Tento druh firewallu je používán ve firmách, jejichž funkčnost je založena na přístupu k internetu. V domácnostech je nejčastěji používán firewall v podobě softwaru tzv personální firewall.51 Tento druh firewallu je vhodné použít pro jeden počítač, není vhodný pro počítačovou síť, jakou disponuje knihovna. Pro knihovny by bylo vhodné využít firewall na perimetru sítě. Tento druh firewallu chrání celou síť organizace, odděluje komunikaci mezi sítěmi, které slouží různým účelům, detekuje a blokuje známé i neznámé útoky apod. Tento druh firewall je mnohem rozsáhlejší a poskytuje komplexnější ochranu celé firemní (pro nás knihovní) počítačové sítě.52 V prostředí knihoven, kde je více počítačů připojeno k síti, je využitelný hardwarový firewall. Tento druh firewallu ochrání všechny počítače naráz, šifruje komunikaci, což je vhodné nejen pro zaměstnance knihoven ale i pro uživatele veřejných počítačů. K tomu, aby vše fungovalo, je nutné tento firewall zapojit mezi router53 a venkovní sítí. 51KOCMAN,

Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0. str 53 52 LYSÁK, Marian. Ochrana perimetru sítě- IDS/IPS, firewally a jiné síťové bezpečnostní prvky: Jak může vhodně vybrané bezpečnostní řešení ulehčit práci bezpečnostním technikům. Ictsecurity [online]. 2011, b.č. [cit. 2014-06-18]. Dostupné z:http://www.comguard.cz/fileadmin/user_upload/rezence_clanky/OCHRANA_PERIMETRU_SITE_led en_2011.pdf 53Router = v počítačových sítích aktivní síťové zařízení, které mezi dvěma a více sítěmi rozposílá tzv. „routováním“ jednotlivá data.

30

Firewall funguje na principu tzv. filtrování paketů54. Firewall rozhoduje o tom, zda bude spojení povoleno nebo ne podle obsahu jednotlivého paketu. Pravidla pro filtrování paketů jsou u jednotlivých firewallu nastavitelná. Tuto kontrolu lze například konfigurovat podle IP adresy odesílatele a příjemce, podle síťového protokolu apod. 55 Právě díky tomu, že firewall dokáže filtrovat datový přenos na základě obsahu paketů, prověřuje obsah virů, škodlivých kódů, soubory cookie apod. Na základě definování pravidel pro danou aplikaci firewall zakáže nebo naopak povolí přístup aplikaci k internetu. Díky této funkci lze zabránit možnosti otevření paketu třetí stranou, která by přenos zachytila. Z tohoto přenosu mohou být zjistitelné údaje jako jméno počítače, uživatelská jména a hesla.56 Nevýhodou používání firewallu je, že řídí veškerou komunikaci mezi počítači. To znamená, že i mezi interními počítači může blokovat některé funkce. To pro komunikaci zaměstnanců není příliš vhodné. Z tohoto důvodu firewally nabízejí tzv. zóny zabezpečení. Tyto zóny zabezpečení poskytují uživateli neomezený přístup do místní sítě a zároveň poskytují zabezpečení připojení do sítě Internet. Různé firwallové programy poskytují různé zóny zabezpečení. Filtrováním odchozích spojení lze zabránit tzv. DDoS útokům. Firewall je již z počátku nastaven tak, aby blokoval porty používané DDoS nástroji. Pokud by uživatel počítače pomocí např. Trójského koně nainstalovat program na vedení DDoS útoku, firewall, který má nastavený filtrování odchozích spojení, tento útok zastaví. Tím pádem se daný počítač nestane zdrojem tohoto útoku. Krom zamezení DDoS útokům firewall chrání počítač i proti spywaru, pokud ho již máme nainstalovaný v počítači, konkrétně proti předávání informací další straně. Nicméně ne všechny firewally jsou ihned bezpečné a stoprocentně fungující. Některé firmy produkující firewall jej nabízejí s již předdefinovanými povoleními aplikacím pro připojení k internetu. Uživatel tudíž není plně srozuměn s funkcemi daného programu a není ten, kdo definuje pravidla. Proto je doporučováno automatické generování zabezpečovacích pravidel používat obezřetně. Doporučováno je takové nastavení, kde se aplikace při spuštění zeptá uživatele, zda má povolen přístup k síti Internet. Tohle dotazování se

54Paket

= soubor dat přenášených počítačovou sítí BOTT, Ed a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. Brno: Computer Press, 2004. ISBN 80-7226-878-3 str 404 56KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80247-1408-6. 55

31

nazývá „Průvodce pravidlem“ nebo „Asistent pravidla“. Díky této funkci má provozovatel počítače plnou kontrolu nad udělováním povolení k přístupu na síť Internet.57 Firewall nedokáže zabránit všem útokům, nicméně poskytuje další stupeň ochrany počítače. V kombinaci s ostatními bezpečnostními prvky jako jsou antivirové programy, bezpečnostní zásuvné moduly v prohlížečích a podobně, dokáže počítač dostatečně zabezpečit. Vytrvalý útočník nicméně může tuto ochranu prolomit, ale cílem těchto zabezpečovacích programů je tyto útočníky od opakovaného napadání odradit. V prostředí knihoven je cílem těchto programů ochránit uživatele před zneužitím jejich dat a knihovny před vnějšími útoky. Mimo jiné firewall zabezpečuje šifrovanou komunikaci mezi počítači a zabraňuje tak zneužití interních dokumentů a dat.

3.3. Webové prohlížeče Každý počítač, který má přístup k internetové síti, potřebuje k jejímu prohledávání nějaký webový prohlížeč. Webových prohlížečů existuje velké množství. Některé jsou již součástí systému Windows, jako např. Internet Explorer, jiné jsou volně ke stažení na internetu jako např. Google Chrome, Mozila Firefox nebo Opera. Pro zabezpečení prohlížení webu je dobré mít daný prohlížeč vhodně nastavený. Kromě nastavení antivirového programu a firewallu je právě vhodné mít bezpečně nastavený i prohlížeč. Problémem je, že každý prohlížeč má jiné rozhraní a je potřeba jej nastavit zvláště. Pokud tedy knihovny poskytují uživatelům veřejných počítačů možnost výběru více webových prohlížečů, je nutné mít všechny nastavené stejně. Správným nastavením prohlížečů může knihovna eliminovat i návštěvnost webových stránek s nevhodným nebo nelegálním obsahem (pornografické materiály, materiály podporující násilí, extrémistické materiály apod.), které mohou být zdrojem škodlivého kódu, nebo v případě dětí mohou negativně poznamenat jejich psychický vývoj. Mimo selekci webových stránek nastavení prohlížeče umožňuje přizpůsobit si prohlížeč osobním potřebám uživatele. Pokud ale jsem návštěvníkem veřejného počítače, nastavením prohlížeče zamezím zneužití přístupových údajů uživatelů. Jestliže máme nastavené automatické doplňování přístupových údajů na různých webových stránkách, jsou lehce zneužitelné jakoukoliv další osobou používající daný počítač. Na tohle téma jsme se 57

BOTT, Ed a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. Brno: Computer Press, 2004. ISBN 80-7226-878-3 str 405-406

32

bavili v kapitole 2.2.1. Soukromí, ochrana osobních údajů. Zde jsme také popisovali problematiku souborů cookies, které nám často usnadňují používání internetových aplikací, ale kromě těchto pozitiv přinášejí také negativa v podobě spyware. Tohle je také důvod, proč mít vhodně nastavené prohlížeče. Všechny internetové prohlížeče nabízejí možnost „Nastavení“, kde je vhodné mít zaškrtnuté políčko „Nepamatovat si přihlašovací údaje ani hesla“58, popřípadě „uživatele“. Dále je také vhodné nenechat prohlížeč ukládat historii prohlížení. Tyhle akce považuji za základní zabezpečení webového prohlížení. Prohlížeče nabízejí i rozšířené možnosti nastavení jako spravovat soubory cookies, pluginy a podobně.

3.3.1 Stahování Jedním z problémů veřejných počítačů v knihovnách, je neuvážené stahování dat z internetu uživateli těchto počítačů. Ve většině případů jsou porušována autorská práva, tudíž je takovéto stahování dat nelegální činností. Jedná se především o stahování hudby a filmů z prostředí internetu. Nicméně v prostředí internetu jsou i díla, která jsou volně dostupná. Autor udělil souhlas s užitím svého díla tím, že jej opatřil příslušnou zákonnou licencí. Mimo tuto činnost si uživatelé stahují i různé další softwarové vybavení počítače.59 Uživatelé svým jednáním ohrožují bezpečnost veřejných počítačů. Výše zmíněným chováním mohou uživatelé infikovat počítač nějakým druhem malwaru, který bývá součástí takovýchto stahovaných dat. V zájmu ochrany knihovny je zamezit takovému chování uživatelů. Omezit stahování dat z internetu je velice náročné na realizaci. Jednou z možností je filtrace internetových stránek, které slouží jako webová úložiště pro problematická data. Nicméně takovýchto webových úložišť je velké množství a obsáhnout všechny ve filtraci je téměř nemožné. Filtrování internetového obsahu se budeme věnovat v následující kapitole.

58

Každý prohlížeč má trochu jiné uživatelské rozhraní a tedy jinak pojmenované stejné funkce. informaci mám z vlastní zkušenosti z 3 leté praxe v Městské knihovně Tišnov. V rámci mého zaměstnání se starám o chod a funkci veřejných počítačů. Čistím „zamořené“ počítače od nelegálních stažených softwarů, her, hudby, pornografických materiálů a podobně každý půjčovní den knihovny.

59Tuto

33

3.3.2. Filtrování obsahu na internetu Filtrování obsahu na internetu je jednou z možností jak zabezpečit webový prohlížeč a ochránit tak třeba děti před konzumací nevhodného obsahu na internetu. Pro knihovny a jejich veřejné počítače je to možnost jak zredukovat návštěvnost stránek s erotickými nebo pornografickými materiály či jiným nevhodným obsahem. Takováto ochrana je vhodná především pro veřejné počítače v odděleních pro děti. U dětských uživatelů knihovny je riziko byť neúmyslného navštívení velké. Pro ochranu dětí před závadným obsahem existují speciální dětské webové prohlížeče, které již v sobě obsahují určitou blokaci obsahu. Uvedeme některé z nich. Problém v používání níže zmíněných prohlížečů může být v tom, že jsou dostupné pouze v anglickém jazyce. Na druhou stranu v kombinaci, například s funkcí rodičovské kontroly, mohou být dostatečnou ochranou před nevhodným a nelegálním obsahem. Vybrané jsou ty prohlížeče, které pomáhá sestavovat odborná veřejnost, nebo kombinují více funkcí.

Kidzui.com60 tento webový prohlížeč je pouze v angličtině. Nabízí přístup k webovým stránkám, obrázkům a hrám, které jsou schváleny komisí Kidzui, která se skládá z rodičů a učitelů. Tento webový prohlížeč je volně ke stažení.

My Kids browsver61 patří mezi placené prohlížeče. Nabízí krom selekce internetových stránek i blokaci tisku z internetu a umožňuje nastavení času, který může dítě na internetu strávit. Po uplynutí této doby prohlížeč ukončí svoji činnost. Nefunguje na principu blokace závadného obsahu, ale umožňuje přístup jen na ověřené internetové stránky. Na svých internetových stránkách nabízí možnost trial verze zdarma.

60http://www.kidzui.com/ 61http://www.mykidsbrowser.com/overview.php

34

KidRocket webový prohlížeč založení na flash technologii nabízí přístup na ověřené dětské internetové stránky. Prohlížeč nabízí možnost blokace tisku a sledovat, jak dlouho je spuštěn. KidRocket patří mezi prohlížeče, které jsou ke stažení zdarma.

Výše zmíněná řešení jsou aplikovatelná na dětské uživatele veřejných počítačů v knihovnách. Nicméně podmínkou k užívání dětských webových prohlížečů je znalost angličtiny. Jiným způsobem zabezpečení prohlížečů, které je aplikovatelné jak na dětské uživatele, tak i na uživatele oddělení pro dospělé, je blokace závadného obsahu v prohlížeči a nastavení příslušné domovské stránky. Pro děti existují internetové portály jako alik.cz, které jsou uzpůsobené potřebám dětí a částečně eliminují závadný obsah.

4. Praxe V této části práce bude na jednotlivých příbězích, které se odehrály nebo se mohou odehrávat v knihovnách městského typu, aplikována výše zmíněná teorie. Teorie se může prolínat jednotlivými příběhy. Aplikovaná řešení jsou návrhem na řešení v praxi. Tuto formu jsem zvolila proto, aby knihovníci měli možnost nahlédnout do situací, které mohou u uživatelů veřejného internetu vzniknout, a aby věděli, jak na ně adekvátně reagovat. Zaměstnanci knihoven nemusejí vždy vědět, do jaké situace se uživatelé mohou dostat (ukradení identity, zcizení přihlašovacích údajů, konzumace nevhodného obsahu apod.). Tato kapitola by měla sloužit jako náhled na potencionální nebezpečí hrozící jak knihovně, tak i jejím uživatelům, a to především dětským. Ze své praxe vím62, že rodiče svalují vinu na knihovníky, že jejich dítě konzumuje obsah s erotickým materiálem, zneužije rodičovy přihlašovací údaje k sociálním sítím apod. Dle rodičů je vina na straně knihovny, že nedostatečně zabezpečila počítače. Proto je praktická část pojata formou příběhů aby i knihovníci viděli, jaké situace mohou nastat. Příběhy, které vycházejí z praxe, vycházejí z jednání uživatelů městské knihovny v Tišnově. Především z jednání uživatelů veřejného internetu, který je knihovna ze zákona

62Pracuji

v Městské knihovně Tišnov od roku 2011 a nejednou si rodiče stěžovali na nedostatečné zabezpečení veřejných počítačů.

35

povinna poskytovat všem bez rozdílu zdarma

63

. Do dnešní doby má knihovna

k internetovému připojení přístup také zdarma. Modelové situace jsou skutečné. Nejsou zde použita opravdová jména uživatelů. V jednom modelovém příběhu je použito více reálných příběhů.

4.1. Uživatelské účty Tato kapitola se bude zabývat problematikou soukromí a ochrany osobních a citlivých údajů (přihlašovací údaje). Jako řešení je navrhnuto zavedení identifikace každého uživatele tedy využití autentizace uživatele a řízení přístupu formou uživatelských účtů.

Člověk, který z nějakého důvodu nemá k dispozici internetové připojení, vyhledá pomoc v nejbližší městské knihovně, která poskytuje přístup k internetu. Uživatel, říkejme mu pan H., si vybere volný počítač a začne pracovat. Přihlásí se ke svému emailu a nevšimne si, že je zatržené políčko „přihlásit se trvale na tomto počítači“64. Tímto způsobil, že jeho přihlašovací údaje (jméno a heslo) budou uloženy i pro další uživatele, kteří si spustí stejný internetový portál. Po přečtení emailové komunikace si pan H. stáhne nějakou přílohu k emailu, která láká atraktivním názvem: Pamela-Anderson-naha.TXT.vbs65. Pan H. si nevšimne dvojité přípony, nebo tomu nastavení systému Windows (nezobrazovat a přípony souborů známých typů) zabránilo. Každopádně stažením a snahou otevření tohoto souboru pan H. svojí nevědomostí a zvědavostí způsobil infikaci veřejného počítače škodlivým kódem. A kromě jiného se dopustil přestupku proti knihovnímu řádu, který zakazuje konzumaci erotického nebo pornografického materiálu (nevhodného obsahu). Pokud mají veřejné počítače nainstalovaný antivirový program, nemusejí se hrozby obávat. Antivirový program, pokud je aktualizovaný, často zachytí infekci včas a zneškodní ji, nebo upozorní dialogovým oknem na vzniklý problém a navrhne jeho řešení. Většina Antivirových programů disponuje tzv. virovou truhlou, kam se infikované soubory ukládají. 63Česká

republika. Zákon ze dne 29. června 2001 o knihovnách a podmínkách provozování veřejných knihovnických a informačních služeb (knihovní zákon). In: 257/2001 Sb. 2001, 98/2001. Dostupné z: http://knihovnam.nkp.cz/sekce.php3?page=03_Leg/01_LegPod/Zakon257.htm 64Pokud uživatel používá e-mail na internetovém portále Seznam.cz 65Počítačové viry známé a neznámé. NÁDENÍČEK, Petr. PC World: magazín digitálního věku [online]. Praha: IDG Czech, 2006-01-01[cit. 2013-06-01]. Dostupné z: http://pcworld.cz/software/pocitacove-viryzname-a-nezname-12013

36

Po otevření daného souboru je pan H. zklamán, že neobsahuje to, co o něm název vypovídá a pokračuje v činnosti, kvůli které využil služeb veřejného internetu. Pan H. potřebuje zkontrolovat stav svého účtu. Využije tedy internetové bankovnictví. Bohužel jiný uživatel stejného počítače si nastavil daný webový prohlížeč tak, aby si pamatoval veškeré přihlašovací údaje. Po zkontrolování stavu svého účtu pan H. bez odhlášení se z předchozí činnosti a vypnutí prohlížeče (pouze jej minimalizuje) odchází. Následně po něm ke stejnému počítači usedá jiný zákazník. Po otevření minimalizovaného prohlížeče se tento uživatel bez problémů dostane k celé relaci pana H., tedy i na jeho účet. V této chvíli jsou přihlašovací údaje pana H. velice snadno zneužitelné a potencionální útočník má přístup i k bankovnímu účtu, financím a osobním údajům pana H. Svým jednáním zapříčinil, že je vysoké riziko zneužití těchto dat. Těmto situacím může knihovna předcházet zavedením uživatelských účtů na veřejných počítačích a řízením přístupu k datům. Uživatelské účty využívají principu autentizace uživatele. Pro knihovny je dostačujícím řešením autentizace znalostí, kdy každý uživatel bude mít přidělené přihlašovací jméno a dostatečně silné heslo. O principu tvorby silného hesla by byl uživatel poučen. Například: Hečová, Edita má přidělené číslo průkazky 2750. Tohle číslo by sloužilo i k identifikaci uživatele při práci s veřejným počítačem. Jako heslo by mohlo složit prvních 6 číslic z rodného čísla čtenáře. Tohoto systému přihlašování je využito ve správě Čtenářského konta a při vytvoření rezervace dokumentu v elektronickém katalogu knihovny. Po prvním přihlášení by byl uživatel vyzván ke změně svého přihlašovacího hesla. Pro změnu hesla je potřeba mít přístup do možností nastavení, kde si uživatel může změnit své heslo. Pro zákazníky, kteří nejsou uživateli knihovny, by byly vyhrazeny tzv. „volné“ číselné kombinace pro anonymní uživatele. Například pan H. není čtenářem knihovny a potřebuje využít služeb veřejných počítačů pro přihlášení, dostane anonymní číslo 9999967 a automaticky generované heslo. Na generování hesel existují různé softwary. Nicméně systém by musel spolupracovat s celou sítí veřejných počítačů. Dalším řešením, jak zpřístupnit veřejné počítače lidem, kteří jsou neregistrovanými uživateli knihovny, je vyhrazený určitý počet počítačů s uživatelským účtem „guest“, tedy s omezenými právy. Pro přihlášení do tohoto účtu není vyžadováno heslo, je tedy nutné řízením přístupu redukovat přístup a práva tohoto uživatelského účtu. Dále je vhodné za-

37

blokovat možnost vypnutí či restartu počítače z toho účtu. Eliminuje se tak možnost přeinstalování operačního systému. Uživatelský účet bude definován jako účet s omezeným přístupem. Uživatel tedy nemá možnost měnit softwarové nebo hardwarové nastavení a měnit uživatelská jména. Tímto se eliminují hrozby přeplnění paměti počítače nevhodným nebo nelegálním softwarem a uživatel nemůže měnit primární nastavení počítače. Po ukončení aktivity na veřejném počítači, se uživatel odhlásí a tím znemožní přístup dalším uživatelům ke své činnosti. Po odhlášení uživatele se zobrazí dialogové okno systému Windows, přes které je možné bezpečně přihlásit dalšího uživatele.

4.2. Filtrování obsahu na internetu Problematiku filtrování obsahu na internetu bude tato kapitola popisovat na dětských uživatelích veřejného internetu v Městské knihovně v Tišnově. Konkrétně v této knihovně jsou, bohužel, počítače v dětském oddělení situovány za rohem na kulatém stole. Knihovnice tedy nemá dostatečný přehled o činnosti dětí na internetu, pokud pravidelně neprochází mezi počítači. Tento faktor dostatečně nahrává neukázněným dětem páchat přestupky proti knihovnímu řádu a konzumovat nejen nevhodný obsah. V následujícím příběhu budou popsány situace, které se k Městské knihovně v Tišnově udály.

Do dětského oddělení přišli dva chlapci, říkejme jim Petr a Pavel. Usadili se k veřejnému počítači, tak aby na ně paní knihovnice neviděla. Začali svoji relaci na internetu. V Městské knihovně Tišnov vždy minimálně jednou týdně probíhá tzv. údržba počítačů. Ta spočívá v tom, že knihovnice všechny počítače vyčistí od nežádoucího materiálu. V tomto

případě

knihovnice

ve

složce

“Stažené

soubory“

objevila

obrázky

s pornografickým materiálem. Podle jména dané složky66 knihovnice poznala, ze kterého prohlížeče byly obrázky stažené. Z historie daného prohlížeče to bylo již stoprocentně zřejmé. Jelikož se chlapci nenahlásili knihovnici, že chtějí vyžít veřejné počítače, nebylo možné je zpětně dohledat a za hrubé porušení knihovního řádu je nebylo možné potrestat.

66Internetový

prohlížeč Mozila firefox a Google chrome mají odlišně pojmenované složky, do nichž se ukládají stažené soubory.

38

Během následujících dní navštívila městskou knihovnu policie české republiky. Jednalo se o případ zneužití nezletilé osoby. Chlapci Petr a Pavel pocházeli z Dětského domova v Tišnově. Starší Petr nutil mladšího Pavla k orálnímu sexu. K tomuto jednání se inspiroval po zhlédnutí pornografických materiálů právě na veřejných počítačích v Městské knihovně Tišnov. Díky jejich umístění jim knihovnice v jejich počínání nemohla zabránit a nemohla ani zkontrolovat jejich činnost. Řešením tohoto problému by bylo zabezpečení internetových prohlížečů blokací nevhodných stránek. Otázkou zůstává, co je považováno za nevhodný obsah. Nevhodný

obsah = obsah, který může negativně ovlivnit vývoj a výchovu dětí nebo na nich může zanechat trvalé psychické následky.67 Takto uvádí definici nevhodného obsahu internetový portál Bezpečný internet. Nyní je tedy na zvážení pověřených pracovníků, co považují za nevhodný obsah. Jednou z možností zabezpečení je filtrace obsahu. V prostředí internetu je nesčetně mnoho webových stránek. Nikdy se nám nemůže podařit zablokovat úplně všechny weby s např. pornografickým materiálem. Nicméně existují různé nástroje, které nám tuto práci mohou usnadnit. Představíme si některé z nich: – Anti-porn68 je online aplikace (doplněk webového prohlížeče), který rozpoznává pornografický obsah a blokuje jej. Její součástí je databáze těchto webů. Databáze se pravidelně aktualizuje. Dále disponuje možností blokace určitých slov či slovních spojení. – Kurupira Web filter69 je rovněž aplikace která funguje na principu seznamu. Do něj má přístup pouze uživatel s přihlašovacími údaji. Tento uživatel má oprávnění spravovat seznam blokovaných stránek nebo může nechat aplikaci, aby blokovala stránky podle vlastního vyhodnocení. Aplikace dále umožňuje možnosti jako povolené stránky, časové omezení, instant messaging a sociální sítě, výpisy a historie. – Soubor HostsMan 70 je další možností blokace stránek. Tento editor umožňuje správu vybraných internetových stránek a popřípadě přesměrování na jinou, vhodnější, 67Slovník.

Bezpečný internet [online]. b.r. [cit. 2013-10-20]. Dostupné z: http://www.bezpecnyinternet.cz/slovnik/ 68 KRAUS, Josef. Nejlepší program pro filtrování nevhodného obsahu. In: Živě.cz [online]. 2012-11-11[cit. 2013-10-20]. Dostupné z: http://www.zive.cz/clanky/nejlepsi-program-pro-filtrovani-nevhodnehoobsahu/sc-3a166270/default.aspx#utm_medium=selfpromo&utm_source=zive&utm_campaign=copylink 69KRAUS, Josef. Kurupia Web Filter Zablokujte webové stránky. In: Jak na počítač [online]. 2012-07-31[cit. 2013-10-20]. Dostupné z: http://jnp.zive.cz/kurupira-web-filter-zablokujte-webove-stranky 70 KRAUS, Josef. Nejlepší program pro filtrování nevhodného obsahu. In: Živě.cz [online]. 2012-11-11[cit. 2013-10-20]. Dostupné z: http://www.zive.cz/clanky/nejlepsi-program-pro-filtrovani-nevhodnehoobsahu/sc-3a166270/default.aspx#utm_medium=selfpromo&utm_source=zive&utm_campaign=copylink

39

internetovou stránku. Program mimo jiné skenuje a hledá chyby, duplikáty a případné nežádoucí přesměrování – I-bezpečně je aplikace obsahující seznam slov a stránek, které blokuje. Aplikace je rozdělena so několika kategorií. Uživatel je může mít zaktivované všechny, nebo jen určité kategorie podle potřeby.

Veškeré zde popisované programy jsou poskytovány zdarma a s volnou licencí. Existují i komerční organizace zabývající se problematikou filtrace webu. Jako další krok k filtrování obsahu internetu můžeme využít rodičovské kontroly. Tuto funkci nabízí OS Windows od verze Vista71. V tomto programu je také možné blokovat, nebo naopak povolit, konkrétní internetové stránky. V kombinaci s jinými aplikacemi, blokující webové adresy, můžeme docílit dostatečného zamezení přístupu uživatelů na nevhodné nebo nelegální internetové stránky. A výše zmíněné situace by se nemusely opakovat. I v případě rodičovské kontroly můžeme využít již předdefinovaných seznamů blokovaných stránek. Tento seznam je průběžně aktualizovaná společností Microsoft72.

4.3. Obnovení nastavení Kapitola se bude zabývat problematikou změny nastavení systému, smazáním či jinou manipulací s daty na veřejných počítačích v městských knihovnách. Byť je tato problematika zakotvena v trestním zákoníku České repliky: „… data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat“73, uživatelé toto nařízení ne vždy respektují. Velice častou činností uživatelů veřejných počítačů jsou změny nastavení výchozích programů v systému (program pro primární otevírání souborů), přidání nového programového vybavení počítače apod.

BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows Vista. Vyd. 1. Překlad Ivo Fořt, Pavel Vaida. Brno: Computer Press, 2007, 1048 s. ISBN 978-80-251-1748-4. 72 BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978-80-251-2817-6. 73BusinessCenter.cz [online]. 2009 [cit. 2013-10-20]. Trestní zákoník. Dostupný z WWW: . 71

40

V této kapitole bude popsán jednoduchý postup, jak takto změněná nastavení rychle a efektivně uvést do původního stavu nastavení. Uživatelé veřejného internetu velice rádi mění původní nastavení plochy jako změna pozadí, odstranění zástupců programů z plochy apod. Také si stahují různé programy (hry) a soubory (hudbu, obrázky), které nechají uložené v počítači. Po ukončení své relace neuvedou počítač do původního stavu, tzn. neodstraní soubory, které svojí činností dostali do počítače. Tyto soubory zabírají místo na pevném disku v počítači. Knihovnice, která má na starosti správu veřejných počítačů, jednou za čas tyto počítače zkontroluje a nežádoucí obsah odstraní ručně. Tohle řešení je zdlouhavé, zvláště u zastaralých počítačových vybavení, která jsou tímto nežádoucím obsahem zaplněna. Pro vyřešení tohoto problému existuje nástroj Stínové kopie, který je součástí systému Windows. Pomocí tohoto programu je možné udělat zálohu celého uživatelského prostředí se všemi jeho funkcemi. K tomu slouží jednotlivé příkazové řádky. Důležité je nastavení zdroje kopírování a cíle, kde bude záloha uložena. Parametr „zdroj“ musí obsahovat jednotku nebo cestu k ní a parametr „cíl“ může obsahovat písmeno jednotky a dvojtečku s názvem adresáře, název souboru nebo jejich kombinaci74. V našem případě chceme tímto způsobem zálohovat čistý profil, jedná se o jeden adresář. Takto zkopírovaný adresář uložíme do administrátorského účtu nebo na sdílený disk (záleží na možnostech dané knihovny, jak mají řešené tyto aspekty). Pomocí dávkového souboru můžeme kdykoliv po spuštění počítače spustit obnovu poškozeného profilu. Tímto procesem odstraníme veškeré nežádoucí nastavení a stažená či jinak přidaná data z daného počítače. Dávkový soubor je textový soubor v operačním systému Microsoft Windows, který obsahuje sérii příkazů. Tyto příkazy se provedou vždy po spuštění souboru. 75 V případě knihoven je možné nastavit dávkový soubor tak, aby se vždy po přihlášení do administrátorského profilu spustil a provedl změnu v uživatelském profilu, tedy obnovil zálohu nastavení.

74

Windows Server. MICROSOFT. Wbadmin [online]. 2014-01-02. [cit. 2014-05-18]. Dostupné z:http://technet.microsoft.com/en-us/library/cc754015.aspx 75Dávkový soubor. In: Wikipedia: the free encyclopedia [online]. 2013-06-24. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-05]. Dostupné z: http://cs.wikipedia.org/wiki/D%C3%A1vkov%C3%BD_soubor

41

Jako další možnost zálohy uživatelského profilu můžeme použít volně dostupný nástroj Data Grab.76 V tomto případě je možné vybrat jeden nebo více profilů k záloze. Data budeme mít uložená pro jejich následné obnovení. Tento nástroj je vhodný k obnovení poškození systému. Nevýhodou tohoto procesu může být, že pokud vynecháme některé složky či adresáře, data, která si tam uživatelé uložili, zde zůstanou. Dalším problémem může být i nedostatečná znalost problematiky. Práce s příkazovými vyžaduje alespoň částečnou znalost programování. Jedno z výše uvedených řešení lze použít v případě, že knihovna nedisponuje uživatelskými účty uživatelů a používá jeden účet „guest“ pro práci svých uživatelů na veřejném internetu.

76BRINKMANN.

Windows User Profile Backup Tool DataGrab. In: Ghacks.net [online]. 2011-05-31 [cit. 2013-11-05]. Dostupné z: http://www.ghacks.net/2011/05/31/windows-user-profile-backup-tooldatagrab/

42

Závěr Ve své práci jsem popsala nejzákladnější problémy v zabezpečení veřejných počítačů v knihovnách. V práci je velká část teoretická, aby si každý dovedl představit, co se pod jednotlivými pojmy skrývá a jaké mohou mít hrozby následky. Jedná se o hrozby, které jsou běžné v internetovém prostředí i o hrozby způsobené lidskou chybou. Mezi základní způsoby zabezpečení považuji zavedení uživatelských účtů s omezenými právy, omezení stahovaní souborů z internetu a blokaci nevhodného obsahu. Poslední dvě problematiky považuji za zvláště důležité v dětských odděleních městských knihoven. Tímto způsobem nechráníme jenom děti před nebezpečím ale i knihovníci chrání sebe sama před reakcí rodičů poškozených dětí, které nemusí být vždy příjemné. I když se knihovny chrání interními předpisy, tzv. Knihovním řádem, ne vždy je uživateli knihovny respektován v plném znění. Dodatečným zabezpečením počítačů pro veřejnost by mělo být druhým stupněm ochrany knihovny. Knihovna se tímto chrání nejen před neuvážlivými uživateli, ale i před vnější hrozbou napadení interní sítě a znemožnění práce knihovníkům, jak bylo zmíněno na začátku práce u hrozby malware. Tato práce shrnuje základní informace o problematice zabezpečení počítačů, které by měli knihovníci i uživatelé znát. Navrhuje řešení daných problémů, které je možné použít nejen v knihovnách ale i na osobních počítačích. Použití znázorňuje prakticky na modelových situacích, aby čtenáři měli odůvodnění, proč je dobré se tomuto problému věnovat a počítače zabezpečit.

43

Zdroje: 1.

BOTT, Ed a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. Brno: Computer Press, 2004. ISBN 80-7226-878-3.

2.

DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004. ISBN 80-251-0106-1.

3.

KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006, 334 s. ISBN 80-247-1408-6.

4.

KOCMAN, Rostislav a Jakub LOHNISKÝ. Jak se bránit virům, spamu, dialerům a spyware. vyd. 1. Brno: CP Books, 2005, 148 s. ISBN 80-251-0793-0.

5.

Slovník. Bezpečný internet [online]. b.r. [cit. 2013-10-20]. Dostupné z: http://www.bezpecnyinternet.cz/slovnik/

6.

KRAUS, Josef. Kurupia Web Filter Zablokujte webové stránky. In: Jak na počítač [online]. 2012-07-31[cit. 2013-10-20]. Dostupné z: http://jnp.zive.cz/kurupiraweb-filter-zablokujte-webove-stranky

7.

Česká republika. Trestní zákoník. In: Zákon č. 40/2009 Sb. 2009. Dostupné z: http://business.center.cz/business/pravo/zakony/trestni-zakonik/

8.

NOSKA, Martin. Výzkum: pětina používaných aplikací pro Windows jsou bezpečnostním rizikem!. In:Computerworld: Ucelený informační zdroj pro IT profesionály [online]. Praha: IDG Czech, a.s., 2008-01-02[cit. 2013-11-03]. Dostupné z: http://computerworld.cz/securityworld/vyzkum-petina-pouzivanych-aplikaci-prowindows-jsou-bezpecnostnim-rizikem-1873

9.

Česká republika. ZÁKON ze dne 11. května 1999 o svobodném přístupu k informacím. In: č. 106/1999 Sb. 1999. Dostupné z: http://www.sagit.cz/pages/sbirkatxt.asp?cd=76&typ=r&zdroj=sb99106

10.

ČEPIČKA, David a Sascha ZÄCH. Neprozraďte se!. In: PC world [online]. São Paulo: IDG Computerworld do Brasil, 2006-12-01[cit. 2013-11-12]. Dostupné z: http://pcworld.cz/archiv/neprozradte-se-18689

11.

CALETKA, Ondřej. Google Authenticator: bezpečněji s jednorázovými hesly. In: Root.cz [online]. © 1998 – 2013 [cit. 2013-11-13]. Dostupné z: http://www.root.cz/clanky/google-authenticator-jednorazova-hesla-snadno-arychle/

44

12.

Dávkový soubor. In: Wikipedia: the free encyclopedia [online]. 2013-06-24. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2013-11-05]. Dostupné z: http://cs.wikipedia.org/wiki/D%C3%A1vkov%C3%BD_soubor

13.

BRINKMANN. Windows User Profile Backup Tool DataGrab. In: Ghacks.net [online]. 2011-05-31 [cit. 2013-11-05]. Dostupné z: http://www.ghacks.net/2011/05/31/windows-user- profile-backup-tooldatagrab/

14.

Zákon č. 257/2001 Sb., o knihovnách a podmínkách provozování veřejných knihovnických a informačních služeb (knihovní zákon). epravo.cz. [online]. [cit. 2011306-10]. Dostupný z . ISSN 1213189X.

15.

Počítačové viry známé a neznámé. NÁDENÍČEK, Petr. PC World: magazín digitálního věku [online]. Praha: IDG Czech, 2006-01-01[cit. 2013-06-01]. Dostupné z: http://pcworld.cz/software/pocitacove-viry-zname-a-nezname-12013

16.

Windows Server. MICROSOFT. Wbadmin [online].2014-01-02. 2014 [cit. 2014-0518]. Dostupné z:http://technet.microsoft.com/en-us/library/cc754015.aspx

17.

HOWE, A.E.; RAY, I.; ROBERTS, M.; URBANSKA, M.; BYRME, Z. The Psychology of Security for the Home Computer User, Security and Privacy (SP), 2012. IEEE symposium on, s.209-223, 20-23. May 2012, Dostupné z: http://ieeexplore.ieee.org/stamp/stamp.jsptp=&arnumber=6234414&isnumber= 6234400

18.

FILIOL, E. The Computer Security of Public/Open Computer Spaces: Feedback of a Field Study in Europe. Reading, United Kingdom, Reading Academic Conferences International Limited, 2011. ProQuest Central. Dostupné z: http://search.proquest.com/docview/1010350810?accountid=16531.

19.

WAYNE, R.: Security-Control Software. Computers in Libraries. 2006. June. vol. 6, no. 6, s. 21-25 ProQuest Central. ISSN 10417915. Dostupné z: http://search.proquest.com/docview/231146527?accountid=16531.

45

20.

HADOW, K. Data Security for Libraries: Prevent Problems, Don't Detect them. Feliciter. 2009, vol. 55, no. 2, s. 50-52 ProQuest Central. ISSN 00149802. Dostupné z: http://search.proquest.com/docview/223154936accountid=16531

21.

MÁJKOVÁ, Lucie. Autentizace důkazem znalostí se zaměřením na běžného uživatele IT [online]. Brno, 2011 [cit. 2012-11-05]. Dostupné z: . Bakalářská práce. Masarykova univerzita. Filozofická fakulta. Vedoucí práce PhDr. Pavla Kovářová.

22.

BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978-80-251-2817-6.

23.

BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows Vista. Vyd. 1. Překlad Ivo Fořt, Pavel Vaida. Brno: Computer Press, 2007, 1048 s. ISBN 978-80-251-1748-4.

24.

Zálohování programů, systémového nastavení a souborů. MICROSOFT. Windows [online]. 2014 [cit. 2014-03-12]. Dostupné z: http://windows.microsoft.com/cscz/windows/back-up-programs-system-settings-files#1TC=windows-vista

25.

BOERI, Robert. How Safe Is Your Personal Big Data?. EContent [online]. 2012-1201, vol. 35, issue 10, s. 31-31 [cit. 2014-05-18]. Dostupné z: http://search.ebscohost.com.ezproxy.muni.cz/login.aspx?direct=true&db=lxh& AN=83832995&lang=cs&site=ehost-live

26.

GREENBERG, Andy. Hackers Exploit 'Zero-Day' Bugs For 10 Months On Average Before They're Exposed.Forbes.com [online]. 2012-10-16, s. 19-19 [cit. 2014-06-18]. Dostupné z: http://ezproxy.muni.cz/login?url=http://search.ebscohost.com/login.aspx?dire ct=true&AuthType=ip,cookie,uid&db=bth&AN=82574615&lang=cs&site=edslive&scope=site

27.

LYSÁK, Marian. Ochrana perimetru sítě- IDS/IPS, firewally a jiné síťové bezpečnostní prvky: Jak může vhodně vybrané bezpečnostní řešení ulehčit práci bezpečnostním technikům. Ictsecurity [online]. 2011, b.č. [cit. 2014-06-18]. Dostupné z:http://www.comguard.cz/fileadmin/user_upload/rezence_clanky/OCHRANA _PERIMETRU_SITE_leden_2011.pdf

46

FILOZOFICKÁ FAKULTA, MASARYKOVA UNIVERZITY, BRNO

Kabinet informačních studií a knihovnictví

Školní rok:

2012/2013

PROJEKT BAKALÁŘSKÉ DIPLOMOVÉ PRÁCE

Jméno a příjmením UČO Imatrikulační ročník Kontaktní údaje

Edita Hečová 383232 2010 [email protected]

Název tématu: Zabezpečení veřejných počítačů v knihovnách městského typu

Rozpracovat osnovu (jako přílohu) 1. 2. 3. 4. 5.

Popis problému, který bude v práci řešen Současný stav řešené problematiky Cíl diplomové práce Metody zpracování diplomové práce Základní odborná literatura

Vedoucí diplomové práce: PhDr. Pavla Kovářová Pracoviště a funkční pozice vedoucí/vedoucího diplomové práce: Kabinet informačních studií a knihovnictví - Ústav české literatury a knihovnictví - Filozofická fakulta Odborná pracovnice Vyjádření vedoucí/vedoucího práce: Souhlasím s vedením diplomové práce. Podpis:

Datum:

Vyjádření vedoucího KISK UČL FF MU PhDr. Petra Škyříka, Ph.D.: souhlasím/nesouhlasím Podpis:

Datum:

Podpis diplomanta: Podpis:

Datum: 47

1. Popis problému, který bude v práci řešen: Práce bude zkoumat možnosti zabezpečení veřejných počítačů v knihovnách. Proti čemu mají knihovny reálnou šanci se bránit a jakým způsobem. Subjektem v tomto případě budou knihovny městského typu, které tyto problémy řeší nejčastěji. Na praktických modelových situacích budou nastíněny hrozby a následně navrhnuty návodné postupy jejich řešení.

2. Současný stav řešené problematiky: Otázka zabezpečení veřejných počítačů je stále aktuálnějším tématem. Veřejné knihovny se s tímto problémem potýkají stále častěji. Ve většině případů se jedná o chybu a nevzdělanost uživatele v dané problematice zabezpečení, proto je tohle téma velmi diskutované. Podobné téma ve své bakalářské práci řeší Bc.Lucie Májková. Píše o problematice „Autentizace důkazem znalostí se zaměřením na běžného uživatele IT77“. Popisuje zde jaký je rozdíl mezi autentizací a identifikací. Dále v práci popisuje tři možnosti autentizace (znalost, vlastnictví, vlastnost) a uvádí příklady užití těchto metod v praxi. Lucie se zaměřuje na uživatele samotného a na ochranu jeho dat, zatímco má práce bude zaměřená na společnost a v tomto případě knihovny, na jejich možnosti zabezpečení počítačů. Od Lucie se budu lišit ve stylu práce a jejím zaměření. Obě práce budou mít společné to, že řeší problematiku zabezpečení dat v IT prostředí. -

MACHÁČKOVÁ, Pavla. Bezpečnost na sociálních sítích s důrazem na ochranu osobních dat [online]. 2011 [cit. 2012-12-06]. Dostupné z: práce. Masarykova univerzita,

http://is.muni.cz/th/217338/ff_m/>. Diplomová

Filozofická fakulta. Vedoucí práce PhDr. Pavla Kovářová.

Anotace: Pavla ve své práci popisuje jednotlivé bezpečností problémy, které se týkají užívání internetu. Práce dané problémy popisuje a navrhuje možnosti jejich řešení. Dále práce řeší bezpečnost na sociálních sítí a ochranu osobních údajů na internetu. -

KÜHNELOVÁ, Jiřina. Nebezpečnost a zneužívání informačních a komunikačních

technologií u

dětí a mládeže [online]. 2011 [cit. 2012-12-06].Dostupné z:

77. MÁJKOVÁ, Lucie. Autentizace důkazem znalostí se zaměřením na běžného uživatele IT [online]. Brno, 2011 [cit. 201212-05]. Dostupné z: . Bakalářská práce. Masarykova univerzita. Filozofická fakulta. Vedoucí práce PhDr. Pavla Kovářová.

48

. Diplomová práce. Masarykova univerzita, Pedagogická fakulta. Vedoucí práce doc. MUDr. Petr Kachlík, Ph.D. Anotace: Tato práce pojednává o nebezpečích v internetovém prostředí. Práce je zaměřena spíše na dětské uživatele. Popisuje zde jednotlivé problematiky a opět navrhuje určité možnosti zabezpečení počítače a internetového prostředí zaměřené -

na děti.

JANÁČEK, Radek. Analýza a testování softwarových produktů na úrovni prohlížeče pro řešení problematiky ochrany dětí před nevhodným obsahem na Internetu [online]. 2011 [cit. 2012-12-06]. Dostupné z: . Bakalářská práce. Masarykova univerzita, Fakulta informatiky. Vedoucí práce prof. RNDr. Václav Matyáš, M.Sc., Ph.D.

Anotace: Práce se zabývá možnostmi zabezpečení internetových prohlížečů, je zaměřená na ochranu dětí před nevhodným obsahem. Jednotlivé prohlížeče jsou zde popsány a jsou analyzovány možnosti zabezpečení (filtrace stránek a pod.)

3. Cíl práce: Hlavním cílem práce je poskytnout přehled možností ochrany veřejných počítačů se zaměřením na možnosti knihoven, a to především městských, které slouží nejširší veřejnosti. Práce by měla přinést přehledný soupis nástrojů s návodem a zdůvodněním, za jakých podmínek a pro jaké účely je vhodné je požít, aby měly knihovny, a nejen ty, možnost bránit se případům popsaných na modelových situacích. Cílem práce je, aby mohla sloužit jako příručka pro knihovníky, kteří budou chtít efektivně zabezpečit veřejné počítače.

4. Metody zpracování bakalářské práce: Práce bude teoreticko-aplikační. První část práce bude teoretická. Budu zde definovat co knihovny mohou reálně dělat, aby předcházely problémům, a jaké problémy mohou nastat nedostatečným zabezpečením veřejných počítačů. Bude brán ohled převážně na knihovnu ne na uživatele samotného. V praktické části práce budou na modelových situacích přiblíženy problémy popsané v teoretické části a budou navrhnuty možné postupy s ohledem na typ knihoven, pro které jsou vhodné a pro které ne. Většinou po technické stránce zabezpečení počítače. Modelové příklady budou vycházet z reálných situacích.

49

5. Základní odborná literatura: HADOW, K. Data Security for Libraries: Prevent Problems, Don't Detect them. Feliciter. 2009, vol. 55, no. 2, s. 50-52 ProQuest Central. ISSN 00149802.

Dostupné z:

http://search.proquest.com/docview/223154936?accountid=16531 KUZMA, J., European Digital Libraries: Web Security Vulnerabilities. Library Hi Tech. 2010, vol. 28, no. 3, s. 402-413 ProQuest Central. ISSN 07378831.

Dostupné z:

http://dx.doi.org/10.1108/07378831011076657. WAYNE, R., 2006. June: Security-Control Software. Computers in Libraries, vol.

26,

no. 6, s. 21-25 ProQuest Central. ISSN 10417915. Dostupné z: http://search.proquest.com/docview/231146527?accountid=16531 FILIOL, E. The Computer Security of Public/Open Computer Spaces: Feedback of a

Field

Study in Europe. Reading, United Kingdom, Reading: Academic Conferences International Limited, 2011 ProQuest Central. Dostupné z: http://search.proquest.com/docview/1010350810?accountid=16531 BOTT, Ed. a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a

XP.

Brno: Computer Press, 2004. ISBN 80-7226-878-3 DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press,

2004.

ISBN 80-251-0106-1 KRÁL, Mojmír. Bezpečnost domácího počítače : Prakticky a názorně. Praha: Grada,

2006.

ISBN 80-247-1408-6 KOCMAN, Rostislav, LOHNISKÝ, Jakub, Jak se bránit virům, spamu a spyware.

Brno:

CP Books, 2005. ISBN 80-251-0793-0. HOWE, A.E.; RAY, I.; ROBERTS, M.; URBANSKA, M.; BYRME, Z.; , "The Psychology of

Security for the Home Computer User," Security and Privacy (SP), 2012 IEEE

Symposium on , vol., no., s.209-223, 20-23 May 2012, Dostupné z: http://ieeexplore.ieee.org/stamp/stamp.jsptp=&arnumber=6234414&isnumber=6234400 LIU, G. The Application of Intelligent Agents in Libraries: A Survey. Program, 2011, vol. 45, no. 1. s. 78-97 ProQuest Central. ISSN 00330337. Dostupné z: http://dx.doi.org/10.1108/003303311111074

50