Napadnutelná místa v komunikaci

Transkript

1 Napadnutelná místa v komunikaci Beret CryptoParty Napadnutelná místa v komunikaci 1/16

2 Obsah prezentace 1. Příklad komunikace: 2. Napadnutelná místa 3. Typy narušitelů 4. Metody ochrany obecně šifrování komunikace klient-server, end-to-end VPN, anonymizace off-line ochrana dat Napadnutelná místa v komunikaci 2/16

3 Příklad komunikace počítač router ISP server Andreas Internet počítač router ISP server Beáta Napadnutelná místa v komunikaci 3/16

4 Napadnutelná místa počítač router ISP server Andreas prostředí viry, spyware, bezp. díry LAN hackeři, majitel připojení špioni (?) zákonný odposlech zaměstnanci, zák. odposlech hackeři, Internet roboti počítač router ISP server Beáta Napadnutelná místa v komunikaci 4/16

5 Typy narušitelů kyberzločinci získání dat: slabiny systému (nelegální) využití: zábava, podvody, spam, krádež identity poskytovatelé získání dat: uživatelé jim je svěřují využití: cílená reklama zákonné složky získání dat: soudní příkazy, odposlechy využití: odhalování zločinu (včetně porušování copyrightu) Napadnutelná místa v komunikaci 5/16

6 Metody ochrany obecně bezpečnostní záplaty, firewall, antivirus, proti napadení systému šifrování proti čtení informací podepisování proti změně informací (zejména přesměrování toku) anonymizace proti identifikaci odesílatele Napadnutelná místa v komunikaci 6/16

7 Metody ochrany pravidelné aktualizace, antivirus, antispyware, firewall, tomu se věnují jiní neudělejte si díru ve vlastním systému spyware osoby s přístupem k hardwaru nešifrované informace (logy, uložené y) Napadnutelná místa v komunikaci 7/16

8 Metody ochrany zabezpečené spojení se serverem (SSL / TLS) šifrování a podepisování mezi klientem a serverem univerzální použití (HTTPS, FTPS, POP3S, IMAPS, XMPP, ) lze napadnout pomocí: hlouposti uživatele (ignoruje varování) narušení certifikační autority počítač router ISP server SSL / TLS Napadnutelná místa v komunikaci 8/16

9 Metody ochrany end-to-end kryptografie (PGP, OTR, ) šifrování a podepisování mezi klientem a klientem pluginy do existujících služeb (Enigmail, Pidgin-OTR) nutné ověřit uživatele, jinak hrozí Man-in-the-Middle Attack počítač počítač Andreas end-to-end kryptografie Beáta Napadnutelná místa v komunikaci 9/16

10 Metody ochrany pozn.: kombinace SSL / TLS a end-to-end některá data chceme bezpečně odeslat serveru (heslo) jiná data chceme bezpečně odeslat uživateli (zpráva) Napadnutelná místa v komunikaci 10/16

11 Metody ochrany Virtual Private Network (VPN) šifrování a podepisování zabezpečený tunel od klienta k VPN serveru (tj. i skrz ISP) získání bezpečí na nedůvěryhodných sítích (veřejná Wi-Fi) využívají firmy s externími pracovníky obvykle placené pouze přesouvá napadnutelné místo jinam VPN server počítač router ISP server VPN tunel Napadnutelná místa v komunikaci 11/16

12 Metody ochrany anonymizace (proxy, Tor) obvykle změna IP adresy splynutí s davem je snadné se prozradit (přihlášení na Facebook, ID prohlížeče, styl psaní, end-to-end korelace) nezaměňovat anonymitu se soukromím Napadnutelná místa v komunikaci 12/16

13 Metody ochrany šifrování disku (TrueCrypt, dm-crypt, ) chrání data, když je počítač vypnutý odcizení, pohraniční kontrola, vyžaduje heslo při spuštění nebo probuzení počítače šifrování souborů lze použít GnuPG, RAR, šifrované klíčenky (KeePass, součást Firefoxu, ) fungují správně pouze s odemykacím heslem! Napadnutelná místa v komunikaci 13/16

14 Metody ochrany steganografie (steghide) popření existence tajných informací skrytí v jiných datech (obrázky, hudba) Napadnutelná místa v komunikaci 14/16

15 Závěr Napadnutelná místa v komunikaci 15/16

16 Závěr komunikaci lze narušit na mnoha místech zabezpečený počítač je základ SSL a TLS chrání před zločinci používat, kde to jde soukromé zprávy je vhodné chránit end-to-end VPN chrání v nejistých prostředích anonymita je křehká, Tor ji může poskytnout šifrování dat na disku je vhodné pro případ odcizení Napadnutelná místa v komunikaci 16/16