Identifikátor materiálu: ICT-2-02

Podobné dokumenty
Identifikátor materiálu: ICT-3-12

Identifikátor materiálu: ICT-2-01

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Typy bezpečnostních incidentů

Bezepečnost IS v organizaci

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Identifikátor materiálu: ICT-2-04

CISCO CCNA I. 8. Rizika síťového narušení

KYBERNETICKÁ A INFORMAČNÍ VÁLKA

Provozování integrovaného podnikového systému. Jaroslav Šmarda

Bezpečnostní rizika spojená s platebními službami

Šablona: III/2 Inovace ve výuce prostřednictvím ICT Číslo výukového materiálu: 383 Informatika - software Mgr. Lenka Hanykýřová

Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ

1. Způsoby zabezpečení internetových bankovních systémů

Bezpečnostní politika informací SMK

VY_32_INOVACE_IKTO2_1960 PCH

CZ.1.07/1.5.00/

CZ.1.07/1.5.00/

Informatika / bezpečnost

Bezpečnostní aspekty informačních a komunikačních systémů KS2

IMPLEMENTACE ECDL DO VÝUKY MODUL 7: SLUŽBY INFORMAČNÍ SÍTĚ

Nejčastější podvody a útoky na Internetu. Pavel Bašta

PB169 Operační systémy a sítě

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - IT Security SYLABUS 1.0 (M12)

Bezpečnostní politika společnosti synlab czech s.r.o.

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Bezpečnostní zásady. Příloha č. 1 k Podmínkám České národní banky pro používání služby ABO-K internetové bankovnictví

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Vytvořili žáci 7. třídy ZŠ Vacov v rámci projektového dne

Bezpečnost internetového bankovnictví, bankomaty

Identifikátor materiálu: ICT-3-16

CZ.1.07/1.5.00/ Inovace a individualizace výuky VY_62_INOVACE_ZEL16. BEZPEČNOSTNĚ PRÁVNÍ AKADEMIE BRNO, s.r.o.

Identifikátor materiálu: ICT-2-05

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Po ukončení tohoto kurzu budete schopni:

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Práce s ovými schránkami v síti Selfnet

Dopady Průmyslu 4.0 na kybernetickou bezpečnost. Ing. Tomáš Přibyl Ing. Michal Kohút

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Spear phishing

Vývoj Internetových Aplikací

Identifikátor materiálu: ICT-1-02

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Úvod - Podniková informační bezpečnost PS1-2

Identifikátor materiálu: ICT-1-11

Identifikátor materiálu: ICT-3-14

CZ.1.07/1.5.00/

Registrační číslo projektu: Škola adresa: Šablona: Ověření ve výuce Pořadové číslo hodiny: Třída: Předmět: Název: I víme o něm vše?

Jak být online a ušetřit? Ing. Ondřej Helar

Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

ICT plán leden 2014 prosinec 2015

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Identifikátor materiálu: ICT-3-03

Elektronické bankovnictví IV. čtvrtek, 31. května 12

III/2 Inovace a zkvalitnění výuky prostřednictvím ICT EU-OVK-VZ-III/2-ZÁ-101

EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - IT Security SYLABUS 2.0 (M12)

Obrana sítě - základní principy

Identifikátor materiálu: ICT-3-10

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Téma: PC viry II. Vytvořil: Vítězslav Jindra. Dne: VY_32_Inovace/1_058

Bezpečnost webových stránek

Bezpečnost. Michal Dočekal

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

PRODUKTOVÉ OBCHODNÍ PODMÍNKY PRO INTERNETOVÉ BANK OVNICTVÍ

Název školy: Základní škola a Mateřská škola Žalany. Číslo projektu: CZ. 1.07/1.4.00/ Téma sady: Informatika pro devátý ročník

KLASICKÝ MAN-IN-THE-MIDDLE

Internet - způsoby připojení

Střední průmyslová škola, Trutnov, Školní 101 Centrum odborného vzdělávání v elektrotechnice a ICT

Connection Manager - Uživatelská příručka

Internet Banka v mobilu

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Bezpečně na internetu. Vlasta Šťavová

Identifikátor materiálu: ICT-1-03

Tonda Beneš Ochrana informace podzim 2011

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Identifikátor materiálu: ICT-3-02

Identifikátor materiálu: ICT-2-06

Milan Pösl Pohled na HRY a internet rizika A COOL SLOGAN ON THIS LINE

Desktop systémy Microsoft Windows

Od teorie k praxi víceúrovňové bezpečnosti

Aplikovaná informatika

CZ.1.07/1.5.00/

Identifikátor materiálu: ICT-2-03

Dalibor Kačmář

Identifikátor materiálu: ICT-3-08

Postoj Evropanů k bezpečnosti na internetu

Security of Things. 6. listopadu Marian Bartl

CYBER RISK POJIŠTĚNÍ POHLEDEM POJIŠŤOVACÍHO MAKLÉŘE

Bezpečné placení na Internetu

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Bezpečnostní politika společnosti synlab czech s.r.o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ICT bezpečnost. Tomáš Kříž České Budějovice

Transkript:

Identifikátor materiálu: ICT-2-02 Předmět Informační a komunikační technologie Téma materiálu Bezpečnost dat 2 Autor Ing. Bohuslav Nepovím Anotace Student si procvičí / osvojí narušení bezpečnosti. Druh učebního materiálu Prezentace (Výklad / Test) Typ vzdělávání Střední škola / SOU Ročník 1. 3. Datum vytvoření Prosinec 2012

Informační a komunikační technologie Bezpečnost dat 2

Narušení bezpečnosti Moderní společnost je čím dál tím více závislá na přenosu, třídění a ukládání informací. Informace se stávají zbožím. Zároveň s tím narůstá složitost systémů, které přenos a zpracování informací umožňují, a také se zvyšuje míra jejich integrace a provázanosti. Jedním z projevů tohoto vývoje je i existence celosvětové datové sítě Internetu. Čím dál tím více se tedy stává problémem ne to, jak informace získat nebo dopravit na potřebné místo, ale jak zajistit, aby dotyčné informace měli včas k dispozici ti, kterým jsou určeny (např. ti, kteří si za ně zaplatili), a naopak, aby se nedostaly k těm, před kterými mají zůstat utajeny. Narušení bezpečnosti se dá provést několika způsoby (vydávání se za jinou osobu a zneužití jejích privilegií; změnou práv ostatních osob; bráněním uživatelům legitimně komunikovat...a mnoho dalších)

Druhy útoků Útok, neboli bezpečnostní incident je buď úmyslné využití zranitelného místa ke způsobení škod (ztrát), nebo neúmyslné uskutečnění akce, jejíž výsledkem je škoda. Útoky lze provádět přerušením: útok na dostupnost (ztráta, znepřístupnění, vymazání dat, porucha periferie...) odposlechem: útok na důvěrnost (okopírování dat, programu...) změnou: útok na integritu (změna mailu, změna uložených dat, přidání funkce do programu...) přidáním hodnoty: útok na integritu nebo na autenticitu (neautorizovaná strana něco vytvoří: podvržení transakce, dodání falešných dat, poslání mailu pod jiným jménem)

Útoky lze také dělit na: s velkou škodou (tyto útoky mohou mít pro organizaci katastrofický dopad případně i krach) s malou škodou (škody nejsou tak významné) nebo také: útoky na HW útoky na SW útoky na data Útočník Důležité je třeba si uvědomit, kdo může útočit. Útočník může být vnější/vnitřní a podle znalostí a dovedností a vybavenosti rozeznáváme útočníky: slabé síly (amatéři, náhodní útočníci) střední síly (hackeři) velké síly (počítačoví profesionálové zločinci )

Zranitelné místo Je slabina informačního systému (IS), která se dá využít ke způsobení škod nebo ztrát útokem na informační systém. Podstata zranitelného místa může být: fyzická (umístění PC/IS na místě, které je dostupné vandalismu, sabotáži...) přírodní (záplava, požár, tajfun...) v HW nebo SW v lidském faktoru (největší zranitelnost ze všech variant) Riziko Je pravděpodobnost využití zranitelného místa.

Sociální inženýrství Sociální inženýrství je moderní metoda počítačového útoku na nejslabší článek těchto systémů, a tím je člověk. Psychologie a umění ovládat lidi, neboli využívání lidských slabin v jednání, jsou nejmocnější zbraní sociotechnika. Sociotechnika v pojetí informační bezpečnosti znamená přesvědčování a ovlivňování lidí s cílem oklamat je tak, aby uvěřili, že útočník je někdo jiný, a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů. Lidé jsou v principu důvěřiví a věří jeden druhému, a proto jsou vůči sociálnímu inženýrství hodně zranitelní. I zdánlivě nevinné informace je třeba chránit, proto by zaměstnanci v organizacích měli dodržovat jednoduché pravidlo: veškeré firemní údaje musí považovat za citlivé a nikomu je nesmí prozrazovat. Mezi nejpoužívanější metody útoku patří Trashing, Phishing, Pharming a Vishing.

Trashing Trashing je nejstarší technikou a znamená prosévání firemního či bytového odpadu za účelem získání cenných informací. Útočník hledá jakékoli dokumenty spojené s výpisy z účtu, telefonních karet a jiné cennosti. Řada společností i domácností má kontejnery umístěny v nestřeženém okolí svých budov, a tím se stávají snadno dostupné pro útočníka. Tato metoda je velmi účinná, ale u sociotechnika méně oblíbená, protože ne každý má žaludek na prohrabávání popelnic. V poslední době ale útočníkům napomáhá třídění odpadu, prohledávají pouze kontejnery na papír a nemusí se prohrabávat veškerým hnijícím odpadem. Obranou proti této technice je přejít na elektronickou formu citlivých dokumentů nebo zbavovat se důležitých dokumentů fyzickým zničením, nejlépe zpopelněním. Ani skartace papírových dokumentů není bezpečná, protože pokud si dá někdo tu práci, dokáže rozřezané papíry složit zpět jako puzzle.

Phishing Phishing nebo-li rybaření je podvodná technika používaná na Internetu k získávání citlivých a užitečných údajů od obětí, jako jsou hesla, čísla kreditních karet, PIN a podobně. Využívá se k tomu rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce s odkazem na podvodné stránky, kde vyzývají adresáta k zadání jeho přihlašovacích údajů. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni s jeho účtem libovolně manipulovat. Obranou před touto technikou je nepovažovat Internet za zdroj pouze důvěryhodných informací, nepoužívat hypertextové odkazy zahrnuté přímo v e-mailu, nikomu nesvěřovat důvěrné informace. Je vhodné používat aktualizovaný antivirový software a prohlížeče či doplňky, které umějí phishing rozpoznat.

Pharming Pharming označuje činnost, při které útočníci přesměrují internetovou komunikaci z jednoho webu na jiný. Pharming spočívá v modifikaci DNS záznamů změnou záznamů v souboru hosts u jednotlivých počítačů s operačními systémy Windows. Nic netušící uživatel je pak i při zadání správné adresy internetového bankovnictví přesměrován díky změněným DNS záznamům na podvodnou stránku. Jestliže je tato falešná stránka dobře vypracovaná, pak je nízká šance, že by uživatel na podvod přišel. Obranou proti tomuto útoku je zajistit ochranu samotného souboru s názvy hostitelů a mít správně nastavený a aktuální antivirový program kontrolující nejen všechny soubory posílané elektronickou poštou, ale také vše, co je spouštěno a stahováno z webu. Další možností je používání nástrojů, které zobrazují doplňující informace o právě zobrazovaných webových stránkách (Netcraft Toolbar).

Vishing Vishing těží z důvěry v telefonní služby, je to zneužívání VoIP technologie (Voice over Internet Protocol) pro vylákání osobních a finančních informací za účelem osobního obohacení. Vishing napodobuje obvyklý způsob komunikace lidí s jejich finančními institucemi. Oběti jsou dotazovány na čísla účtů, hesla nebo čísla sociálního zabezpečení. Tyto údaje jsou poté prodávány v Internetu a používány k podvodům se získanou identitou. S příchodem VoIP již nemusí být na konci telefonního spojení pevná linka, ale třeba i počítač, který lze snadno pro tyto účely zneužít. Obrana proti vishingu zůstává pouze na uživateli a vždy, když přijde na identifikační údaje, je vhodné používat zdravý rozum. V případě finančních institucí je vhodné žádat o ověření totožnosti například požádáním, jakou transakci jsme naposledy provedli. Zloděj k takovým informacím nebude mít pravděpodobně přístup.

Základní principy zabezpečení Zabezpečení IT znamená proces dosažení a udržení důvěrnosti, integrity, dostupnosti, prokazatelnosti odpovědnosti, autenticity a spolehlivosti informací a služeb IT na přímé úrovni. Abychom dosáhli kompletního zabezpečení počítačové infrastruktury, musíme splnit tyto podmínky: Vrstvená bezpečnost - bezpečnost musí být vrstvená. Potřebujeme firewall jako základní bránu pro filtrování mezi bezpečnostními zónami, potřebujeme antivirus a antispam, potřebujeme VPN pro bezpečný přístup zaměstnanců, popř. pro propojení korporace s jejími partnery, a potřebujeme další ochrany v závislosti na službách a jejich důležitosti (šifrování, elektronické podpisy, atd.). Řízení přístupu musíme určit a nastavit, kdo bude mít povolen přístup do sítě. Jedním z doporučovaných postupů je všechno zablokovat a potom výslovně povolit jen to, co daný uživatel potřebuje ke své práci.

Uvědomění uživatelů školení uživatelů a posílení jejich uvědomělosti v otázkách bezpečnosti je velmi důležité, jen tak pochopí její význam a budou spolupracovat a podporovat zásady zabezpečení. Monitorování je zapotřebí systémy průběžně monitorovat a ověřovat, jestli jsou stále bezpečné a odolné vůči útokům. Sledování provádíme pomocí detekčních systémů IDS (Intrusion Detection System). Aktualizace systémů je potřeba sledovat, jestli pro daný systém nejsou k dispozici nějaké aktualizace či záplaty. Mnohé novější operační systémy dokáží automaticky připomínat stahování aktualizací.

Budoucnost bezpečnostních funkcí Do budoucna lze očekávat, že pokročilé bezpečnostní funkce, které byly doposud dostupné pouze velkým společnostem, se rozšíří také mezi jednotlivce a domácnosti. Aby výrobci těchto bezpečnostních zařízení získali náskok před konkurencí, budou se snažit implementovat další nové funkce, např. podporu mobilních zařízení a kompletní podporu protokolu IPv6, ten je v současnosti podporován u některých výrobců pouze částečně.

Otázky: Co znamená v informatice narušení bezpečnosti? Jaké druhy útoků znáte? Co je zranitelné místo? Co je to sociální inženýrství? Vysvětlete pojem Trashing. Vysvětlete pojem Phishing. Vysvětlete pojem Pharming. Vysvětlete pojem Vishing Jakým způsobem zajistíme bezpečnost počítačové infrastruktury?

Použité zdroje: NORTHCUTT, Stephen a kol. Bezpečnost počítačových sítí. 1. vyd. Brno: Computer Press, 2005. 592 s. ISBN 80-251-0697-7. THOMAS, Thomas M. Zabezpečení počítačových sítí bez předchozích znalostí. 1. vyd. Brno: Computer Press, 2005. 344 s. ISBN 80-251-0417-6. http://cs.wikipedia.org/wiki/po%c4%8d%c3%adta%c4%8dov% C3%A1_bezpe%C4%8Dnost, [2.12.2012] http://www.sociotechnika.ic.cz/web/web/czech/index.html, [2.12.2012]

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář