Podnikání na Internetu bezpečnost

1. Podnikání na Internetubezpečnost letní semestr 2004 Jana Holá III.

2. Bezpečnost na Internetu • Ochrana osobních údajů, phising (on-line krádeže identity) • Únik informací v el. poště • Spam • Hackers • Freeware, Spyware, Adware • Dialer • Viry • Makroviry (tabulkové proces., text. soubory) • Programové viry (přípony exe) • Worm, červ (Internet a firemní sítě) • Antivirové programy • Hledají a odstraňují viry v PC • Indikují infikované soubory na disketách • Zabraňují rozšiřování e-mailem (instalace na serveru)

3. Identita X anonymita • Internet od svého počátku neřeší autentizaci odesílatele, identifikaci uživatele, anonymita je brána jako výhoda rozvoje a rozšíření Internetu • Další rozvoj řeší otázku jak vyřešit: • anonymitu, pro toho kdo ji potřebuje (volby, disidenti, názorová otevřenost, osobní záležitosti) • průkaznou identitu tomu, kdo ji potřebuje (zákonné důvody prokazatelnosti)

4. Volby Názorová otevřenost Disidenti Osobní záležitosti Necenzurováno Svoboda projevu Svoboda v kreativitě Rozšíření Terorismus Dětská pornografie Jiný nevhodný obsah Neviditelnost zneužitelná pro útoky na bezpečnost Internetu Spam Problém identifikace Anonymita

5. Identifikace • Digitální technologie dovolují jednoduchou zneužitelnost jakékoliv identifikace (v reálném světě jsou otisky naší identity roztříštěné, ale na Internetu jsou otisky i toho kdo tam nebyl – nic nás nechrání) • Projekty FBI (sledovací nástroj Carnivore 02 pozastaveno běžné užívání, pouze ve výjimečných případech pod názvem Digital Colection Systém, pokud požadované info nejsou schopni zjistit ISP) • IBM zakoupila SRD pro odhalování identity, program Identity Resolution • Projekt INFRANET, aktivita British Telecom, HP, IBM, Oracle, Siemens…síť založená na standardech s požadavkem přenosových služeb prostřednictvím 1 paketu

6. SPAM • Nevyžádaná, neautorizovaná elektronická pošta, nositel škůdců (phising, spyware..) • Přes 80% všech e-mailů odeslaných přes Internet je spam a stojí světové hospodářství přes 25 miliard dolarů ročně [CW 45/2004] • Služba e-mail je ohrožena , vznikl nový obor antispamové ochrany • Zastavení spamu je možné • „pouhou“ignorací (uživatelé nesmí odpovídat na nabídky, chrlení spamů nesmí být výhodné – velmi nízké náklady) • Postavit spam mimo zákon, zvýšit riziko odesílatele • Reagovat na nezákonnost souvisejících aktivit škodící uživateli, najít autora a kvantifikovat škody (phising – on line krádež identity) • Kombinace silné technologie, legislativy, osvěty a mezinárodní spolupráce, tlak na autorizaci a identifikaci odesilatele Najít odesílatele a autora Vyčíslit škody Potrestat Prevence

7. Legislativa - antispam • Zákon č.480/2004 s účinností od 7. září upravuje některé služby informační společnosti, zasílání nevyžádaných elektronických zpráv (platí princip opt-in nutnost získat souhlas adresáta před posláním zprávy!) • Zákon se vztahuje na e-mail, sms a faxy, nikoliv na přímý marketing prováděný živou osobou • Nutností je prokazatelný souhlas a jeho archivace (záznam vyjádřený pouhým kliknutím z IP adresy s údaji, které tímto vznikly • Týká se pouze obchodních sdělení včetně jakýchkoliv informací vztahujících se k přímé či nepřímé podpoře výrobků a služeb nebo image právnické osoby nebo fyzické podnikajícíosoby

8. Legislativa – spam • Dále je zasílání elektronické pošty za účelem rozšíření obchodního sdělení je zakázáno jestliže: • Není zřetelně a jasně označena jako obchodní sdělení • Skrývá nebo utajuje totožnost odesílatele, jehož jménem se komunikace uskutečňuje • Je zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci , že si nepřeje aby mu informace byly dále zasílány. • Pokuta až 10 mil Kč hrozí při šíření nevyžádaných obchodních sdělení • Bez možnosti odmítnout • Bez uvedení prokazatelně účinné adresy pro možné odmítnutí • Bez prokazatelného souhlasu adresáta • Bez zřetelného označení obchodního sdělení • Bez jasné identifikace odesílatele • Bez jasné identifikace autora obchodního sdělení

9. Viry • Největší riziko nákazy je připojení k Internetu • Moderní technologie jsou kontraproduktivní • v roce 2004 bylo viry napadeno 40 mil PC po celém světě, 30 závažných virových útoků (Mydoom, Netsky) • Napadení nejen pro poškození, ale zejména dnes za účelem vykrádání informací a ovládání(podvodné formuláře a stránky..) • Využívání bezpečnostních děr v operačních systémech Wimdows – atraktivní cíl, • PC udeground se přibližuje běžné kriminalitě

10. Nejčastější škůdci • Vir – nejčastěji via e-mail • Červ • Trójský kůň • Spyware • Keyloger • Adware • Dialer- využívá bezpečnostní mezeru v prohlížeči Explorer a mění připojení u vytáčeného dial up spojení (při spadnutí původního připojení se aktiviuje drahá audiotextová služba) • www.technet.cz , http://spyware.er.cz Pozor na freeware, (Enduser Licence Agreement EULA)

11. Obrana • Firewall • Antivir • Antispam • Antispyware • Záplaty • Údržba, aktualizace • Prevence • Informovanost • Uživatelé -největším škůdcem je sám uživatel (Cisco Systém má IDS Intrusion Detection Systém pro řízení bezpečnosti sítě a Check Point pro posouzení důvěryhodnosti uživatele)

12. Bezpečnostní systémy • Cisco Systém - IDS Intrusion Detection Systém pro řízení bezpečnosti sítě, celý systém bezpečnostní architektury (HW,SW,administrace, uživatelé) • Monitorování datových toků a stavů • Zachycení a ošetření incidentů • Analýza • Archivace • dokumentace