Bezpečnost ve světě ICT - 12

Transkript

1 Informatika 2 Bezpečnost ve světě ICT - 12 Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: středa Spojení: jan.skrbek@tul.cz tel.: Obsah: Bezpečnostní hrozby Zásady ochrany dat Informační bezpečnost Elektronický podpis 1

2 PSYCHOLOGICKÉ ÚTOKY Vylákání údajů - phishing Vydávání se za existující společnosti za účelem získání osobních informací nebo šíření virů. Podvodné ové zprávy, které mají vzbudit dojem, že byly odeslány ze známé ové adresy (např. České spořitelny). Zpráva obsahuje link na údajné stránky České spořitelny a vyzývá k potvrzení osobních bankovních údajů. Cílem podvodného u může být získání klientského čísla a hesla adresáta (identifikační a autentizační údaje), bezpečnostního kódu nebo například PIN k platební kartě či dalších bezpečnostních údajů a jejich následné zneužití. Nebezpečné y Nigerijské dopisy Může dojít k vylákání peněz z důvodu zaplacení posledních detailů Po uživateli se chce, aby odletěl např. do Nigerie, cestu si zaplatí a tam je možné vydírání Zneužití účtu k praní špinavých peněz

3 Phishingový útok př. 1 PSYCHOLOGICKÉ ÚTOKY chytrý obsah, který může zmást uživatele důvěryhodné jméno odesilatele (falzifikát) zcela nedůvěryhodná mailová adresa odesilatele aktivní označení SPAMovým filtrem

4 PSYCHOLOGICKÉ ÚTOKY Phishingový útok př. 2 Špatná čeština (automatický překlad) důvěryhodné jméno i mailová adresa odesilatele (falešné) aktivní označení SPAMovým filtrem

5 PSYCHOLOGICKÉ ÚTOKY Phishingový útok př. 3 vtipná forma obsahu (varovný text převzat z webu České spořitelny) důvěryhodné jméno i mailová adresa odesilatele doména ČNB (falešné) aktivní označení SPAMovým filtrem

6 PSYCHOLOGICKÉ ÚTOKY Hoaxy Plané poplachy poslat co nejvíc mailů pro získání peněz na operaci smrtelně nemocného člověka Smazat nějaký soubor, který je infikovaný (ve skutečnosti jde o nějaký systémový) Petice např. za kácení stromů atd. Proč škodí? Útok na uživatelů psychiku Zahlcují sítě Způsobují ekonomicky měřitelné ztráty způsobené zdržováním od práce Užitečné odkazy

7 VOLBA HESLA Ochrana před zneužitím účtu Na samotném počítači Před anonymními útočníky z internetu Správná volba 10 a více znaků Používat čísla a symboly Sestavit si heslo algoritmem z nějaké věty např. 1.písmeno z prvního slova, 2.písmeno z druhého slova atd.. Pozn. český slovník má jen cca 300 tisíc slov

8 ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ Odposlech Tvrdí se, že 95% veškeré komunikace je odposloucháváno Závislost na připojení v síti Aktivní prvky vs. pasivní Odposlechy-video Bezpečné vymazání Prohlížeče si automaticky pamatují historii Nastavit si správně internetové prohlížeče Vypnout automatické vyplňování formulářů Vymazání a ani formátování disků nic v podstatě neřeší Studie 200 starých disků, kde z 90% obnovili data včetně choulostivých Při prodávání či vyřazování je dobré použít speciální nástroje

9 ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ Přístupová práva Definování toho, co kdo s čím kde a jak může na počítači dělat. Lze obejít např. bootováním jiného systému z CD Útoky na Internet banking Šifrování Nároky splňují dostatečně dlouhé asymetrické klíče např. RSA nebo kryptografie pomocí eliptických křivek Pracují na principu veřejného a soukromého klíče Veřejný klíč K dispozici všem uživatelům, se kterými chce uživatel komunikovat Ostatní uživatelé pomocí tohoto klíče šifrují a posílají data Soukromý klíč Slouží k rozšifrování komunikace od ostatních uživatelů, kterým uživatel poskytl svůj veřejný klíč

10 ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ Šifrování Šifrují se data i přímo na disku MS Windows (vč. Outlooku) mají v sobě zabudovaný nástroj pro šifrování dat Ostatní nástroje pro šifrování PGP GPG Možnost stáhnout pluginy pro nejpoužívanější mailové programy Je vhodné použít šifrovací klíče aspoň o délce 1024bitů Nepřečte nikdo bez soukromého klíče a je jedno v jaké fázi mail (data) odposlechne Protokol SSL šifrování dat na www stránkách ( Potřeba mít nainstalovanou podporu alespoň 128-bitových klíčů Další zabezpečení Existují protokoly i pro zabezpečení např. Telnetu, FTP atd.

11 Viry Historie Nyní šíření pomocí disket Obvykle mazání či formátování disku Především pomocí elektronické pošty, resp. Internetu vůbec Cílem je zneužití počítače a dat na něm Obecná charakteristika virů Kradou z počítače citlivá data a posílají je autorovi Viry video Instalují tzv. zadní vrátka, kterými autor zaútočí na počítač Zneužití k DDoS útokům (Distributed denial of services) na významné servery Zneužití k provozování nelegální www stránek Rozesílání náhodně vybraných dat na náhodně vybrané počítače (což ohrožuje citlivá data) Zavirovat lze každý systém včetně Linuxu a mobilních telefonů

12 Druhy virů Počítačové viry se dělí do několika skupin, podle toho, jaké objekty napadají: Boot viry napadají systémové oblasti disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá média, která uživatel použije. Souborové viry napadají pouze soubory - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování. Multipartitní viry napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů. Makroviry napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Makrovirus může například vykrádat z vašeho počítače důvěrné informace, pracovat s vašimi soubory, spouštět aplikace. - v současné době nejčastěji se vyskytující druh viru. V závislosti na některých dalších vlastnostech virů mluvíme o těchto typech virů: Stealth viry chrání se před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu. Polymorfní viry se pokoušejí znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu. Rezidentní viry zůstávají po svém spuštění přítomny v paměti.

13 Hackeři Podobné útoky jako viry Obecně lze hackery rozdělit do 4 skupin na ty: kteří se nabourávají do systému, aby získali nové vědomosti a zkušenosti s hackováním kteří se snaží být in (obvykle děti). Často shání programy na hackování a náhodně se kamsi připojí a nevědomě tím mohou napáchat i velkou škodu kterým jde o získání citlivých údajů (v podstatě špióni) kterým jde o zneužití počítače k nekalým aktivitám Já, hacker

14 BEZPEČNOSTNÍ DÍRY, SPYWARE Bezpečnostní díry Využívají je hackeři a viry Existuje i software, které je využívá pro tzv. zadní vrátka pro hackera Spyware Existuje celá řada aplikací, kterými lze sledovat, co uživatel dělá Mívají i podobu tzv. Cookies malých souborů Automaticky (tj. bez vědomí provozovatele počítače) se stahují z Internetu!! Útoky DDoS (Distributed Denial of Service) Jsou zaměřeny cíleně na znepřístupnění služeb a to jakýmkoliv způsobem Při DoS útoku je zapojen jen jeden stroj/jedinec, při DDoS dva a více (statisíce)

15 OBRANA Uživatelská Antivir Norton Antivirus, NOD32, Avast Firewall Norton Internet Security, Kerio Personal Firewall Systém pro detekci vniknutí Norton Internet Security Systém pro detekci spywaru (AdAware Pravidelné aktualizace Ve velkých sítích (systémech) Cisco Systems, Inc. (NASDAQ: CSCO) přední světová firma dodávající internetová řešení ( Symantec Kompletní řešení hardwarového a sowftwarového zabezpečení LiveUpadte Produkt Norton Internet Security Bezpečnostní týmy

16 VIRY EXE, PIF, SCR, VBS Spustitelné soubory, typické přípony virů šířících se mailem ZIP, ARJ, RAR Archivy. Mohou obsahovat cokoliv, obsah může a nemusí být zavirovaný DOC, XLS, MDB, PPT PDF Dokumenty Microsoft Office, lze je zavirovat, ale současné typické viry se takto nešíří Dokument Adobe Acrobat Readeru. Není mi známo, že by existovaly viry, které se jím šíří BMP, PCX, GIF, JPG, JPEG, PNG, TGA TXT malá pravděpodobnost, že by existovaly viry, které se jimi šíří malá pravděpodobnost, že by existovaly viry, které se jím šíří WAV, MP3, WMA, OGG u MP3 lze využít bezpečnostní díry v rozšířeném přehrávači Winamp

17 SPAM Charakteristika Nevyžádaná reklamní pošta, každý den miliardy zpráv od několika málo uživatelů, např. nabídky levného softwaru, léků, sexuálních služeb apod. Útoky na ové servery využívání seznamu jmen Obrana prevence a filtrování Prevence v bezpečné podobě na osobních a firemních stránkách Nevyplňovat svůj na internetových fórech a diskuzích Neodpovídat a ani neklikat na stáhnutí obrázků v mailu

18 SPAM Filtrování SPAMu U některých poskytovatelů mailů si lze tuto službu zaplatit Instalace softwaru pro filtrování Filtry jsou součástí např. Outlooku, Netscapu nebo Norton Internet Security Filtrování funguje na základě statistiky a ne na odesílateli Je však dobré občas odfiltrované SPAMy prohlédnout, protože i nástroje na filtrování mohou chybovat a pak lze ztratit cenné kontakty

19 IN SHRNUTÍ Tipy a rady Nikdy nikam neposílat svá hesla, PIN ani nic podobného Pravidelně záplatovat systém (update) Používat antivirus, firewall a detekci spywaru Správně nastavit přístupová práva, důležitá data a maily šifrovat Pro důležité maily používat digitální podpis Před prodejem disku nebo počítače smazat disk pomocí utilit, které data přepisují, ne jen prostým smazáním Informace o právě se šířících i jiných virech a nebezpečích

20 Bezpečná komunikace Informační systémy 2 Digitální podpis Kdo je můj komunikující partner? Je můj komunikující partner opravdu tím za koho se vydává? IN

21 Informační systémy 2 Základní atributy bezpečnosti důvěrnost informací neautorizované subjekty nemají možnost přístupu k důvěrným informacím integrita dat Jak toto vše zajistit? zabezpečení proti neautorizované modifikaci zprávy (dat) neodmítnutelnost odpovědnosti důkaz o přímé odpovědnosti subjektu za zprávu Kombinací symetrické a asymetrické kryptografie Aplikací digitálního (elektronického) podpisu 21

22 Symetrická kryptografie Informační systémy 2 22

23 Asymetrická kryptografie Informační systémy 2 23

24 Digitální podpis Informační systémy 2 24

25 Informační systémy 2 Digitální podpis Odesílatel vytvoří z datové zprávy pomocí hashovací funkce tzv. otisk zprávy (hash), který je následně zašifrován pomocí zvoleného asymetrického algoritmu a soukromého klíče odesílatele. Výsledek je digitálním podpisem. Proces ověřování digitálních podpisů provádí příjemce. Z přijaté datové zprávy se nejprve vypočte otisk a to za použití stejné hashovací funkce, která podpis vytvořila. Následuje dešifrování obdrženého digitálního podpisu pomocí veřejného klíče odesílatele. Porovná se nově vypočtený otisk s otiskem, který byl získán dešifrováním obdrženého digitálního podpisu. V případě, že jsou oba otisky shodné, má příjemce jistotu, že zpráva i podpis pochází od vlastníka příslušného soukromého klíče. Zmíněný princip užití elektronického podpisu v praxi předpokládá spolupráci s poskytovatelem certifikačních služeb, který poskytne potřebný certifikát veřejného klíče. 25

26 Certifikát Informační systémy 2 Spojuje fyzickou totožnost žadatele s totožností elektronickou Je vydáván s pevnou dobou platnosti, zpravidla půl roku Certifikační autorita vydává Registrační autorita certifikáty ( odpovědnost za ověření totožnosti žadatele o certifikát) seznam zneplatněných certifikátů seznam veřejných certifikátů zajišťuje uložení a distribuci identifikačních informací komunikace s klientem přijímání žádostí o certifikát ověření totožnosti žadatele o certifikát 26

27 Tvorba certifikátu 2. Doprava žádosti k registrační autoritě Informační systémy 2 3. Ověření žádosti na registrační autoritě 1. Generování páru klíčů 5. Získání certifikátu 6. Instalace certifikátu čipová karta USB token 4. Vydání certifikátu CA 27