Aplikovaná informatika Bezpečný přístup k datům, analýza bezpečnosti a legislativního omezení. ZEMÁNEK, Z. PLUSKAL,D. SMETANA, B.

Transkript

1 Aplikovaná informatika Bezpečný přístup k datům, analýza bezpečnosti a legislativního omezení. ZEMÁNEK, Z. PLUSKAL,D. SMETANA, B. Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky amanagementu Registrační číslo projektu: CZ.1.07/2.2.00/

2 Bezpečný přístup p k datům, analýza bezpečnosti a legislativního omezení. i 1. Bezpečný přístup p k datům - řešení 2. Analýza bezpečnosti dat 3. Legislativní opatřen ení 4. Kontrolní otázky a úkoly do samostudia

3 Cíle přednášky 1. Předat studentům m základnz kladní informace o bezpečném m přístupu p k datům. 2. Objasnit význam analýzy a bezpečnosti dat, rozmanitost projevů malware. 3. Charakterizovat rozmanitost legislativních zákonných omezení.

4 Bezpečný přístup p k datům Realizovat aktualizace samotného operačního systému Microsoft Windows, případně Microsoft Office tolik problémové není (aktualizace se stahují automaticky, případně je lze jednoduše dohledat přes službu Windows Update). Co aktualizace další ších aplikací? Velkým rizikem mohou být například nezáplatované aplikace třett etích stran, které jsou přidruženy k prohlížečům ve formě různých plug-inů (prohlížece PDF jako Adobe Acrobat Reader, přehrávače fleš animací - Adobe Flash Player ). Pokud je díra v nich a útočník k ji zneužije (dostane do PC bez vědomí uživatele škodlivý program a například odcizí citlivá data ). Otázky bezpečnosti informací jsou stále prioritní, tak jak se stává prostředí škodlivého software stále sofistikovanější. [1]

5 Bezpečný přístup p k datům Máte v počítači citlivá data, finanční údaje, seznam kontaktů a další věci, které nechcete, aby viděl někdo jiný? Počíta tačová bezpečnost je často diskutovaným tématem. Nemusíte nutně trpět paranoiou, abyste si chtěli zabezpečit přístup k citlivým datům. Zabezpečte si tak přístup do operačního systému i k datům. Toho lze dosáhnout několika různými metodami s různými softwarovými pomocníky. Důležité je také poznat možné hrozby a rizika, která znamená malware. [2] Foto: technet.idnes.cz

6 Bezpečný přístup p k datům? Malware Škodlivý kódk je speciální programový kód, jejichž úkolem je poškodit zařízení, data programy, vyčerpat systémové zdroje, zcizit informace atd. Rychlost šířen ení malware - Code Red Počátek infekce... o 19 hodin později Source: caida.com

7 Bezpečný přístup p k datům? Malware Malware - je zvláštní typ programů, které nekupujete, jsou nežádoucí, nechtěné, škodlivé. Výraz malware vznikl složením anglických slov malicious (zákeřný) a software a popisuje záměr autora takového programu spíše, než jeho specifické vlastnosti. Klasifikace malweru: Viry (virus). Červi (worms). Trojské koně (trojan horses). Spamy. Poplašné zprávy (hoax). Spyware. Další parazitující programy Backdoor, Rootkit, [3]

8 Bezpečný přístup p k datům? Malware Viry (virus) Počítačový virus je počítačový program, zpravidla škodlivý, který dokáže e sám s m vytvářet své kopie a sám s m se šířit it, aniž by o tom uživatel věděl. Viry můžou provádět jakoukoliv škodlivou činnost a dělí se do mnoha různých skupin. Červi (worms( worms) Jsou viry, které pro své šíření využívají programy komunikující pomocí počítačové sítě (lokální i globální). Foto: technet.idnes.cz [3]

9 Bezpečný přístup p k datům? Malware Trojský kůň (trojan hors) Je program, který se skrytě nainstaluje zároveň s jiným programem, ve kterém je schovaný. Skrytě pak provádí škodlivou činnost. Nepatří mezi PC viry, protože neumí sám vytvářet kopie a šířit se. Často se pokouší dostat do počítače při otevírání závadných internetových stránek. [3]

10 Bezpečný přístup p k datům? Malware SPAM Je obtěžující , nejčastěji s reklamním obsahem. Některé viry se šíří pomocí spamu a bývají v příloze jako spustitelný soubor. V mnoha zemích je rozesílání spamu trestné. Hoax (čti houks = falešná zpráva) Je druh spamu, jakákoliv lživá ová zpráva, která se nezakládá na pravdě. Může například varovat před velmi nebezpečným virem, který neexistuje, láká peníze od lidí a podobně. V poslední době se objevila upravená verze policejního viru, ta zdražila, je hezčí a naučila se lépe česky [3]

11 Bezpečný přístup p k datům? Malware Příklad Hoax Hoax (z kategorie sociálního inženýrství) Novější upravená verze policejního viru. [4] Pokud se vám na PC zobrazí něco podobného jako na obrázcích, pak jste se stali obětí Hoax, která spadá do kategorie ransomware. To znamená, že všechno co vidíte je smyšlené, nelze se toho jednoduše zbavit a snaží se vás přinutit k zaplacení 3 tisíc Kč. U všech trestných činů které jsou uvedeny hrozí významnější výše pokut, tudíž pokud by někdo tomuto triku uvěřil, pak jsou ty tři tisícovky opravdu nejlepší volbou. Jinak neschází portrét samotného uživatele počítače (za předpokladu, že je k dispozici webkamera a ta míří na jeho obličej a uživatele vyfotí) a textem: Pro vyšší efektivitu policejní práce, 4. prosince 2012 byla podepsána mezinárodní smlouva se společnostmi, které vyrábějí antivirové software k odhalení kybernetických zločinců. [4]

12 Bezpečný přístup p k datům? Malware Phishing (někdy převáděno do češtiny jako rybaření), modifikace Hoax. Je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání ových zpráv, které se tváří jako oficiální žádost banky, či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.

13 Bezpečný přístup p k datům? Malware Spyware Je sledovací program. Může zachytávat text psaný na klávesnici, krade data, hesla, sleduje síťovou komunikaci a podobně. Často bývá instalován ve firmách pro monitorování práce zaměstnanců! Adware Je program, který znepříjemňuje práci pomocí aplikace, která zobrazuje reklamy. Často mění nastavení domovské stránky internetového prohlížeče. [3] Foto:

14 Bezpečný přístup p k datům? Malware Zadní vrátka (anglicky backdoor) Je v informatice název metody, která umožňuje obejít běžnou autentizaci, která za běžných okolností brání uživateli v neoprávněném využívání počítačového systému. Zadní vrátka jsou součástí softwaru a mohou být využívána k seriózním účelům (např. pro servisní přístup), avšak často jsou zneužívána (crackerem jako exploit), takže jsou klasifikována jako bezpečnostní riziko, resp. zranitelnost. Exploit je v informatice speciální program, data nebo sekvence příkazů, které využívají programátorskou chybu, která způsobí původně nezamýšlenou činnost software a umožňuje tak získat nějaký prospěch. Většina exploitů slouží k získání přímo administrátorských práv (uživatel, root, administrator), ale existují i takové, kterými útočník nejprve získá nižší práva a použitím dalších exploitů se propracuje až k právům administrátorským. [3]

15 Bezpečný přístup p k datům? Malware Rootkit (vyslovuj [růtkyt]) - Je škodlivý program měnící chování a zabezpečení operačního systému. - Pomáhá v průniku dalším škodlivým programů do počítače a napomáhá jejich krytí. - Rootkit technologie maskuje přítomnost zákeřných programů skrýváním adresářů. Příklad: V roce 2006 rootkity proslavila společnost Sony BMG, která je dávala na vybraná audio CD. Jejich účelem bylo zabránit uživateli kopírovat obsah CD do počítače. Navíc rootkit odesílal firmě Sony BMG zprávy o činnosti uživatele, což je samozřejmě protizákonné. [3]

16 Šíření počíta tačových virů PC viry zneužívají při svém šíření různé programy spuštěné v počítači, které ale musí obsahovat určité bezpečnostní chyby. Chyby se dají odstranit instalací aktualizací. Starší viry napadaly nejčastěji programy a spustitelné soubory (exe, vbs, dll), ale v dnešní době je rozsah napadnutelných souborů poměrně velký. Pro své šíření využívají počítačové sítě a přenosná paměťová zařízení (USB paměti, paměťové karty, externí disky). [3] Obrázek: alfacomputer.cz

17 Zásady Analýza bezpečnosti dat Aktualizovat operační systém a jiné programy. Nainstalovat antivirový program, pravidelně aktualizovat program i virovou databázi. Pravidelně kontrolovat (skenovat) data v počítači. Nainstalovat firewall. Pravidelně zálohovat data (týdně, měsíčně), například na externí harddisk. Nikdy neotvírat podezřelou elou elektronickou poštu tu, například y od neznámých osob (přiložené soubory). Přenos dat zabezpečit šifrováním. [5]

18 Analýza bezpečnosti dat - Antivir Antivirový program sleduje všechny nejpodstatnější vstupní/výstupní místa, kterými by viry mohly do počítačového systému proniknout [3]

19 Analýza bezpečnosti dat Firewall (čti "fajrvol") je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně se dá říct, že slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje. Tato pravidla historicky vždy zahrnovala identifikaci zdroje a cíle dat (zdrojovou a cílovou IP adresu) a zdrojový a cílový port, což je však pro dnešní firewally už poměrně nedostatečné. Modernější firewally se opírají přinejmenším o informace o stavu spojení, znalost kontrolovaných protokolů a případně prvky IDS (systém pro odhalení průniku). [5]

20 Analýza bezpečnosti dat Nejčast astější problémy Jednoduchost hesla, odvozenina hesla, psaní hesla na snadno přístupná místa, stejná hesla do různých systémů nebo jejich částí, fyzický přístup k datům. Řešení přenášet data dostatečně zašifrovaná => použití kvalitní KRYPTOGRAFIE.

21 Analýza bezpečnosti dat Kryptografie základní pojmy Kryptografie doslova znamená studium tajného písma, známe je od starověku, přes Caesarovu šifru (100 př.n.l. 44 př.n.l.), Enigmu... Znamená umění udržet důvěrnou zprávu utajenou = šifrování. Kryptoanalýza je umění rozluštit šifru a tím pádem odhalit utajenou zprávu.

22 Analýza bezpečnosti dat Kryptografie základní pojmy Kryptologie je matematika pro kryptografii a kryptoanalýzu, šifrovací algoritmus je funkce sestavená na matematickém základě a provádí šifrování (kryptování) a dešifrování (dekryptování) dat, šifra - šifrovací klíč se dá přirovnat k heslu.

23 Analýza bezpečnosti dat Symetrické šifrování Výhody Rychlost (asi 1000 rychlejší než asymetrické šifrování). Nevýhody Klíč je tajný a je třeba t jej udržovat v tajnosti. S S kolika protějšky komunikuji, tolik musím m mít m t klíčů čů! Klíč je třeba t domluvit předem p (a tak aby se jej nedozvěděl l nikdo jiný). [5]

24 Analýza bezpečnosti dat Asymetrick ymetrické šifrování Výhody Veřejný ejný klíč nemusí být udržov ován n v tajnosti. Nevýhody Pomalé algoritmy. Asymetrická kryptografie (kryptografie s veřejným klíčem) je skupina kryptografických metod, ve kterých se pro šifrování a dešifrování používají odlišné klíče. To je základní rozdíl oproti symetrické kryptografii, která používá k šifrování i dešifrování jediný klíč. [5]

25 Analýza bezpečnosti dat Elektronický podpis jsou elektronické identifikační údaje autora (odesílatele) elektronického dokumentu, připojené k němu. V České Republice upraven zákonem o elektronickém podpisu č. 227/2000 Sb. [5] Rovnají-li se otisky pak je podpis dat ověřen.

26 Analýza bezpečnosti dat Elektronický podpis dokumentu zajišťuje: autenticitu lze ověřit původnost (identitu subjektu, kterému patří elektronický podpis), integritu lze prokázat, že po podepsání nedošlo k žádné změně, soubor není úmyslně či neúmyslně poškozen, nepopiratelnost autor nemůže tvrdit, že podepsaný elektronický dokument nevytvořil (např. nemůže se zříct vytvoření a odeslaní výhružného dopisu), může obsahovat časové razítko tko, které prokazuje datum a čas podepsání dokumentu. Problémy spojené s elektronickým podpisem: ověřování elektronického podpisu po delší ším čase od jeho vytvoření (např. poté co vyprší certifikát určený pro verifikaci tohoto podpisu), dlouhodobá archivace elektronicky podepsaných dokumentů.[5]

27 Legislativní opatřen ení O tom jak dynamicky se tato problematika rozvíjí nejlépe ilustruje: 101/2000 Sb., ZÁKON Z ze dne 4. dubna 2000 o ochraně osobních údajů a o změně některých zákonz konů. Změna: 227/2000 Sb., 177/2001 Sb., 450/2001 Sb., 107/2002 Sb., 310/2002 Sb., 517/2002 Sb., 439/2004 Sb., 480/2004 Sb., 439/2004 Sb. (část), 626/2004 Sb., 413/2005 Sb., 444/2005 Sb., 342/2006 Sb., 109/2006 Sb., 170/2007 Sb., 52/2009 Sb., 41/2009 Sb., 227/2009 Sb., 281/2009 Sb., 468/2011 Sb., 375/2011 Sb. 227/2000 Sb., ZÁKON Z ze dne o elektronickém m podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) Novela zákona o elektronickém podpisu (č. 167/2012 Sb.) Smyslem zákona o elektronickém podpisu je umožnit použití digitálního podpisu v rámci elektronické komunikace jako ekvivalent podpisu vlastnoručního při běžné listinné formě komunikace. Zákon byl vytvořen na základě směrnice Evropské unie 1999/93/EC ze dne

28 Úkoly pro samostatnou práci Předat studentům m základnz kladní informace o bezpečném m přístupu p k datům. Objasnit význam analýzy a bezpečnosti dat, rozmanitost projevů malware. Charakterizovat rozmanitost legislativních zákonných omezení.

29 Zdroje - doplňující studijní literatura: 1. Záplatování bezpečnostních děr [online] [cit ]. Dostupné z: 2. KRAUS, Josef. Nejlepší program pro zabezpečení přístupu do počítače [online] [cit ]. Dostupné z: Počítače - počítačové viry [online]. [cit ]. Dostupné z: 4. Policie ČR zdražuje! [cit ]. Dostupné z: ČEKAN, Lukáš. Podniková informatika přednáška 08 [online] [cit ]. Studijní materiály z FEI UPCE, obor Informační technologie. Dostupné z: 6. Pozor na to, co instalujete! [online] [cit ]. Dostupné z: