OVĚŘOVÁNÍ TOTOŽNOSTIINFORMAČNÍ BEZPEČNOST

3. 12. 2014 KISK FF MU

IDENTIFIKAČNÍ INFORMACE• Většina problémů stále víc zapojuje pro úspěch

osobní informace

• Nejlépe zneužitelné údaje identifikační

• Identifikace v prostředí• reálném: jméno, příjmení, datum narození, rodné číslo…

(chráněné zákonem)• elektronickém (nejčastěji): uživatelské jméno/číslo a heslo, e-

mailová adresa, IP adresa... (chrání každý sám)

• „čtvrtina (…) jako heslo používá nějaký pro ně snadno zapamatovatelný údaj, jako třeba datum jejich narození či nějakého výročí“ (Noska)

ZÁSADY BEZPEČNÉHO HESLA• Musí být:

• Aa1*• 8/12 znaků• Změna max. za 90 dní

• Nesmí být:• Běžné slovo• Znakové řady• Přednastavené• Opakující• Zapsáno• Nikomu sděleno

ŘEŠENÍ PRO LIDSKOU PAMĚŤ• Pamatovali byste si silná (a tím i jedinečná)

hesla pro každou používanou službu?

• Pomůcky pro bezpečná hesla:

• Algoritmus tvorby• Program pro správu hesel

• Několikaúrovňová politika hesel (Bott a Siechert)

• Lze doplnit HW (karty, čipy, tokeny…)

KONTROLA BEZPEČNÉHO HESLA

• Kontrola bezpečnosti hesla: Test Your Password, Password meter, změření odolnosti hesla

• Jak může vypadat? Zkuste nějaké navrhnout, myslete na pamatování!

GRAFICKÁ A DOTEKOVÁ HESLA (KLIK)• Mnoho lidí pamatuje grafiku lépe než znaky

• Rozvoj s dotykovými zařízeními

• Varianty:• Kreslená hesla příp. s výběrem pozadí, např. přihlášení

gestem k Androidu• Výběr obrázků nebo bodů na obrázku (kde body nelze

snadno uhádnout, ale najít ano), např. Passfaces• Poklepání na správná místa, např. Knock Code u

telefonu LG G Pro 2

• Blízké k funkci (RE)CAPTCHA pro rozlišení robota od uživatele

JINÉ TYPY OVĚŘENÍ TOTOŽNOSTI• Totožnost prokazována vlastněním věci (někdy ve

spojení se znalostí hesla)

• Jednorázová hesla – vhodné např. proti odposlechu (vždy jiná); např. autorizační SMS v internetovém bankovnictví, ale i schválení přihlášení na Facebook

• Autentizační karty (čipové, s magnetickým proužkem, NFC…), např. SIM, ISIC, debetní…

• Biometrika a behaviormetrika (intonace, dynamika psaní…) – zatím každá mnoho nevýhod => spíše doplněk, nutné čtecí zařízení, ale rozšiřuje se, např. notebooky s čtečkou otisků prstů, Android od verze 4.0 s rozpoznáním obličeje apod.

TERMINOLOGIE ŠIFROVÁNÍ• Steganografie X šifrování X kódování

• Jediná ukázka kódování: Navahové za 2WW

• Alice a Bob mají společné tajemství = klíč

• Symetrické + asymetrické = hybridní

ŠIFROVÁNÍ – OCHRANA INFORMACÍ• Šifrování e-mailů, dokumentů…, i přenos

dat (někdy na rozhodnutí uživatele => https)

• Ochrana proti odposlechu, krádeži…

• Šifrování se stává povinným – e-podpis (povinné využití v datových schránkách)

ŠIFROVÁNÍ = ZBRAŇ?• PGP v USA – ke stažení zdarma (1993)

Zimmermann 3 roky vyšetřován FBI (nelegální export zbraní); obžaloba stažena po podpoře a rozšíření PGP (reklama – FBI se bojí!)

• „Kryptografie je technologií ochrany dat stejně jako rukavice jsou technologií ochrany rukou. (…) Kryptografie může zmařit FBI odposlech, rukavice jí mohou překazit analýzu otisků prstů. Jak kryptografie, tak rukavice jsou směšně laciné a široce dostupné. (…)“ (Ron Rivest IN Singh, s. 289)

DIGITÁLNÍ PODPIS• = opačný princip než asymetrické šifrování

• Zajišťuje integritu a nepopiratelnost X důvěrnost

• Integrita – kontrolní součty• Matematickými funkcemi => hash identifikující zprávu (jedinečný

+ zpětné téměř nemožné)• Odesilatel zašifruje a přiloží, příjemce sám spočítá, dešifruje a

srovná• Dle zákona pro ekvivalent tradičnímu podpisu

• založen na asymetrickém šifrování = veřejný klíč (zná každý přes certifikační autoritu) a soukromý klíč (nutné chránit jen pro sebe)

• pro rovnocennost e- a tradičních dokumentů nezbytný• Zákon č. 227/2000 Sb. + vyhláška 366/2001 Sb. => pravidla pro

elektronický podpis, především vůči státu

DIGITÁLNÍ PODPIS

DIGITÁLNÍ PODPIS A ŠIFROVÁNÍ

OVĚŘOVÁNÍ TOTOŽNOSTI V E-SLUŽBÁCH MU• Primární a sekundární heslo

• Nastavení v IS MU

• Vhodné dodržovat všechna pravidla pro hesla

• Primární jen IS a Inet

• Sekundární i služby spojené s 3. stranami (např. vstup do databáze)

BEZPEČNOSTNÍ PRINCIPY U MOBILNÍCH ZAŘÍZENÍ• Rozdíly OS:

• iOS: silně řízeno, aplikace kontrolovány, omezený vstup, práva při žádané funkci => „antivir není potřeba“

• Android: méně řízeno, aplikace příp. nahlášeny, různá práva při instalaci => antivir nabízený

• Windows: obdoba počítače

• Root OS – pro experta bezpečnostní pozitivum, pro uživatele silný problém (odstranění bezpečnostního zázemí)

HROZBY PRO MOBILNÍ ZAŘÍZENÍ• Ztracená a ukradená zařízení • Používaní nedůvěryhodných sítí • Používaní nedůvěryhodných aplikací • Jailbreak/root zařízení • Interakce s jinými systémy (synchronizace,

cloud…) • Nedůvěryhodný obsah (QR kódy…) • Lokalizační služby • Zranitelný software, OS out-of-date

MOŽNOSTI BĚŽNÉHO VYBAVENÍ• Aktualizace

• Uživatelské účty• Bezpečná hesla lze někdy vynutit (např. složitost, stáří,

délka, historie)• Zaheslovaný spořič, max. po 10 minutách

• Správné nastavení prohlížeče (soukromí, zóny obsahu, Cookies, ActiveX, vyskakovací okna, pamatování hesel…)

• Vyprazdňování úložišť digitálních stop (stažené soubory, záložky, plocha…)

BEZPEČNOSTNÍ APLIKACE• Dnes by mělo být běžné vybavení počítače: antivir, antirootkit,

antispyware, firewall, antispam, příp. i rodičovská ochrana

• Anti-malwary: heuristická analýza, porovnávání signatur, rezidentní ochrana, analýza chování, kontrola integrity…

• Firewall: dělí chráněnou síť od nechráněné, ochrana proti nechtěnému transferu dat (kontrola paktů, uzavření portů, odhalení skenování portů…); nové funkce IDS a IPS (vnější síťové útoky), kontrola integrity či analýza chování

• Antispam: whitelist, blacklist, Bayesovo filtrování

• Antiphishingové nástroje (SW, plugin, protokol u vyhledávače…)

• Šifrování: komunikace, vč. weby

CHOVÁNÍ UŽIVATELE• Nic neochrání, pokud uživatel rozhazuje OI, kde

může…

• Bezpečí při velkém počtu už není ideální

• Pozornost, zdravá nedůvěra, ovládat se, myslet, ověřovat, nebýt pohodlný

• Stahování a instalace jen opravdu potřebného• Číst varování, hlášení, certifikáty…• Před poskytnutím i zveřejněním informací: „Ublížilo by mi

jejich prozrazení mému nepříteli?“• Ověřování – nejlépe neelektronicky• Egosurfing• SEBEVZDĚLÁVÁNÍ

• Pozor na odpadky a pozůstalosti

INTERNETOVÉ BANKOVNICTVÍ• Správa bankovního účtu online

• Předchůddce homebanking

• Nástupce smartbanking – pružnější, ale problém hl. ve zdrojích aplikací a bezdrátových sítích

• Riziko hl. sám uživatel, u banky zabezpečení obvykle kvalitní

ZÁKLADNÍ BEZPEČNOSTNÍ PRAVIDLA INTERNETBANKINGU• Hlídání přihlašovacích údajů

• Přihlašování jen na ověřeném zabezpečeném počítači

• Opatrné přihlašování s kontrolou URL a běžností vzhledu (drobnosti) a grafickou klávesnicí

• Nastavení omezení disponibilní částky a výše plateb (nákup, výběr)

• Banky nekontaktují e-mailem (jen výjimečně a kritizováno)

• Pravidelná kontrola účtu, historie přihlášení a transakcí

SPECIFIKA SMARTBANKINGU• Zjednodušení různé finanční aktivity, např.

skenování složenek

• Aktivace aplikace pro konkrétní zařízení - spojení s bankovním systémem přímější

• Odstranění dvoufaktorové autentizace

• Problém phishingu (podvodné aplikace, příp. tradiční, vishing, SMSishing), malware

INTERNETOVÉ NAKUPOVÁNÍ• Stále rozšířenější nákupy z e-shopů či e-

akcí => téměř vše obvykle za nižší cenu

• Problém v důvěryhodnosti prodejce (falešné zboží či celé e-shopy, nezaslání zboží)

• Nakupování na DarkNetu

• Propagace i bezpečnostní upozornění od státu i firem

PRAVIDLA PRO BEZPEČNÉ NAKUPOVÁNÍ• Nekupovat podezřele levné, ani zbytečně

drahé (výsledek aukce)

• Ověřit si prodejce (viz dále)

• U neověřených ne převodem, ale dobírkou

• Uchovávat doklady

PRAVIDLA PRO NAKUPOVÁNÍ V ZÁKONĚ• Dle občanského zákoníku možné koupené na dálku do

14 dní vrátit bez udání důvodu (nově stačí ve lhůtě odeslat), při nepoučení předem o možnosti odstoupení prodloužení lhůty o rok

• Reklamace: z. o ochraně spotřebitele + občanský zákoník

• Zhodnocení reklamace do 3 dní, odstranění vady do 30 dní, běh 24 měsíců (lze prodloužit) od prvního nákupu

• Při nákupu přes internet lhůty od převzetí kupujícím a možnost vrácení ceny zboží + nejlevnější varianty dopravy

• E-shop může požadovat úhradu za opravu vrácené zboží (např. použitím)

UKAZATELE DŮVĚRYHODNOSTI E-SHOPŮ• Certifikační známky, např.

• SAOP (Spotřebitelský audit obchodních podmínek) pod SOS (Sdružení obrany spotřebitele)

• APEK (Certifikát Asociace pro elektronickou komerci) pro kvalitu, obchod či dodání lhůt

• A další

• V rejstříku certifikovaných obchodů

• Možnost ověření i přes službu eTestu

INFORMACE NA WEBU• Důvěryhodné poučují zákazníky

• Obvykle kvalitně zpracovaný web na placené doméně a hostingu

• Dostupné údaje:

• O provozovateli, ideálně sídlo v ČR

• O platebních metodách, vč. ceny• O zboží (popis s kompletní cenou)

PLATEBNÍ METODY• Na dobírku: při doručení, dražší

• Kartou: rychlejší, vhodné zvláštní kartou (údaje dostupné mnoha) nebo 3-D Secure (prostředník)

• Převodem z účtu: rychle (dle z. o platebním styku do 24 hodin při příkazu do doby převodů prostředků z banky), možné uspíšit expresní platbou (drahé)

• Platba online: např. PayPal, PaySec, eKonto atd., peněženka pro mikroplatby (bez dalších poplatků a s prostředníkem pro utajení údajů)

• Bitcoin

E-AUKCE• Např. Aukro, eBay

• Klíčový počet uživatelů

• Důvěryhodný provozovatel => reputace => ochrana spotřebitele

• Nutné hlídat finance (cena zboží i odměna portálu), OÚ a vše archivovat

DOTAZY? KOVAROVA@PHIL.MUNI.CZDĚKUJI ZA POZORNOST.

POUŽITÁ LITERATURA• BARRETT, Daniel J. Bandité na informační dálnici. Vyd. 1. Brno: Computer Press, 1999, 235 s. ISBN 80-722-6167-3.

• BERLOQUIN, Pierre. Skryté kódy a velkolepé projekty: tajné jazyky od starověku po současnost. Vyd. 1. Praha: Knižní klub, 2011, 375 s. Universum (Knižní klub). ISBN 978-80-242-2847-1.

• BOTT, Ed, SIECHERT, Carl. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. 1. vyd. Brno: Computer Press, 2004. 696 s. ISBN 80-722-6878-3.

• DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Vyd. 1. Brno: Computer Press, 2004, 190 s. ISBN 80-251-0106-1.

• ERICKSON, Jon. Hacking umění exploitace. Vyd. 1. Brno: Zoner Press, 2005, 263 s. ISBN 80-868-1521-8.

• JIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojských koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2.

• KRÁL, Mojmír. Bezpečnost domácího počítače: Prakticky a názorně. 1. vyd. Praha: Grada, 2006. 334 s. ISBN 80-247-1408-6.

• LASEK, Petr. DoS/DDoS ochrana. RADWARE. IT Security Workshop [online]. 18.03.2014 [cit. 2014-04-08]. Dostupné z: http://www.itsw.cz/files/prezentace_itsw14/1_radware_ddos_ochrana.pdf

• NOSKA, Martin. Výzkum: Uživatelé hazardují se svými hesly k webovým službám. Computerworld [online]. 14.10.10 [cit. 2012-03-21]. Dostupné z: http://computerworld.cz/bezpecnost/vyzkum-uzivatele-hazarduji-se-svymi-hesly-k-webovym-sluzbam-7882

• Občanský zákoník, v platném znění

• POŽÁR, Josef. Informační bezpečnost. Plzeň: Aleš Čeněk, 2005, 309 s. Vysokoškolská učebnice (Vydavatelství a nakladatelství Aleš Čeněk). ISBN 80-868-9838-5.

• ROSIČKA, Jindřich. UTM – Unified threat management. SOPHOS. IT Security Workshop [online]. 18.03.2014 [cit. 2014-04-08]. Dostupné z: http://www.itsw.cz/files/prezentace_itsw14/8_is4tech_ict_security_utm0_38.pdf

• SINGH, Simon. Kniha kódů a šifer: Tajná komunikace od starého Egypta po kvantovou kryptografii. 1. vyd. Praha: Argo, 2003, 382 s. ISBN 80-720-3499-5.

• THOMAS, Thomas M. Zabezpečení počítačových sítí bez předchozích znalostí. Vyd. 1. Brno: CP Books, 2005, 338 s. ISBN 80-251-0417-6.

• UHRÍN, Tibor. Portál CI [online]. 24.1.2011 [cit. 2013-04-08]. Jak používat volně dostupné nástroje k základnímu sledování konkurenta: nástin problematiky (v ČR) a příklady. Dostupné z: http://www.portalci.cz/ci-v-praxi/jak-pouzivat-volne-dostupne-nastroje-k-zakladnimu-sledovani-konkurenta-nastin-problematiky-v-cr-a-priklady