Informační systémy 2 Bezpečnost ve světě ICT - 10 Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: pondělí 8 50 10 25 Spojení: e-mail: jan.skrbek@tul.cz tel.: 48 535 2442 Obsah: Bezpečnostní hrozby Zásady ochrany dat Informační bezpečnost Elektronický podpis 1
Aktuality ze světa ICT Informační systémy 2 2
Aktuality ze světa ICT Informační systémy 2 3
17.5.2016 4 PSYCHOLOGICKÉ ÚTOKY Vylákání údajů - phishing Vydávání se za existující společnosti za účelem získání osobních informací nebo šíření virů. Podvodné e-mailové zprávy, které mají vzbudit dojem, že byly odeslány ze známé e-mailové adresy (např. České spořitelny). Zpráva obsahuje link na údajné stránky České spořitelny a vyzývá k potvrzení osobních bankovních údajů. Cílem podvodného e-mailu může být získání klientského čísla a hesla adresáta (identifikační a autentizační údaje), bezpečnostního kódu nebo například PIN k platební kartě či dalších bezpečnostních údajů a jejich následné zneužití. Nigerijské dopisy Může dojít k vylákání peněz z důvodu zaplacení posledních detailů Po uživateli se chce, aby odletěl např. do Nigerie, cestu si zaplatí a tam je možné vydírání Zneužití účtu k praní špinavých peněz
Aktuality ze světa ICT Informační systémy 2 5
Aktuality ze světa ICT Informační systémy 2 6
17.5.2016 7
17.5.2016 8 PSYCHOLOGICKÉ ÚTOKY V poslední době začali počítačoví piráti místo údajných bezpečnostních aplikací pro internetové bankovnictví maskovat škodlivé kódy také za jiné oblíbené aplikace např. za Seznam.cz, E-mail nebo Facebook. Útočníci, kterým se již podařilo ovládnout váš počítač prostřednictvím škodlivého viru, se snaží uživatele při přihlášení přimět, aby si do svého chytrého telefonu nainstaloval aplikaci pro jednodušší a bezpečnější práci s poštovní schránkou nebo účtem na sociálních sítích. Jejich jediným účelem je zachytávat a skrytě přeposílat útočníkovi autorizační SMS zprávy, které jsou nutné pro potvrzení platby. Riziko těchto útoků spočívá především v tom, že na první pohled není škodlivá aplikace nijak spojena s bankovním účtem a uživatelé si často neuvědomí, že jejím stažením vydávají kybernetickým zlodějům všanc své finance.
17.5.2016 9 PSYCHOLOGICKÉ ÚTOKY Zavirované e-maily
17.5.2016 10 PSYCHOLOGICKÉ ÚTOKY Hoaxy Plané poplachy poslat co nejvíc mailů pro získání peněz na operaci smrtelně nemocného člověka Smazat nějaký soubor, který je infikovaný (ve skutečnosti jde o nějaký systémový) Petice např. za kácení stromů atd. Proč škodí? Útok na uživatelů psychiku Zahlcují sítě Způsobují ekonomicky měřitelné ztráty způsobené zdržováním od práce Užitečné odkazy www.hoax.cz, www.urbanlegends.com,www.google.com
17.5.2016 11 VOLBA HESLA Ochrana před zneužitím účtu Na samotném počítači Před anonymními útočníky z internetu Správná volba 10 a více znaků Používat čísla a symboly Sestavit si heslo algoritmem z nějaké věty např. 1.písmeno z prvního slova, 2.písmeno z druhého slova atd.. Pozn. český slovník má jen cca 300 tisíc slov
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ 17.5.2016 12 Odposlech Tvrdí se, že 95% veškeré komunikace je odposloucháváno Závislost na připojení v síti Aktivní prvky vs. pasivní Odposlechy-video Bezpečné vymazání Prohlížeče si automaticky pamatují historii Nastavit si správně internetové prohlížeče Vypnout automatické vyplňování formulářů Vymazání a ani formátování disků nic v podstatě neřeší Studie 200 starých disků, kde z 90% obnovili data včetně choulostivých Při prodávání či vyřazování je dobré použít speciální nástroje
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ 17.5.2016 13 Přístupová práva Definování toho, co kdo s čím kde a jak může na počítači dělat. Lze obejít např. bootováním jiného systému z CD Útoky na Internet banking
ODPOSLECH, SLEDOVÁNÍ A KRADENÍ ÚDAJŮ 17.5.2016 14 Šifrování Šifrují se data i přímo na disku MS Windows (vč. Outlooku) mají v sobě zabudovaný nástroj pro šifrování dat Ostatní nástroje pro šifrování PGP www.pgp.com GPG www.gnupg.org Možnost stáhnout pluginy pro nejpoužívanější mailové programy Je vhodné použít šifrovací klíče aspoň o délce 1024bitů Nepřečte nikdo bez soukromého klíče a je jedno v jaké fázi e-mail (data) odposlechne Protokol SSL šifrování dat na www stránkách (https://) Potřeba mít nainstalovanou podporu alespoň 128-bitových klíčů Další zabezpečení Existují protokoly i pro zabezpečení např. Telnetu, FTP atd.
17.5.2016 15 Viry Historie Nyní šíření pomocí disket Obvykle mazání či formátování disku Především pomocí elektronické pošty, resp. Internetu vůbec Cílem je zneužití počítače a dat na něm Obecná charakteristika virů Kradou z počítače citlivá data a posílají je autorovi Viry video Instalují tzv. zadní vrátka, kterými autor zaútočí na počítač Zneužití k DDoS útokům (Distributed denial of services) na významné servery Zneužití k provozování nelegální www stránek Rozesílání náhodně vybraných dat na náhodně vybrané počítače (což ohrožuje citlivá data) Zavirovat lze každý systém včetně Linuxu a mobilních telefonů
17.5.2016 16 Druhy virů Počítačové viry se dělí do několika skupin, podle toho, jaké objekty napadají: Boot viry napadají systémové oblasti disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá média, která uživatel použije. Souborové viry napadají pouze soubory - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování. Multipartitní viry napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů. Makroviry napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Makrovirus může například vykrádat z vašeho počítače důvěrné informace, pracovat s vašimi soubory, spouštět aplikace. - v současné době nejčastěji se vyskytující druh viru. V závislosti na některých dalších vlastnostech virů mluvíme o těchto typech virů: Stealth viry chrání se před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu. Polymorfní viry se pokoušejí znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu. Rezidentní viry zůstávají po svém spuštění přítomny v paměti.
17.5.2016 17 Hackeři Podobné útoky jako viry Obecně lze hackery rozdělit do 4 skupin na ty: kteří se nabourávají do systému, aby získali nové vědomosti a zkušenosti s hackováním kteří se snaží být in (obvykle děti). Často shání programy na hackování a náhodně se kamsi připojí a nevědomě tím mohou napáchat i velkou škodu kterým jde o získání citlivých údajů (v podstatě špióni) kterým jde o zneužití počítače k nekalým aktivitám Já, hacker
17.5.2016 18 BEZPEČNOSTNÍ DÍRY, SPYWARE Bezpečnostní díry Využívají je hackeři a viry Existuje i software, které je využívá pro tzv. zadní vrátka pro hackera Spyware Existuje celá řada aplikací, kterými lze sledovat, co uživatel dělá Mívají i podobu tzv. Cookies malých souborů Automaticky (tj. bez vědomí provozovatele počítače) se stahují z Internetu!! Útoky DDoS (Distributed Denial of Service) Jsou zaměřeny cíleně na znepřístupnění služeb a to jakýmkoliv způsobem Při DoS útoku je zapojen jen jeden stroj/jedinec, při DDoS dva a více (statisíce)
17.5.2016 19 OBRANA Uživatelská Antivir Norton Antivirus, NOD32, Avast Firewall Norton Internet Security, Kerio Personal Firewall Systém pro detekci vniknutí Norton Internet Security Systém pro detekci spywaru (AdAware www.lavasoftusa.com) Pravidelné aktualizace Ve velkých sítích (systémech) Cisco Systems, Inc. (NASDAQ: CSCO) přední světová firma dodávající internetová řešení (http://www.cisco.com) Symantec Kompletní řešení hardwarového a sowftwarového zabezpečení LiveUpadte Produkt Norton Internet Security
17.5.2016 20 VIRY EXE, PIF, SCR, VBS Spustitelné soubory, typické přípony virů šířících se mailem ZIP, ARJ, RAR Archivy. Mohou obsahovat cokoliv, obsah může a nemusí být zavirovaný DOC, XLS, MDB, PPT PDF Dokumenty Microsoft Office, lze je zavirovat makroviry (současné typické viry se nicméně takto nešíří) BMP, PCX, GIF, JPG, JPEG, PNG, TGA TXT malá pravděpodobnost, že by existovaly viry, které se jím šíří WAV, MP3, WMA, OGG u MP3 lze využít bezpečnostní díry v některých přehrávačích
17.5.2016 21 SPAM Charakteristika Nevyžádaná reklamní pošta, každý den miliardy zpráv od několika málo uživatelů, např. nabídky levného softwaru, léků, sexuálních služeb apod. Útoky na emailové servery využívání seznamu jmen Obrana prevence a filtrování Prevence e-mail v bezpečné podobě na osobních a firemních stránkách Nevyplňovat svůj e-mail na internetových fórech a diskuzích Neodpovídat a ani neklikat na stáhnutí obrázků v mailu
17.5.2016 22 SPAM Filtrování SPAMu U některých poskytovatelů mailů si lze tuto službu zaplatit Instalace softwaru pro filtrování Filtry jsou součástí např. Outlooku nebo Norton Internet Security Filtrování funguje na základě statistiky a ne na odesílateli Je však dobré občas odfiltrované SPAMy prohlédnout, protože i nástroje na filtrování mohou chybovat a pak lze ztratit cenné kontakty
IN2-13-10 17.5.2016 23 SHRNUTÍ Tipy a rady Nikdy nikam neposílat svá hesla, PIN ani nic podobného Pravidelně záplatovat systém (update) Používat antivirus, firewall a detekci spywaru Správně nastavit přístupová práva, důležitá data a maily šifrovat Pro důležité maily používat digitální podpis Před prodejem disku nebo počítače smazat disk pomocí utilit, které data přepisují, ne jen prostým smazáním Informace o právě se šířících i jiných virech a nebezpečích www.symantec.cz
Bezpečná komunikace Informační systémy 2 Digitální podpis Kdo je můj komunikující partner? Je můj komunikující partner opravdu tím za koho se vydává? IN2-11-12 24
Informační systémy 2 Základní atributy bezpečnosti důvěrnost informací neautorizované subjekty nemají možnost přístupu k důvěrným informacím integrita dat Jak toto vše zajistit? zabezpečení proti neautorizované modifikaci zprávy (dat) neodmítnutelnost odpovědnosti důkaz o přímé odpovědnosti subjektu za zprávu Kombinací symetrické a asymetrické kryptografie Aplikací digitálního (elektronického) podpisu 25
Symetrická kryptografie Informační systémy 2 26
Asymetrická kryptografie Informační systémy 2 27
Digitální podpis Informační systémy 2 28
Digitální podpis Informační systémy 2 29
Informační systémy 2 Digitální podpis Odesílatel vytvoří z datové zprávy pomocí hashovací funkce tzv. otisk zprávy (hash), který je následně zašifrován pomocí zvoleného asymetrického algoritmu a soukromého klíče odesílatele. Výsledek je digitálním podpisem. Proces ověřování digitálních podpisů provádí příjemce. Z přijaté datové zprávy se nejprve vypočte otisk a to za použití stejné hashovací funkce, která podpis vytvořila. Následuje dešifrování obdrženého digitálního podpisu pomocí veřejného klíče odesílatele. Porovná se nově vypočtený otisk s otiskem, který byl získán dešifrováním obdrženého digitálního podpisu. V případě, že jsou oba otisky shodné, má příjemce jistotu, že zpráva i podpis pochází od vlastníka příslušného soukromého klíče. Zmíněný princip užití elektronického podpisu v praxi předpokládá spolupráci s poskytovatelem certifikačních služeb, který poskytne potřebný certifikát veřejného klíče. 30
Informační systémy 2 Digitální podpis Délka hodnoty hash je dána typem použitého hash algoritmu a tato délka se nemění v závislosti na délce vlastní zprávy. Od 1. 1. 2010 se používá algoritmus rodiny SHA-2 (délka klíče 224,256,384 nebo 512 bitů). Každá dvojice nestejných zpráv vede na zcela rozdílnou hodnotu hash, dokonce i v případě, že se dvě zprávy liší pouze v jediném bitu. Pokaždé, když je počítána hodnota hash z příslušné zprávy za použití toho samého algoritmu, je vytvořena stejná hodnota funkce hash. Hash algoritmus je jednosměrná funkce. Z dané výsledné hodnoty hash funkce není možné obnovit původní zprávu. 31
Certifikát Informační systémy 2 Spojuje fyzickou totožnost žadatele s totožností elektronickou Je vydáván s pevnou dobou platnosti, zpravidla půl roku Certifikační autorita vydává Registrační autorita certifikáty ( odpovědnost za ověření totožnosti žadatele o certifikát) seznam zneplatněných certifikátů seznam veřejných certifikátů zajišťuje uložení a distribuci identifikačních informací komunikace s klientem přijímání žádostí o certifikát ověření totožnosti žadatele o certifikát 32
Tvorba certifikátu 2. Doprava žádosti k registrační autoritě Informační systémy 2 3. Ověření žádosti na registrační autoritě 1. Generování páru klíčů 5. Získání certifikátu 6. Instalace certifikátu čipová karta USB token 4. Vydání certifikátu CA 33
Využití certifikátů Informační systémy 2 1. Bezpečná komunikace elektronickou poštou digitální podpis Zajištění neodmítnutelnosti odpovědnosti za odeslanou zprávu či data zajištění integrity odeslané zprávy 34