Upload
daniel-docekal
View
2.298
Download
0
Embed Size (px)
DESCRIPTION
Trendy v internetové bezpečnosti na konferenci Internet Infa - 2009/02
Citation preview
• Největším nebezpečím Internetu je …• Viry, trojské koně, hoaxy• Falešné antiviry• Viry jsou tu (protože je to možné)• Ztrácíme soukromí, dobrovolně i nedobrovolně• Ochránci soukromí působí více škody než užitku• Média, cenzura a ochrana před škodlivým obsahem• Internetová anonymita• Spam• Phishing aneb hezky česky rhybaření • Firemní i soukromé weby ignorují základní pravidla• Žádna data nejsou bezpečná• Bezpečné internetové bankovnictví
Internet není a nikdy nebude bezpečné prostředí
• Internet je ideální prostředí pro šíření virů bez omezení• Uživatelé internetu věří, že právě je „virus napadnout nemůže“• Uživatelé internetu ochotně klikají na cokoliv, odsouhlasí cokoliv a
spustí cokoliv• Viry se dnes šíří prostřednictvím bezpečnostních chyb stejně tak
jako součást jiných programů• Dnešní viry nejsou destruktivní, slouží hlavně k získávání počítačů
pro další účely nebo získávání informací z počítačů• Virus dnes může napsat každý *censored* - stačí si stáhnout či
koupit ten správný toolkit• 0day exploit – reálná hrozba• BFU nerozezná hrozbu viru od hoaxu
• … Antivirové programy jsou dostupné zdarma
Viry, trojské koně, hoaxy
• USA zahájilo tažení proti „prodejcům“ falešných antivirů a zvažuje úpravy legislativy
• V České republice se falešné antiviry běžně objevují na službách jako je Stahuj.cz či Slunečnice.cz
• BFU se „bojí“ = social engineering = snadná oběť • Falešné antiviry jsou postavené na vydírání
• … nikdy ničemu nevěř
Falešné antiviry
• Software obsahuje a bude obsahovat bezpečnostní chyby• Žádnému software nelze plně důvěřovat• Social engineering zafunguje tam, kde žádná bezpečnostní chyba
není dostupná• Uživatelé „chtějí“ více volnosti• Uživatelé „potřebují“ více výkonu a možností „automatizace“ =
skriptovací jazyky, aplikační stroje (Google a jeho engine) a další pomůcky přinášejí nová nebezpečí
• Uživatelé jsou nezodpovědní a útočníci vědí, jak toho využít• P2P sítě, katalogy software, „něco“ ke stažení
• … není všechno zlato co se třpytí
Viry jsou tu (protože je to možné)
• Sociální sítě, blogy, fotografie, videa vs.
• Vyhledávače
• Web 2.0 služby a přesun aktivit a dat online, E-maily online, kanceláře online
• Už jste zkusili svůj Web 2.0 účet nechat smazat?
• BFU špatně rozeznává hranici mezi soukromím a ztrátou soukromí• Děti a studenty tuto hranici nerozeznávají vůbec • Složením střípků je možné získat ucelený pohled
• … Mnohdy ani nevíme co kde o nás vědí
Ztrácíme soukromí, dobrovolně i nedobrovolně
• Varování EU před nebezpečími sociálních sítí a Facebooku zejména vyvolalo enormní zájem o Facebook. Počet českých uživatelů je v únoru dvojnásobný oproti prosinci
• Chybí základní vzdělání v této oblasti
• Některé národy se „od přírody“ ochotně chovají jako ovce (a nechají si všechno líbit)
• … Ochrana soukromí je módní vlna
Ochránci soukromí působí více škody než užitku
• Od „ochrany“ před škodlivým obsahem je jenom krůček k cenzuře (a Internet coby zcela svobodné médium prostě cenzurován být musí)
• Britský „hlídací pes“ zablokoval všem Britům přístup na stránky Wikipedie
• (Mobilní) operátoři blokují neškodné stránky českých uživatelů i podnikatelů
• Pokud vás „někdo“ zablokuje, neexistuje žádný kontrolní a obranný mechanismus
• Kdo rozhoduje o „škodlivosti“ obsahu? A kdo určuje co je „nezákonné“ (nápověda : je to pomalé a potřebuje to reformu)
• Zákazníci podrobení blokaci si to nechají líbit• Dětem na internetu hrozí možnost setkání s pedofilem vs. na
Vinohradech loni několik měsíců pobíhal před školami obnažovač)• Děti na internetu pornografie neohrožuje tak hodně jako viry, trojské
koně a další podobné neřesti
Média, cenzura a ochrana před škodlivým obsahem
• Internetová anonymita neexistuje • … oprava … absolutní internetová anonymita neexistuje• Vs. vžitá představa o „jsem anonymní, mohu cokoliv“
• IP adresa, Geolokace• Záznamy ISP (a telekomunikační operátorů)• Identifikace prohlížeče
• Anonymizéry• Tunely• Nevymahatelnost/nedosažitelnost práva
v některých zemích
• Nikdo není anonymní
Internetová anonymita
• Neřešitelný problém• Absurdní marketing• 80% (a možná i více) mailů je spam• Aleš Slabý a Hotel u Lípy ukázkou neschopnosti práva
• Firmy mají velmi mizerné povědomí o tom, že spam je nejenom nelegální, ale hlavně silně neetický
• … používejte anti-spam řešení
Spam
• Nejlepší příklad „social-engineering“ • BFU je prostě BFU• Pamatujete loňský masivní „útok“ na Českou spořitelnu? • Phishing je možný protože :
– Spam– Prohlížeče matou uživatele– Banky a další instituce se chovají hloupě– Lidé věří čemukoliv
• Phishing slouží k– Získání přihlašovacích informací a vstupu na cizí účet– Získání osobních údajů a jejich zneužití
• … moderní prohlížeče pomáhají …… ale žádná sláva to není.
Phishing aneb hezky česky rhybaření
• XSS, CSFR, HTML injection, SQL Injection, zneužitelnost pro spam• Weby nejsou před umístěním na internet prověřeny a to i přes
skutečnost, že existuje dostatek volně dostupných pomůcek• Webové aplikace jsou od samého počátku tvořeny s ignorováním
základních bezpečnostních pravidel• Chyby na webech běžně zůstávají měsíce• Objevené chyby jsou firmami i jednotlivci zlehčovány, objevitelé
zesměšňováni• „Silnější“ firmy volí taktiku „zastrašování“ žalobami
• Každý nově spuštěný web je potenciálním cílem hackerů či script-kiddies
• …müsli …
Firemní i soukromé weby ignorují základní pravidla
• Většina dat na světě je chráněna systémem jméno a heslo• Většina hesel je získatelné (brute force, social engineering,
nezodpovědnost uživatelů)• Dáte-li cokoliv online, musíte počítat s rizikem• Neselže-li nic, selže lidský faktor• Firemní data na internet nepatří (i když si Google a jiní myslí opak)
• Nedělejte nic, čeho byste později mohli litovat
Žádna data nejsou bezpečná
• Internetové bankovnictví je riziková aplikace • Většina internetových bankovnictvích se spoléhá pouze na
kombinaci jméno a heslo • Bezpečné internetové bankovnictví (zejména formou elektronické
klíče) bys na prstech jedné ruky spočítal• Banky se chovají na internetu absurdně (a řeč je zejména o
phishingu a hloupých nápadech bank posílat vlastní informace mailem)
• Bezpečné bankovnictví je takové, kde míra rizika odpovídá možné míře škody
• Lidé věří internetovému bankovnictví a nevěří platbám online
• …. Ale více se určitě dozvíte od dalších přednášejících …
Bezpečné internetové bankovnictví
Daniel DočekalProximity [email protected]
Blog : http://www.pooh.cz /// [email protected]