Ochraňuj soukromí svého a jiné veselé internetové příhodyÚnor 2009

• Největším nebezpečím Internetu je …• Viry, trojské koně, hoaxy• Falešné antiviry• Viry jsou tu (protože je to možné)• Ztrácíme soukromí, dobrovolně i nedobrovolně• Ochránci soukromí působí více škody než užitku• Média, cenzura a ochrana před škodlivým obsahem• Internetová anonymita• Spam• Phishing aneb hezky česky rhybaření • Firemní i soukromé weby ignorují základní pravidla• Žádna data nejsou bezpečná• Bezpečné internetové bankovnictví

Internet není a nikdy nebude bezpečné prostředí

ČLOVĚK

Největším nebezpečím Internetu je …

• Internet je ideální prostředí pro šíření virů bez omezení• Uživatelé internetu věří, že právě je „virus napadnout nemůže“• Uživatelé internetu ochotně klikají na cokoliv, odsouhlasí cokoliv a

spustí cokoliv• Viry se dnes šíří prostřednictvím bezpečnostních chyb stejně tak

jako součást jiných programů• Dnešní viry nejsou destruktivní, slouží hlavně k získávání počítačů

pro další účely nebo získávání informací z počítačů• Virus dnes může napsat každý *censored* - stačí si stáhnout či

koupit ten správný toolkit• 0day exploit – reálná hrozba• BFU nerozezná hrozbu viru od hoaxu

• … Antivirové programy jsou dostupné zdarma

Viry, trojské koně, hoaxy

• USA zahájilo tažení proti „prodejcům“ falešných antivirů a zvažuje úpravy legislativy

• V České republice se falešné antiviry běžně objevují na službách jako je Stahuj.cz či Slunečnice.cz

• BFU se „bojí“ = social engineering = snadná oběť • Falešné antiviry jsou postavené na vydírání

• … nikdy ničemu nevěř

Falešné antiviry

• Software obsahuje a bude obsahovat bezpečnostní chyby• Žádnému software nelze plně důvěřovat• Social engineering zafunguje tam, kde žádná bezpečnostní chyba

není dostupná• Uživatelé „chtějí“ více volnosti• Uživatelé „potřebují“ více výkonu a možností „automatizace“ =

skriptovací jazyky, aplikační stroje (Google a jeho engine) a další pomůcky přinášejí nová nebezpečí

• Uživatelé jsou nezodpovědní a útočníci vědí, jak toho využít• P2P sítě, katalogy software, „něco“ ke stažení

• … není všechno zlato co se třpytí

Viry jsou tu (protože je to možné)

• Sociální sítě, blogy, fotografie, videa vs.

• Vyhledávače

• Web 2.0 služby a přesun aktivit a dat online, E-maily online, kanceláře online

• Už jste zkusili svůj Web 2.0 účet nechat smazat?

• BFU špatně rozeznává hranici mezi soukromím a ztrátou soukromí• Děti a studenty tuto hranici nerozeznávají vůbec • Složením střípků je možné získat ucelený pohled

• … Mnohdy ani nevíme co kde o nás vědí

Ztrácíme soukromí, dobrovolně i nedobrovolně

• Varování EU před nebezpečími sociálních sítí a Facebooku zejména vyvolalo enormní zájem o Facebook. Počet českých uživatelů je v únoru dvojnásobný oproti prosinci

• Chybí základní vzdělání v této oblasti

• Některé národy se „od přírody“ ochotně chovají jako ovce (a nechají si všechno líbit)

• … Ochrana soukromí je módní vlna

Ochránci soukromí působí více škody než užitku

• Od „ochrany“ před škodlivým obsahem je jenom krůček k cenzuře (a Internet coby zcela svobodné médium prostě cenzurován být musí)

• Britský „hlídací pes“ zablokoval všem Britům přístup na stránky Wikipedie

• (Mobilní) operátoři blokují neškodné stránky českých uživatelů i podnikatelů

• Pokud vás „někdo“ zablokuje, neexistuje žádný kontrolní a obranný mechanismus

• Kdo rozhoduje o „škodlivosti“ obsahu? A kdo určuje co je „nezákonné“ (nápověda : je to pomalé a potřebuje to reformu)

• Zákazníci podrobení blokaci si to nechají líbit• Dětem na internetu hrozí možnost setkání s pedofilem vs. na

Vinohradech loni několik měsíců pobíhal před školami obnažovač)• Děti na internetu pornografie neohrožuje tak hodně jako viry, trojské

koně a další podobné neřesti

Média, cenzura a ochrana před škodlivým obsahem

• Internetová anonymita neexistuje • … oprava … absolutní internetová anonymita neexistuje• Vs. vžitá představa o „jsem anonymní, mohu cokoliv“

• IP adresa, Geolokace• Záznamy ISP (a telekomunikační operátorů)• Identifikace prohlížeče

• Anonymizéry• Tunely• Nevymahatelnost/nedosažitelnost práva

v některých zemích

• Nikdo není anonymní

Internetová anonymita

• Neřešitelný problém• Absurdní marketing• 80% (a možná i více) mailů je spam• Aleš Slabý a Hotel u Lípy ukázkou neschopnosti práva

• Firmy mají velmi mizerné povědomí o tom, že spam je nejenom nelegální, ale hlavně silně neetický

• … používejte anti-spam řešení

Spam

• Nejlepší příklad „social-engineering“ • BFU je prostě BFU• Pamatujete loňský masivní „útok“ na Českou spořitelnu? • Phishing je možný protože :

– Spam– Prohlížeče matou uživatele– Banky a další instituce se chovají hloupě– Lidé věří čemukoliv

• Phishing slouží k– Získání přihlašovacích informací a vstupu na cizí účet– Získání osobních údajů a jejich zneužití

• … moderní prohlížeče pomáhají …… ale žádná sláva to není.

Phishing aneb hezky česky rhybaření

• XSS, CSFR, HTML injection, SQL Injection, zneužitelnost pro spam• Weby nejsou před umístěním na internet prověřeny a to i přes

skutečnost, že existuje dostatek volně dostupných pomůcek• Webové aplikace jsou od samého počátku tvořeny s ignorováním

základních bezpečnostních pravidel• Chyby na webech běžně zůstávají měsíce• Objevené chyby jsou firmami i jednotlivci zlehčovány, objevitelé

zesměšňováni• „Silnější“ firmy volí taktiku „zastrašování“ žalobami

• Každý nově spuštěný web je potenciálním cílem hackerů či script-kiddies

• …müsli …

Firemní i soukromé weby ignorují základní pravidla

• Většina dat na světě je chráněna systémem jméno a heslo• Většina hesel je získatelné (brute force, social engineering,

nezodpovědnost uživatelů)• Dáte-li cokoliv online, musíte počítat s rizikem• Neselže-li nic, selže lidský faktor• Firemní data na internet nepatří (i když si Google a jiní myslí opak)

• Nedělejte nic, čeho byste později mohli litovat

Žádna data nejsou bezpečná

• Internetové bankovnictví je riziková aplikace • Většina internetových bankovnictvích se spoléhá pouze na

kombinaci jméno a heslo • Bezpečné internetové bankovnictví (zejména formou elektronické

klíče) bys na prstech jedné ruky spočítal• Banky se chovají na internetu absurdně (a řeč je zejména o

phishingu a hloupých nápadech bank posílat vlastní informace mailem)

• Bezpečné bankovnictví je takové, kde míra rizika odpovídá možné míře škody

• Lidé věří internetovému bankovnictví a nevěří platbám online

• …. Ale více se určitě dozvíte od dalších přednášejících …

Bezpečné internetové bankovnictví

Daniel DočekalProximity Praguedaniel.docekal@proximity.cz

Blog : http://www.pooh.cz /// daniel@pooh.cz