Hlavní strana Program Fotogalerie
Sborník ze semináře KAP Velehrad 2018
Ing. Jan Hlaváček
Technické zabezpečení komunikačních zařízení a bezpečné chování jejich uživatelů v digitálním prostředí
Dobrý večer, pracuji jako síťový administrátor čili správce sítí, aktuálně u menší společnosti, poskytující internetové připojení, takže mám každodenní styk s lidmi a jejich problémy. Dnes jsem si pro vás připravil téma Technické zabezpečení komunikačních zařízení a bezpečné chování jejich uživatelů.
Jaká máme dnes komunikační zařízení? [obr. 2]
Každý den pracujeme s notebooky, mobily, nebo tablety, stále rozšířenější jsou chytré hodinky. Z mobilu se můžete podívat,
kolik benzínu máte v nádrži svého auta, nebo si načasovat zapnutí sauny, aby měla tu ideální teplotu, až přijedete domů.
A až budete večer ležet v posteli, můžete si zkontrolovat, kolik jste dnes ušli kilometrů a jaká byla vaše průměrná tepová frekvence.
Všechny tyto věci dnes mohou komunikovat přes internet, nebo alespoň s vaším telefonem, nebo tabletem. Díky tomuto propojení
zařízení vzniká jakýsi digitální ekosystém. Ten nám může usnadňovat a zpříjemňovat život. Musíme mít ale na paměti, že při užívání
vytváříme, zpracováváme a ukládáme spousty citlivých osobních nebo firemních dat. Z toho důvodu musíme otázku bezpečnosti mít vždy jako číslo jedna.
Bezpečnost [obr. 3]
Můžeme ji rozdělit na tři části – fyzickou, softwarovou a uživatelskou. Všechny jsou spolu úzce spjaty a problém u každé z nich
může znamenat bezpečnostní problém celkový. Bohužel zřejmě nejčastěji je nejslabším článkem uživatelský faktor.
Abych to ale trochu odlehčil:
Víte, kdo jsou tři nejnebezpečnějších lidé?
1. Programátor, který drží v ruce pájku
2. technik, který udělal změnu v programu
3. uživatel, který dostal nápad.
Jak ale může k bezpečnosti přispět samotný uživatel?
Fyzická bezpečnost [obr. 4]
Podíváme-li se na fyzickou bezpečnost, musíme se ptát:
Kde zařízení nechávám?
Zjišťuji, že si lidé myslí, že čím jsou technologie běžnější a má je každý, tak proč by je tedy někdo kradl?
Například můj známý byl asi před měsícem s dcerou na dovolené v Maďarsku. Zastavili se u obchodního domu,
aby si zašli na zmrzlinu. Auto bohužel zapomněl zamknout a i když byli asi za dvě minuty zpět, tak byli oba
bez svých mobilů. Což je samozřejmě velká nepříjemnost, zvláště v cizině.
Také pozoruji, že je stále velmi moderní nosit mobil v zadní kapse u kalhot a ještě jej nechat provokativně vykukovat.
Nejenže se tak zvyšuje pravděpodobnost krádeže, ale také je zde velké riziko poničení zařízení když si sednete
(prasklý displej, uštípnuté rohy…).
Jako další otázku v rámci fyzické bezpečnosti si musíme klást komu své zařízení svěřuji (kamarád/kolega, dítě, servis).
Jak se říká, důvěřuj, ale prověřuj. Nemusí se stát zrovna ten hororový scénář, že vám dítě uvede telefon to továrního
nastavení, ale přímo si koledujete o to, aby si kolega z práce přečetl vaše SMS zprávy od manželky, případně se
servisnímu technikovi zalíbí obsah vaší Galerie a tak si ji pro jistotu celou stáhne. To jsou rizika, která by měl každý zvážit.
Kde a k čemu zařízení připojuji? (nabíječky, cizí počítače - raději odeslat přes BT)
Připojení zařízení k úplně neznámému počítači, nebo nabíječce rozhodně nedoporučuji! Podle cca 2 měsíce starého výzkumu
vědců z University of Florida, Stony Brook University New York a společnosti Samsung Research America lze u velkého procenta
mobilních zařízení se systémem Android provádět přes USB spojení velké množství činností bez jakéhokoliv vědomí uživatele,
např. iniciovat telefonní hovory, odesílat SMS, stahovat obsah paměti, či ovládat dotykovou obrazovku.
Výrobci zařízení na tuto chybu byli samozřejmě upozorněni dříve, než se tato informace dostala na veřejnost,
aby stihli vydat opravné aktualizace. Problém je, že spousta zařízení už nikdy nové aktualizace od výrobce nedostane,
protože ten ukončil jejich podporu.
Softwarová bezpečnost [obr. 5]
Antivir
Já bych si dovolil nyní Vám navrhnout malou rozcvičku. Můžete prosím zvednout ruku, kdo ve svém počítači máte aktivní
Antivirový program? [zvedla se většina rukou] Děkuji. Předpokládám, že význam antiviru všichni známe,
což je zřejmé z počtu vašich rukou.
Jaké jsou ale dnešní viry a co nejčastěji dělají?
Dnešní viry jsou velmi sofistikované a zaměřují se především na užitek jejich tvůrce. Může se jednat o programy,
které na pozadí těží kryptoměny aniž byste o tom tušili a jediným ukazatelem je permanentní zatížení procesoru
a tím i zvýšená hlučnost ventilátorů.
Druhý typ se snaží zachytávat všechny vaše zmáčknuté klávesy, analyzovat je a ukrást tak vaše uživatelská jména a hesla.
Třetí, v současné době asi nejrozšířenější typ viru, zapojí počítač do sítě tzv. botnetu. Váš počítač se nijak neprojevuje, ale vir čeká na příkazy svého tvůrce. Pokud od něj přijme řídící povely, může například začít odesílat požadavky na nějaký konkrétní server a spolu s dalšími stovkami až tisíci nakaženými počítači v jeden moment zahltí cíl velkým množství požadavků, které cílový server nestíhá odbavit a je potom nedostupný. Vy si přitom vůbec ničeho nevšimnete.
Posledním druhem rozšířených virů jsou viry vyděračského rázu. O těch si povíme za chvíli. Existují samozřejmě i jiné, typy, ale to bylo na samostatnou, velmi obsáhlou přednášku.
Další součástí softwarové bezpečnosti je Firewall.
Někdy se setkávám s odpovědí, že je to snad to stejné jako antivirus ne? Můžete prosím zvednout ruce, kdo víte,
k čemu slouží firewall? [jen jedna] – To jsem předpokládal. Ano na první pohled se to může zdát a ke zmatení
může přispět, že některé bezpečnostní programy už Antivirus i Firewall sdružují do jednoho bezpečnostního produktu.
Jak tedy funguje? Představte si vaše zařízení jako koláč dobrého sýra. A každá aplikace, která pracuje se sítí,
může teoreticky otevírat díru do vašeho počítače. Tím může Vaše zařízení začít vypadat jako dobře uzrálý ementál.
Proto před všechny tyto díry stavíme ohnivou zeď (Firewall), která počítač chrání po síťové stránce. V každé síti kde se
připojíme – doma, v práci, v kavárně, může totiž být nějaké infikované zařízení, které hledá na okolních počítačích právě
tyto díry a snaží se je zneužít ve svůj prospěch.
Aktualizace :-) [slide Aktualizace]
A ještě vás poprosím o reakci – kdo z vás už viděl podobný obrázek na svém počítači a měl z toho záchvat vzteku? ?
Kdo zvedl ruku, mohu říci, že jej chápu. Nicméně na Vás apeluji, abyste instalace aktualizací brali jako nezbytnost.
Díky aktualizacím je možné včas reagovat na nově odhalené bezpečnostní díry, nebo chyby v softwaru.
A proto i když se současně s instalací těchto bezpečnostních aktualizací někdy dostaví změny grafického
nebo funkčního charakteru, které neradi vidíme, prosím, aktualizace nevypínejte a nechte si je naistalovat.
A až se Vám příště zobrazí hlášení o instalaci aktualizací, vzpomeňte si na programátory, kteří na nich
celé dny pracují. Vám ta instalace zabere pouze zlomek času jejich práce na nich. ?
K bezpečnosti uživatelské
Bezpečnost hesel resp. bezpečné zadávání hesel [obr. 6]
Pokud zadáváte hesla kdekoliv, kde nejste sami, je vždy dobré se ohlédnout, zda nám někdo nenápadně nekouká
přes rameno. A pokud ano, nebojte se dotyčného požádat, aby se otočil nebo aby odešel. Zvláště pokud nejste
cvičenými pisateli na klávesnici a je jednoduché odpozorovat každý vámi zadávaný znak.
Silná hesla
jaká heslo je/není bezpečné?
První heslo je pouze číselné, z osmi znaků: 28092018
Druhé je poměrně dlouhé, obsahuje malá a velká písmena, na konce dvě číslice a znak: Qawsedqawsed11+
Třetí je Marketa19..
Posledním heslem je věta bez mezer: iloveMelisa18!!
Co myslíte, které heslo je bezpečné. Jedna? Dva? Tři nebo Čtyři? Abych řekl pravdu, je to trochu chyták.
Teoreticky není bezpečné ani jedno z nich. Hned si vysvětlíme, proč.
U útoků na hesla se většinou útočníkům podaří vykrást ze serveru databázi tzv. hashů (otisků) hesel.
Vaše heslo se totiž neukládá přímo, v podobě jak jej zadáváte, ale nejprve se pomocí matematické jednosměrné
funkce spočítá jeho hash a teprve ten se uloží. Při každém přihlášení se nejdříve spočítá hash z vámi
zadaného hesla a poté se porovná s databází.
V případě že tyto hashe (otisky) někdo chce prolomit, počítá všechny možné kombinace (brute force).
To je časově velice náročné, zvláště při dlouhém hesle kombinujícím malá, velké písmena, číslice a znaky.
Proto dnes existují například celé databáze již dříve uhodnutých hesel – pokud se shoduje, k prolomení
podle těchto slovníků obsahujících miliony (možná miliardy) záznamů dojde cca do 5 minut nejvýše – dle výkonu útočníkova počítače.
Stejně tak se děje i s hesly do 8 znaků tvořených pouze čísly – nejčastější nešvar na domácích WiFi!
Útočníci jdou ale ještě mnohem dále, aby vaše heslo prolomili. Zaměřují se na způsob, jakým lidem myslí
a jak hesla vytvářejí. Jelikož je známo, že lidé rádi kombinují několik slov dohromady za sebou, také
často zvolí jako velké písmeno první, nebo poslední znak. Čísla nebo speciální znaky bývají na konci.
Proto když se znovu podíváme na ta hesla, vidíme, že každé z nich obsahuje některý z těchto prvků.
Vrátíme se ke druhému heslu, kterým není žádné smysluplné slovo, jsou v malé i velké znaky, tak by
mohlo vypadat stále poměrně bezpečně. Ve skutečnosti se jedná pouze o klávesy na klávesnici zmáčknuté
dvakrát v řadě za sebou a na konci je přidáno číslo a znak. Pro někoho to může být pomůcka, ale bezpečný
způsob pro vytvoření hesla to není. Na místě je tedy otázka:
Jak vytvořit silné heslo?
Jedna z možností pro vytvoření silného hesla je použití generátoru hesel a následné jeho uchování v programu
pro správu hesel. To samozřejmě nemusí všem vyhovovat, takže se můžeme sami pokusit vytvořit tzv. pseudonáhodné heslo.
Pokud si budu pamatovat, že jsem například v roce 2018 navštívil v Praze Karlův most, mohu si na základě
této informace vytvořit vždy dobře odvoditelné heslo, které je přesto celkem složité na prolomení.
Ve výchozím řetězci budou klasicky za sebou: Karlův most v Praze 2018.
Slova pak lze napsat pod sebe (některá třeba velkými písmeny) a vzájemně proložit. Pro ještě složitější
kombinaci můžeme doprostřed vložit například lomítko: kMaOrSlTuv/p2r0a1h8
Na tomto základě si mohu vytvářet dobře odvoditelná hesla, která ovšem budou dosti složitá na prolomení.
Ukládání hesel.
Pro bezpečné ukládání velkého množství složitých a generovaných hesel nám slouží program - tzv. správce hesel.
Ten všechny hesla ukládá do jednoho šifrovaného souboru. Potom si už jen pamatujete maximálně dvě hesla.
Vstupní do počítače a vstupní do správce hesel.
Mám pocit, že některé z vás ale napadá otázka a pokud zapomenu heslo ke správci hesel?
Ano, potom se už k uloženým heslům nedostanete. Ovšem alespoň pro mne osobně je ale dostatečnou
motivací si toto heslo zapamatovat.
A co pokud z nějakých důvodů ztratím zašifrovaný soubor s hesly? Pro tento případ je dobré mít kopii
např. na flash disku, ideálně zavřeném v osobním trezoru.
Doporučení.
Nikdy nepoužívejte stejná hesla! Pokud se už nějak někomu podaří jedno vaše heslo prolomit,
má u vás všude dveře otevřené.
A pokud se teď na mne chcete vrhnout, že přece nebudete vymýšlet, nebo generovat nové heslo pro
každou stránku, kterou navštívíte jednou v životě. budiž, nemusíme to hnát do krajnosti.
Ale bohužel znám spoustu lidí, kteří mají stejná hesla do klíčových systémů jako: E-mail, bankovnictví atd…
Potom mi diktují, jaké chtějí heslo na domácí WiFi a řeknou mi: „Dejte tam pepik2016. To mám všude i na mailu a dobře si pamatuju“.
Závěrem k heslům: Existují i případy kdy se lidé opijí v baru a pak se jich na heslo k e-mailu stačí pouze zeptat. Myslete na to prosím.
Zálohování dat [obr. 7]
Proč zálohovat? Zálohováním se chráníme před důsledky případné závady hardwaru a proti nechtěnému, neúmyslnému smazání.
Zálohovat múžeme fyzicky v reálném čase (to se ale týká pouze ochrany proti závadě) a probíhá tak, že v počítači máme
dva stejné harddisky a na každém z nich jsou všechna data ve stejný čas úplně stejná (zrcadlení na druhý, tzv. RAID 1).
Pokud se tedy jeden disků pokazí, je stále to stejné na tom druhém.
Ruční zálohování
Jedná se asi o nejčastější způsob. Je ale spíše vhodný pro data která hodláme archivovat – fotky,
videa z dovolené. Pokud se data často mění (dokumenty), není v lidských silách neustále kontrolovat zda jsme si data zazálohovali.
Proto existují služby pro ukládání dat (Google Drive, Microsoft OneDrive, DropBox, Synology...)
Ty nám nabízejí automatickou synchronizaci do Cloudu, nebo na vlastní úložiště. Při malých objemech
cca do 20Gb má většina poskytovatelů služby zdarma. Pokud bychom chtěli služby s větším objemem,
nebo zárukami, je nutné použít službu placenou.
Nejčastější léčky na uživatele: [obr. 8]
Jedná se především o pasti na nepozornost, neznalost a nezájem. Mezi první zařazuji falešné programy
(antiviry, čističe, zrychlovače...). Jsou to programy tvářící se jako pomocníci, kteří buď ochrání,
nebo zrychlí Vaše zařízení. V tomto případě buďte ve střehu. Program může fungovat a dokonce i vypadá,
že něco dělá, ale na pozadí se nainstaluje všemožná havěť. Pokud na takovýto program narazíte,
je dobré si jeho název zadat do vyhledávače a ověřit si, zda se nejedná o podvod.
Určitě to už někdo řešil před Vámi.
Jedním z rysů těchto podvodných programů jsou názvy obsahující aktuální, nebo následující rok,
nebo slova jako Expert, Professional, Free, PC, Repair, tedy např. Antivirus 2019, Expert Boost up,
Professional Cleaner, PC Repair atd. Dalším vodítkem mohou být až podezřele velká zelená tlačítka
pro stažení a spousta obrázků s logy známých antivirových a softwarových společností.
Zákeřnou léčkou je podvodné přesměrování a falešné stránky - hlavně v bankovnictví. Podvodníci se Vás mohou např. pomocí odkazu v e-mailu pokusit přesměrovat na svoji falešnou přihlašovací stránku např. banky, aby z Vás dostali jméno a heslo k vašemu bankovnictví. U důležitých webů jako je právě banka, je důležité si před každým přihlášením zkontrolovat, zda je připojení šifrované (nesmí nastat žádná chyba certifikátu). A u bankovnictví vždy kontrolujte jestli vaše zobrazená stránka koresponduje s názvem společnosti v certifikátu vedle adresy. [slide 8] Viz. Obrázek z Fio banky.
Další kapitolu představují podezřelé aplikace do mobilu.
Při instalaci aplikací je dobré si zkontrolovat práva, která po nás vyžadují a zkontrolovat zda taková
opravdu potřebují. Proč by např. kalkulačka měla mít možnost přistupovat k telefoním hovorům, GPS, nebo galerii?
Pokud se nám zde něco nezdá, je lepší podívat se po jiné aplikaci.
Pro dobro bezpečnosti je vhodné do mobilních zařízení instalovat aplikace pouze z oficiálních storů
(Google Apps, Apple store…). Aplikace třetích stran, které nepřijdou oficiální cestou, musí být od opravdu
důvěryhodného dodavatele. Jinak je velmi pravděpodobné, že se vám do zařízení dostane i nevyžádaný software.
Specifickou hrozbu představují některé nevyžádané e-maily (spamy) svou snahou uživatele vystrašit a donutit jednat jej ve stresu. Tyto podvodné e-maily se nás často snaží buď přesměrovat na škodlivou stránku, nebo v nás vyvolat strach a paniku.
První příklad nevyžádaného e-mailu. [obr. 9] Obsahem zprávy je snaha vyvolat paniku uživatele,
že mu bude zrušen jeho e-mailový účet, pokud nepošle zpět jako potvrzení svoje jméno a heslo
k e-mailové schránce.
Přihlašovací údaje, ať už k některému z účtů, nebo do e-mailové schránky po vás ale žádný
skutečný provozovatel nemůže nikdy chtít! Nikdy je nikomu neposílejte!
Druhý příklad nevyžádaného e-mailu [obr. 10] je trochu ostřejšího stylu a ukážeme si na něm hned několik praktik.
Jedná se totiž o regulérní příklad vydírání, kdy odesílatel předpokládá, že většina populace sleduje pornografii.
Cílem je vyvolat jednak paniku z úniku nevhodných videí a zároveň vyvolat stud, aby se o tom dotyčný s nikým neporadil a zaplatil výkupné.
Naštěstí v tomto případě se jedná o naprosto neškodnou zprávu.
Bohužel existují i vyděračské viry, které Vám nejdříve zašifrují všechny soubory s příponami *.doc, *.jpg….,
nebo rovnou celý disk. A potom Vám zablokují zbytek počítače a žádají výkupné. Zde už pomůže pouze cca
měsíc stará záloha. A celé zařízení kompletně přeinstalovat. Zálohy provedené po infekci virem už
mohou být také zašifrované. V praxi jsme s kolegy nedávno řešili konkrétní problém, kdy tímto virem
byl zasažen notebook s účetnictvím celé firmy. Bohužel bez zálohy jsme byli bezmocní.
Poslední záloha byla provedena v roce 2013… Jaké byly pro firmu následky, si můžete domyslet sami.
Abych vás uklidnil. Mým cílem není ve vás vzbudit paranoiu, ale pouze zdravou obezřetnost.
Závěrem si to dovolím shrnout do deseti bodů: [obr. 11]
1. Nikdy zbytečně nejednejte ve stresu. Vždy máte dostatek času zprávu nebo dialog, který se vám v počítači otevře, v klidu si přečíst.
2. Dávejte si pozor na podezřelé weby, e-maily a aplikace – raději si o nich něco vyhledejte.
3. Používejte unikátní a silná hesla.
4. Tato hesla bezpečně ukládejte.
5. Zálohujte si pravidelně všechna důležitá data.
6. Používejte Antivir a Firewall.
7. Používejte aktualizovaná zařízení.
8. Nepropojujte svá zařízení s neznámými.
9. Nesvěřujte svá zařízení druhým lidem.
10. Buďte dvakrát obezřetnější pokud jde o důležité systémy – banka, e-mail…
Koutný: Děkuji za podnětnou prezentaci, myslím, že pro nás věechny to byl aktuální, protože nejspíše všichni s těmi přístroji zacházíme.
Vraný: Jsem programátor, IT, dělám správu systémů, (i když jen z donucení), nicméně se pokusím k tomu něco doplnit.
Rada, která by asi ještě měla zaznít, je ta, u klíčových systémů si všechna hesla čas od času změnit,
typicky v bankovnictví. Nejenom že nepoužívat stejné heslo pro bankovnictví jako pro e-mail, ale opravdu
si je čas od času změnit. Když zapomenete heslo k bankovnictví, půjdete zbytečně do banky, ale je to pořád lepší
jít do banky, aby vám odblokovali bankovnictví, než jít do banky, že vám vykradli účet,
Další věc, která by, myslím, stála za to, je vypínání funkcí, které nepoužíváte.
Já třeba na mobilu v naprosté většině případů nepoužívám bluetooth [od roku 1994 otevřený standard
pro bezdrátovou komunikaci elektronických zařízení], protože ho prostě nepotřebuji.
Existují zranitelnosti, které umožňují vznik infekce právě přes bluetooth, a to třeba i jen tak,
že někdo projde okolo. Pokud to funkci máte vypnutou, jste po této stránce v bezpečí.
Obecně myslete na to, zredukovat si ten prostor, do kterého se někdo může nabourat tím, že vypnete vše,
co nepotřebujete. Také když si koupíte nějaké internetové zařízení, například modem, nechte někoho
jej nainstalovat a pokud to sami umíte, tak jej naistalujte se změněnými hesly, nenechávejte nikdy
tovární nastavení. Původní (tovární) hesla bývají obvykle v manuálu, to není nic tajného a kdokoliv
se tak může k vašemu modemu připojit, do vaší domácí sítě, ten modem třeba infikovat a podobně.
A ještě otázka, proč by vás mělo zajímat, jestli na svém modemu nebo počítači máte nějaký virus.
Ani pokud by neškodil přímo vám, tak by vás to mělo zajímat. Tyto viry pak mohou útočit na další
počítače a je to jako s virovou infekcí ve zdravotnictví a jak pan Hlaváček hovořil o zapojení
do botnetu to, že ty stroje jednou zaútočí na nějaký server a že ten server přestane reagovat,
může znít jako triviální záležitost; prostě spadne nějaký iDnes, tak co. Jenže takto může spadnout
i nějaké bankovnictví. A jak se pamatuji, byl v roce 2008 kybernetický útok na Estonsko, byla to
ruská práce, kterou tu zemi v podstatě vyřadili na několik dní z provozu, protože právě Estonsko
je ve využívání tchto technologií hodně daleko. A pokud v tomto prostředí například tři dny
nefunguje internetové bankovnictví, tak už to skutečně veliký problém.
Hlaváček: Děkuji za doplnění.
Koutný: Já jsem si nachystal jeden dotaz, protože se jako naprostý laik potřebuji zeptat nakolik
je ten Správce hesel – snad jsem pochopil správně, že to je program – bezpečný? Když si tam zadám
nějaké heslo, díky kterému mám přístup k ostatním svým heslům, není možné je prolomit?
Hlaváček: To je dobrá otázka. Co se týká správců hesel, je vhodné vybírat si již ověřené programy,
podívat se, které jsou známé, nejpoužívanější, mají dobrá hodnocení. V mé prezentaci to mám jen
jako odrážku u hesla bezpečného hesla, kde z možných správců uvádím například KeePass resp. KeePassX.
Jedná se o aplikaci, která je tvořena jako svobodný software [a open source], takže je možné
jednotlivé části jejího zdrojového kódu komunitou ověřit a není proto jednoduché do ní zabudovat
nějaká zadní vrátka, která by útočníkovi umožňovala jej zneužít. Druhá věc je ta, že tyto
aplikace většinou používají vysoký stupeň šifrování souborů, ve kterých jsou hesla uložena, takže
to prolomení není pro útočníka vůbec jednoduché. Samozřejmě teoreticky existují možnosti, jak tato
data získat, ale je to rozhodně podstatně bezpečnější, než si tato data ukládat například do wordového souboru na disku.
