Informatika 2
Bezpečnost ve světě ICT - 12 Přednáší:
doc. Ing. Jan Skrbek, Dr. - KIN
Přednášky: středa
1420 – 1555 1610 – 1745
Spojení:
e-mail:
[email protected] tel.: 48 535 2442
Obsah:
• • • •
Bezpečnostní hrozby Zásady ochrany dat Informační bezpečnost Elektronický podpis 1
PSYCHOLOGICKÉ ÚTOKY Vylákání údajů - phishing Vydávání se za existující společnosti za účelem získání osobních informací nebo šíření virů. Podvodné e-mailové zprávy, které mají vzbudit dojem, že byly odeslány ze známé e-mailové adresy (např. České spořitelny). Zpráva obsahuje link na údajné stránky České spořitelny a vyzývá k potvrzení osobních bankovních údajů. Cílem podvodného e-mailu může být získání klientského čísla a hesla adresáta (identifikační a autentizační údaje), bezpečnostního kódu nebo například PIN k platební kartě či dalších bezpečnostních údajů a jejich následné zneužití.
Nigerijské dopisy
Nebezpečné e-maily
Může dojít k vylákání peněz z důvodu zaplacení posledních detailů Po uživateli se chce, aby odletěl např. do Nigerie, cestu si zaplatí a tam je možné vydírání Zneužití účtu k praní „špinavých“ peněz 29.4.2015
2
PSYCHOLOGICKÉ ÚTOKY Phishingový útok – př. 1 „chytrý“ obsah, který může zmást uživatele „důvěryhodné“ jméno odesilatele (falzifikát) zcela nedůvěryhodná mailová adresa odesilatele aktivní označení SPAMovým filtrem
29.4.2015
3
PSYCHOLOGICKÉ ÚTOKY
Phishingový útok – př. 2 Špatná čeština (automatický překlad) „důvěryhodné“ jméno i mailová adresa odesilatele (falešné) aktivní označení SPAMovým filtrem 29.4.2015
4
PSYCHOLOGICKÉ ÚTOKY
Phishingový útok – př. 3 „vtipná“ forma obsahu (varovný text převzat z webu České spořitelny) „důvěryhodné“ jméno i mailová adresa odesilatele – doména ČNB (falešné) aktivní označení SPAMovým filtrem 29.4.2015
5
PSYCHOLOGICKÉ ÚTOKY
Hoaxy Plané poplachy • poslat co nejvíc mailů pro získání peněz na operaci smrtelně nemocného člověka • Smazat nějaký soubor, který je infikovaný (ve skutečnosti jde o nějaký systémový) • Petice např. za kácení stromů atd.
Proč škodí? Útok na uživatelů psychiku Zahlcují sítě Způsobují ekonomicky měřitelné ztráty způsobené zdržováním od práce
Užitečné odkazy www.hoax.cz , www.urbanlegends.com ,www.google.com
29.4.2015
6
VOLBA HESLA
Ochrana před zneužitím účtu Na samotném počítači Před anonymními útočníky z internetu
Správná volba 10 a více znaků Používat čísla a symboly Sestavit si heslo algoritmem z nějaké věty např. 1.písmeno z prvního slova, 2.písmeno z druhého slova atd.. Pozn. český slovník má jen cca 300 tisíc slov
29.4.2015
7
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ Odposlech Tvrdí se, že 95% veškeré komunikace je odposloucháváno Závislost na připojení v síti •
Aktivní prvky vs. pasivní
Odposlechy-video Bezpečné vymazání Prohlížeče si automaticky pamatují historii • •
Nastavit si správně internetové prohlížeče Vypnout automatické vyplňování formulářů
Vymazání a ani formátování disků nic v podstatě neřeší • •
Studie 200 starých disků, kde z 90% obnovili data včetně choulostivých Při prodávání či vyřazování je dobré použít speciální nástroje
29.4.2015
8
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ Přístupová práva Definování toho, co kdo s čím kde a jak může na počítači dělat. Lze obejít např. bootováním jiného systému z CD Útoky na Internet banking
Šifrování Nároky splňují dostatečně dlouhé asymetrické klíče např. RSA nebo kryptografie pomocí eliptických křivek Pracují na principu veřejného a soukromého klíče Veřejný klíč • •
K dispozici všem uživatelům, se kterými chce uživatel komunikovat Ostatní uživatelé pomocí tohoto klíče šifrují a posílají data
Soukromý klíč •
Slouží k rozšifrování komunikace od ostatních uživatelů, kterým uživatel poskytl svůj veřejný klíč
29.4.2015
9
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ Šifrování Šifrují se data i přímo na disku MS Windows (vč. Outlooku) mají v sobě zabudovaný nástroj pro šifrování dat Ostatní nástroje pro šifrování • • •
PGP – www.pgp.com GPG – www.gnupg.org Možnost stáhnout pluginy pro nejpoužívanější mailové programy
Je vhodné použít šifrovací klíče aspoň o délce 1024bitů •
Nepřečte nikdo bez soukromého klíče a je jedno v jaké fázi mail (data) odposlechne
Protokol SSL – šifrování dat na www stránkách (https://) •
Potřeba mít nainstalovanou podporu alespoň 128-bitových klíčů
Další zabezpečení •
Existují protokoly i pro zabezpečení např. Telnetu, FTP atd.
29.4.2015
10
Viry Viry – video
Historie šíření pomocí disket Obvykle mazání či formátování disku
Nyní Především pomocí elektronické pošty, resp. Internetu vůbec Cílem je zneužití počítače a dat na něm
Obecná charakteristika virů Kradou z počítače citlivá data a posílají je autorovi Instalují tzv. „zadní vrátka“, kterými autor zaútočí na počítač • •
Zneužití k DDoS útokům (Distributed denial of services) na významné servery Zneužití k provozování nelegální www stránek
Rozesílání náhodně vybraných dat na náhodně vybrané počítače (což ohrožuje citlivá data)
Zavirovat lze každý systém včetně Linuxu a mobilních telefonů 29.4.2015
11
Druhy virů Počítačové viry se dělí do několika skupin, podle toho, jaké objekty napadají: Boot viry
Souborové viry
napadají pouze soubory - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování.
Multipartitní viry
napadají systémové oblasti disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá média, která uživatel použije.
napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů.
Makroviry
napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Makrovirus může například vykrádat z vašeho počítače důvěrné informace, pracovat s vašimi soubory, spouštět aplikace. - v současné době nejčastěji se vyskytující druh viru.
V závislosti na některých dalších vlastnostech virů mluvíme o těchto typech virů: Stealth viry
Polymorfní viry
chrání se před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu. se pokoušejí znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu.
Rezidentní viry
zůstávají po svém spuštění přítomny v paměti.
29.4.2015
12
Hackeři
Podobné útoky jako viry Obecně lze hackery rozdělit do 4 skupin – na ty: kteří se „nabourávají“ do systému, aby získali nové vědomosti a zkušenosti s hackováním kteří se snaží být „in“ (obvykle děti). Často shání programy na hackování a náhodně se „kamsi“ připojí a nevědomě tím mohou napáchat i velkou škodu kterým jde o získání citlivých údajů (v podstatě špióni) kterým jde o zneužití počítače k „nekalým“ aktivitám Já, hacker 29.4.2015
13
BEZPEČNOSTNÍ DÍRY, SPYWARE Bezpečnostní díry Využívají je hackeři a viry Existuje i software, které je využívá pro tzv. „zadní vrátka“ pro hackera
Spyware Existuje celá řada aplikací, kterými lze sledovat, co uživatel dělá Mívají i podobu tzv. Cookies – malých souborů
• Automaticky (tj. bez vědomí provozovatele počítače) se stahují z Internetu!! Útoky DDoS (Distributed Denial of Service) Jsou zaměřeny cíleně na znepřístupnění služeb a to jakýmkoliv způsobem Při DoS útoku je zapojen jen jeden stroj/jedinec, při DDoS dva a více (statisíce) 29.4.2015
14
OBRANA Uživatelská
Antivir – Norton Antivirus, NOD32, Avast Firewall – Norton Internet Security, Kerio Personal Firewall Systém pro detekci vniknutí – Norton Internet Security Systém pro detekci spywaru – (AdAware www.lavasoftusa.com) Pravidelné aktualizace
Ve velkých sítích (systémech) Cisco Systems, Inc. (NASDAQ: CSCO) • přední světová firma dodávající internetová řešení (http://www.cisco.com)
Symantec • Kompletní řešení hardwarového a sowftwarového zabezpečení • LiveUpadte • Produkt Norton Internet Security
Bezpečnostní týmy
29.4.2015
15
VIRY EXE, PIF, SCR, VBS Spustitelné soubory, typické přípony virů šířících se mailem
ZIP, ARJ, RAR Archivy. Mohou obsahovat cokoliv, obsah může a nemusí být zavirovaný
DOC, XLS, MDB, PPT Dokumenty Microsoft Office, lze je zavirovat, ale současné typické viry se takto nešíří
PDF Dokument Adobe Acrobat Readeru. Není mi známo, že by existovaly viry, které se jím šíří
BMP, PCX, GIF, JPG, JPEG, PNG, TGA malá pravděpodobnost, že by existovaly viry, které se jimi šíří
TXT malá pravděpodobnost, že by existovaly viry, které se jím šíří
WAV, MP3, WMA, OGG u MP3 lze využít „bezpečnostní díry“ v rozšířeném přehrávači Winamp 29.4.2015
16
SPAM
Charakteristika Nevyžádaná reklamní pošta, každý den miliardy zpráv od několika málo uživatelů, např. nabídky levného softwaru, léků, sexuálních služeb apod. Útoky na emailové servery – využívání seznamu jmen Obrana – prevence a filtrování
Prevence e-mail v bezpečné podobě na osobních a firemních stránkách Nevyplňovat svůj e-mail na internetových fórech a diskuzích Neodpovídat a ani neklikat na stáhnutí obrázků v mailu
29.4.2015
17
SPAM
Filtrování SPAMu U některých poskytovatelů mailů si lze tuto službu zaplatit Instalace softwaru pro filtrování Filtry jsou součástí např. Outlooku, Netscapu nebo Norton Internet Security Filtrování funguje na základě statistiky a ne na odesílateli • Je však dobré občas odfiltrované SPAMy prohlédnout, protože i nástroje na filtrování mohou chybovat a pak lze ztratit cenné kontakty
29.4.2015
18
SHRNUTÍ
Tipy a rady
Nikdy nikam neposílat svá hesla, PIN ani nic podobného Pravidelně „záplatovat“ systém (update) Používat antivirus, firewall a detekci spywaru Správně nastavit přístupová práva, důležitá data a maily šifrovat Pro důležité maily používat digitální podpis Před prodejem disku nebo počítače smazat disk pomocí utilit, které data přepisují, ne jen prostým smazáním
Informace o právě se šířících i jiných virech a nebezpečích www.symantec.cz
IN2-13-10
29.4.2015
19
Bezpečná komunikace
Informační systémy 2
Digitální podpis
Kdo je můj komunikující partner? Je můj komunikující partner opravdu tím za koho se vydává?
IN2-11-12
20
Informační systémy 2
Základní atributy bezpečnosti
důvěrnost informací
neautorizované subjekty nemají možnost přístupu k důvěrným informacím
integrita dat
zabezpečení proti neautorizované modifikaci zprávy (dat)
neodmítnutelnost odpovědnosti
důkaz o přímé odpovědnosti subjektu za zprávu
Jak toto vše zajistit ?
Kombinací symetrické a asymetrické kryptografie
Aplikací digitálního (elektronického) podpisu 21
Symetrická kryptografie
Informační systémy 2
22
Asymetrická kryptografie
Informační systémy 2
23
Digitální podpis
Informační systémy 2
24
Informační systémy 2
Digitální podpis
Odesílatel vytvoří z datové zprávy pomocí hashovací funkce tzv. otisk zprávy (hash), který je následně zašifrován pomocí zvoleného asymetrického algoritmu a soukromého klíče odesílatele. Výsledek je digitálním podpisem. Proces ověřování digitálních podpisů provádí příjemce. Z přijaté datové zprávy se nejprve vypočte otisk a to za použití stejné hashovací funkce, která podpis vytvořila. Následuje dešifrování obdrženého digitálního podpisu pomocí veřejného klíče odesílatele. Porovná se nově vypočtený otisk s otiskem, který byl získán dešifrováním obdrženého digitálního podpisu. V případě, že jsou oba otisky shodné, má příjemce jistotu, že zpráva i podpis pochází od vlastníka příslušného soukromého klíče. Zmíněný princip užití elektronického podpisu v praxi předpokládá spolupráci s poskytovatelem certifikačních služeb, který poskytne potřebný certifikát veřejného klíče. 25
Certifikát
Informační systémy 2
Spojuje fyzickou totožnost žadatele s totožností „elektronickou“
Je vydáván s pevnou dobou platnosti, zpravidla půl roku
Certifikační autorita
vydává
certifikáty ( odpovědnost za ověření totožnosti žadatele o certifikát) seznam zneplatněných certifikátů seznam veřejných certifikátů
zajišťuje uložení a distribuci identifikačních informací
Registrační autorita komunikace s klientem přijímání žádostí o certifikát ověření totožnosti žadatele o certifikát
26
Informační systémy 2
Tvorba certifikátu 2. Doprava žádosti k registrační autoritě
3. Ověření žádosti na registrační autoritě
1. Generování páru klíčů
5. Získání certifikátu
USB token 6. Instalace certifikátu čipová karta
4. Vydání certifikátu CA 27