Bezpečnost, rizika a soukromí v informačních technologiích Karel Nykles nykles@cesnet.cz 6. 6. 2015-1 - CryptoFest, Praha
CESNET Sdružení CESNET založily vysoké školy a Akademie věd České republiky v roce 1996. Výzkumné aktivity CESNET věnuje značnou pozornost výzkumu a vývoji v oblasti pokročilých síťových technologií a aplikací, které je využívají 6. 6. 2015-2 - CryptoFest, Praha
Forenzní laboratoř FLAB Založena jako projekt CESNETu v roce 2011. Nyní poskytuje služby typu analýzy událostí, penetračních a zátěžových testů, a výzkumu v oblasti informační bezpečnosti. 6. 6. 2015-3 - CryptoFest, Praha
Riziko obecně Pravděpodobnost narušení vyhovujícího stavu - realizací hrozby. 6. 6. 2015-4 - CryptoFest, Praha
Hrozby v reálném světě Živelná katastrofa Požár, povodeň Kriminální čin Krádež, vloupání, násilí Nehoda Bouračka, úraz Nemoc Angína, rakovina, astma 6. 6. 2015-5 - CryptoFest, Praha
Hrozby v IT Únik utajovaných skutečností Osobní údaje, strategické plány, identita Přímá finanční škoda Duševní vlastnictví, kreditní karta Poškození reputace Ztráta dat Defacement webu, únik intimních fotografií Nastavení výrobních linek, fotky z dovolené 6. 6. 2015-6 - CryptoFest, Praha
Bezpečnost obecně Předcházím hrozbě-> snižuji riziko -> zvyšuji bezpečnost 6. 6. 2015-7 - CryptoFest, Praha
Bezpečnost v reálném světě Systémová bezpečnost: Osobní bezpečnost: Zámek ve dveřích Hasiči Semafor Důsledné zamykání Negrilovat v seníku Rozhled v křižovatce 6. 6. 2015-8 - CryptoFest, Praha
Bezpečnost v IT Systémová bezpečnost: Osobní bezpečnost: Firewall Šifrování Hesla Zamykání obrazovky Opatrnost u free Důsledné aktualizace 6. 6. 2015-9 - CryptoFest, Praha
Co si chráníme? Reálný svět Identita Zdraví Peníze Majetek Život Rodina Soukromí @ Online svět 6. 6. 2015-10 - CryptoFest, Praha
Jak se chráníme? Reálný svět Co mají uvedené situace společného a v čem se naopak liší? @Online svět Pochybná čtvrť v noci Přecházení silnice Výběr z bankomatu Klíče od domu/bytu Prášek na hubnutí Výlet do exotické země Známí z diskotéky Stránky s nelegálním obsahem Internetové bankovnictví Platba kartou online Hesla Instalace neznámého programu Cracknutí hry Přátelé na facebooku 6. 6. 2015-11 - CryptoFest, Praha
Kde aplikovat IT bezpečnost? Veškerá zařízení, s přístupem k internetu, nebo připojitelná k počítači. 6. 6. 2015-12 - CryptoFest, Praha
Fakta První počítačový virus: 1982 První virus na mobilním telefonu: 2004 Chuck Norris botnet, routery a modemy: 2010 První hacknutí funkcí automobilu: 2011-2013 V roce 2013 McAfee katalogizovalo 100 000 nových vzorků malware každý den. 6. 6. 2015-13 - CryptoFest, Praha
Co nás ohrožuje Hackeři Malware Datamining Vládní agentury 6. 6. 2015-14 - CryptoFest, Praha
Čemu se lze efektivně bránit? Aktualizace Firewall Obezřetnost Aktualizace Antivir Sebekontrola Sebekontrola Soukromí Anonymita Zveřejnění Svoboda Média 6. 6. 2015-15 - CryptoFest, Praha
Motivace temné strany Cíle útočníka: peníze / moc Přímo, vylákáním peněz Prostřednictvím ukradené identity Prostřednictvím malware v uživatelském PC Prostřednictvím ukradených informací 6. 6. 2015-44 - CryptoFest, Praha
Prostředky temné strany Sociální inženýrství Malware Technická nadřazenost Samotní uživatelé Zákonný rámec 6. 6. 2015-17 - CryptoFest, Praha
Sociální inženýrství Nevyžaduje hlubší technické znalosti Přináší téměř okamžitý zisk 100% ochranou je 100% izolace Phishing Zneužití identity Obecně uživatel jako útočný vektor 6. 6. 2015-18 - CryptoFest, Praha
Cíle sociálního inženýrství Přimět oběť sociálního inženýrství k (ne)činnosti, která odpovídá cílům útočníka. 6. 6. 2015-19 - CryptoFest, Praha
Nejjednodušší útok? Q: Řeknete co máte za heslo? A: Jméno psa a rok promoce Q: A co máte za psa A: Chiba Inu Q: Jak se jmenuje? A: Hafík Q: A kam jste chodila na školu? A: VŠE Q: A kdy jste skončila? A: 2013 Zdroj (volný přepis): https://www.youtube.com/watch?v=oprmrefaiii 6. 6. 2015-20 - CryptoFest, Praha
Proč to funguje? Exekuce Výplatní pásky Zaplatit telefon Kafe pro šéfa Emoce Roztomilá koťátka Vyzvednout poštu Informace o nedoručené zásilce Květinový záhon 6. 6. 2015-44 - CryptoFest, Praha
Dualita mozku Amygdala Vývojově starší část Útěk x Útok Bleskové reakce Emoce Instinktivní rozhodování Prefrontální neokortex Vývojově mladší část Racionální myšlení Pomalé reakce Logika Přesné rozhodování 6. 6. 2015-44 - CryptoFest, Praha
Mechanismus rozhodování Nedostatek času + Stres + Emoce = -------------- Amygdala, Instinktivní rozhodování 6. 6. 2015-44 - CryptoFest, Praha
Sociální inženýrství - obrana Poučit se z chyb. Důvěřuj, ale prověřuj. Opravdu chci udělat to o co jsem žádán? Proč mě banka žádá o přítupové heslo mailem? Proč má archiv s fotkami poníků příponu EXE? Proč po mě chce banka potvrdit nedůvěryhodný certifikát? 6. 6. 2015-24 - CryptoFest, Praha
Malware Malicious+Software = Malware [blending] Veškeré programy vytvořené za účelem nedobrovolného zneužití Vašeho počítače pro účely útočníka, k získávání informací o Vás a nebo zobrazování reklamy Spyware Adware Ransomware Botnet agent Malware Virus Trojan 6. 6. 2015-25 - CryptoFest, Praha
Malware Tak mám vira, no a co? Rozesílá spam Přesměruje provoz na falešné stránky Těží pro útočníka Bitcoiny Útočí na servery NSA Odesílá stisknuté klávesy Zašifrovaný disk, požadavek výpalného Napadený PC Běží pomalu Padá systém Sleduje přihlašovací údaje, WoW, WoT, e-mail, banka... Zpřístupní Vaše fotky útočníkům 6. 6. 2015-26 - CryptoFest, Praha
Malware řídící struktura 6. 6. 2015-18 - CryptoFest, Praha
Malware obrana Aktuální OS a aplikace Nestandardní OS + aplikace (minoritní) Hlídat si přípony souborů Velká obezřetnost u Free (XXX) obsahu Cracky zkoušet týden po vydání, napřed u VirusTotal 6. 6. 2015-28 - CryptoFest, Praha
Technická nadřazenost NSA, FAPSI (FAGCI), Vládní agentury, Kriminální organizace, Armádní speciální složky... 6. 6. 2015-29 - CryptoFest, Praha
Technická nadřazenost - Obrana Jak se z pozice běžného občana bránit tomuto? 6. 6. 2015-30 - CryptoFest, Praha
Datamining Cílem je získat informace (za účelem jejich prodeje). Lze použít k deanonymizaci uživatelů sítě Krádež identity Narušení soukromí Cílení reklamy Vydírání 6. 6. 2015-31 - CryptoFest, Praha
Datamining - obrana Hlídat si soukromí sociální síťě jako vizitka Zachovat anonymitu (v rámci možností) 6. 6. 2015-32 - CryptoFest, Praha
Anonymita na internetu Jak vidíme svou anonymitu na internetu.. 6. 6. 2015-33 - CryptoFest, Praha
Anonymita na internetu Ross Ulbricht, odsouzen na doživotí za: Tvorbu a provozování anonymního tržiště Silk Road. Silk Road bylo dostupné pouze pomocí anonymizačního protokolu TOR. 6. 6. 2015-34 - CryptoFest, Praha
Anonymita na internetu Neexistuje 6. 6. 2015-35 - CryptoFest, Praha
Anonymní prohlížení Koho z Vás již sledovala na internetu reklama? 6. 6. 2015-36 - CryptoFest, Praha
Anonymita - doporučení Anonymní režim prohlížeče pro: Sociální sítě Googlení Free(xxx) obsah Minimálně dojde k omezení stalkujících reklam 6. 6. 2015-37 - CryptoFest, Praha
Soukromí Nic špatného nedělám, tak mi nic nehrozí, ať si mě klidně sledují! VS To, že nejsem paranoidní, ještě neznamená, že po mně nejdou! 6. 6. 2015-38 - CryptoFest, Praha
Soukromí To, že nejsem paranoidní, ještě neznamená, že po mně nejdou! 6. 6. 2015-39 - CryptoFest, Praha
Soukromí Nic špatného nedělám, tak mi nic nehrozí, ať si mě klidně sledují! VS 6. 6. 2015-40 - CryptoFest, Praha
Zabezpečení soukromí Nezveřejňuji (=nedávám na internet) soukromá data Intimní fotky synchronizované do cloudu Rámcově sleduji, co o mé osobě tweetují ostatní Vím mohu být připraven na konfrontaci Bránit se lze právně, reálně spíše škodí Používám kvalitní hesla 6. 6. 2015-41 - CryptoFest, Praha
Hesla F98DMrnf_ff$-ddssd.I720dcn Dobré heslo, ale těžko se pamatuje... Skakal.p3s_6piv_nes Dobré heslo a pamatujete si ho už teď Skakal.p3s_seznam_nes Skakal.p3s_fb_nes Skakal.p3s_skolu_nes Dobré heslo, dobře se pamatuje, liší se pro každou službu Odolné vůči slovníkovému útoku Dobré heslo je k ničemu na zavirovaném PC 6. 6. 2015-42 - CryptoFest, Praha
Shrnutí obrany Být ve střehu, sledovat neobvyklou aktivitu, https Aktualizovat Používat Antivir, Firewall Dvakrát si rozmyslet, než kliknu na odkaz Třikrát si rozmyslet a dvakrát zkontrolovat adresu, než: Zadám heslo do banky Do mailu Do školního systému Narazím-li na velký problém, kontaktuji odpovědnou osobu, nebo rovnou policii (není se za co stydět) 6. 6. 2015-43 - CryptoFest, Praha
Shrnutí: Prostor pro diskusi Riziko, Hrozba, bezpečnost Realita vs. IT Sociální inženýrství Malware Vládní agentury Datamining Anonymita Soukromí Hesla? 6. 6. 2015-44 - CryptoFest, Praha