Informační bezpečnost

Transkript

1 Informační bezpečnost Ochrana osobních údajů na internetu 1 Obsah INFORMAČNÍ BEZPEČNOST NA INTERNETU... 3 ROLE UŽIVATELE NA INTERNETU... 3 ÚŽIVATEL A JEHO DIGITÁLNÍ STOPY... 3 RIZIKA DIGITÁLNÍCH STOP... 4 VŠECHNY INFORMACE JSOU ZNEUŽITELNÉ... 4 AKTIVNÍ OCHRANA PROTI ZNEUŽITÍ OSOBNÍCH ÚDAJŮ... 5 ZAMETÁME DIGITÁLNÍ STOPY... 5 ZABEZPEČENÍ POČÍTAČE... 6 CHOVEJTE SE BEZPEČNĚ... 6 ZÁSADY BEZPEČNÉHO HESLA... 6 JAK SE ZÍSKÁVÁ HESLO K ÚTOKU?... 7 ÚTOKY K ZÍSKÁNÍ INFORMACÍ, ANEB SOCIÁLNÍ INŽENÝRSTVÍ... 8 FORMY SOCIÁLNÍHO INŽENÝRSTVÍ... 8 Nebezpečné komunikační praktiky a sociální inženýrství... 8 DALŠÍ RIZIKOVÉ JEVY HOAX SMS SPOOFING KYBERŠIKANA GROOMING STALKIG A KYBERSTAKING SOCIÁLNÍ SÍTĚ Sociální sítě jako prostředí pro nebezpečnou virtuální komunikaci BEZPEČNOST NA FACEBOOKU AUTORSKÁ PRÁVA NA FACEBOOKU Licence CREATIVE COMMONS Použité zdroje... 2

2 INFORMAČNÍ BEZPEČNOST NA INTERNETU Tento studijní text si klade za cíl upozornit Vás na některé nebezpečné jevy, které jsou spojeny s komunikací pomocí moderních informačních technologií. V textu se seznámíte s některými riziky, se kterými se můžete běžně setkat. Naučíme se zásady silného hesla a bezpečné komunikace nejen na internetu. Definujeme si některé pojmy jako je např. kyberšinana, kybergrooming, kyberstalking. Podrobněji se podíváme na oblast sociálních sítí a zabrousíme také do oblasti ochrany autorských práv na internetu a možnost, jak chránit Vaše vlastní autorská díla. Moderní informační a komunikační technologie (dále jen ICT) jsou součástí našeho každodenního života. Přestože je jejich historie zatím poměrně krátká, jejich rozvoj je velmi rychlý. Otevírají nám obrovské možnosti, před několika desítkami let netušené možnosti rychlé komunikace, kreativního vyjadřování a sebeprezentace, získávání informací z celého světa a všech oborů, atd. Rychlý rozvoj informačních a komunikačních však technologií s sebou však přináší rizika, která dopředu neznáme a jejichž následky můžeme nepříjemně pocítit třeba až za několik měsíců, či dokonce let. ROLE UŽIVATELE NA INTERNETU Stejně tak, jako komunikaci tzv. tváří v tvář, jsme i v komunikaci pomocí ICT zároveň mluvčími a posluchači. Jako mluvčí informace sdělujeme, jako posluchači informace přijímáme. Informace, které přijmeme dále nějakým způsobem (sobě vlastním) pochopíme a dále interpretujeme. Na jedné straně stojí UŽIVATEL, který má svoji identitu osobní informace, které o sobě zveřejnil na internetu. Na druhé straně stojí ÚTOČNÍK, který se snaží získat osobní informace uživatele a zneužít je. Osobní informace může útočník získat legální i nelegální cestou. Jako uživatelé jsme ohrožováni nebezpečnými jevy komunikace pomocí informačních technologií, velice snadno se ale můžeme stát i útočníky. ÚŽIVATEL A JEHO DIGITÁLNÍ STOPY Zapamatujte si, že všechny informace jsou zneužitelné! Mohlo by se zdát, že existence uživatele na internetu je anonymní, ale není tomu tak. Každý den, za sebou zanecháváme digitální - Facebook, Twitter nebo jiné sociální síti, příspěvek do 2

3 diskuse pod článkem, příspěvek na blogu, atp. Naše digitální stopy jsou osobní informace, které může útočník snadno vyhledat a zneužít informace o našich koníčcích a zájmech, informace o přátelích a rodině, vzdělání, zaměstnání atd.. Osobní informace můžeme rozdělit do několika kategorií dle různých hledisek: snadno vyhledatelné a veřejné informace lehce vyhledatelné Googlem polodostupné informace k nimž má přístup jen omezený okruh lidí (např. zeď na Facebooku při dobrém zabezpečení) zcela skryté informace technické záznamy na navštívených serverech, cookies prohlížečů a další. Největší bezpečnostní hrozbu představují právě ty informace, které jsou dostupné nejsnáze, a může je najít každý běžný uživatel. Paradoxně jsou to právě ty osobní informace, které můžeme sami jednoduše ovlivnit. Základními zdroji takovýchto informací jsou především: diskuse pod články; profily a aktivita v sociálních sítích či na Wikipedii; vlastní blogy či webové stránky; Facebook, Twitter a další sociální sítě; členství ve spolcích, které na web umísťují jména členů; registrace na internetových stránkách. [zdroj: ČERNÝ, Michal. Digitální stopy. E-bezpečí [online] [cit ]. Dostupný z WWW: < Pokud chceme používat internet, musíme se smířit s tím, že digitální stopy budeme zanechávat i nadále. Je ale dobré vědět, jak jich zanechávat co nejméně a zanechávat jen takové, které nás mohou ohrozit jen minimálně nyní, ale i v budoucnu. RIZIKA DIGITÁLNÍCH STOP Ztráta soukromí Informace o vašich přátelích, zájmech, názorech a postojích, o vaší rodině, studiu, předchozích zaměstnáních, to vše vám může nečekaně zkomplikovat život např. může negativně ovlivnit vaše šance, budete-li se ucházet o zaměstnání atp. Zneužití digitální identity V případě, že útočník získá dostatek osobních informací o vás, snadno pak vytvoří falešnou identitu s cílem poškodit přímo vás, nebo někoho z vašeho okolí, případně využít vaši identitu pro podvody a trestnou činnost (ekonomické poškození oběti, poškození dobrého jména osoby či značky, kyberšikana, grooming, stalking, atp.). 3

4 VŠECHNY INFORMACE JSOU ZNEUŽITELNÉ Některé z nich samostatně, některé v kombinaci s dalšími údaji. Proto si svou identitu na internetu chraňte. Záleží na Vás, kolik toho o sobě řeknete. O co jde útočníkům? (Barret, s ) ová adresa; skutečné jméno a přímení, tel. číslo, adresa bydliště, apod.; hesla k aplikacím, ovým a jiným uživatelským účtům, bankovním účtům, atd.; informace o majetku, doba dovolené; rodné číslo, čísla dokladů, kódy platebních karet, jméno matky za svobodna, informace o blízkých osobách apod. silně zneužitelné. Kategorie ZOII (Král, s. 100) ČERVENÁ - rodné číslo, číslo pojištění, identifikační čísla (PIN) účtů, rodné jméno matky, informace o zdravotním stavu, trestní rejstřík, podrobné informace o financích, cestovní plány, seznam předchozích zaměstnání, informace o rodině a přátelích vč. jejich telefonních čísel, ových i skutečných adres, atp. ORANŽOVÁ telefonní číslo, adresa, datum narození, stav, zaměstnavatel, vzdělání, ová adresa, oblíbené nákupy, číslo kreditní karty, zájmy a koníčky, spolky a sdružení, navštívené webové stránky, apod. ZELENÁ směrovací číslo, věk, přibližná výše platu, povolání, průzkumy veřejného mínění, atd. Tyto informace nejsou náchylné ke zneužití, pokud nejsou ve spojení s jinými, choulostivějšími údaji z předchozích skupin. Nejlépe zneužitelné jsou tzv. IDENTIFIKAČNÍ INFORMACE V reálném prostředí osobní údaje: jméno, příjmení, datum narození, rodné číslo, atd. V elektronickém prostředí: uživatelské jméno/číslo a heslo, ová adresa, IP adresa, atd. AKTIVNÍ OCHRANA PROTI ZNEUŽITÍ OSOBNÍCH ÚDAJŮ Aktivní boj proti zneužití osobních údajů Zákon č. 101/2000 Sb., o ochraně osobních údajů. Úřad pro ochranu osobních údajů ČR (ÚOOÚ). 4

5 Trestní zákoník: 352 Násilí proti skupině obyvatelů a proti jednotlivci, 353 Nebezpečné vyhrožování, 354 Nebezpečné pronásledování. Velmi zajímavé stránky o zneužívání osobních informací ( ). ZAMETÁME DIGITÁLNÍ STOPY Způsobů, jak omezit svoje digitální stopy na minimum je několik. Z těch technických jsou to tzv. anonymizéry, které zamaskují skutečnou IP adresu vašeho počítače. Nejznámější je asi TOR (The Onion Router). Pokud jej chcete použít, nainstalujte si doplněk do prohlížeče (např. OperaTor pro Operu, nebo xb Browser pro Firefox). Při používání jakéhokoliv anonymizéru nezapomínejte, že jeho smyslem je jen a pouze ochrana vašeho soukromí, vyvarujte se jeho zneužití. Dalších způsobem je Proxy Server, který do značné míry zamezuje pokročilému sledování pomocí log souborů, atp. Proxy Server může být hardwarový, ale i softwarový např. pro Firefox existuje vhodný doplněk ProxyFoxy (dostupný zdarma). Účinně vás a vaše data ochrání také různé programy pro šifrování ů, dokumentů, atd.. Šifrovaný může být i přenos dat (někdy záleží na rozhodnutí uživatele), ochrana proti odposlechu, krádeži, atp. Také elektronický podpis je příkladem šifrování. ZABEZPEČENÍ POČÍTAČE Pravidelná údržba aby byl počítač co nejbezpečnější, provádějte pravidelné aktualizace operačního systému i programů. Aktualizace přináší nejen nové funkčnosti, ale i odstraňování bezpečnostních chyb. Softwarové zabezpečení chraňte svůj počítač pomocí dostupného softwaru - antivirová ochrana, antispyware, firewall... Odstranění škodlivého softwaru použijte vhodný softwarový nástroj, nebo projděte svůj počítač a zbavte se nepotřebného a podezřelého softwaru sami. Čas od času je potřeba uklidit. CHOVEJTE SE BEZPEČNĚ Účinnou ochranou je ale i dodržování několika jednoduchých zásad na straně uživatele buďte tak trochu Fantomas: 5

6 používejte více přihlašovacích jmen a přezdívek a snažte se nespojovat je s něčím, co jasně ukáže vaši skutečnou identitu chraňte svoje osobní údaje skutečné jméno, příjmení, adresu a další kontaktní údaje používejte více různých hesel a nikomu je nesdělujte nedoporučuje se používání funkce prohlížečů pro zapamatování hesel pokud tak učiníte na veřejném počítači, nezapomeňte po ukončení práce smazat cookies používejte více ových adres v případech, kdy nejde o pracovní záležitosti, nepoužívejte pracovní, nebo školní ovou adresu podle ní lze dohledat spoustu informací, které o vás hodně prozradí a pomohou odhalit vaši skutečnou identitu publikujte jen takové fotografie a videa, která nekompromitují vás ani nikoho jiného, zvažte, kolik toho o vás řeknou a zda to opravdu chcete říci (nyní i v budoucnu) při používání webové kamery buďte opatrní kdokoliv vás může nahrávat pokud přistupujete na nezabezpečenou wifi, buďte opatrní nezapomeňte, že ČLOVĚK JE NEJSLABŠÍM ČLÁNKEM JAKÉHOKOLIV ZABEZPEČENÍ řiďte se pravidlem, že JAKÁKOLIV INFORMACE JE ZNEUŽITELNÁ buďte obezřetní a zdravě nedůvěřiví, ale ne paranoidní J ZÁSADY BEZPEČNÉHO HESLA Jak už bylo řečeno výše, člověk je nejslabším článkem jakéhokoliv zabezpečení. V souvislosti s informačními technologiemi a zabezpečením pomocí hesel to platí dvojnásob. Je proto dobré osvojit si několik pravidel pro vytvoření dobrého hesla. Co má mít dobré heslo J minimálně 8 znaků, maximálně 12 znaků malá i velká písmena, čísla, speciální znaky není srozumitelným slovem minimálně každých 90 dnů změňte heslo Co nesmí mít dobré heslo L běžné slovo, které je navíc spojeno s vámi (i cizojazyčné, mírně obměněné nebo psané pozpátku, atp.) pro přístup k účtu ponecháte přednastavené údaje heslo se opakuje např. obměňujete 2 obdobná hesla stále dokola heslo používáte pro přihlášení na více místech heslo máte někde zapsáno (i tak aby jej nebylo možné přečíst nebo ukrást) heslo jste sdělili další osobě heslo je tvořeno řadou znaků, nebo se znaky opakují (abcdefgh, 6

7 , ) čísla nebo symboly jsou nahrazena podobnými znaky (he$lo) heslo je shodné s přihlašovacím jménem Bezpečné heslo vypadá např. takto: IO486x&23. Takové heslo, si ale těžko zapamatuje, že? Tím spíše, že ke každé aplikaci, kterou používáte, byste měli mít heslo jiné. Zkusili jste si spočítat, kolik uživatelských účtů máte? Zajímavým řešením jsou proto speciální softwary pro správu hesel, hardwarová řešení, čipy, atp. Náhradou za software může být ale i jednoduchá mnemotechnická pomůcka vymyslete větu, nebo frázi, pomocí které si heslo snadno připomenete (viz ). Účinným řešením je několikaúrovňová politika hesel. (Bott a Siechert: Mistrovství v zabezpečení Microsoft Windows 2000 a XP) cenné údaje heslo splňuje všechny podmínky pro tvorbu dobrého hesla zabezpečené servery silné heslo, mělo by být jedinečné postradatelné údaje nemusí být silné, nemusí být jedinečné Další z variací politiky hesel je vytvořit si a zapamatovat 2 nebo 3 silná hesla, která nelze snadno odhadnout a používat je pro přístup k různým účtům. Dále můžete rozlišovat mezi hesly, která máte k důležitým účtům a méně důležitým účtů. Také lze rozlišovat na tzv. hesla špinavá, u kterých se nic nestane, pokud o ně přijdete a hesla čistá, která jsou pro vás důležitá. Tyto strategie je možné kombinovat, tak jak vám to vyhovuje. Důležité je svá hesla neprozrazovat a dostatečně často je obměňovat. JAK SE ZÍSKÁVÁ HESLO K ÚTOKU? Útočníci mají nejrůznější finty a postupy, jak se dostat k heslům. pokusem zkoušení předdefinovaných údajů, prázdného hesla, atp. uhodnutím na základě dříve získaných osobních informací vylákáním použitím některé z technik sociálního inženýrství prolomením slovníkový útok, útok hrubou silou 7

8 ÚTOKY K ZÍSKÁNÍ INFORMACÍ, ANEB SOCIÁLNÍ INŽENÝRSTVÍ Sociální inženýrství je metoda, kterou útočníci používají k získání informací nutných pro přístup do počítačového systému nebo aplikace. Jde o podvodné jednání, které je postaveno na důvěřivosti uživatelů při elektronické komunikaci (včetně komunikace telefonické). FORMY SOCIÁLNÍHO INŽENÝRSTVÍ Phishing název je odvozen od fishing (rybaření). Útočník hodí návnadu a čeká, až se oběť chytne. Phishing funguje na principu rozesílání zpráv, které věrohodně napodobují oficiální sdělení od bank a podobných institucí s cílem získat citlivé osobní údaje (přihlašovací údaje, hesla, čísla kreditních karet, atp.). Pharming technika odvozená od phishingu. Útok není zaměřen přímo na uživatele, ale na DNS (Domen Name Server), na který je uživatel napojen. Uživatel zadá např. adresu svého internetového bankovnictví a napadený DNS ho přesměruje na podvrženou stránku. Pokud je stránka dobře připravena, hrozí nebezpečí, že uživatel nic nepoznaná a vloží na stránku citlivé údaje. Následuje článek věnovaný sociálnímu inženýrství, převzatý ze serveru Nebezpečné komunikační praktiky a sociální inženýrství Komunikace prostřednictvím e-komunikačních prostředků nese často množství rizik. Největší nebezpečí však nepředstavují technologie jako takové, ale zejména tzv. lidský faktor tj, důvěřivost uživatelů komunikace. Z toho následně vychází strategie tzv. sociálního inženýrství soubor technik, které působí na člověka a mění jeho názory, postoje, vzbuzují v něm falešnou představu o vybraném problému (dále jako tzv. hoax), předsouvají mu nekvalitní deformované informace apod. Co je tedy sociální inženýrství? Sociální inženýrství (SI) je termín pro metodu, jež vede legitimní počítačové uživatele k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství je tedy způsob získávání důležitých informací od uživatelů bez vědomí, že tak činí. 8

9 Sociotechnický útok V samotném úvodu je třeba zmínit, že schopný sociotechnik využívá pro efektivní útok (pro zajištění efektivního útoku) zejména tzv. šest základních vlastností lidské povahy: 1. Autoritu 2. Sympatii 3. Vzájemnost 4. Důslednost 5. Společenský souhlas 6. Poukázání na zvláštní příležitost, akční nabídku apod. Nyní něco k těmto vlastnostem: Autorita Lidé mají obecně tendenci podřídit se osobě s větší mocí (vyšší funkce, vedoucí pozice ve firmě či škole apod.). Vydává-li se sociotechnik například za asistenta ředitele, jeho slova mají vzhledem k průměrnému zaměstnanci vyšší váhu. Sympatie Lidé velmi rádi vyhoví požadavkům těm, ke kterým mají jisté sympatie. Ty si lze získat různými způsoby například díky stejným názorům na problém, zájmům apod. Vzájemnost Je velmi pravděpodobné, že bude se sociotechnikem potenciální oběť spolupracovat, pokud se bude cítit být útočníkovi za něco zavázána. Tedy například sociotechnik pro oběť něco udělá (například něco nainstaluje, sežene film, opraví počítačový problém) a mimoděk oběti řekne, ať si nainstaluje nějaký program, který zajistí bezpečnost počítače oběti. Může to být buď spyware (trojský kůň, keyscan apod..), nebo jednoduše program pro přístup ke vzdálené ploše uživatele (RealVNC apod.). Důslednost Součástí lidského charakteru je tendence podřídit se, pokud předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. Například veřejný slib, veřejná sázka apod. Společenský souhlas Společenský souhlas funguje tak, že sociotechnik oznámí oběti, že potřebuje něco vyplnit s tím, že všichni ostatní už ho vyplnili. Když to tedy udělali ostatní, proč ne oběť? Pak již záleží na útočníkovi, jaké otázky oběti předloží (osobní apod.). 9

10 Poukázání na zvláštní příležitost, akční nabídku apod. Kdo z nás by nebyl pod vlivem reklamy, kdo by se nesetkal s akčními nabídkami limitovanými časem či počtem kusů. Šikovný sociotechnik může například operovat s tím, že prvních 100 registrovaných uživatelů dostane nějaký dárek. Registraci odkáže na uměle vytvořenou stránku, která získá od uživatelů hesla, osobní údaje apod. Kolik z uživatelů internetu přeci používá univerzální hesla ke svým ovým účtům? Podobným způsobem probíhá známý phishing spojený se spamem (tedy snaha přesvědčit uživatele, aby se přihlásili ke svému bankovnímu účtu prostřednictvím falešné internetové stránky). A nyní k samotnému sociotechnickému útoku Jako médium pro sociotechnický útok slouží kromě klasické pošty hlavně telefon a internet ( , IRC, ICQ). Zkušení sociotechnici mohou provádět i útoky tváří v tvář. V případě, že útočník dokonce zná oběť osobně, může uhodnout její heslo na základě informací, které o ní má. Zkusí například zadat místo narození, přezdívku, název vesnice, ve které má oběť chatu, jméno psa atd. Mezi oblíbená hesla patří příjmení, slova a jména z Bible, jména hrdinů z animovaných seriálů, postavy a citáty ze Shakespeara, Tolkiena či Hvězdných válek, rodné číslo, slovo heslo, čísla apod.). Je až s podivem, jak velké množství lidí jednoduchá hesla tohoto typu používá i pro zabezpečení přístupu k vysoce důležitým dokumentům a účtům. Když o oběti neznáme bližší údaje, je možno využít techniky zvané phishing. Sociotechnici využívají běžných vlastností lidí, jako jsou důvěřování druhým, občasná lenost, přehlížení drobných odlišností, ochota pomoci druhým a strach před tím, aby se nedostali do problémů. Srovnejte například s phishingovým útokem na Českou spořitelnu, CityBank apod. Pokud útočníkovi na úspěchu akce záleží, neváhá věnovat delší časové období na tzv. budování důvěry. Útočník například s obětí třeba i několik týdnů chatuje a při jednom z rozhovorů (kdy už pro oběť není někým neznámým, ale naopak důvěryhodným) ji přinutí k instalaci drobného užitečného programu. Jenže spolu s tím většinou dojde i k tiché instalaci (silent install tzn. uživatel si vůbec neuvědomí, že k něčemu došlo) nějakého monitorovacího programu tzv. spyware, keyscan apod.. Tento speciální software slouží ke skrytému sledování a odposlouchávání veškerého dění na počítači navštívené internetové stránky, sledování elektronické pošty, stisku kláves při zadávání hesel atd. Jak může vypadat sociotechnický útok v praxi, si přečtěte například na: Za sociální inženýrství, jehož cílem je získat o uživatelích informace využitelné pro další reklamu, jsou pokládány také různé reklamní a soutěžní akce (Readerʼs Digest apod.). Velké společnosti již běžně pracují s databázemi osobních údajů uživatelů, 10

11 které se dále využívají k různým obchodním nabídkám, spamu apod. Výsledkem funkčního útoku je například heslo k bankovnímu účtu (internetbanking), heslo k přihlášení na , přístup do počítače oběti apod. Zdroje: Šimek, R. Sociotechnika (sociální inženýrství), Mitnick. K. Umění klamu. Kopecký, K. Moderní trendy v elektronické komunikaci. Olomouc: Hanex, Konec článku. DALŠÍ RIZIKOVÉ JEVY Hoax je podvodný nejčastěji v podobě poplašné zprávy, ve které autor vyzývá adresáty k přeposlání na co největší počet dalších adres (řetězový ). Hoax zbytečně obtěžuje příjemce, vytěžuje ové servery, ale může dojít i k vyzrazení důvěrných informací (např. předání ových adres náhodným příjemcům). SMS Spoofing odeslání falešné sms zprávy z internetu. Oběť nepozná, že zpráva nebyla odeslána z internetu, v jejím mobilním telefonu vypadá stejně jako zpráva odeslaná z mobilu. Útočník se tak může vydávat za jinou osobu. 11

12 KYBERŠIKANA Kyberšikana je šikanování jiné osoby pomocí internetu a sítě mobilních operátorů. Projevy kyberšikany jsou obdobné, jako projevy šikany pomlouvání, ztrapňování, ohrožování, zastrašování, vydírání, atp. Rozdíl je ovšem v tom, že v případě kyberšikany je útočník anonymní, nestojí oběti tváří v tvář. O to více se cítí silnějším, o to menší má zábrany. Nejčastější projevy kyberšikany: publikování ponižujících fotografií a videí pomlouvání a ponižování v rámci sociálních sítí, blogů, atp. krádež a zneužití identity pro šikanování někoho dalšího, ale i za účelem ztrapnit a ponížit majitele profilu v rámci jeho komunity provokování a napadání uživatelů v online komunikaci zveřejňování cizích tajemství s cílem poškodit oběť vyloučení z virtuální komunity obtěžování (opakované prozvánění, telefonáty, SMS zprávy apod.) Znaky kyberšikany: anonymita útočník se cítí silný, protože oběť nezná jeho pravou identitu (existují však účelné nástroje, jak zdánlivě nepolapitelného padoucha dopadnout) může nás zasáhnout kdykoliv a kdekoliv (např. v bezpečí domova, když to nejméně čekáte) odehrává se ve virtuálním světě útočníkem i obětí může být každý, bez rozdílu věku, vzdělání, či sociálního postavení komunikace bez zábran ve virtuálním prostředí se lidé projevují jinak, než v reálném světě, jsou otevřenější a odvážnější, zkouší věci, které by v reálném světě neudělali např. na někoho zaútočí psychické týrání na rozdíl od modřin není patrné na první pohled, oběť psychického týrání není snadné rozpoznat může být i neúmyslná nevinný žert může být na straně postiženého vnímán jako zákeřný a bolestný útok Jak se bránit? nekomunikujte nereagujte na útočníkovi pokusy šikanovat vás, nesnažte se mu mstít blokujte znemožněte útočníkovi kontaktovat vás, nastavte si aplikace, které používáte, tak aby útočníka odrazily - blokujte , telefon, facebook, zkrátka všechno co jde 12

13 změňte identitu - změňte svou ovou adresu, telefonní číslo, profily na sociálních sítích, atd. zmizte tzv. po anglicku oznamte kyberšikanu svěřte se doma, ve škole, kontaktujte některé z krizových center, nebo oznamte přímo na policii. Důležité je, schovat si důkazy pro případné vyšetřování. nebuďte nevšímaví, pokud se kyberšikana (nebo šikana) děje ve vašem okolí, projevte oběti účast a nabídněte pomoc, popř. upozorněte někoho, kdo je schopen oběti pomoc poskytnout NEJZNÁMĚJŠÍ PŘÍPADY KYBERŠIKANY Ghyslain Raza (14 let, Kanada, 2003), Ryan Patrick Halligan (13 let, USA, 2003), Anna Halman (14 let, Polsko, 2006), Megan Meier (13 let, USA, 2006), Jessica Logan (18 let, USA, 2008) GROOMING Kybergrooming je psychická manipulace prostřednictvím internetu, mobilních telefonů a dalších ICT technologií. Kybergroomeři (neboli útočníci) navazují kontakt s obětí s cílem získat její důvěru a vylákat ji na osobní schůzku s úmyslem oběť sexuálně zneužít, či jinak fyzicky poškodit, zneužít oběť pro dětskou prostituci či pornografii, apod. Nejčastěji útočníci využívají chat, internetové seznamky, instant messaging, VoIP (např. ICQ, Skype, atp.), sociální sítě. Oběťmi jsou většinou děti ve věku let (častěji dívky, než chlapci), kteří tráví velké množství času online a v prostředí internetu hledají kamarády. Nejčastější oběti: děti s nízkou sebeúctou a nedoukem sebedůvěry děti s emocionálními problémy a děti v nouzi děti přehnaně naivní a důvěřivé adolescenti/teenageři Útočníky bývají pachatelé ze všech sociálních vrstev. V řadě případů se jedná osobu, kterou oběť zná (např. známý rodiny), nebo je na ní dokonce nějakým způsobem závislá, ale může se jednat o zcela neznámého člověka. Mohou to být osoby, které již byly trestány za sexuální delikty proti dětem, ale většinou se jedná o dosud netrestané jedince, kteří projevují patologický zájem o děti. Podle modelu sociálních 13

14 dovedností mají kybergroomeři strach z navazování vztahů s dospělými a vztahy s dětmi vnímají jako méně ohrožující. Kybergroomeři (predátoři) mezi sebou spolupracují vytvářejí sítě kontaktů, shromažďují osobní informace obětí do databází, podílejí se na únosech dětí. Etapy manipulace oběti: příprava kontaktu útočník si vytvoří falešnou identitu pro komunikaci s obětí kontakt s obětí, získání a posilování důvěry predátoři využívají širokou paletu technik: efekt zrcadlení útočník napodobuje chování oběti získání co nejvíce osobních informací o oběti na jejich základě si útočník sestaví profil oběti vábení a uplácení zasílání různých úplatků a dárečků, cílem je získání důvěry, ověření místa bydliště, za úplatek může útočník získat i nejcitlivější údaje zavádění sexuálního obsahu do konverzace cílem je postupně snižovat zábrany oběti snaha o izolaci oběti od okolí útočník využívá anonymity virtuálního prostředí, postupně získává pozici exkluzivního kamaráda, kterému se oběť může svěřit naprosto se vším. Svoje postavení pak využívá k zastrašování oběti s cílem izolovat ji od lidí, které má kolem sebe (rodiče, kamarádi). příprava na osobní schůzku útočník využívá diskriminující informace a cíleně manipuluje s obětí (technika překonání věkového rozdílu mezi útočníkem a obětí; vyhrožování a vydírání) osobní schůzka na první schůzce ještě nemusí nutně dojít k útoku, ale pachatel pokračuje v manipulaci, prohlubuje vztah s obětí a získává její důvěru. Útok má pak pro oběť obrovské následky fyzické a především psychické, tím spíše, pokud se útoky opakují. NEJZNÁMĚJŠÍ PŘÍPADY KYBERGROOMINGU Pavel Hovorka (ČR, ), Michael Wheeler (VB, 2003), Douglas Lindsell (VB, 2003), Peter Chapman (VB, 2009) STALKIG A KYBERSTAKING Stalking je opakované, systematické a dlouhodobé obtěžování, které se v průběhu doby stupňuje. Pokud pachatel využívá ke stalkingu ICT, jde o kyberstalking. 14

15 Nejčastěji jsou oběťmi známé osobnosti, ex-partneři, ale např. i osoba, která útočníka odmítla, nebo je pro něho nějakým způsobem nedostupná. Stalkerem může být osoba, kterou oběť zná a ví, že právě on je stalkerem. Další možností je, že oběť stalkera zná, ale netuší, že on je tím, kdo ji pronásleduje. Nebo oběť stalkera vůbec osobně nezná. PODOBY STALKINGU Opakované a dlouhodobé pokusy oběť kontaktovat Útočník (stalker) oběť dlouhodobě sleduje, obtěžuje ji velkým množství SMS zpráv, ů, telefonátů, nechtěnými pozornostmi. Zprávy mohou být příjemné, veselé, postupně se mohou stávat urážlivými a zastrašujícími. Stalkeři využívají různé technik nátlaku vydírání, vyhrožování, vyvolání pocitu viny, atp. Demonstrování moci a síly stalkera Stalker se snaží svou oběť zastrašit, např. fyzicky oběť pronásleduje (cestou domů, v práci, ve škole, ), výjimkou nejsou ani výhružky fyzickým násilím, či zabití. V případě kyberstalkingu jde většinou pouze o výhružky (vím, kde jsi včera byla; vidím co děláš, pod.). Naplnění výhrůžek Fyzické napadení oběti či někoho z jejích blízkých, poškození majetku, usmrcení domácích zvířat, apod. Stalker se vydává za oběť Stalker se veřejně označuje za oběť a tvrdí, že se mu oběť mstí. Dává na odiv, jak moc se pro oběť obětuje, atp. Snaží se obrátit veřejné mínění na svou stranu. Snaha poškodit reputaci oběti Stalker se snaží poškodit dobrou pověst oběti a očernit jí, nebo její blízké na veřejnosti. Využívá k tomu nejen běžné komunikační kanály, ale např. i falešné internetové stránky, profily, apod. TYPOLOGIE STALKERŮ (dle P.E. Mullena) Bývalý partner Uctívač Neobratný nápadník Ublížený pronásledovatel Sexuální útočník Poblouzněný milovník Kyberstalker čistokrevný kyberstalker využívá k pronásledování a obtěžování své oběti ICT, ale nikdy ne neuchílí k fyzickému násilí. Každý ze stalkerů však může být zároveň kyberstalkerem. 15

16 PRÁVNÍ RÁMEC STALKINGU V lednu 2010 byla problematika stalkingu zahrnuta do trestního zákona ( 353 Nebezpečné vyhrožování a 354 Nebezpečné pronásledování). Aby mohl být pachatel obviněn ze stalkingu, musí být dodrženy zejména tyto tři podmínky: 1) musí být jednoznačně prokázáno, že stalker pronásleduje oběť proti její vůli 2) pronásledování musí být dlouhodobé (min. 4-6 týdnů) 3) Pronásledování musí být intenzivní JAK SE BRÁNIT STALKINGU? přerušit kontakty s pronásledovatelem vyhýbat se místům, kde může dojít k náhodnému setkání projevy sledování a obtěžování dokumentovat vyhledat pomoc snažit se nezůstávat o samotě a zamezit tak kontaktu se stalkerem nosit u sebe legální prostředky pro svou obranu, naučit se alespoň základům sebeobrany nezveřejňovat své osobní informace blokovat , telefon, atd. změnit svou virtuální identitu informovat autoritu např. na pracovišti, nebo ve škole oznámit věc nadřízenému, či učiteli, nebo jiné autoritě, ke které máte důvěru kontaktovat odbornou instituci (např. Bílý kru bezpečí), nebo policii PŘÍKLADY STALKINGU Michal Ulom (ČR, 2003), Petr Hanuš (ČR, ), Štefan Zámec (ČR, ), Jack Jordan (Uma Thruman), Hannelore Uhl (Karel Gott) SOCIÁLNÍ SÍTĚ Následující článek je převzatý ze serveru Pro potřeby tohoto studijního textu byly některé pasáže článku upraveny, nebo vypuštěny. Sociální sítě jako prostředí pro nebezpečnou virtuální komunikaci Se sociálními sítěmi a jejich fungováním je spojena řada problémů. 1. Sociální sítě slouží jako úložiště osobních údajů. Tyto údaje lze poměrně snadno od uživatelů sociálních sítí získat a následovně zneužít například v rámci 16

17 nebezpečných komunikačních technik. Řada uživatelů sociálních sítí zveřejňuje své fotografie se zachyceným obličejem, sociální sítě obsahují i fotografie mladistvých, které lze právě díky zveřejněné fotografii tváře účinně manipulovat. Fotografie tváře je jedním z nejsnadněji zneužitelných osobních údajů, protože umožňuje jednoznačnou identifikaci oběti. Časté jsou případy, kdy kyberútočník získá fotografii nezletilé oběti, kterou pak následně vydírá tím, že jí vyhrožuje zveřejněním fotografie s dehonestujícím doprovodem (např. toto je zloděj, toto je gay, toto je děvka). Osobní údaje lze zneužít explicitně i pro phishing, pharming, obecně metody sociálního inženýrství. Velké nebezpečí také představuje nevědomé sdílení osobních údajů prostřednictvím různých aplikací a her. Ty často v licenčním ujednání obsahují informaci o tom, že uživatelské údaje uživatelů aplikace budou šířeny a sdíleny s ostatními. Kdo z nás si však čte licenční ujednání? Neznalost ovšem neomlouvá! Smutná statistika vypovídá, že 98 % dětských uživatelů internetu v ČR sděluje lidem známým z internetu své osobní údaje (E-Bezpečí, 2009). 2. Uživatelé sociálních sítí se chovají v kyberprostoru jinak než v běžném životě. Tento problém souvisí s budováním virtuálních sociálních vztahů jiné úrovně, které jsou spojeny obecně s fenoménem anonymity uživatelů internetu a otevřeností virtuálního prostoru pro komunikaci. V rámci virtuálních prostředí totiž uživatelé (na rozdíl od reálného světa) komunikují bez rozdílu věku a pohlaví, může snadno docházet ke komunikaci dětí s dospělými, mizí vymezené společenské role, dochází ke snadnému překonání různých komunikačních bariér (introvert může virtuálně komunikovat podstatně snadněji než v běžné interpersonální F2F komunikaci), mění se sociální statut budovaný v běžných sociálních skupinách apod. Velký rozdíl představuje také řešení komunikačních konfliktů, sociální sítě neučí budovat kompromisní řešení, což naopak řada běžných komunikačních situací vyžaduje. V rámci sociální sítě se jednoduše "odpojíte", pokud se vám komunikace přestane líbit. 3. Sociální sítě jsou prostorem pro existenci sociálně-patologických jevů, zejména kyberšikany, kybergroomingu, sextingu, kyberstalkingu apod. Díky neexistujícímu systému ověřování pravdivosti osobních údajů uživatelů může docházet například k situacím, kdy uživatel-manipulátor předstírá jiný věk a vzhled a využije důvěřivosti uživatelů, kteří pak svolí k osobní schůzce (tzv. kybergrooming). Ta může skončit tragicky, jak dokladuje nedávno řešený případ Ashleigh Hallové, která byla uživatelem Facebooku zmanipulována k osobní schůzce a zavražděna. Díky zveřejněným fotografiím a základním osobním údajům se uživatelé sociálních sítí zdají být věrohodnější, opak je však často pravdou. Na pravdivost informací v sociálních sítích nelze spoléhat. Výzkumy dokazují, že 42,5 % dětí je ochotno jít na osobní schůzku s člověkem, kterého znají jen z internetu (E-Bezpečí, 2009). Sociální sítě mohou také sloužit jako nástroje pomsty, pro útočníky je snadné vytvořit útočné diskusní skupiny zaměřené na konkrétní osobu či falešný profil oběti s urážlivým obsahem, časté je také zneužití fotografie uživatele pro fotomontáž a následné šíření tohoto obsahu ostatním uživatelům. Tyto projevy lze zařadit mezi tzv. 17

18 kyberšikanu, které je dle statistik vystaveno 39 % uživatelů internetových sociálních sítí % dětí (ve světové populaci) se také stalo oběťmi kyberšikany. Ačkoli jsou sociální sítě opatřeny "záchrannými tlačítky" pro nahlášení závadného obsahu či jednání, ke kyberšikaně uživatelů dochází a docházet pravděpodobně bude i nadále. Podle výzkumného šetření E-Bezpečí na vzorku více než 1000 dětí má 14,5 % českých dětských uživatelů internetu účet na sociální síti Facebook. Je tedy jasné, že děti sociální sítě aktivně využívají a tráví v kyberprostoru vysoké procento svého volného času. Sociální sítě jsou zcela jistě zajímavými produkty, které mají velký vliv na populaci. Dalo by se říci, že sociální sítě jsou návykové a řada uživatelů je chce pravidlně navštěvovat a plnit nejrůznějšími informacemi. Sociální sítě umožňují udržovat dávno ztracené sociální vazby a vytvářet vztahy nové (naopak od běžného nevirtuálního života, kde je člověk limitován časem a prostorem). To vše má ovšem vliv na budování dovedností v oblasti přímé sociální interakce - jednoduše řečeno - čím více času trávíme na Facebooku, tím méně času trávíme přímou komunikací s lidmi. Na závěr je třeba říci, že by bylo dobré skutečně si rozmyslet, jakým způsobem budeme své vztahy budovat. Mladí lidé jsou dnes zvyklí navazovat vztahy ve virtuálních prostředích (sociálních sítích), aniž by se s virtuálními kamarády či partnery osobně setkali. V lidském životě je však nutná přímá bezprostřední sociální interakce - ať již v rámci rodiny, školy, zaměstnání. Nebo se mýlím? Bude budoucnost opravdu pouze o virtuálních vztazích? Kamil Kopecký, E-Bezpečí Konec článku. BEZPEČNOST NA FACEBOOKU Následující článek je převzatý ze serveru Zajímá Facebook vaše bezpečí? Možná i vy patříte mezi dva a půl milionu uživatelů sociální sítě Facebook v České republice. I kdyby ne, někdo z vašich známých je jím takřka jistě. Facebook jsou skvělé funkce, ale nejenom to. Jsou to i bezpečnostní problémy. Tak zvané sociální sítě, mezi něž Facebook patří a jejichž nejvýznamnější bezesporu je, jsou relativně mladou, ale zato extrémně úspěšnou aplikací na internetu. Vyvinuly se ze starších komunikačních nástrojů: z chatů, elektronických nástěnek, 18

19 služeb elektronické pošty a z dalších serverů. Mezi nimi a jejich předchůdci je ale zásadní rozdíl. Vlastně dva. Tím prvním je, že sociální sítě jsou založeny na skupinkách uživatelů propojených virtuálně tím, že jejich jednotliví členové se označují za virtuální přátele. Každý může komunikovat s uživateli uvnitř i vně své skupinky, ale jen ti, kteří jsou přátelé, mohou plně využívat funkcí spojených se sítí. Druhým rozdílem je, že uživatelé internetu až do příchodu sociálních sítí obvykle žili v přesvědčení, že komunikační služby jsou anonymní. Ony skutečně anonymními do určité míry byly. Lidé internetovým serverům svěřovali jen málo informací o sobě, často vystupovali pod přezdívkami. A hlavně, jiné virtuální identity tedy lidé, s nimiž se na síti stýkali s nimi měli společné pouze to, že používali stejný server. Sociální sítě toto změnily. Lidé uvnitř virtuálních skupin spojených vazbou přátelství se obvykle znají fyzicky a proto spolu navazují též kontakty virtuální. Protože se znají fyzicky, vystupují pod svými skutečnými jmény. A ještě nejenom to. Na Facebooku a podobných sítích vystavujeme mnoho informací, které jsou určeny ne veřejnosti, ale pouze přátelům. Ne těm virtuálním, ale skutečným. Jsou to osobní informace, fotografie, poznámky, ale třeba také (a hlavně) tak zvané statuty. To jsou krátké textové informace, odpovědi na otázky typu co zrovna děláte? nebo co si zrovna myslíte, které představují základní prostředek komunikace uvnitř sociální sítě. Mnoho z nich má ve skutečnosti hluboce osobní charakter. Omyl o soukromí Mnoho uživatelů Facebooku i dalších sítí si myslí, že informace, které sdílí svým virtuálním přátelům jsou v bezpečí. Tedy, že se k nim nikdo nepovolaný nedostane. Mnoho uživatelů si také myslí, že tyto informace nepředstavují žádné riziko. To znamená, že i kdyby se k nim někdo nepovolaný dostal, nemá jak je proti zájmu jejich autorů použít. Obojí je omyl. Tak například je známo, že informace o uživatelích Facebooku v kombinaci s jejich statuty, respektive statistikou, jak Facebook používají, využívali zloději k tomu, aby si naplánovali, kdy dotyční nejsou doma a tedy je lze snadno vykrást. Tytéž informace jsou běžně používány ke shromažďování dat o uživatelích a následně k zobrazování kontextově zacílené reklamy. Stručně řečeno: čím více toho o sobě na Facebooku napíšete, tím přesněji je reklama, kterou na Facebooku najdete, zacílena k vašim potřebám. Problém je, že k tomuto zacílení se používají nejenom údaje o uživateli, ale i o jeho kontaktech. V extrémnějším případě tak může nastat situace, kdy uživatelce Facebook zobrazuje (samozřejmě aniž by to tušila) reklamy na předměty odpovídající preferencím milenky jejího manžela. A i to je jen začátek. Novinky pro soukromí V prvním pololetí letošního roku Facebook uvedl několik nových technologií. Jsou určeny provozovatelům komerčních webových serverů. Tito provozovatelé mohou na své stránky umístit prvky, které je s Facebookem propojují. Co to znamená? 19

20 Například, že po otevření webové stránky uvidíte kromě jejího obsahu také obličeje přátel na Facebooku, kteří si stejnou stránku otevřeli ve stejnou dobu, nebo jen v nedávné minulosti. Který z vašich přátel si právě prohlíží váš oblíbený zpravodajský server? Nebo virtuální sexshop? Možná se brzy dozvíte informace, které jste doposud vůbec netušili. To však není jediná nová funkce. Facebook se snaží o něco, o co se dříve pokoušela celá řada významných softwarových firem, ale bez většího úspěchu, totiž o sjednocené přihlašování. Každý uživatel internetu si musí pamatovat mnoho přihlašovacích jmen a hesel k různým serverům. Nové sdílené přihlašování umožňuje tyto informace sdílet mezi různými servery. V praxi tak stačí, abyste se zaregistrovali na jednom místě (na Facebooku), a pak se přihlásíte kamkoli. Jakmile se přihlásíte, provozovatel serveru (třeba zmíněného elektronického sexshopu) dostane k dispozici vaše údaje, které jsou uloženy na serverech Facebooku. To velice zjednoduší obchodování a třeba používání personalizovaného obsahu, ale současně ohromným způsobem zkompromituje uživatelské údaje. Historie soukromí Průměrný uživatel Facebooku vidí jen několik informací, které se dají označit za nedávné. Pár posledních statutů sebe a svých přátel, aktuální fotografie, odkazy a podobně. Hluboko pod těmito informacemi se nachází celá řada historických dat statutů z minulých měsíců, starších odkazů, již dávno zapomenutých nálad a podobně. Zatímco uživatel sám tyto informace nevidí a ani nehledá, fyzicky jsou na serveru stále umístěny. Lze je procházet pomocí speciálního softwaru a lze je využít ve všech službách, které byly uvedeny výše a v mnoha dalších. Malým paradoxem tak je, že zatímco o svou vlastní historii na Facebooku se většinou nestaráme, vždy se najdou lidé, které naopak velice zajímá. Politika výhod Oficiálně dělá Facebook vše pro pohodlí svých uživatelů. Ve skutečnosti dělají jeho provozovatelé vše pro maximalizaci kontextové reklamy, kterou server zobrazuje, a pro spolupráci s jinými servery. I když se oficiálně tvrdí něco zcela jiného, ochrana soukromí a bezpečnosti dat uživatelů je na druhém až na třetím místě. Uživatelé Facebooku mají sice možnosti nastavit, které informace mají být zveřejněny a které nikoli, prakticky je však tato možnost tak komplikovaná, že se nachází mimo možnosti většiny z nich. Nedávno uvedené bezpečnostní centrum, které by mělo vše změnit k lepšímu, je pravděpodobně pouze splněním požadavků amerických (a dalších) právníků a na podstatě věci nic nezmění. Oficiální politikou Facebooku je pohodlí a snadná dostupnost služeb pro uživatele. Bezpečnost šla v tomto ohledu velmi dlouho stranou. Abychom zodpověděli na otázku položenou v nadpisu tohoto textu: Facebook vaše bezpečnost nezajímá. Aktuálním změnám v této strategii a oficiálním tezím o bezpečném přístupu je lepší (alespoň prozatím) nevěřit. O to více by ale bezpečnost měla zajímat uživatele, tedy vás. Co pro ni můžete udělat? 20