Konferenci Trendy v internetové bezpečnosti společně pořádaly čtyři servery společnosti Internet Info: Root.cz, Lupa.cz, Měšec.cz a Podnikatel.cz. Cílem konference bylo informovat odbornou veřejnost o aktuálních trendech v oblasti internetové bezpečnosti, zabezpečení elektronických transakcí, elektronického bankovnictví a dalších kritických internetových služeb.
Registrace účastníků (Foto: Ivana Dvorská)
Konference byla rozdělena na dva bloky: první část konference byla nazvána Bezpečnost z hlediska technologie a byla určena spíše odborníkům na IT.
Daniel Dočekal: Nejčastější slabiny internetové bezpečnosti
Úvodního slova se chopil Daniel Dočekal a jeho první věty pak zněly po celou dobu konference. Největším nebezpečím na internetu je člověk. Vždy je tam bohužel lidský faktor, který dokáže zhatit většinu bezpečnostních ochran,
řekl na úvod Dočekal. Člověk je v počítačové bezpečnosti podle Daniela Dočekala alfou a omegou.
Běžný uživatel se bezpečností nezabývá a obvykle si nechá líbit úplně všechno. Uživatelé se podle Dočekala chovají jako ovce a nechají se velmi snadno ovlivnit. Uživatelé velmi rádi klikají na vše, na čem je ‚Yes‘. Chcete smazat disk? Yes! Chcete odeslat obsah svého účtu do Bangladéše? Yes!
Daniel Dočekal (Foto: Ivana Dvorská)
Daniel Dočekal se dále zabýval snadným šířením počítačových virů. Běžný uživatel ani nepozná rozdíl mezi virem a hoaxem.
Zmínil také výrobce falešných antivirů, které jsou v poslední době velmi rozšířené. Je velmi těžké rozeznat takový software od pravých antivirů.
Podle Dočekala jsou tu viry především kvůli novým moderním požadavkům na operační systémy. Uživatelé chtějí pohodí, více skriptování, více volnosti, uživatelé jsou velmi nezodpovědní, a útočníci to vědí.
Většina zemí a Evropská unie stále nechápou, že bezpečnost má být o vzdělání, ne o zakazování. Je potřeba uživatelům vysvětlit, co mohou a co by dělat neměli.
Podle Dočekala by se měly základy bezpečného chování na internetu vyučovat už na základní škole.
Dočekal zmínil krátce i nebezpečí, které číhá na internetu na děti. Podle něj se tato hrozba často přeceňuje. Dětem na internetu hrozí nebezpečí, ale podstatně pravděpodobnější je, že zavirují rodičům počítač, než že se setkají s pedofilem.
Dočekal se během své přednášky zabýval i internetovou anonymitou, která je podle něj jen rozšířeným mýtem. Internet není anonymní a nikdy nebude. Spíše je snaha, aby byl čím dál méně anonymní,
řekl Dočekal.
Velkým aktuálním problémem jsou i online služby jako jsou Google Docs. Mnoho uživatelů i firem svěřuje svá data podobným službám a nepřemýšlejí nad bezpečnostními riziky, která z toho plynou. Všechna data je potřeba šifrovat a tím spíše firemní údaje, ne je prostě zveřejňovat na internetu,
zakončil Dočekal.
Jan Guzanič: Moderní phishingové útoky a možnosti ochrany
Jan Guzanič ze společnosti Cleverlance se zabýval aktuálními hrozbami, se kterými se skutečně v praxi setká uživatel internetu. Mezi ty hlavní patří stále častěji malware, který běžně antiviry nezachytí. Spousta malware dnes nespadá do kategorie virů, proto se nedostane do statistik a antiviry na něm obvykle selhávají.
Velkým problémem jsou dnes moderní botnety, které jsou velmi sofistikované, používají šifrování a jsou schopné se stále udržovat v chodu. Některé botnety jsou dnes už v podstatě ‚nesestřelitelné‘.
Botnety jsou samozřejmě také velmi dobrým byznysem. Botnety je možné i pronajímat. Můžete si půjčit botnet jen na několik hodin na konkrétní útok,
řekl Guzanič. Platit je možné i za další služby jako jsou čísla kreditních karet, přístupy k bankovním kartám a podobně.
Jan Guzanič, Cleverlance (Foto: Ivana Dvorská)
Kromě těchto služeb je možno si koupit hotové aplikace připravené na míru pro různé druhy útoků. Na trhu je opravdu všechno a je jen na útočnících, jak si to poskládají a zda mají dost odvahy.
Guzanič zmínil i pozadí této činnosti. Velmi často se jedná o skupiny složené z jednotlivců, kteří se vzájemně ani neznají a jen inkasují svůj podíl ze zisku. Za těmito aktivitami není žádná mafie, obvykle jsou za tím jen ekonomické zákonitosti. Útoky vycházejí ze snadnosti, s jakou je možno se dostat k penězům.
V budoucnu nás čeká více problémů než dnes. I aktuální ekonomická krize nahrává novým útokům, za kterými stojí snadný finanční zisk. Většina průzkumů předvídá vzrůstající množství útoků,
dokončil svou přednášku Guzanič.
Filip Navrátil: Trendy v počítačových hrozbách
Filip Navrátil ze společnosti ESET software hovořil především o sledování aktuálních virových trendů, které musí výrobce antivirů sledovat. Protože máme kvalitní heuristické systémy, jsme schopni detekovat mnoho hrozeb dříve, než se skutečně dostanou do našich laboratoří,
uvedl Navrátil. Společnost provozuje také službu Virový Radar, díky které může sledovat nebezpečné přílohy ve freemailu Seznam.cz.
Mezi hlavní trendy patří podle Navrátila aktuálně: nárůst počtu sofistikovaných programů, programy pro zcizení účtů a hesel, zneužívání automatického spouštění v MS Windows, zneužití upravených dokumentů PDF a dalších, útočníci také čím dál častěji využívají sociální inženýrství. Pokračuje nám také distribuce malware v podobě falešných kodeků.
Filip Navrátil, ESET (Foto: Ivana Dvorská)
Také Filip Navrátil zmínil velmi časté šíření falešných antivirů. Ty jsou i graficky velmi podobné klasickým aplikacím, a proto je jejich šíření velmi úspěšné. Mnoho uživatelů neodradí ani jazyková bariéra. I v České republice je možno koupit takovéto falešné produkty za české koruny, [falešné antiviry] nic nedělají a naopak vám uškodí.
Ve spojení se sociálním inženýrstvím se často využívají falešné instalace kodeků a různých přehrávačů, které jsou na různých webech nabízeny. Často se to stává na pornostránkách, kde si uživatel myslí, že instalací nabízeného software se dostane k vytouženému obsahu.
Nainstalovaný software pak video přehraje, ale zároveň napadne uživatelův počítač.
Rastislav Turek: Cílené útoky na klienty banky
Rastislav ‚Synopsi‘ Turek se zaměřil na moderní útoky na internetbanking služby. Na začátku obecně rozdělil útoky na plošné a cílené. Oba typy útoků jsou svébytné a velmi nebezpečné. Odhalit takový útok je velmi těžké, protože na straně serveru vše vypadá jako běžná uživatelská akce,
řekl na začátku přednášky Turek. Zároveň je velmi komplikované se proti takovým útokům bránit.
Velkým nebezpečím je opět zmiňované sociální inženýrství, které výrazně zvyšuje šanci na úspěšný útok. Analýza těchto útoků je také velkým problémem a potýkají se s ním především banky.
Rastislav Turek, SYNOPSI Group (Foto: Ivana Dvorská)
Společnosti obecně stále nebezpečí chyb na svých webech neřeší a dokonce i velké weby jsou napadnutelné některým z běžných a rozšířených způsobů. Firmy cross-site scripting stále podceňují a na drtivé většině webů jsou velmi nebezpečné chyby.
Díky těmto chybám je možné získávat data uživatelů, obcházet HTTPS, simulovat chování uživatelů a útočit na weby pomocí DDoS.
Rastislav Turek předvedl několik ukázek, na kterých simuloval konkrétní typy útoků skrze podvržené stránky XSS, CSS hack a další. CSS hack je funkční na všech prohlížečích a umožňuje nám zjistit, zda uživatel navštěvuje konkrétní bankovní weby.
Díky tomu může phishingová stránka odhadnout, zda cílí na uživatele konkrétní banky, případně uživateli zobrazí omluvu a nepokračovat v útoku. Takový pokus pak není tak agresivní a uživatel to nikam nehlásí.
Během přednášky byl představen koncept použití ClickJacking, což je metoda překrytí webové stránky vlastním obsahem, přičemž donutíme jednoduše uživatele klikat na originální prvky webu skrze náš překryvný obsah. Uživatel tak provede „naslepo“ akce, které provést nechtěl. Jedinou možnou ochranou je blokovat takovéto pokusy. Jen Komerční banka, Citibank a mBank mají aplikovanou ochranou proti ClickJackingu,
zakončil Rastislav Turek.
Pavel Vondruška: Důvěra v certifikáty
Pavel Vondruška ze společnosti Telefónica O2 Czech Republic na začátku vysvětlil problém nedůvěryhodných a neplatných certifikátů. Ne všechny prohlížeče se umí s certifikáty vypořádat správně. Internet Explorer se nedívá na seznam zneplatněných certifikátů, a když už chování přenastavíte, tak seznam sám nestahuje a ani vás na to neupozorňuje.
Na začátku přednášky byla vysvětlena otázka důvěry ve vydavatele certifikátu. Uživatel by měl přemýšlet nad tím, komu bude důvěřovat a čí certifikát si nainstaluje. Vydavatel může být hodný i zlý, ale prohlížeč jen ověří, jestli jeho certifikát máte a pustí vás dále.
Pavel Vondruška, Telefónica O2 (Foto: Ivana Dvorská)
Výrobci prohlížečů za uživatele vybírají důvěryhodné vydavatele certifikátů. Bohužel se tento výběr podřizuje komerčním aktivitám dodavatelské firmy. Pokud si nainstalujete prohlížeč, budete mít k dispozici seznam důvěryhodných certifikátů. To jsou ti, kteří si to zaplatili.
Pavel Vondruška zmínil Internet Explorer, Firefox, ale i další prohlížeče.
Ne každý vydavatel certifikátů nabízí dostatečné záruky a je stejně spolehlivý. Problém kvality vydavatele by měl zajímat především firmy, které na certifikátech zakládají svůj byznys a jsou pro ně tedy klíčové. Je důležité znát podmínky vydavatele certifikátů. Například to, zda nabízejí nějaké záruky a můžete od nich žádat odškodnění v případě problémů.
Karel Kuchařík: Činnost Policie ČR ve vztahu k informační kriminalitě
Karel Kuchařík, který pracuje pro Policejní prezidium ČR, se zaměřil především na procesy probíhající u policie v rámci problematiky informační kriminality. Základním úkolem policie je zajišťování důkazů týkajících se informačních trestných činů. Karel Kuchařík srovnal tuto činnost s daktyloskopií. Trendem je zajišťovat výpočetní techniku a data. Dříve se tomu věnovali forenzní analytici, dnes to děláme my.
Policie se věnuje také vytěžování důležitých informací z obrovského množství zatížení dat. Každý uživatel dnes používá stovky gigabajtů dat, podstatných informací je v nich jen malá část. Snahou je získat za co nejkratší čas co nejvíce podstatných informací. Dnes trvá policii průměrně tři až šest měsíců vyhodnotit získaná data. U PDA a chytrých telefonů je to jeden až tři měsíce.
Karel Kuchařík, Policejní prezidium ČR (Foto: Ivana Dvorská)
Zazněly i informace o struktuře policejních útvarů, které se zabývají informační kriminalitou. Postupně se jejich počet zvyšuje. Dnes jsou zřízeny útvary na krajích a v budoucnu se budou vytvářet i v menších územních celcích „ bývalých krajích.
Problém je i v samotném oznamování trestné činnosti. Velký potenciál je v samotné veřejnosti nebo i v samotných postižených, kteří se dnes raději s oznámením neozývají, bojí se vlastního poškození.
To se týká především firem, kterým oznámení o odcizení dat způsobuje negativní reklamu. Pracuje se na vyřešení tohoto problému a firmy by tak měly být chráněny stejně, jako je tomu dnes u svědků.
Policie při své práci nevyužívá jen běžných technických postupů, ale i sociologické průzkumy. V současné době máme k dispozici sociologický průzkum o chování českých uživatelů a uživatelek na internetu. Připravujeme také průzkum o průměrném pachateli.
Kuchařík upozornil také na to, že průzkumy se týkají uživatelů od 12 let, což je vzhledem k prostředí internetu adekvátní.
Karel Kuchařík uzavřel svou přednášku tím, že v České republice stále ještě není informovanost uživatelů na dostatečně vysoké úrovni. To je třeba změnit. Klasické nigerijské maily mají stále ještě své oběti i u nás v České republice, přestože se o tom stále hovoří a dokola omílá,
zakončil Karel Kuchařík.
Ondřej Surý: DNSSEC Workshop
Po polední přestávce probíhal v červeném sále paralelně s hlavním programem workshop týkající se DNSSEC. Ten byl v rukou Ondřeje Surého, kterého znáte jako autora seriálu o stejném tématu u nás na Root.cz. Ondřej Surý nejprve představil protokol DNS jako takový a popsal jeho funkčnost.
Poté popsal princip bezpečnostní technologie DNSSEC, která poskytuje klientům ověření správných informací v DNS systému. Při použití je důležité získat důvěryhodný DNSSEC klíč, který podepisuje příslušnou zónu. Tato akce nemůže být bohužel stoprocentně ověřena. Je to trochu problém slepice a vejce. Klíč můžete získat od nás z webu, ale musíte věřit tomu, že jsme skutečně CZ.NIC a že tento klíč není podvržený.
Ondřej Surý ale upozornil na to, že je potřeba důvěřovat alespoň některým bodům ověřování. Nesmíme být přespříliš paranoidní.
Ondřej Surý, CZ.NIC (Foto: Ivana Dvorská)
DNSSEC kromě mnoha výhod přináší také nevýhodu v nárůstu velikosti zónového souboru. Zóna .cz má asi 40 MB. Když ji podepíšeme pomocí ZSK, tak naroste asi na 240 MB.
Součástí workshopu byla i praktická ukázka zneužití špatně nastaveného DNS serveru, kterému byla podvržena falešná IP adresa cílového stroje. Utilita dns_attack navíc umí fungovat jako klient – server, takže je možné k útoku využít více různých strojů a tím celý proces urychlit.
Napadení je možno ztížit pomocí náhodně generovaných TCP portů. Na gigové licence se tvůrci tohoto software podařilo i opatchovaný server otrávit za čtyři hodiny. Nám se to ve firmě podařilo už za hodinu a půl.
Jak dlouho bude útok trvat, závisí na tom, kdy se podaří útočícímu počítači trefit do správné kombinace transakčního ID a TCP portu.
Zatím není podepsána kořenová doména, problémy jsou však jen „politické“. Technicky nestojí podpis kořenové zóny na ničem. Zatím není jasné, kdo bude kořen podepisovat.
Podle Ondřeje Surého se většina zemí bojí toho, že podpisy bude řešit americká organizace.
Podle Surého není vůbec jasné, kdy ke změně dojde. Mně by se osobně líbilo, kdyby byl kořen podepsán do roka. Snad to bude alespoň do dvou,
přidal Ondřej Surý svůj vlastní názor.
David Pikálek a David Lorenc: Možnosti zabezpečení přímého bankovnictví
Na počátku přednášky byly bagatelizovány hrozby týkající se přímého bankovnictví. Asi 80 % transakcí je u nás provedeno pomocí elektronického bankovnictví. A žádnému klientu banky nemizejí peníze z účtů,
zmínil hned v úvodu David Lorenc.
Dále byla podrobně rozebrána vlna phishingových útoků na české banky, která proběhla přibližně před rokem. Z prvních nesmělých kroků se maily vyvinuly v poměrně dokonalé napodobeniny, které vypadaly zcela důvěryhodně. Naše jediné štěstí bylo, že se nejednalo o první útok, ale o jeden z řady a klienti už byli dostatečně informováni.
Bohužel i přesto někteří klienti podlehli. Několik stovek klientů vyzradilo své údaje o platebních kartách. Někteří bohužel udali informace včetně PINu.
Zhruba desetina těchto karet pak byla reálně zneužita a průměrná výše škody dosáhla 13 000 korun.
David Pikálek a David Lorenc (vpravo), Česká spořitelna (Foto: Ivana Dvorská)
Dalším velkým tématem byl pharming, při kterém je klientský počítač napaden trojským koněm, který získává přihlašovací údaje. Bohužel trvalo týdny, než antivirové společnosti zareagovaly a tyto trojské koně dokázaly najít a odstranit.
Ve výsledku tak musela Česká spořitelna radit uživatelům reinstalaci operačního systému.
Postižena byli nejen klienti České spořitelny, ale také dalších bank. U pharmingu se hovoří především o České spořitelně, ale útok se zaměřoval také na Komerční banku, ČSOB a Raiffeisenbank.
Kritizován byl i postup policie, která nebyla schopna identifikovat a dopadnout jediného pachatele. Spolupracovali jsme s policií, ale ta nám jen řekla, že nám pošle odborníka během několika týdnů.
Roste počet uživatelů, kteří využívají internetové bankovnictví. V roce 2008 překročil počet uživatelů internetového bankovnictví poprvé počet klientů s telefonním bankovnictvím.
Podle České spořitelny se klienti bezpečnostních rizik nebojí.
Podle Lorence jsou rozdíly mezi zabezpečeními jednotlivých bank naprosto minimální. Většina uživatelů dává přednost jednoduchému zabezpečení pomocí SMS. Jen asi 3 % klientů používají metody ‚vyšší bezpečnosti‘, tedy PKI. Ty jsou pro klienty velmi nepřívětivé,
ukončil svou část přednášky David Lorenc.
V přednášce pokračoval David Pikálek, který se zabýval konkrétními metodami zabezpečení bankovnictví. Zmínil především budoucnost bezpečnostních technik. Nejslabším článkem je klientská stanice a uživatel,
zopakoval opět známou pravdu Pikálek.
Důležité je stále své uživatele vzdělávat a doplňovat jim důležité informace. Během phishingových útoků jsme se naučili, že je potřeba klienty informovat a nabízet jim jednoduchá doporučení, návody a varování. Uživatel potřebuje neustálou masáž.
Banky se zabývají také výběrem moderních bezpečnostních metod. Mezi důležitými kritérii je odolnost proti útokům, nenáročnost z pohledu banky, použitelnost pro různé kanály a také komfort používání. Velmi zajímavou aplikací je zabezpečení na úrovni SIM karet. To je české specifikum a jedná se o velmi perspektivní metodu.
Banka uvažuje také nad tím, že pomocí speciální aplikace pomohou s nastavením a ověřením bezpečnosti na jeho PC. Program by zkontroloval aktualizace, otestoval bezpečnostní nastavení a nabídl případné tipy k vylepšení situace. Většina uživatelů si není jistá nastavením PC. Přestože to není naše práce, velmi často tyto problémy také řešíme.
Zdeněk Blažek: Elektronické důkazy a jejich získávání
Přednáška se zabývala tím, jak získat a zpracovávat elektronické důkazy, které mohou usvědčit někoho z trestné činnosti. Na začátku Zdeněk Blažek shrnul aktuální situaci. Ubývá čistě virových útoků. Po celém světě je napadeno asi 12 milionů virů počítačů.
Naopak přibývá škodlivých útoků typu phishing.
Novou záležitostí, o které se zatím příliš neví, je krádež identity pomocí internetových seznamek.
Při tomto typu trestné činnosti se velmi špatně dohledávají jakékoliv stopy a vypátrat viníka. Tyto věci se dějí, ale před veřejností se zatím mlčí.
Zdeněk Blažek, COMMERZBANK AG (Foto: Ivana Dvorská)
Kde se nejčastěji hledají důkazy? Stopy nejčastěji hledáme na firewallech, routerech a uživatelských PC.
Bohužel ale neexistují konkrétní postupy pro situaci těsně po trestném činu. Máme velký problém s kvalifikací zasahujícího personálu.
Chybí také přehled o aktuálních technologiích a technologických postupech.
V případě elektronických důkazů je problém také s jejich jednoznačností. Digitální důkaz není možné použít jako přímý důkaz, pokud jej nemáme jednoznačně propojený s konkrétní osobou. V opačném případě víme jen, že byl použit konkrétní stroj.
Další potíž je s uchováváním získaných dat. Každá analýza musí být totiž opakovatelná, a tak vznikají problémy s dlouhodobým uchováváním důkazních dat. Nejhodnotnější je původní nosič důkazních dat.
Při získávání důkazů je velkým problémem také nekvalifikovanost zásahových sil policie. Velkou chybou je vypnutí běžících počítačů, čímž je zničeno velké množství stop a důkazů. Hlavní je přistupovat k situaci v klidu. Nesnažte se zlikvidovat byznys firmy. Jdete po lidech, ne po firmě.
S elektronickými důkazy je ještě jedna potíž: problematické prosazení zákona a reálně nízká postižitelnost reálných viníků. My ty důkazy máme, ale odsoudili jsme někdy reálně někoho? Občas jen nějakého pedofila, který byl hloupý a nechal si v počítači fotky.
Většinou je potrestán jen hloupý a nevzdělaný uživatel. Ty pravé „velké ryby“ unikají.
Většina útoků tak bohužel stále zůstává nedořešená. Objasněnost takovýchto případů je velmi malá. Bohužel je problém v nedostatku lidí, kteří jsou navíc často velmi nekvalifikovaní.
Co konference přinesla?
Jednoznačně se potvrdilo, že hlavní hrozbou jsou sami sobě uživatelé. Podle všech dostupných ukazatelů bude navíc na internetu hrozeb přibývat. Světová ekonomická recese situaci ještě více komplikuje a nahrává nejen novým druhům phishingových útoků, ale také sama o sobě vytváří nové útočníky. Pravděpodobně se tak dočkáme nových a sofistikovanějších ataků především směrem ke klientům bank.
Ačkoliv jsou uživatelé dnes přímo bombardováni informacemi o tom, co nemají na internetu rozhodně dělat, zdá se, že tato osvěta je ještě pořád nedostatečná. Uživatelé stále dělají tytéž chyby a obecně se u nás bezpečnostní počítačová gramotnost zlepšuje jen velmi pozvolna.
ČLÁNKY DO MAILU