Informační systémy 2
Bezpečnost ve světě ICT - 10 Přednáší:
doc. Ing. Jan Skrbek, Dr. - KIN
Přednášky: pondělí
850 – 1025
Spojení:
e-mail:
[email protected] tel.: 48 535 2442
Obsah:
• • • •
Bezpečnostní hrozby Zásady ochrany dat Informační bezpečnost Elektronický podpis 1
Aktuality ze světa ICT
2
Informační systémy 2
Aktuality ze světa ICT
3
Informační systémy 2
PSYCHOLOGICKÉ ÚTOKY Vylákání údajů - phishing Vydávání se za existující společnosti za účelem získání osobních informací nebo šíření virů. Podvodné e-mailové zprávy, které mají vzbudit dojem, že byly odeslány ze známé e-mailové adresy (např. České spořitelny). Zpráva obsahuje link na údajné stránky České spořitelny a vyzývá k potvrzení osobních bankovních údajů. Cílem podvodného e-mailu může být získání klientského čísla a hesla adresáta (identifikační a autentizační údaje), bezpečnostního kódu nebo například PIN k platební kartě či dalších bezpečnostních údajů a jejich následné zneužití.
Nigerijské dopisy Může dojít k vylákání peněz z důvodu zaplacení posledních detailů Po uživateli se chce, aby odletěl např. do Nigerie, cestu si zaplatí a tam je možné vydírání Zneužití účtu k praní „špinavých“ peněz 17.5.2016
4
Aktuality ze světa ICT
5
Informační systémy 2
Aktuality ze světa ICT
6
Informační systémy 2
17.5.2016
7
PSYCHOLOGICKÉ ÚTOKY V poslední době začali počítačoví piráti místo údajných bezpečnostních aplikací pro internetové bankovnictví maskovat škodlivé kódy také za jiné oblíbené aplikace – např. za Seznam.cz, E-mail nebo Facebook. Útočníci, kterým se již podařilo ovládnout váš počítač prostřednictvím škodlivého viru, se snaží uživatele při přihlášení přimět, aby si do svého chytrého telefonu nainstaloval aplikaci pro jednodušší a bezpečnější práci s poštovní schránkou nebo účtem na sociálních sítích. Jejich jediným účelem je zachytávat a skrytě přeposílat útočníkovi autorizační SMS zprávy, které jsou nutné pro potvrzení platby. Riziko těchto útoků spočívá především v tom, že na první pohled není škodlivá aplikace nijak spojena s bankovním účtem a uživatelé si často neuvědomí, že jejím stažením vydávají kybernetickým zlodějům všanc své finance. 17.5.2016
8
PSYCHOLOGICKÉ ÚTOKY Zavirované e-maily
17.5.2016
9
PSYCHOLOGICKÉ ÚTOKY
Hoaxy Plané poplachy • poslat co nejvíc mailů pro získání peněz na operaci smrtelně nemocného člověka • Smazat nějaký soubor, který je infikovaný (ve skutečnosti jde o nějaký systémový) • Petice např. za kácení stromů atd.
Proč škodí? Útok na uživatelů psychiku Zahlcují sítě Způsobují ekonomicky měřitelné ztráty způsobené zdržováním od práce
Užitečné odkazy www.hoax.cz , www.urbanlegends.com ,www.google.com 17.5.2016
10
VOLBA HESLA Ochrana před zneužitím účtu Na samotném počítači Před anonymními útočníky z internetu
Správná volba 10 a více znaků Používat čísla a symboly Sestavit si heslo algoritmem z nějaké věty např. 1.písmeno z prvního slova, 2.písmeno z druhého slova atd.. Pozn. český slovník má jen cca 300 tisíc slov
17.5.2016
11
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ
Odposlech Tvrdí se, že 95% veškeré komunikace je odposloucháváno Závislost na připojení v síti •
Aktivní prvky vs. pasivní
Odposlechy-video Bezpečné vymazání Prohlížeče si automaticky pamatují historii • •
Nastavit si správně internetové prohlížeče Vypnout automatické vyplňování formulářů
Vymazání a ani formátování disků nic v podstatě neřeší • •
Studie 200 starých disků, kde z 90% obnovili data včetně choulostivých Při prodávání či vyřazování je dobré použít speciální nástroje
17.5.2016
12
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ
Přístupová práva Definování toho, co kdo s čím kde a jak může na počítači dělat. Lze obejít např. bootováním jiného systému z CD Útoky na Internet banking
17.5.2016
13
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ
Šifrování Šifrují se data i přímo na disku MS Windows (vč. Outlooku) mají v sobě zabudovaný nástroj pro šifrování dat Ostatní nástroje pro šifrování • • •
PGP – www.pgp.com GPG – www.gnupg.org Možnost stáhnout pluginy pro nejpoužívanější mailové programy
Je vhodné použít šifrovací klíče aspoň o délce 1024bitů •
Nepřečte nikdo bez soukromého klíče a je jedno v jaké fázi e-mail (data) odposlechne
Protokol SSL – šifrování dat na www stránkách (https://) •
Potřeba mít nainstalovanou podporu alespoň 128-bitových klíčů
Další zabezpečení •
Existují protokoly i pro zabezpečení např. Telnetu, FTP atd.
17.5.2016
14
Viry Viry – video
Historie šíření pomocí disket Obvykle mazání či formátování disku
Nyní Především pomocí elektronické pošty, resp. Internetu vůbec Cílem je zneužití počítače a dat na něm
Obecná charakteristika virů Kradou z počítače citlivá data a posílají je autorovi Instalují tzv. „zadní vrátka“, kterými autor zaútočí na počítač • •
Zneužití k DDoS útokům (Distributed denial of services) na významné servery Zneužití k provozování nelegální www stránek
Rozesílání náhodně vybraných dat na náhodně vybrané počítače (což ohrožuje citlivá data)
Zavirovat lze každý systém včetně Linuxu a mobilních telefonů 17.5.2016
15
Druhy virů Počítačové viry se dělí do několika skupin, podle toho, jaké objekty napadají: Boot viry
Souborové viry
napadají pouze soubory - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování.
Multipartitní viry
napadají systémové oblasti disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá média, která uživatel použije.
napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů.
Makroviry
napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Makrovirus může například vykrádat z vašeho počítače důvěrné informace, pracovat s vašimi soubory, spouštět aplikace. - v současné době nejčastěji se vyskytující druh viru.
V závislosti na některých dalších vlastnostech virů mluvíme o těchto typech virů: Stealth viry
Polymorfní viry
chrání se před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu. se pokoušejí znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu.
Rezidentní viry
zůstávají po svém spuštění přítomny v paměti.
17.5.2016
16
Hackeři
Podobné útoky jako viry Obecně lze hackery rozdělit do 4 skupin – na ty: kteří se „nabourávají“ do systému, aby získali nové vědomosti a zkušenosti s hackováním kteří se snaží být „in“ (obvykle děti). Často shání programy na hackování a náhodně se „kamsi“ připojí a nevědomě tím mohou napáchat i velkou škodu kterým jde o získání citlivých údajů (v podstatě špióni) kterým jde o zneužití počítače k „nekalým“ aktivitám Já, hacker 17.5.2016
17
BEZPEČNOSTNÍ DÍRY, SPYWARE Bezpečnostní díry Využívají je hackeři a viry Existuje i software, které je využívá pro tzv. „zadní vrátka“ pro hackera
Spyware Existuje celá řada aplikací, kterými lze sledovat, co uživatel dělá Mívají i podobu tzv. Cookies – malých souborů
• Automaticky (tj. bez vědomí provozovatele počítače) se stahují z Internetu!! Útoky DDoS (Distributed Denial of Service) Jsou zaměřeny cíleně na znepřístupnění služeb a to jakýmkoliv způsobem Při DoS útoku je zapojen jen jeden stroj/jedinec, při DDoS dva a více (statisíce) 17.5.2016
18
OBRANA Uživatelská
Antivir – Norton Antivirus, NOD32, Avast Firewall – Norton Internet Security, Kerio Personal Firewall Systém pro detekci vniknutí – Norton Internet Security Systém pro detekci spywaru – (AdAware www.lavasoftusa.com) Pravidelné aktualizace
Ve velkých sítích (systémech) Cisco Systems, Inc. (NASDAQ: CSCO) • přední světová firma dodávající internetová řešení (http://www.cisco.com)
Symantec • Kompletní řešení hardwarového a sowftwarového zabezpečení • LiveUpadte • Produkt Norton Internet Security
17.5.2016
19
VIRY EXE, PIF, SCR, VBS Spustitelné soubory, typické přípony virů šířících se mailem
ZIP, ARJ, RAR Archivy. Mohou obsahovat cokoliv, obsah může a nemusí být zavirovaný
DOC, XLS, MDB, PPT Dokumenty Microsoft Office, lze je zavirovat – makroviry (současné typické viry se nicméně takto nešíří)
PDF BMP, PCX, GIF, JPG, JPEG, PNG, TGA TXT malá pravděpodobnost, že by existovaly viry, které se jím šíří
WAV, MP3, WMA, OGG u MP3 lze využít „bezpečnostní díry“ v některých přehrávačích
17.5.2016
20
SPAM
Charakteristika Nevyžádaná reklamní pošta, každý den miliardy zpráv od několika málo uživatelů, např. nabídky levného softwaru, léků, sexuálních služeb apod. Útoky na emailové servery – využívání seznamu jmen Obrana – prevence a filtrování
Prevence e-mail v bezpečné podobě na osobních a firemních stránkách Nevyplňovat svůj e-mail na internetových fórech a diskuzích Neodpovídat a ani neklikat na stáhnutí obrázků v mailu
17.5.2016
21
SPAM
Filtrování SPAMu U některých poskytovatelů mailů si lze tuto službu zaplatit Instalace softwaru pro filtrování Filtry jsou součástí např. Outlooku nebo Norton Internet Security Filtrování funguje na základě statistiky a ne na odesílateli • Je však dobré občas odfiltrované SPAMy prohlédnout, protože i nástroje na filtrování mohou chybovat a pak lze ztratit cenné kontakty
17.5.2016
22
SHRNUTÍ
Tipy a rady
Nikdy nikam neposílat svá hesla, PIN ani nic podobného Pravidelně „záplatovat“ systém (update) Používat antivirus, firewall a detekci spywaru Správně nastavit přístupová práva, důležitá data a maily šifrovat Pro důležité maily používat digitální podpis Před prodejem disku nebo počítače smazat disk pomocí utilit, které data přepisují, ne jen prostým smazáním
Informace o právě se šířících i jiných virech a nebezpečích www.symantec.cz
IN2-13-10
17.5.2016
23
Bezpečná komunikace
Informační systémy 2
Digitální podpis
Kdo je můj komunikující partner? Je můj komunikující partner opravdu tím za koho se vydává?
IN2-11-12
24
Informační systémy 2
Základní atributy bezpečnosti
důvěrnost informací
neautorizované subjekty nemají možnost přístupu k důvěrným informacím
integrita dat
zabezpečení proti neautorizované modifikaci zprávy (dat)
neodmítnutelnost odpovědnosti
důkaz o přímé odpovědnosti subjektu za zprávu
Jak toto vše zajistit ?
Kombinací symetrické a asymetrické kryptografie
Aplikací digitálního (elektronického) podpisu 25
Symetrická kryptografie
Informační systémy 2
26
Asymetrická kryptografie
Informační systémy 2
27
Digitální podpis
Informační systémy 2
28
Digitální podpis
Informační systémy 2
29
Informační systémy 2
Digitální podpis
Odesílatel vytvoří z datové zprávy pomocí hashovací funkce tzv. otisk zprávy (hash), který je následně zašifrován pomocí zvoleného asymetrického algoritmu a soukromého klíče odesílatele. Výsledek je digitálním podpisem. Proces ověřování digitálních podpisů provádí příjemce. Z přijaté datové zprávy se nejprve vypočte otisk a to za použití stejné hashovací funkce, která podpis vytvořila. Následuje dešifrování obdrženého digitálního podpisu pomocí veřejného klíče odesílatele. Porovná se nově vypočtený otisk s otiskem, který byl získán dešifrováním obdrženého digitálního podpisu. V případě, že jsou oba otisky shodné, má příjemce jistotu, že zpráva i podpis pochází od vlastníka příslušného soukromého klíče. Zmíněný princip užití elektronického podpisu v praxi předpokládá spolupráci s poskytovatelem certifikačních služeb, který poskytne potřebný certifikát veřejného klíče. 30
Informační systémy 2
Digitální podpis
Délka hodnoty hash je dána typem použitého hash algoritmu a tato délka se nemění v závislosti na délce vlastní zprávy. Od 1. 1 . 2010 se používá algoritmus rodiny SHA-2 (délka klíče 224,256,384 nebo 512 bitů). Každá dvojice nestejných zpráv vede na zcela rozdílnou hodnotu hash, dokonce i v případě, že se dvě zprávy liší pouze v jediném bitu. Pokaždé, když je počítána hodnota hash z příslušné zprávy za použití toho samého algoritmu, je vytvořena stejná hodnota funkce hash. Hash algoritmus je jednosměrná funkce. Z dané výsledné hodnoty hash funkce není možné obnovit původní zprávu.
31
Certifikát
Informační systémy 2
Spojuje fyzickou totožnost žadatele s totožností „elektronickou“
Je vydáván s pevnou dobou platnosti, zpravidla půl roku
Certifikační autorita
vydává
certifikáty ( odpovědnost za ověření totožnosti žadatele o certifikát) seznam zneplatněných certifikátů seznam veřejných certifikátů
zajišťuje uložení a distribuci identifikačních informací
Registrační autorita komunikace s klientem přijímání žádostí o certifikát ověření totožnosti žadatele o certifikát
32
Informační systémy 2
Tvorba certifikátu 2. Doprava žádosti k registrační autoritě
3. Ověření žádosti na registrační autoritě
1. Generování páru klíčů
5. Získání certifikátu
USB token 6. Instalace certifikátu čipová karta
4. Vydání certifikátu CA 33
Využití certifikátů
Informační systémy 2
1. Bezpečná komunikace elektronickou poštou digitální podpis
Zajištění neodmítnutelnosti odpovědnosti za odeslanou zprávu či data zajištění integrity odeslané zprávy
34
