Bezpečnost ICT - lidský faktor RNDr. Dagmar Brechlerová, PhD. PEF ČZU KIT

Vztahy mezi základními pojmy

Hrozby Objektivní hrozby – ostatní fyzikální - elektromagnetické vyzařování technické a logické - krádež, zničení paměťového media, špatné propojení komponent, nedokonalé smazání záznamu na paměťovém médiu atd. fyzické, přírodní - blesk, požár, výpadek napětí atd.- některým těmto hrozbám nejde aktivně čelit, pouze minimalizovat dopad

Hrozby Subjektivní hrozby - působení lidí úmyslné vnější útočníci - hackeři, špioni, konkurence vnitřní - vlastní zaměstnanec, který je ve výpovědi, podplacený, vydíraný atd., obvykle se udává, že úmyslný útok vnitřního účastníka je nejčastější - až 80 % ze všech útoků, protože na ochranu systému zevnitř se velmi málokdy dbá důkladně. neúmyslné - špatný správce, neškolený uživatel a poškození systému plynoucí z jeho neodborného zásahu

Lidský faktor Bezpečnost informačních systémů není zdaleka jen záležitostí technickou, ale velmi významným prvkem této (ne) bezpečnosti je prvek lidský Je obvykle nejslabší článek kteréhokoliv informačního systému Každý systém je právě tak silný (resp. slabý), jak je silný jeho nejslabší článek.

Sociální inženýrství Můžeme použít veškeré technické prostředky, instalovat nové antivirové a jiné anti programy, použít veškeré dostupné záplaty, šifrovat stále silněji, ale stále zásadní chyby dělá člověk. Lidské chování je velmi rozmanité, a lidským chybám nejde vlastně úplně zabránit. I zašifrovaná informace musí být nakonec koncovému uživateli zpřístupněna v nezašifrované podobě.

Sociální inženýrství Vždy je tedy nutno počítat se selhávajícím lidským faktorem, a pokud to jde, těmto selháním se snažit zabránit. Jedním z velmi úspěšných způsobů, jak získat informace o někom či o nějaké organizaci, je tzv. Sociální inženýrství.

Sociální inženýrství Některým lidským selháním jde zabránit vhodným nastavením SW, je snaha vyvinout SW tak, aby řadu chyb vůbec neumožnil. Jsou situace, kdy nejde lidské hlouposti, únavě, chybám, záměrné škodě či naivitě technickými prostředky zabránit, a toho právě využívá sociální inženýrství Sociální inženýrství zneužívá lidských emocí včetně zvědavosti

Sociotechniky Sociotechnika je přesvědčování a ovlivňování lidí s cílem oklamat je, aby uvěřili, že útočník je někdo jiný a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů Při těchto metodách se útočník pokusí pomocí manipulace přesvědčit oběť, aby prozradila nějakou významnou informaci Např. heslo je sděleno neznámému, kdo se představí jako správce systému, po telefonu nebo vloženo na podvržený formulář apod. Často je sociální inženýrství založeno na přesvědčení oklamaného, že udělal dobrou věc, někomu pomohl, pomohl své firmě apod.

Anonymita na Internetu, (obrázek získán kdysi z Internetu, odkaz bohužel nevím)

Nadbytečné a nebezpečné informace Další metodou sociotechniků je získání původně zcela nevinné informace, ze které si pak útočník odvodí nějakou informaci významnější Často mají organizace (včetně škol) na svých stránkách řadu jednotlivých nedůležitých informací, které při jejich kombinaci mohou vést ke získání dalších údajů pro organizaci důležitých, které by organizace jinak tajila

Sociotechniky Pokud sociotechnik chystá na nějakou organizaci útok, začne studiem internetových stránek, odkud získá jména, internetové adresy, případně telefony pracovníků. Pak je možno pokračovat i na osobní stránky těchto lidí, kde jsou opět někdy zajímavé informace

Sociotechnické fígle Po získání základních informací je možno přistoupit k samotnému útoku, např. získat po telefonu nějaké významné informace Nejsnazší útok je ve velké organizaci, kde se lidé navzájem neznají a kde je možno zavolat novému zaměstnanci a přes něj se pokusit získat informace. Sociotechnik mu zavolá, přivítá ho jako nového pracovníka ve firmě a začne např. s bezpečným nastavením hesla a připojením k síti. Nový pracovník je nadšený tím, že se zde o něj tak dobře starají, a udělal by skoro cokoliv. I pokud bude mít nějaké podezření, tak si na novém pracovišti nebude hned dělat problémy.

Sociální sítě Představují zcela nový druh komunikace mezi lidmi Dnes velmi často využívány pro sociální inženýrství Technické zabezpečení organizací je obvykle již velmi dobré, proto se útočí jinak

Sociální sítě Umožňují snadno kontaktovat přátele Sdílet s nimi informace například ze zájmových činností, multimédia jako videa, fotky, oblíbené písně a mnoho dalšího Díky nim se můžeme snadno dozvědět konkrétní detaily!!!!! o dané osobě, najít téma k rozhovoru, poznat nové lidi, možností je opravdu hodně.

Sociální sítě - úskalí Většina pramení právě z jejich otevřenosti prakticky každému návštěvníku. Existují výjimky, pomocí kterých se dá předcházet sdílení osobních informací se všemi Síť Facebook obsahuje poměrně efektivní systém, jak předcházet navštěvování profilu cizími lidmi Jiné sítě zas vyžadují registraci a zobrazují informace o tom, který uživatel náš profil navštívi.

Myspace Server poskytuje místo, kde si uživatel může zřídit jakousi virtuální vizitku Tento server je hodně využíván hudebními skupinami a nahrávacími studii Po velkém rozvoji této sítě v posledních letech nastal útlum Uživatelé mají tendence díky nově vzniklým sítím Myspace opouštět.

LinkedIn Server je čistě profesně zaměřen Jedná se o jakési virtuální curriculum vitae daného uživatele, které si mohou potencionální zaměstnavatele zobrazit a podle toho posuzovat, jak by daný člověk vyhovoval jejich poptávce

Flickr Flick, server patřící společnosti Yahoo, není sociální server v pravém slova smyslu Jedná se spíše o gigantické fotoalbum. Na svůj profil zde uživatelé umísťují alba s fotografiemi, která mohou být prohlížena a komentována ostatními uživateli.

DeviantArt Největší internetový server zaměřený na umění a jeho prezentaci Pomocí vytvořeného profilu je možnost nahrávat svá výtvarná díla či fotky, vše od grafického designu a web designu až po olejomalby a básně se zde dá prezentovat.

YouTube Tento web je určen specielně pro videa, kterých se zde nacházejí miliony Videa jsou ve formátu FLV (FLash Video Kdokoliv tak může nahrát prakticky jakoukoliv nahrávku, od svatby své tetičky až po profesionální tvorbu z oblasti animace, a ostatní uživatelé mohou hodnotit či komentovat.

Twitter V poslední době stále více se rozvíjející server, umožňující uživatelům odesílat jejich kontaktům krátké textové vzkazy o čemkoliv

Lide.cz Společně s líbimseti.cz největší český komunitní server. Uživatel si po registraci založí profil, na který dle uvážení přidá informace o své osobě, fotogalerii a další prvky, které společně vytváří jeho vizitku pro komunikaci s ostatními.

Lide.cz Několik možností, jak se seznámit či s někým jen diskutovat. K dispozici je chat - monitorovaná diskuze v reálném čase, která má většinou zadané konkrétní téma, často i sloužící k seznámení v reálu.

Lidé.cz Další možností jsou diskuze, ty v závislosti na svém tématu slouží spíše pro rozvíjející se diskuzi například o konkrétních hudebních kapelách. Mezi další služby patří například seznamka, možnost založit si vlastní blog, rádio a velké množství jiných vymožeností.

Lide.cz Tento server však představuje typické nebezpečí pro uživatele, který zde má otevřený a nijak nechráněný profil, zobrazitelný kýmkoliv zvenčí i bez nutnosti registrace. Stejně tak není problém si založit falešný profil, vyplnit naprosto matoucí údaje, nahrát fotku, odcizenou kdekoliv na internetu a jít se rovnou bavit na chat, což může být v praxi velmi silně zneužitelné osobami z různými pochybnými záměry, včetně pedofilů, zlodějů a dalších kriminálních živlů.

Libimseti.cz Server je víceméně obdoba lide.cz, jen je daleko více zaměřen na hodnocení uživatele, speciálně jeho vzhledu. Fotky lze hodnotit a komentovat je, přičemž se prakticky hledí pouze na vzhled. Tento web navštěvují hlavně náctiletí uživatelé, kteří dělají vše pro to, aby dostali co nejlepší hodnocení, včetně promenování se v plavkách.

Libimseti http://libimseti.cz/--Domino--?uid= http://libimseti.cz/-ksandulka-?uid= http://libimseti.cz/---KJK---?uid= necelých 14 let!!! Opravdu dívky chtějí, aby celý svět věděl uvedené informace? Nedal tam toto info někdo jiný? Není jim méně? Nebude jim vadit za pár let, co o sobě psaly? Uvědomují si, že jejich foto lze zneužít?

Facebook Server samotný existuje již velmi dlouho, nicméně poslední dobou došlo specielně u nás k jeho masovému rozšíření. Facebook víceméně spojuje všechny zmíněné weby a jejich možnosti. Umožňuje návštěvníkovi vytvoření profilu, nicméně narozdíl od téměř všech zmíněných webů je tento profil pod vlastním občanským jménem, a jeho majitel má pak možnost navázat spojení s lidmi ze svého okolí, práce, školy či se známými z mládí, se kterými se neviděl třeba dvacet let.

Registrace Údaje se nemusí vyplnit správně, dají se po registraci vždy změnit. Správně však musí být věk, protože osoby pod 13 let na Facebook vůbec nesmějí samy, musí mít doprovod někoho staršího.

Nastavení soukromí

Aplikace Nastavení aplikací a webových stránek slouží opět k vymezení toho, jaké informace dáváte ostatním k dispozici. Aplikace, jsou podprogramy Facebooku, které mohou (ale nemusí) shromažďovat data o uživatelích; nejlepší je ovšem co nejvíce je omezit v přístupu k údajům na profilu. Položka "Co o vás mohou sdílet vaši přátelé " slouží k omezení využívání informací přáteli, pokud by například někdo v seznamu přátel používal aplikaci, která umožňuje zaslání narozeninového přání, tj. dostane se k datu narození a nabídne uživateli poslat pohlednici, je možné jí tímto nastavením přístup k datu narození zakázat.

Aplikace Aplikace jako takové, pokud jsou povoleny, mají vždy přístup k veřejně přístupným informacím (jméno, fotka profilu, pohlaví, místo aktuálního pobytu, sítě, seznam přátel a stránky) a informacím, k nimž mají přístup všichni. Je tedy vhodné omezit všechna tato nastavení tak, aby k nim aplikace mohly přistupovat co nejméně

Bezpečnost Ideální nastavení profilu z hlediska bezpečnosti je zamezit k přístupu do jakékoliv části profilu či galerie komukoliv kromě svých „přátel“, tzn. profilů, které jsou schváleny pomocí autorizace své přidání do jejich seznamu Nevhodné je přijímat žádosti od neznámých osob, v případě nejasností jim nejdříve napsat zprávu. Stačí se zeptat, odkud se znáte a případně ještě ověřit zeptáním se na konkrétní podrobnosti, aby bylo jisté, že je to skutečně osoba vám známá. Asi každý chce mít hodně přátel, nicméně rozšíření seznamu o jednoho člověka, který ani není skutečný přítel, protože jej vůbec neznáte, se může značně nevyplatit.

Facebook Podle pokusu, který uskutečnili novináři v České republice, velké procento uživatelů facebooku zařadí mezi své přátele člověka, kterého vůbec neznají. Konkrétně se jednalo o vymyšlený profil vymyšleného chlapce a dívky. Výsledky jsou následující. Test idnes 2009 Profil fiktivní dívky si přidalo 60% uživatelů Profil fiktivního chlapce 42% dotázaných Průměrný věk důvěřivců 19 let Email – poskytlo 97 % „přátel“ Fotografie poskytlo – 90% ICQ, Skype poskytlo – 56% Mobilní telefon poskytlo – 23% 19ti letý student z Prahy – poskytl svým novým „ přátelům“ vše včetně kompletní adresy domu

Bezpečnost Samozřejmostí je nepsat si na profil například adresu, tu je doporučeno sdělovat soukromě jen lidem, o nichž víme, kdo jsou, a pokud možno ne prostřednictvím Facebooku, protože se může stát, že profil byl odcizen Jinými položkami, které je lépe nevyplňovat, je telefonní číslo, u ICQ, MSN a dalších komunikačních klientů dát zprávu, že jsou také na vyžádání. Phishingové útoky pomocí sociálních sítí jsou velmi úspěšné!!!!

Blogy Sociální inženýři využívají také informace z blogů pro získání hesla a dalších informací Pozor na prozrazení hesla pomocí infa z blogů

Safer internet – informace o bezpečnosti pro děti, učitele, rodiče www.saferinternet.cz

Děkuji Vám za pozornost, otázky, připomínky atd. na Dagmar.brechlerova@seznam.cz