Bezpečnost, rizika a soukromí v informačních technologiích

Bezpečnost, rizika a soukromí v informačních technologiích

Karel Nykles [email protected]

6. 6. 2015

-1-

CryptoFest, Praha

CESNET Sdružení CESNET založily vysoké školy a Akademie věd České republiky v roce 1996. Výzkumné aktivity CESNET věnuje značnou pozornost výzkumu a vývoji v oblasti pokročilých síťových technologií a aplikací, které je využívají 6. 6. 2015

-2-

CryptoFest, Praha

Forenzní laboratoř FLAB

Založena jako projekt CESNETu v roce 2011. Nyní poskytuje služby typu analýzy událostí, penetračních a zátěžových testů, a výzkumu v oblasti informační bezpečnosti.

6. 6. 2015

-3-

CryptoFest, Praha

Riziko obecně

Pravděpodobnost narušení vyhovujícího stavu realizací hrozby.

6. 6. 2015

-4-

CryptoFest, Praha

Hrozby v reálném světě Živelná katastrofa Požár, povodeň Kriminální čin Krádež, vloupání, násilí Nehoda Bouračka, úraz Nemoc Angína, rakovina, astma 6. 6. 2015

-5-

CryptoFest, Praha

Hrozby v IT Únik utajovaných skutečností Osobní údaje, strategické plány, identita

Přímá finanční škoda Duševní vlastnictví, kreditní karta

Poškození reputace Defacement webu, únik intimních fotografií

Ztráta dat Nastavení výrobních linek, fotky z dovolené 6. 6. 2015

-6-

CryptoFest, Praha

Bezpečnost obecně

Předcházím hrozbě-> snižuji riziko -> zvyšuji bezpečnost

6. 6. 2015

-7-

CryptoFest, Praha

Bezpečnost v reálném světě Systémová bezpečnost:

Zámek ve dveřích Hasiči Semafor

Osobní bezpečnost:

Důsledné zamykání Negrilovat v seníku Rozhled v křižovatce

6. 6. 2015

-8-

CryptoFest, Praha

Bezpečnost v IT Systémová bezpečnost:

Osobní bezpečnost:

6. 6. 2015

Firewall Šifrování Hesla Zamykání obrazovky Opatrnost u „free…“ Důsledné aktualizace

-9-

CryptoFest, Praha

Co si chráníme? Reálný svět

Identita Zdraví

Peníze

Život Majetek Rodina

Soukromí

@ Online svět

6. 6. 2015

- 10 -

CryptoFest, Praha

Jak se chráníme? Reálný svět

Online svět

Co mají uvedené situace společného a v čem se naopak liší?

@

Pochybná čtvrť v noci

Stránky s nelegálním obsahem

Přecházení silnice

Internetové bankovnictví

Výběr z bankomatu

Platba kartou online

Klíče od domu/bytu

Hesla

Prášek na hubnutí

Instalace neznámého programu

Výlet do exotické země

Cracknutí hry

Známí z diskotéky

Přátelé na facebooku

6. 6. 2015

- 11 -

CryptoFest, Praha

Kde aplikovat IT bezpečnost?

Veškerá zařízení, s přístupem k internetu, nebo připojitelná k počítači.

6. 6. 2015

- 12 -

CryptoFest, Praha

Fakta První počítačový virus: 1982 První virus na mobilním telefonu: 2004 Chuck Norris botnet, routery a modemy: 2010 První hacknutí funkcí automobilu: 2011-2013 V roce 2013 McAfee katalogizovalo 100 000 nových vzorků malware každý den. 6. 6. 2015

- 13 -

CryptoFest, Praha

Co nás ohrožuje

6. 6. 2015

Hackeři

Malware

Datamining

Vládní agentury

- 14 -

CryptoFest, Praha

Čemu se lze efektivně bránit?

6. 6. 2015

Aktualizace Firewall Obezřetnost

Aktualizace Antivir Sebekontrola

Sebekontrola Soukromí Anonymita

Zveřejnění Svoboda Média - 15 -

CryptoFest, Praha

Motivace temné strany Cíle útočníka: peníze / moc

Přímo, vylákáním peněz Prostřednictvím ukradené identity Prostřednictvím malware v uživatelském PC Prostřednictvím ukradených informací 6. 6. 2015

- 44 -

CryptoFest, Praha

Prostředky temné strany

Sociální inženýrství Malware Technická nadřazenost Samotní uživatelé Zákonný rámec

6. 6. 2015

- 17 -

CryptoFest, Praha

Sociální inženýrství Nevyžaduje hlubší technické znalosti Přináší téměř okamžitý zisk 100% ochranou je 100% izolace

Phishing Zneužití identity Obecně uživatel jako útočný vektor 6. 6. 2015

- 18 -

CryptoFest, Praha

Cíle sociálního inženýrství

Přimět oběť sociálního inženýrství k (ne)činnosti, která odpovídá cílům útočníka.

6. 6. 2015

- 19 -

CryptoFest, Praha

Nejjednodušší útok? Q: Řeknete co máte za heslo? A: Jméno psa a rok promoce Q: A co máte za psa A: Chiba Inu Q: Jak se jmenuje? A: Hafík Q: A kam jste chodila na školu? A: VŠE Q: A kdy jste skončila? A: 2013 Zdroj (volný přepis): https://www.youtube.com/watch?v=opRMrEfAIiI 6. 6. 2015

- 20 -

CryptoFest, Praha

Proč to funguje? Exekuce

Zaplatit telefon

Kafe pro šéfa Výplatní pásky

Emoce Roztomilá koťátka

Informace o nedoručené zásilce

Květinový záhon Vyzvednout poštu 6. 6. 2015

- 44 -

CryptoFest, Praha

Dualita mozku Amygdala

Prefrontální neokortex

Vývojově starší část Útěk x Útok Bleskové reakce Emoce Instinktivní rozhodování

Vývojově mladší část Racionální myšlení Pomalé reakce Logika Přesné rozhodování

6. 6. 2015

- 44 -

CryptoFest, Praha

Mechanismus rozhodování Nedostatek času + Stres + Emoce = -------------Amygdala, Instinktivní rozhodování

6. 6. 2015

- 44 -

CryptoFest, Praha

Sociální inženýrství - obrana Poučit se z chyb. Důvěřuj, ale prověřuj. Opravdu chci udělat to o co jsem žádán? Proč mě banka žádá o přítupové heslo mailem? Proč má archiv s fotkami poníků příponu EXE? Proč po mě chce banka potvrdit nedůvěryhodný certifikát? 6. 6. 2015

- 24 -

CryptoFest, Praha

Malware Malicious+Software = Malware [blending] Veškeré programy vytvořené za účelem nedobrovolného zneužití Vašeho počítače pro účely útočníka, k získávání informací o Vás a nebo zobrazování reklamy Spyware

Adware

Botnet agent

Malware

Virus 6. 6. 2015

Ransomware

Trojan - 25 -

CryptoFest, Praha

Malware Tak mám vira, no a co? Rozesílá spam Útočí na servery NSA

Přesměruje provoz na falešné stránky

Napadený PC

Odesílá stisknuté klávesy

Zašifrovaný disk, požadavek výpalného

6. 6. 2015

Běží pomalu

Těží pro útočníka Bitcoiny

Padá systém Sleduje přihlašovací údaje, WoW, WoT, e-mail, banka...

Zpřístupní Vaše fotky útočníkům

- 26 -

CryptoFest, Praha

Malware – řídící struktura

6. 6. 2015

- 18 -

CryptoFest, Praha

Malware – obrana Aktuální OS a aplikace Nestandardní OS + aplikace (minoritní) Hlídat si přípony souborů Velká obezřetnost u „Free (XXX)“ obsahu Cracky zkoušet týden po vydání, napřed u VirusTotal

6. 6. 2015

- 28 -

CryptoFest, Praha

Technická nadřazenost NSA, FAPSI (FAGCI), … Vládní agentury, Kriminální organizace, Armádní speciální složky...

6. 6. 2015

- 29 -

CryptoFest, Praha

Technická nadřazenost - Obrana Jak se z pozice běžného občana bránit tomuto?

6. 6. 2015

- 30 -

CryptoFest, Praha

Datamining Cílem je získat informace (za účelem jejich prodeje). Lze použít k deanonymizaci uživatelů sítě Krádež identity Narušení soukromí Cílení reklamy Vydírání 6. 6. 2015

- 31 -

CryptoFest, Praha

Datamining - obrana

Hlídat si soukromí – sociální síťě jako vizitka Zachovat anonymitu (v rámci možností)

6. 6. 2015

- 32 -

CryptoFest, Praha

Anonymita na internetu

Jak vidíme svou anonymitu na internetu.. 6. 6. 2015

- 33 -

CryptoFest, Praha

Anonymita na internetu Ross Ulbricht, odsouzen na doživotí za: Tvorbu a provozování anonymního tržiště Silk Road.

Silk Road bylo dostupné pouze pomocí anonymizačního protokolu TOR.

6. 6. 2015

- 34 -

CryptoFest, Praha

Anonymita na internetu

Neexistuje 6. 6. 2015

- 35 -

CryptoFest, Praha

Anonymní prohlížení

Koho z Vás již sledovala na internetu reklama? 6. 6. 2015

- 36 -

CryptoFest, Praha

Anonymita - doporučení Anonymní režim prohlížeče pro: Sociální sítě Googlení Free(xxx) obsah

Minimálně dojde k omezení stalkujících reklam…

6. 6. 2015

- 37 -

CryptoFest, Praha

Soukromí Nic špatného nedělám, tak mi nic nehrozí, ať si mě klidně sledují!

VS

To, že nejsem paranoidní, ještě neznamená, že po mně nejdou! 6. 6. 2015

- 38 -

CryptoFest, Praha

Soukromí

To, že nejsem paranoidní, ještě neznamená, že po mně nejdou! 6. 6. 2015

- 39 -

CryptoFest, Praha

Soukromí Nic špatného nedělám, tak mi nic nehrozí, ať si mě klidně sledují!

VS

6. 6. 2015

- 40 -

CryptoFest, Praha

Zabezpečení soukromí Nezveřejňuji (=nedávám na internet) soukromá data Intimní fotky synchronizované do cloudu…

Rámcově sleduji, co o mé osobě tweetují ostatní Vím – mohu být připraven na konfrontaci Bránit se lze právně, reálně spíše škodí

Používám kvalitní hesla

6. 6. 2015

- 41 -

CryptoFest, Praha

Hesla F98DMrnf_ff$-ddssd.I720dcn Dobré heslo, ale těžko se pamatuje... Skakal.p3s_6piv_nes Dobré heslo a pamatujete si ho už teď Skakal.p3s_seznam_nes Skakal.p3s_fb_nes Skakal.p3s_skolu_nes Dobré heslo, dobře se pamatuje, liší se pro každou službu Odolné vůči slovníkovému útoku Dobré heslo je k ničemu na zavirovaném PC 6. 6. 2015

- 42 -

CryptoFest, Praha

Shrnutí obrany Být ve střehu, sledovat neobvyklou aktivitu, https Aktualizovat Používat Antivir, Firewall Dvakrát si rozmyslet, než kliknu na odkaz Třikrát si rozmyslet a dvakrát zkontrolovat adresu, než: Zadám heslo do banky Do mailu Do školního systému Narazím-li na velký problém, kontaktuji odpovědnou osobu, nebo rovnou policii (není se za co stydět) 6. 6. 2015

- 43 -

CryptoFest, Praha

Prostor pro diskusi Shrnutí: Riziko, Hrozba, bezpečnost Realita vs. IT Sociální inženýrství Malware Vládní agentury Datamining Anonymita Soukromí Hesla 6. 6. 2015

- 44 -

? CryptoFest, Praha