Bezpečnost, rizika a soukromí v informačních technologiích

Rozměr: px

Začít zobrazení ze stránky:

Download "Bezpečnost, rizika a soukromí v informačních technologiích"

Marcel Dušek
před 8 lety
Počet zobrazení:

1 Bezpečnost, rizika a soukromí v informačních technologiích Karel Nykles nykles@cesnet.cz CryptoFest, Praha

2 CESNET Sdružení CESNET založily vysoké školy a Akademie věd České republiky v roce Výzkumné aktivity CESNET věnuje značnou pozornost výzkumu a vývoji v oblasti pokročilých síťových technologií a aplikací, které je využívají CryptoFest, Praha

Výzkumné aktivity CESNET věnuje značnou pozornost výzkumu a

3 Forenzní laboratoř FLAB Založena jako projekt CESNETu v roce Nyní poskytuje služby typu analýzy událostí, penetračních a zátěžových testů, a výzkumu v oblasti informační bezpečnosti CryptoFest, Praha

4 Riziko obecně Pravděpodobnost narušení vyhovujícího stavu - realizací hrozby CryptoFest, Praha

5 Hrozby v reálném světě Živelná katastrofa Požár, povodeň Kriminální čin Krádež, vloupání, násilí Nehoda Bouračka, úraz Nemoc Angína, rakovina, astma CryptoFest, Praha

6 Hrozby v IT Únik utajovaných skutečností Osobní údaje, strategické plány, identita Přímá finanční škoda Duševní vlastnictví, kreditní karta Poškození reputace Ztráta dat Defacement webu, únik intimních fotografií Nastavení výrobních linek, fotky z dovolené CryptoFest, Praha

Poškození reputace Ztráta dat Defacement webu, únik intimních fotografií

7 Bezpečnost obecně Předcházím hrozbě-> snižuji riziko -> zvyšuji bezpečnost CryptoFest, Praha

8 Bezpečnost v reálném světě Systémová bezpečnost: Osobní bezpečnost: Zámek ve dveřích Hasiči Semafor Důsledné zamykání Negrilovat v seníku Rozhled v křižovatce CryptoFest, Praha

9 Bezpečnost v IT Systémová bezpečnost: Osobní bezpečnost: Firewall Šifrování Hesla Zamykání obrazovky Opatrnost u free Důsledné aktualizace CryptoFest, Praha

10 Co si chráníme? Reálný svět Identita Zdraví Peníze Majetek Život Rodina Online svět CryptoFest, Praha

11 Jak se chráníme? Reálný svět Co mají uvedené situace společného a v čem se naopak svět Pochybná čtvrť v noci Přecházení silnice Výběr z bankomatu Klíče od domu/bytu Prášek na hubnutí Výlet do exotické země Známí z diskotéky Stránky s nelegálním obsahem Internetové bankovnictví Platba kartou online Hesla Instalace neznámého programu Cracknutí hry Přátelé na facebooku CryptoFest, Praha

hubnutí Výlet do exotické země Známí z diskotéky Stránky s nelegálním obsahem Internetové bankovnictví

12 Kde aplikovat IT bezpečnost? Veškerá zařízení, s přístupem k internetu, nebo připojitelná k počítači CryptoFest, Praha

13 Fakta První počítačový virus: 1982 První virus na mobilním telefonu: 2004 Chuck Norris botnet, routery a modemy: 2010 První hacknutí funkcí automobilu: V roce 2013 McAfee katalogizovalo nových vzorků malware každý den CryptoFest, Praha

hacknutí funkcí automobilu: 2011-2013 V roce 2013 McAfee

14 Co nás ohrožuje Hackeři Malware Datamining Vládní agentury CryptoFest, Praha

15 Čemu se lze efektivně bránit? Aktualizace Firewall Obezřetnost Aktualizace Antivir Sebekontrola Sebekontrola Soukromí Anonymita Zveřejnění Svoboda Média CryptoFest, Praha

16 Motivace temné strany Cíle útočníka: peníze / moc Přímo, vylákáním peněz Prostřednictvím ukradené identity Prostřednictvím malware v uživatelském PC Prostřednictvím ukradených informací CryptoFest, Praha

identity Prostřednictvím malware v uživatelském PC

17 Prostředky temné strany Sociální inženýrství Malware Technická nadřazenost Samotní uživatelé Zákonný rámec CryptoFest, Praha

18 Sociální inženýrství Nevyžaduje hlubší technické znalosti Přináší téměř okamžitý zisk 100% ochranou je 100% izolace Phishing Zneužití identity Obecně uživatel jako útočný vektor CryptoFest, Praha

je 100% izolace Phishing Zneužití identity Obecně

19 Cíle sociálního inženýrství Přimět oběť sociálního inženýrství k (ne)činnosti, která odpovídá cílům útočníka CryptoFest, Praha

20 Nejjednodušší útok? Q: Řeknete co máte za heslo? A: Jméno psa a rok promoce Q: A co máte za psa A: Chiba Inu Q: Jak se jmenuje? A: Hafík Q: A kam jste chodila na školu? A: VŠE Q: A kdy jste skončila? A: 2013 Zdroj (volný přepis): CryptoFest, Praha

jmenuje? A: Hafík Q: A kam jste chodila na školu?

21 Proč to funguje? Exekuce Výplatní pásky Zaplatit telefon Kafe pro šéfa Emoce Roztomilá koťátka Vyzvednout poštu Informace o nedoručené zásilce Květinový záhon CryptoFest, Praha

22 Dualita mozku Amygdala Vývojově starší část Útěk x Útok Bleskové reakce Emoce Instinktivní rozhodování Prefrontální neokortex Vývojově mladší část Racionální myšlení Pomalé reakce Logika Přesné rozhodování CryptoFest, Praha

23 Mechanismus rozhodování Nedostatek času + Stres + Emoce = Amygdala, Instinktivní rozhodování CryptoFest, Praha

24 Sociální inženýrství - obrana Poučit se z chyb. Důvěřuj, ale prověřuj. Opravdu chci udělat to o co jsem žádán? Proč mě banka žádá o přítupové heslo mailem? Proč má archiv s fotkami poníků příponu EXE? Proč po mě chce banka potvrdit nedůvěryhodný certifikát? CryptoFest, Praha

25 Malware Malicious+Software = Malware [blending] Veškeré programy vytvořené za účelem nedobrovolného zneužití Vašeho počítače pro účely útočníka, k získávání informací o Vás a nebo zobrazování reklamy Spyware Adware Ransomware Botnet agent Malware Virus Trojan CryptoFest, Praha

26 Malware Tak mám vira, no a co? Rozesílá spam Přesměruje provoz na falešné stránky Těží pro útočníka Bitcoiny Útočí na servery NSA Odesílá stisknuté klávesy Zašifrovaný disk, požadavek výpalného Napadený PC Běží pomalu Padá systém Sleduje přihlašovací údaje, WoW, WoT, , banka... Zpřístupní Vaše fotky útočníkům CryptoFest, Praha

27 Malware řídící struktura CryptoFest, Praha

28 Malware obrana Aktuální OS a aplikace Nestandardní OS + aplikace (minoritní) Hlídat si přípony souborů Velká obezřetnost u Free (XXX) obsahu Cracky zkoušet týden po vydání, napřed u VirusTotal CryptoFest, Praha

29 Technická nadřazenost NSA, FAPSI (FAGCI), Vládní agentury, Kriminální organizace, Armádní speciální složky CryptoFest, Praha

30 Technická nadřazenost - Obrana Jak se z pozice běžného občana bránit tomuto? CryptoFest, Praha

31 Datamining Cílem je získat informace (za účelem jejich prodeje). Lze použít k deanonymizaci uživatelů sítě Krádež identity Narušení soukromí Cílení reklamy Vydírání CryptoFest, Praha

32 Datamining - obrana Hlídat si soukromí sociální síťě jako vizitka Zachovat anonymitu (v rámci možností) CryptoFest, Praha

33 Anonymita na internetu Jak vidíme svou anonymitu na internetu CryptoFest, Praha

34 Anonymita na internetu Ross Ulbricht, odsouzen na doživotí za: Tvorbu a provozování anonymního tržiště Silk Road. Silk Road bylo dostupné pouze pomocí anonymizačního protokolu TOR CryptoFest, Praha

35 Anonymita na internetu Neexistuje CryptoFest, Praha

36 Anonymní prohlížení Koho z Vás již sledovala na internetu reklama? CryptoFest, Praha

37 Anonymita - doporučení Anonymní režim prohlížeče pro: Sociální sítě Googlení Free(xxx) obsah Minimálně dojde k omezení stalkujících reklam CryptoFest, Praha

38 Soukromí Nic špatného nedělám, tak mi nic nehrozí, ať si mě klidně sledují! VS To, že nejsem paranoidní, ještě neznamená, že po mně nejdou! CryptoFest, Praha

39 Soukromí To, že nejsem paranoidní, ještě neznamená, že po mně nejdou! CryptoFest, Praha

40 Soukromí Nic špatného nedělám, tak mi nic nehrozí, ať si mě klidně sledují! VS CryptoFest, Praha

41 Zabezpečení soukromí Nezveřejňuji (=nedávám na internet) soukromá data Intimní fotky synchronizované do cloudu Rámcově sleduji, co o mé osobě tweetují ostatní Vím mohu být připraven na konfrontaci Bránit se lze právně, reálně spíše škodí Používám kvalitní hesla CryptoFest, Praha

42 Hesla F98DMrnf_ff$-ddssd.I720dcn Dobré heslo, ale těžko se pamatuje... Skakal.p3s_6piv_nes Dobré heslo a pamatujete si ho už teď Skakal.p3s_seznam_nes Skakal.p3s_fb_nes Skakal.p3s_skolu_nes Dobré heslo, dobře se pamatuje, liší se pro každou službu Odolné vůči slovníkovému útoku Dobré heslo je k ničemu na zavirovaném PC CryptoFest, Praha

43 Shrnutí obrany Být ve střehu, sledovat neobvyklou aktivitu, https Aktualizovat Používat Antivir, Firewall Dvakrát si rozmyslet, než kliknu na odkaz Třikrát si rozmyslet a dvakrát zkontrolovat adresu, než: Zadám heslo do banky Do mailu Do školního systému Narazím-li na velký problém, kontaktuji odpovědnou osobu, nebo rovnou policii (není se za co stydět) CryptoFest, Praha

44 Shrnutí: Prostor pro diskusi Riziko, Hrozba, bezpečnost Realita vs. IT Sociální inženýrství Malware Vládní agentury Datamining Anonymita Soukromí Hesla? CryptoFest, Praha

Podobné dokumenty

Informační a komunikační technologie. 1.5 Malware

Informační a komunikační technologie 1.5 Malware Učební obor: Kadeřník, Kuchař-číšník Ročník: 1 Malware ( malicius - zákeřný) Mezi tuto skupinu patří: Viry Červi Trojské koně Spyware Adware... a další