BEZPEČNOST NA INTERNETU

Prezentace na téma: "BEZPEČNOST NA INTERNETU"— Transkript prezentace:

1 BEZPEČNOST NA INTERNETU
Mgr. Filip Kábrt, MFF UK BEZPEČNOST NA INTERNETU Bezp Přednášku redigoval a doplnil: Petr Špiřík Data z kvantitativních výzkumů: PhDr. Martin Buchtík, FSV UK

2 Struktura přednášky Motivace kyber-útočníků Trocha historie
Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

3 MOTIVACE KYBER-ÚTOČNÍKŮ
Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

4 Motivace kyber-útočníků
Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Poškodit konkrétního člověka / firmu „pro 78% firem jsou největší hrozbou firemní bezpečnosti IS/IT vlastní zaměstnanci“ Výzkum Ogilvy Public Relations pro GiTy Většina chyb omylem, ale nezřídka i cílená snaha poškodit Možná motivace snahou získat konkurenční výhodu „Stále více lidí se ocitá v pokušení ukrást svému zaměstnavateli důležitá data. Jedná se o informace, které by mohly být použité při spáchání trestného činu nebo v rámci konkurenčního boje. Zaměstnanci jsou často nejslabším článkem v řetězci a je tedy více než kdy jindy důležité, aby si firma udržela kontrolu nad přístupem k citlivým interním systémům a datům“ Tomáš Kudělka, senior IT manager, KPMG, pro Živě.cz

5 Motivace kyber-útočníků
Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Finanční zisk Přímý (neautorizovaný převod peněz) Nepřímý Zisk z použití služby, kterou jste si neobjednali (telefonování) Zpeněžení choulostivé informace Vaše osobní údaje, činnost na Internetu, apod. Příklady s telefonováním na Kajmany: "Do 7. března 2003 reagovalo několik desítek poškozených, z nichž již více než 20 poskytlo kompletní informace. Z nich vyplývá, že škoda, která každému z nich vznikla, činí v průměru více než Kč. Nejvyšší takto provolaná částka přesáhla Kč.

6 Zdroj: http://torrentfreak
Torrentfreak, 2010,

7 Motivace kyber-útočníků
Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Výpočetní sílu a krytí kriminální činnosti Zombie počítače organizované do botnetu K čemu je výpočetní síla dobrá? DDoS útoky (nutné vést z mnoha různých stran) Rozesílání spamu (krytí rozesílatele, konektivita zdarma) Hackerská činnost Útočník se potřebuje schovat za cizí IP Podle IP lze snadno dohledat lokaci komunikujícího Botnet lze přímo zpeněžit (pronájem, prodej) Velikost Botnetu: Conficker – 16. ledna odhad 8.9 million, zdroj: Kaspersky Laboratories, 2009 Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars for a continuous 24-hour attack. Stolen bank account details vary from $1 to $1,500 depending on the level of detail and account balance. Personal data capable of allowing the criminals to open accounts in stolen names costs $5 to $8 for US citizens; two or three times that for EU citizens. A list of one million addresses costs between $20 and $100; spammers charge $150 to $200 extra for doing the mailshot.

8 Zdroj: Wikimedia Commons, © Tom-b 2010, použito v souladu s licencí Creative Commons Attribution-Share Alike 3.0 Unported

9 Příklad: Ceny služeb botnetů
Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars for a continuous 24-hour attack. Stolen bank account details vary from $1 to $1,500 depending on the level of detail and account balance. Personal data capable of allowing the criminals to open accounts in stolen names costs $5 to $8 for US citizens; two or three times that for EU citizens. A list of one million addresses costs between $20 and $100; spammers charge $150 to $200 extra for doing the mailshot. Small botnets of a few hundred bots cost $200 to 700, with an average price amounting to $0.50 per bot. Large botnets cost much more. The Shadow botnet, which was created by a 19-year-old hacker from Holland and included over 100,000 computers, was put on sale for $36,000. Zdroj: The Economics of Botnets, Yuri Namestnikov, Kaspersky Laboratories, 2009 Citováno z: Velikost Botnetu: Conficker – 16. ledna odhad 8.9 million, zdroj: Kaspersky Laboratories, 2009 Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars for a continuous 24-hour attack. Stolen bank account details vary from $1 to $1,500 depending on the level of detail and account balance. Personal data capable of allowing the criminals to open accounts in stolen names costs $5 to $8 for US citizens; two or three times that for EU citizens. A list of one million addresses costs between $20 and $100; spammers charge $150 to $200 extra for doing the mailshot.

10 Motivace kyber-útočníků
Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Marketingově vytěžitelné údaje ové a další adresy Přímá distribuce nevyžádané reklamy Adware, spam Osobní profily, zájmy, …

11 Motivace kyber-útočníků
Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Konkrétní zakázka Získání konkrétní informace nebo provedení jistého úkonu v cizím systému Je to jediný typ motivace, kterou pravděpodobně nerealizuje automatizovaný robot Opět: Cybercrime je dnes především business

12 HISTORIE POČÍTAČOVÉ KRIMINALITY
Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

13 Historie počítačové kriminality
1971 – John T. Draper, phone phreaking 1980 – první BBS 1982 – Skupina The 414s pronikla do 60-ti počítačových systémů, první použití slova „hacker“ v médiích 1983 – Film Wargames – panika a zároveň zatraktivnění hackingu 1986 – Morris Worm na ARPAnetu, 6000 napadených počítačů na Cornell University

14 Historie počítačové kriminality
1993 – hack telefonních systémů rádiové stanice umožní Kevinu Poulsenovi vyhrát Porsche 1995 – Ruští hackeři převedou 10 miliónů USD z Citibank 1995 – Kevin Mitnick zatčen za krádež čísel kreditních karet, soud až 4 roky poté 1999 – Windows 98, záplaty a počítačová bezpečnost je mainstream, Melissa virus

15 Historie počítačové kriminality
2000 – DoS útok na Yahoo! a Amazon 2000 – ový virus ILOVEYOU se šíří přes adresář 2001 – Síť NAPSTER končí po žalobách nahrávacího průmyslu 2004 – Prohlášení Severní Koreje o úspěších hackerů na cíle v Jižní Koreji a Japonsku 2005 – Jeanson James Ancheta zatčen a obviněn z rozsáhlého spamování pomocí botnetů

16 Historie počítačové kriminality
2006 – Nejrozsáhlejší hack webových stránek v historii – iSKORPiTX pronikl do stránek 2007 – Estonsko utrpělo masivní DoS útok 2008 – Čínští hackeři prohlašují, že získali přistup ke kritickým serverům v USA, např. k Pentagonu 2009 – Conficker infiltruje milióny PC 2010 – Google prohlašuje, že se stal obětí útoku hackerů z Číny

17 ACTIVITY TIME

18 Považujete svůj počítač za
dostatečně zabezpečený? 88% uživatelů PC v ČR odpovědělo ano 18% určitě ano ZDROJ: WIP 2008, N=1245

19 počítačovým virem Setkali jste se s…? 63% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245

20 spamem Setkali jste se s…? 77% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245

21 phishingem Setkali jste se s…? 35% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245

22 hackingem Setkali jste se s…? 19% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245

23 Setkali jste se s…? falešnou identitou na sociálních sítích

24 Péče o počítač Zhruba u čtvrtiny vlastníků počítače se o něj většinou stará někdo mimo rodinu, s věkem se mění odpovědnost za počítač pouze v rámci rodiny

25 Obavy z různých operací na Internetu

26 KRÁDEŽE IDENTITY Phishing, identity scam, podvodné e-maily, …
Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

27 Identity scam – JÁDRO PROBLÉMU
Služba „Vítejte v bance AB, kdo jste prosím?“ „Vaše heslo prosím“ „Děkuji. Co si přejete?“ „V pořádku, na to máte právo.“ Uživatel „Jsem Filip Kábrt“ „Heslo je xxxxx“ „Rád bych převedl $ na tento účet“ AUTENTIKACE AUTORIZACE V USA je Social ID primární identifikační údaj Problém 1: Co když služba není banka AB? Problém 2: Co když uživatel není Filip Kábrt

28 Identity scam - JAK? Impersonace pomocí získaných osobních informací
Loginy ke službám operujícím s finančními prostředky Osobní ID (řidičský průkaz, …) Loginy ke komunikačním službám Prostředek pro šíření malware Hesla obecně Pro testování shody hesel na jiných službách ové adresy (pro rozesílání spamu) Reálná adresa V USA je Social ID primární identifikační údaj

29 Identity scam – JAK? Mnoho služeb pro úspěšnou registraci vyžaduje osobní data Víme, kdo je protistrana? Jak s našimi daty naloží? Příklady úspěšných nosičů scammingu Aplikace v sociálních sítích Internetové služby s nejasným provozovatelem Nigerijský dopis: „Scénář byl vždy stejný. Šlo o nejrůznější druhy podvodů zahrnujících převody peněz, charitativní dary, falešné vládní smlouvy, dohody o koupi levné ropy, směnky z černého trhu a falešné podnikatelské tendry. Do osobní schránky elektronické pošty přijde zpráva, ve které většinou anglicky hovořící odesílatel velice slušně požádá příjemce o pomoc. Potřebuje své peníze (ať už utržené z prodeje či z milionového dědictví) nechat projít přes účet v zahraničí, aby ušetřil na daních (či čemkoli jiném). Příjemce požádá, aby mu poskytl svůj účet, že mu tam pak nechá slušné procento ze zisku. Když člověk udělá první velkou chybu a na dotaz odpoví, pisatel si s ním vymění ještě několik většinou jen administrativních mailů. V závěru požádá o zálohu na „nepředvídané výdaje“ a po obdržení částky se už neozve.“, „Asi nejznámějším napáleným je mělnický lékař Jiří Pasovský. Toho ztráta životních úspor (15 miliónů) a zadlužení dokonce loni v únoru dohnaly k vraždě nigerijského konzula Michaela Lekaru Wayidu v pražských Střešovicích. “, zdroje: Sociální sítě: falešné identity uvnitř sítě, ale nově i cross-site (z public údajů jedné sítě vytvoření ID na druhé)

30 Phishing Podvržení přihlašovacích formulářů třetí stranou
Ochrana před phishingem Kontrola URL a certifikátu Druhy certifikátů Ruční zadávání URL (neklikat na linky v ech) Antivir a zabezpečený prohlížeč

31 PRIVÁTNOST INTERNETU Jak uchovat informaci na Internetu soukromou?
Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

32 Privátnost Internetu Kudy může uniknout citlivá informace?
Přímo z počítače, po cestě, podvrženou službou Služby mohou mít bezpečnostní slabiny Úniky databází kvůli slabině systému Úniky databází selháním zaměstnance K mým datům mohou mít administrátoři DB neomezený přístup Informace je zaindexována robotem Vyhledávače, roboti pro spamming a sniffing Vinou příjemce informace Změna politiky nakládání s privátními daty Hacker stáhl tisíce intimních fotek ze seznamky Líbímseti.cz RockYou hack – 32 miliónů hesel But before RockYou could fix the bug, at least one hacker, using the alias “igigi,” claims to have broken into the database and obtained the RockYou credentials of all users – totaling more than 32.6 million. „So once I get the credentials from RockYou database, I can immediately compromise the webmail account and that has far broader consequences for the victim,” he said. PCI compliance - Příklad na dalším slajdu

33 Privátnost Internetu Politika Facebooku v roce 2005:
No personal information that you submit to Facebook will be available to any user of the Web Site who does not belong to at least one of the groups specified by you in your privacy settings. Politika Facebooku v roce 2010: When you connect with an application or website it will have access to General Information about you. The term General Information includes your and your friends’ names, profile pictures, gender, user IDs, connections, and any content shared using the Everyone privacy setting. ... The default privacy setting for certain types of information you post on Facebook is set to “everyone.” ... Because it takes two to connect, your privacy settings only control who can see the connection on your profile page. If you are uncomfortable with the connection being publicly available, you should consider removing (or not making) the connection. Zdroj: Electronic Frontier Foundation, 2010 Postupné změny politiky facebooku:

34 Odstranitelnost a odvoditelnost
Jakákoli uniklá informace do veřejného Internetu je obecně těžko odstranitelná Historie vyhledávačů Archivační služby Uložená v cache či jinak stažená Odvoditelnost informace Jaké všechny informace lze odvodit z dostupných informací? Veřejné informace na sociálních sítích Agregační služby: pipl.com a dále Detektivní služby

35 Mýty kolem webových služeb
Většinu hrozeb odhadnou základní návyky Pozor na zdánlivou podobnost Internetu s offline světem – mýty: Vím, kdo se mnou komunikuje Sdělená informace má dočasnou trvanlivost Jsem příliš malý na to, aby někoho zajímaly mé osobní informace Je snadné zajistit, aby choulostivé informace neunikly Cokoli dám na Internet je _snadno kopírovatelná informace_ a tudíž snadno šířitelná

36 HESLA Základní principy z hlediska bezpečnosti Motivace kyber-útočníků
Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

37 Ochrana heslem Kde hrozí riziko kompromitace hesla?
Je někde napsáno (na papíře, v souboru…) Na jiném počítači jste se přihlásili k webové službě a neodhlásili Na počítači máte nainstalován monitorovací software (keylogger) Heslo je slabé (krátké, slovníkové, uhodnutelné) Psaní hesla se dá odpozorovat Heslo používáte v nějaké webové službě, jejíž databáze je kompromitována Doplnit statistiky WIP

38 Ochrana heslem – základní tipy
Jaká pravidla používat pro hesla? Nikam je nepsat v přesné podobě Alespoň 8 písmen, střídat znaky, čísla, písmena Hierarchizace hesel Jiná hesla pro kritické služby, jiná pro nedůležité Pozor na slabý článek řetězu (‚zaslat zapomenuté heslo‘) Alternativní přístup: systém tvorby hesel, keyring Vyhnout se slovům ze slovníku

39 ACTIVITY TIME

40 Ochrana heslem Studie na základě hacku RockYou.com
Jaká hesla lidé nejčastěji používají? Password 5. iloveyou 6. princess 7. rockyou abc123 Zdroj: PC World,

41 Složitost a různost používaných hesel
43% uživatelů hesel používá v heslech pouze jeden typ znaků; u neuživatelů Internetu je to dokonce 72%. Významně vyšší složitost hesel lze nalézt pouze u Interneťáků. Tři z deseti respondentů používá všude stejné heslo, zhruba stejné množství používá všude heslo jiné.

42 Vícefaktorová autentizace
Na základě čeho se může uživatel prokázat? něčeho co zná (heslo, kódová otázka) něčeho co má (mobil, magnetická karta, kalkulačka) něčeho co je (CAPTCHA, biometrika) Vícefaktorová autentikace exponenciálně zvyšuje bezpečnost

43 MALWARE Škodlivý kód v počítači Motivace kyber-útočníků
Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

44 Malware – definice „Souhrnný pojem pro jakýkoli software, který při svém spuštění zahájí činnost ke škodě systému, ve kterém se nachází“ In Základní definice vztahující se k tématu kybernetické bezpečnosti, MV ČR Hlavní typy malware Počítačové viry Trojské koně Spyware Adware

45 Malware – aktivace Kudy se malware dostane do systému?
Spuštěním uživatelem Přímým spuštěním Automatickým spuštěním z externího média Spuštěním přílohy u Spuštěním aktivního prvku (Java nebo ActiveX appletu) z webu USB bomby, „zapomenuté“ USB na školách, apod.

46 Malware – aktivace Kudy se malware dostane do systému?
„Zavirovaný“ dokument Aplikace zareaguje na speciálně napsaný dokument tak, že spustí škodlivý kód (typicky makro využívající slabin aplikace) Časté terče: Adobe Reader, Microsoft Office

47 Malware – aktivace Kudy se malware dostane do systému?
Neošetřená reakce na komunikaci přes Internet Mnoho aplikací reaguje na příchozí komunikaci z Internetu (naslouchají na konkrétních portech na příchozí pakety) Co když přijde zpráva, kterou aplikace neočekává a neumí na ní reagovat? Může zprávu ignorovat (OK) Může se ukončit s chybovým stavem (OK) Může nedopatřením spustit podvržený kód (PROBLÉM)

48 Malware – aktivace Kudy se malware dostane do systému?
Speciální případ: Slabiny webových prohlížečů Webový prohlížeč může chybovat při pokusu o vykreslení stránky, stejná situace jako u neošetřené komunikace Rizikové stránky Warez, pornografické servery Linky zkrácené přes optimalizátor URL

49 Malware – funkce Jaká je typická činnost spuštěného malware?
Zajištění vlastního přežití a nedetekovatelnosti Příklady: Deaktivace antivirů, Maskování se před detekcí Zajištění dalšího šíření Příklady: Rozesílání u na adresy z adresáře, infikace externích médií, infikace po síti, šíření přes webové stránky (pomocí kompromitovaných FTP účtů), přes messengery, …

50 Malware – funkce Jaká je typická činnost spuštěného malware?
Vzdálené řízení systému Převzetí kontroly nad systémem vzdáleným útočníkem Spouštění plánovaných operací (rozesílání spamu, DDoS útoky, …) Botnet Sniffing Lokalizace či monitoring přihlašovacích a jiných kritických údajů (čísla kreditních karet, …), dat, dokumentů

51 Malware – funkce Jaká je typická činnost spuštěného malware?
Zobrazování nevyžádané reklamy Objednávka nevyžádaných služeb nebo software Tzv. adware (dle jedné z definic)

52 Ochrana před malware Aktualizace systému a aplikací
Záplatuje slabiny Antivir a anti-spyware Periodická kontrola existence malware Rezidentní kontrola spouštěného a přenášeného kódu Chovat se adekvátně důvěryhodnosti protistrany Bance povolím spouštění skriptů, warez stránce nikoli Deaktivace automatického spouštění kódu z externích médií Firewall Analyzuje a příchozí a odchozí komunikaci Příklad: Conficker

53 PŘIPOJENÍ DO INTERNETU
Šifrované přenosy Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

54 Zabezpečení připojení
Slabá místa na cestě ke koncovému uzlu Mezilehlé uzly Mohou být zavirované nebo jinak zkompromitované Přenosová média Možnost odposlechu Hrozby Odposlech komunikace a sniffing hesel Veřejná wi-fi Ochrana Šifrované spojení (HTTPS) Šifrovaný přenos (SSL) vs certifikát

55 FYZICKÝ PRŮNIK DO POČÍTAČE
Když má nepovolaná osoba přímo přístupný počítač Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

56 Možnosti průniku Jak se nepovolaná osoba může dostat do počítače?
Přihlásí se pomocí znalosti hesla Nebo pokud počítač chráněn heslem není Dostane se k počítači v době, kdy je tam někdo přihlášený Dostane se k souborům v počítači přes síť Odnese z počítače disk

57 SHRNUTÍ Dle slabých míst v systému Motivace kyber-útočníků
Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

58 Mapa bezpečnostních rizik
Slabá místa systému Internet PC / systém Běžící program (např. prohlížeč) 3 Server (např. WWW stránky) Připojení 5 4 Uživatel Malware Cizí osoba Mapa bezpečnostních rizik 2 1