Trendy v internetové bezpečnosti

1,538 views

Published on

Trendy v internetové bezpečnosti na konferenci Internet Infa - 2009/02

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,538
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
11
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Trendy v internetové bezpečnosti

  1. 1. Ochraňuj soukromí svého a jiné veselé internetové příhody Únor 2009
  2. 2. <ul><li>Největším nebezpečím Internetu je … </li></ul><ul><li>Viry, trojské koně, hoaxy </li></ul><ul><li>Falešné antiviry </li></ul><ul><li>Viry jsou tu (protože je to možné) </li></ul><ul><li>Ztrácíme soukromí, dobrovolně i nedobrovolně </li></ul><ul><li>Ochránci soukromí působí více škody než užitku </li></ul><ul><li>Média, cenzura a ochrana před škodlivým obsahem </li></ul><ul><li>Internetová anonymita </li></ul><ul><li>Spam </li></ul><ul><li>Phishing aneb hezky česky rhybaření </li></ul><ul><li>Firemní i soukromé weby ignorují základní pravidla </li></ul><ul><li>Žádna data nejsou bezpečná </li></ul><ul><li>Bezpečné internetové bankovnictví </li></ul>Internet není a nikdy nebude bezpečné prostředí
  3. 3. <ul><li>ČLOVĚK </li></ul>Největším nebezpečím Internetu je …
  4. 4. <ul><li>Internet je ideální prostředí pro šíření virů bez omezení </li></ul><ul><li>Uživatelé internetu věří, že právě je „virus napadnout nemůže“ </li></ul><ul><li>Uživatelé internetu ochotně klikají na cokoliv, odsouhlasí cokoliv a spustí cokoliv </li></ul><ul><li>Viry se dnes šíří prostřednictvím bezpečnostních chyb stejně tak jako součást jiných programů </li></ul><ul><li>Dnešní viry nejsou destruktivní, slouží hlavně k získávání počítačů pro další účely nebo získávání informací z počítačů </li></ul><ul><li>Virus dnes může napsat každý *censored* - stačí si stáhnout či koupit ten správný toolkit </li></ul><ul><li>0day exploit – reálná hrozba </li></ul><ul><li>BFU nerozezná hrozbu viru od hoaxu </li></ul><ul><li>… Antivirové programy jsou dostupné zdarma </li></ul>Viry, trojské koně, hoaxy
  5. 5. <ul><li>USA zahájilo tažení proti „prodejcům“ falešných antivirů a zvažuje úpravy legislativy </li></ul><ul><li>V České republice se falešné antiviry běžně objevují na službách jako je Stahuj.cz či Slunečnice.cz </li></ul><ul><li>BFU se „bojí“ = social engineering = snadná oběť </li></ul><ul><li>Falešné antiviry jsou postavené na vydírání </li></ul><ul><li>… nikdy ničemu nevěř </li></ul>Falešné antiviry
  6. 6. <ul><li>Software obsahuje a bude obsahovat bezpečnostní chyby </li></ul><ul><li>Žádnému software nelze plně důvěřovat </li></ul><ul><li>Social engineering zafunguje tam, kde žádná bezpečnostní chyba není dostupná </li></ul><ul><li>Uživatelé „chtějí“ více volnosti </li></ul><ul><li>Uživatelé „potřebují“ více výkonu a možností „automatizace“ = skriptovací jazyky, aplikační stroje (Google a jeho engine) a další pomůcky přinášejí nová nebezpečí </li></ul><ul><li>Uživatelé jsou nezodpovědní a útočníci vědí, jak toho využít </li></ul><ul><li>P2P sítě, katalogy software, „něco“ ke stažení </li></ul><ul><li>… není všechno zlato co se třpytí </li></ul>Viry jsou tu (protože je to možné)
  7. 7. <ul><li>Sociální sítě, blogy, fotografie, videa vs. </li></ul><ul><li>Vyhledávače </li></ul><ul><li>Web 2.0 služby a přesun aktivit a dat online, E-maily online, kanceláře online </li></ul><ul><li>Už jste zkusili svůj Web 2.0 účet nechat smazat? </li></ul><ul><li>BFU špatně rozeznává hranici mezi soukromím a ztrátou soukromí </li></ul><ul><li>Děti a studenty tuto hranici nerozeznávají vůbec </li></ul><ul><li>Složením střípků je možné získat ucelený pohled </li></ul><ul><li>… Mnohdy ani nevíme co kde o nás vědí </li></ul>Ztrácíme soukromí, dobrovolně i nedobrovolně
  8. 8. <ul><li>Varování EU před nebezpečími sociálních sítí a Facebooku zejména vyvolalo enormní zájem o Facebook. Počet českých uživatelů je v únoru dvojnásobný oproti prosinci </li></ul><ul><li>Chybí základní vzdělání v této oblasti </li></ul><ul><li>Některé národy se „od přírody“ ochotně chovají jako ovce (a nechají si všechno líbit) </li></ul><ul><li>… Ochrana soukromí je módní vlna </li></ul>Ochránci soukromí působí více škody než užitku
  9. 9. <ul><li>Od „ochrany“ před škodlivým obsahem je jenom krůček k cenzuře (a Internet coby zcela svobodné médium prostě cenzurován být musí) </li></ul><ul><li>Britský „hlídací pes“ zablokoval všem Britům přístup na stránky Wikipedie </li></ul><ul><li>(Mobilní) operátoři blokují neškodné stránky českých uživatelů i podnikatelů </li></ul><ul><li>Pokud vás „někdo“ zablokuje, neexistuje žádný kontrolní a obranný mechanismus </li></ul><ul><li>Kdo rozhoduje o „škodlivosti“ obsahu? A kdo určuje co je „nezákonné“ (nápověda : je to pomalé a potřebuje to reformu) </li></ul><ul><li>Zákazníci podrobení blokaci si to nechají líbit </li></ul><ul><li>Dětem na internetu hrozí možnost setkání s pedofilem vs. na Vinohradech loni několik měsíců pobíhal před školami obnažovač) </li></ul><ul><li>Děti na internetu pornografie neohrožuje tak hodně jako viry, trojské koně a další podobné neřesti </li></ul>Média, cenzura a ochrana před škodlivým obsahem
  10. 10. <ul><li>Internetová anonymita neexistuje </li></ul><ul><li>… oprava … absolutní internetová anonymita neexistuje </li></ul><ul><li>Vs. vžitá představa o „jsem anonymní, mohu cokoliv“ </li></ul><ul><li>IP adresa, Geolokace </li></ul><ul><li>Záznamy ISP (a telekomunikační operátorů) </li></ul><ul><li>Identifikace prohlížeče </li></ul><ul><li>Anonymizéry </li></ul><ul><li>Tunely </li></ul><ul><li>Nevymahatelnost/nedosažitelnost práva v některých zemích </li></ul><ul><li>Nikdo není anonymní </li></ul>Internetová anonymita
  11. 11. <ul><li>Neřešitelný problém </li></ul><ul><li>Absurdní marketing </li></ul><ul><li>80% (a možná i více) mailů je spam </li></ul><ul><li>Aleš Slabý a Hotel u Lípy ukázkou neschopnosti práva </li></ul><ul><li>Firmy mají velmi mizerné povědomí o tom, že spam je nejenom nelegální, ale hlavně silně neetický </li></ul><ul><li>… používejte anti-spam řešení </li></ul>Spam
  12. 12. <ul><li>Nejlepší příklad „social-engineering“ </li></ul><ul><li>BFU je prostě BFU </li></ul><ul><li>Pamatujete loňský masivní „útok“ na Českou spořitelnu? </li></ul><ul><li>Phishing je možný protože : </li></ul><ul><ul><li>Spam </li></ul></ul><ul><ul><li>Prohlížeče matou uživatele </li></ul></ul><ul><ul><li>Banky a další instituce se chovají hloupě </li></ul></ul><ul><ul><li>Lidé věří čemukoliv </li></ul></ul><ul><li>Phishing slouží k </li></ul><ul><ul><li>Získání přihlašovacích informací a vstupu na cizí účet </li></ul></ul><ul><ul><li>Získání osobních údajů a jejich zneužití </li></ul></ul><ul><li>… moderní prohlížeče pomáhají … … ale žádná sláva to není. </li></ul>Phishing aneb hezky česky rhybaření
  13. 13. <ul><li>XSS, CSFR, HTML injection, SQL Injection, zneužitelnost pro spam </li></ul><ul><li>Weby nejsou před umístěním na internet prověřeny a to i přes skutečnost, že existuje dostatek volně dostupných pomůcek </li></ul><ul><li>Webové aplikace jsou od samého počátku tvořeny s ignorováním základních bezpečnostních pravidel </li></ul><ul><li>Chyby na webech běžně zůstávají měsíce </li></ul><ul><li>Objevené chyby jsou firmami i jednotlivci zlehčovány, objevitelé zesměšňováni </li></ul><ul><li>„ Silnější“ firmy volí taktiku „zastrašování“ žalobami </li></ul><ul><li>Každý nově spuštěný web je potenciálním cílem hackerů či script-kiddies </li></ul><ul><li>… müsli … </li></ul>Firemní i soukromé weby ignorují základní pravidla
  14. 14. <ul><li>Většina dat na světě je chráněna systémem jméno a heslo </li></ul><ul><li>Většina hesel je získatelné (brute force, social engineering, nezodpovědnost uživatelů) </li></ul><ul><li>Dáte-li cokoliv online, musíte počítat s rizikem </li></ul><ul><li>Neselže-li nic, selže lidský faktor </li></ul><ul><li>Firemní data na internet nepatří (i když si Google a jiní myslí opak) </li></ul><ul><li>Nedělejte nic, čeho byste později mohli litovat </li></ul>Žádna data nejsou bezpečná
  15. 15. <ul><li>Internetové bankovnictví je riziková aplikace </li></ul><ul><li>Většina internetových bankovnictvích se spoléhá pouze na kombinaci jméno a heslo </li></ul><ul><li>Bezpečné internetové bankovnictví (zejména formou elektronické klíče) bys na prstech jedné ruky spočítal </li></ul><ul><li>Banky se chovají na internetu absurdně (a řeč je zejména o phishingu a hloupých nápadech bank posílat vlastní informace mailem) </li></ul><ul><li>Bezpečné bankovnictví je takové, kde míra rizika odpovídá možné míře škody </li></ul><ul><li>Lidé věří internetovému bankovnictví a nevěří platbám online </li></ul><ul><li>… . Ale více se určitě dozvíte od dalších přednášejících … </li></ul>Bezpečné internetové bankovnictví
  16. 16. Daniel Dočekal Proximity Prague [email_address] Blog : http://www.pooh.cz /// [email_address]

×