1 / 16

Nejčastější slabiny internetové bezpečnosti

Nejčastější slabiny internetové bezpečnosti. Únor 2009. Internet není a nikdy nebude bezpečné prostředí. Největším nebezpečím Internetu je … Viry, trojské koně, hoaxy Falešné antiviry Viry jsou tu (protože je to možné) Ztrácíme soukromí, dobrovolně i nedobrovolně

tarak
Download Presentation

Nejčastější slabiny internetové bezpečnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Nejčastější slabiny internetové bezpečnosti Únor 2009

  2. Internet není a nikdy nebude bezpečné prostředí • Největším nebezpečím Internetu je … • Viry, trojské koně, hoaxy • Falešné antiviry • Viry jsou tu (protože je to možné) • Ztrácíme soukromí, dobrovolně i nedobrovolně • Ochránci soukromí působí více škody než užitku • Média, cenzura a ochrana před škodlivým obsahem • Internetová anonymita • Spam • Phishing aneb hezky česky rhybaření • Firemní i soukromé weby ignorují základní pravidla • Žádna data nejsou bezpečná • Bezpečné internetové bankovnictví

  3. Největším nebezpečím Internetu je … ČLOVĚK

  4. Viry, trojské koně, hoaxy • Internet je ideální prostředí pro šíření virů bez omezení • Uživatelé internetu věří, že právě je „virus napadnout nemůže“ • Uživatelé internetu ochotně klikají na cokoliv, odsouhlasí cokoliv a spustí cokoliv • Viry se dnes šíří prostřednictvím bezpečnostních chyb stejně tak jako součást jiných programů • Dnešní viry nejsou destruktivní, slouží hlavně k získávání počítačů pro další účely nebo získávání informací z počítačů • Virus dnes může napsat každý *censored* - stačí si stáhnout či koupit ten správný toolkit • 0day exploit – reálná hrozba • BFU nerozezná hrozbu viru od hoaxu • … Antivirové programy jsou dostupné zdarma

  5. Falešné antiviry • USA zahájilo tažení proti „prodejcům“ falešných antivirů a zvažuje úpravy legislativy • V České republice se falešné antiviry běžně objevují na službách jako je Stahuj.cz či Slunečnice.cz • BFU se „bojí“ = social engineering = snadná oběť • Falešné antiviry jsou postavené na vydírání • … nikdy ničemu nevěř

  6. Viry jsou tu (protože je to možné) • Software obsahuje a bude obsahovat bezpečnostní chyby • Žádnému software nelze plně důvěřovat • Social engineering zafunguje tam, kde žádná bezpečnostní chyba není dostupná • Uživatelé „chtějí“ více volnosti • Uživatelé „potřebují“ více výkonu a možností „automatizace“ = skriptovací jazyky, aplikační stroje (Google a jeho engine) a další pomůcky přinášejí nová nebezpečí • Uživatelé jsou nezodpovědní a útočníci vědí, jak toho využít • P2P sítě, katalogy software, „něco“ ke stažení • … není všechno zlato co se třpytí

  7. Ztrácíme soukromí, dobrovolně i nedobrovolně • Sociální sítě, blogy, fotografie, videa vs. • Vyhledávače • Web 2.0 služby a přesun aktivit a dat online, E-maily online, kanceláře online • Už jste zkusili svůj Web 2.0 účet nechat smazat? • BFU špatně rozeznává hranici mezi soukromím a ztrátou soukromí • Děti a studenty tuto hranici nerozeznávají vůbec • Složením střípků je možné získat ucelený pohled • … Mnohdy ani nevíme co kde o nás vědí

  8. Ochránci soukromí působí více škody než užitku • Varování EU před nebezpečími sociálních sítí a Facebooku zejména vyvolalo enormní zájem o Facebook. Počet českých uživatelů je v únoru dvojnásobný oproti prosinci • Chybí základní vzdělání v této oblasti • Některé národy se „od přírody“ ochotně chovají jako ovce (a nechají si všechno líbit) • … Ochrana soukromí je módní vlna

  9. Média, cenzura a ochrana před škodlivým obsahem • Od „ochrany“ před škodlivým obsahem je jenom krůček k cenzuře (a Internet coby zcela svobodné médium prostě cenzurován být musí) • Britský „hlídací pes“ zablokoval všem Britům přístup na stránky Wikipedie • (Mobilní) operátoři blokují neškodné stránky českých uživatelů i podnikatelů • Pokud vás „někdo“ zablokuje, neexistuje žádný kontrolní a obranný mechanismus • Kdo rozhoduje o „škodlivosti“ obsahu? A kdo určuje co je „nezákonné“ (nápověda : je to pomalé a potřebuje to reformu) • Zákazníci podrobení blokaci si to nechají líbit • Dětem na internetu hrozí možnost setkání s pedofilem vs. na Vinohradech loni několik měsíců pobíhal před školami obnažovač) • Děti na internetu pornografie neohrožuje tak hodně jako viry, trojské koně a další podobné neřesti

  10. Internetová anonymita • Internetová anonymita neexistuje • … oprava … absolutní internetová anonymita neexistuje • Vs. vžitá představa o „jsem anonymní, mohu cokoliv“ • IP adresa, Geolokace • Záznamy ISP (a telekomunikační operátorů) • Identifikace prohlížeče • Anonymizéry • Tunely • Nevymahatelnost/nedosažitelnost práva v některých zemích • Nikdo není anonymní

  11. Spam • Neřešitelný problém • Absurdní marketing • 80% (a možná i více) mailů je spam • Aleš Slabý a Hotel u Lípy ukázkou neschopnosti práva • Firmy mají velmi mizerné povědomí o tom, že spam je nejenom nelegální, ale hlavně silně neetický • … používejte anti-spam řešení

  12. Phishing aneb hezky česky rhybaření • Nejlepší příklad „social-engineering“ • BFU je prostě BFU • Pamatujete loňský masivní „útok“ na Českou spořitelnu? • Phishing je možný protože : • Spam • Prohlížeče matou uživatele • Banky a další instituce se chovají hloupě • Lidé věří čemukoliv • Phishing slouží k • Získání přihlašovacích informací a vstupu na cizí účet • Získání osobních údajů a jejich zneužití • … moderní prohlížeče pomáhají …… ale žádná sláva to není.

  13. Firemní i soukromé weby ignorují základní pravidla • XSS, CSFR, HTML injection, SQL Injection, zneužitelnost pro spam • Weby nejsou před umístěním na internet prověřeny a to i přes skutečnost, že existuje dostatek volně dostupných pomůcek • Webové aplikace jsou od samého počátku tvořeny s ignorováním základních bezpečnostních pravidel • Chyby na webech běžně zůstávají měsíce • Objevené chyby jsou firmami i jednotlivci zlehčovány, objevitelé zesměšňováni • „Silnější“ firmy volí taktiku „zastrašování“ žalobami • Každý nově spuštěný web je potenciálním cílem hackerů či script-kiddies • …müsli …

  14. Žádna data nejsou bezpečná • Většina dat na světě je chráněna systémem jméno a heslo • Většina hesel je získatelné (brute force, social engineering, nezodpovědnost uživatelů) • Dáte-li cokoliv online, musíte počítat s rizikem • Neselže-li nic, selže lidský faktor • Firemní data na internet nepatří (i když si Google a jiní myslí opak) • Nedělejte nic, čeho byste později mohli litovat

  15. Bezpečné internetové bankovnictví • Internetové bankovnictví je riziková aplikace • Většina internetových bankovnictvích se spoléhá pouze na kombinaci jméno a heslo • Bezpečné internetové bankovnictví (zejména formou elektronické klíče) bys na prstech jedné ruky spočítal • Banky se chovají na internetu absurdně (a řeč je zejména o phishingu a hloupých nápadech bank posílat vlastní informace mailem) • Bezpečné bankovnictví je takové, kde míra rizika odpovídá možné míře škody • Lidé věří internetovému bankovnictví a nevěří platbám online • …. Ale více se určitě dozvíte od dalších přednášejících …

  16. Daniel DočekalProximity Praguedaniel.docekal@proximity.czBlog : http://www.pooh.cz /// daniel@pooh.cz

More Related