Napadnutelná místa v komunikaci

Napadnutelná místa v komunikaci Beret CryptoParty 11.02.2013

11.02.2013

Napadnutelná místa v komunikaci

1/16

Obsah prezentace 1. Příklad komunikace: e-mail 2. Napadnutelná místa 3. Typy narušitelů 4. Metody ochrany ●

obecně

●

šifrování komunikace – klient-server, end-to-end

●

VPN, anonymizace

●

off-line ochrana dat 11.02.2013


2/16

Příklad komunikace ●

e-mail: počítač

router

ISP

server

Andreas Internet

počítač

router

ISP

server

Beáta

11.02.2013


3/16

Napadnutelná místa

router

ISP

server zaměstnanci, zák. odposlech

zákonný odposlech

hackeři, majitel připojení

počítač

ISP

špioni (?)

router

LAN

Andreas

počítač

viry, spyware, bezp. díry

e-mail:

prostředí

●

hackeři, Internet roboti

server

Beáta

11.02.2013


4/16

Typy narušitelů ●

●

●

kyberzločinci –

získání dat: slabiny systému (nelegální)

–

využití: zábava, podvody, spam, krádež identity

poskytovatelé –

získání dat: uživatelé jim je svěřují

–

využití: cílená reklama

zákonné složky –

získání dat: soudní příkazy, odposlechy

–

využití: odhalování zločinu (včetně porušování copyrightu) 11.02.2013


5/16

Metody ochrany – obecně ●

bezpečnostní záplaty, firewall, antivirus, … –

●

šifrování –

●

proti čtení informací

podepisování –

●

proti napadení systému

proti změně informací (zejména přesměrování toku)

anonymizace –

proti identifikaci odesílatele 11.02.2013


6/16

Metody ochrany ●

pravidelné aktualizace, antivirus, antispyware, firewall, … –

●

tomu se věnují jiní

neudělejte si díru ve vlastním systému –

spyware

–

osoby s přístupem k hardwaru

–

nešifrované informace (logy, uložené e-maily) 11.02.2013


7/16

Metody ochrany ●

zabezpečené spojení se serverem (SSL / TLS) –

šifrování a podepisování

–

mezi klientem a serverem

–

univerzální použití (HTTPS, FTPS, POP3S, IMAPS, XMPP, …)

–

lze napadnout pomocí: ● ●

hlouposti uživatele (ignoruje varování) narušení certifikační autority počítač

router

ISP

server SSL / TLS

11.02.2013


8/16

Metody ochrany ●

end-to-end kryptografie (PGP, OTR, …) –


–

mezi klientem a klientem

–

pluginy do existujících služeb (Enigmail, Pidgin-OTR)

–

nutné ověřit uživatele, jinak hrozí Man-in-the-Middle Attack počítač

počítač

Andreas

end-to-end kryptografie

11.02.2013


Beáta

9/16

Metody ochrany ●

pozn.: kombinace SSL / TLS a end-to-end –

některá data chceme bezpečně odeslat serveru (heslo)

–

jiná data chceme bezpečně odeslat uživateli (zpráva)

11.02.2013


10/16

Metody ochrany ●

Virtual Private Network (VPN) –


–

zabezpečený tunel od klienta k VPN serveru (tj. i skrz ISP)

–

získání bezpečí na nedůvěryhodných sítích (veřejná Wi-Fi)

–

využívají firmy s externími pracovníky

–

obvykle placené

–

pouze přesouvá napadnutelné místo jinam počítač

router

ISP

VPN server

server

VPN tunel

11.02.2013


11/16

Metody ochrany ●

anonymizace (proxy, Tor) –

obvykle změna IP adresy

–

„splynutí s davem“

–

je snadné se prozradit (přihlášení na Facebook, ID prohlížeče, styl psaní, end-to-end korelace)

–

nezaměňovat anonymitu se soukromím

11.02.2013


12/16

Metody ochrany ●

●

šifrování disku (TrueCrypt, dm-crypt, …) –

chrání data, když je počítač vypnutý

–

odcizení, pohraniční kontrola, …

–

vyžaduje heslo při spuštění nebo probuzení počítače

šifrování souborů –

lze použít GnuPG, RAR, …

–

šifrované klíčenky (KeePass, součást Firefoxu, …) ●

fungují správně pouze s odemykacím heslem!

11.02.2013


13/16

Metody ochrany ●

steganografie (steghide) –

popření existence tajných informací

–

skrytí v jiných datech (obrázky, hudba)

11.02.2013


14/16

Závěr

11.02.2013


15/16

Závěr ●

komunikaci lze narušit na mnoha místech

●

zabezpečený počítač je základ

●

SSL a TLS chrání před zločinci – používat, kde to jde

●

soukromé zprávy je vhodné chránit end-to-end

●

VPN chrání v nejistých prostředích

●

anonymita je křehká, Tor ji může poskytnout

●

šifrování dat na disku je vhodné pro případ odcizení

11.02.2013


16/16

Napadnutelná místa v komunikaci

Recommend Documents