Trendy v internetové bezpečnosti: největší hrozbou zůstává uživatel

Ve čtvrtek v prostorách konferenčního centra City na pražském Pankráci proběhla velká konference o trendech v internetové bezpečnosti. Pořádaly ji společně čtyři servery Internet Infa: Root.cz, Lupa.cz, Měšec.cz a Podnikatel.cz. Smyslem akce bylo informovat odbornou veřejnost o aktuálních trendech. Co jsme se na ní dozvěděli? Program byl poměrně hutný a od obecného úvodu s rekapitulací hrozeb a možností jejich řešení se dostal až k problematice plateb prostřednictvím 3D-Secure.

Čest prvního výkopu připadla na Daniela Dočekala, který se pokusil rozproudit hned po ránu krev v žilách zúčastněných několika lehkými provokacemi, které nešetřily běžné uživatele, produkty třetích stran, některé zúčastněné, ani vlastní řady. Dočekal se ve své prezentaci s názvem Nejčastější slabiny internetové bezpečnosti pokusil shrnout všechny frekventované druhy hrozeb a upozornit na to, že tou nejhorší, kritickou a v plné míře nikdy úplně neošetřitelnou hrozbou Internetu je pochopitelně člověk. Jediným smysluplným nástrojem, který může fungovat lépe než všechny bezpečnostní opatření a automatizované aplikace, je podle Dočekala neustálé vzdělávání a osvěta.

Snad zde hraje roli psychologie a zvědavost a možná ani vzdělání nemusí v tomto případě vždycky pomoci. Většina pasivních uživatelů se chová jako ovce a nechává se velmi snadno ovlivnit. Uživatelé velmi rádi klikají na vše, na čem je ‚Yes‘. Chcete umožnit prohlídku svého konta třetí osobě? Yes! Chcete odeslat obsah svého účtu do Bangladéše? Yes!, to je zcela typická reakce průměrného uživatele, tvrdí Dočekal.

miklik

Aleš Miklík, vedoucí redakcí Internet Info (foto: Ivana Dvorská)


K této pointě se však Dočekal prokousával poněkud oklikou a během své rekapitulace si několikrát neopomenul rýpnutí do svých oblíbených nadnárodních společností. Google Geers je to nejhorší z poslední doby, co si z bezpečnostního hlediska můžete do počítače nainstalovat, tvrdí například Dočekal. A nezůstalo zdaleka pouze u nich. Velkým aktuálním problémem jsou i online služby jako jsou Google Docs. Mnoho uživatelů i firem svěřuje svá data podobným aplikacím a nepřemýšlejí nad bezpečnostními riziky, která z toho plynou. Všechna data je potřeba šifrovat, a tím spíše firemní údaje, ne je prostě zveřejňovat na Internetu, rozvádí dále Dočekal. Firemní data zkrátka nemají v čitelné podobě na Internetu co dělat, dokonce ani (ačkoliv v tomto případě spíše „už vůbec ne u”) společností jako je Google.

docekal

Daniel Dočekal (foto: Ivana Dvorská)


Následující přednášku měl na svém triku Jan Guzanič ze společnosti CLEVERLANCE Enterprise Solutions a jejím tématem byla analýza moderních phishingových útoků.

Ačkoli by se mohlo zdát, že jde o dokola omílanou teorii, na niž narážíme na každém rohu, opak byl v tomto případě pravdou. Celá přednáška se točila okolo aktuálních hrozeb, s nimiž se ve společnosti u uživatelů nejčastěji setkávají. Mezi nejčastější hrozby patří v tomto ohledu stále malware, který ani dnes nejsou s to (z důvodu, jakým fungují) zachytit klasické antivirové programy. Řada malware navíc nespadá do kategorie jednoznačně škodlivého kódu a řada statistik je tak i přes jejich potenciální nebezpečnost úplně ignoruje.

Další problém, s nímž jsme se sice mohli běžně setkat již koncem 90 let, ale který jako by prožíval svoji zlatou éru až dnes, jsou botnety. Řada moderních botnetů používá šifrování a je schopná se udržovat v chodu prakticky permanentně. Některé z nich jsou tak mechanicky vlastně skoro ‚nesestřelitelné‘, říká Guzanič, který zároveň ještě dodává: Bohužel zde dobře funguje šedá ekonomika. Dnes není problém si botnety jednoduše pronajímat. Můžete si půjčit botnet jen na několik hodin na konkrétní útok. Koupit je možné prakticky veškeré složky, které se na realizaci kyberkriminality podílejí. Obtížnost je přitom stále stejná, nejčastěji obchodovanou hodnotou přitom bývají čísla kreditních karet a přístupové informace k nim. Velmi často se jedná o skupiny složené z jednotlivců, kteří se vzájemně ani neznají a jen inkasují svůj podíl ze zisku. Za těmito aktivitami není žádná mafie, obvykle jsou za tím jen ekonomické zákonitosti. Útoky vycházejí ze snadnosti, s jakou je možno se dostat k penězům,tvrdí Guzanič.

guz

Jan Guzanič, Cleverlance (foto: Ivana Dvorská)


A jak vidí budoucnost? Přes pokračující specializaci odborníků na té světlé straně barikády a další zjemňování technologie nás jednoznačně čeká ještě mnohem více problémů než dnes. Jeden důvod je ostatně na docela nasnadě. Aktuální ekonomická krize, která se dotkla a zřejmě ještě také dotkne také IT sektoru, vyprodukuje armádu nezaměstnaných expertů s návykem na vysoký životní standard. Nelze vyloučit, že bude kyberkriminalita pro mnohé představovat příliš velké lákadlo, jak se domoci zdrojů, na které byli tito lidé zvyklí, uzavřel Guzanič.

Další přednášku věnoval Filip Navrátil ze společnosti ESET trendům v počítačových hrozbách. Řeč byla především o sledování aktuálních virových trendů, které musí výrobce antivirů hlídat. Protože máme kvalitní heuristické systémy, jsme schopni detekovat mnoho hrozeb dříve, než se skutečně dostanou do našich laboratoří, prohlásil Navrátil.

Mezi ty klíčové trendy by měl podle Navrátila dnes patřit růst počtu aplikací pro zcizení účtů a hesel, zneužívání automatického spouštění ve Windows a zneužití upravených dokumentů PDF. Ač je to již několik let, co byl Kevin Mitnick propuštěn z vězení a co byla vydána jeho kniha Umění klamu, zdá se, že pokročilé sociální inženýrství si získává čím dál tím větší oblibu. Z dalších hrozeb dominuje také distribuce malware v podobě falešných kodeků (často na pornostránkách) a dokonce velmi časté šíření falešných antivirů.

synops

Rastislav Turek, SYNOPSI Group (Foto: Ivana Dvorská)


V následující přednášce se nezávislý bezpečnostní konzultant Rastislav Turek zaměřil na cílené útoky na klienty bank. Hned ze začátku připomněl, že zde máme útoky plošné a cílené a že oba mají svůj způsob nebezpečnosti. Odhalit cílený útok je pak často velmi těžké, neboť na straně serveru vše vypadá jako běžná uživatelská akce. Hlavním rizikem je zde především již zmiňované sociální inženýrství, které značně zvyšuje šanci na úspěšné zakončení útoku. Problematická je také zpětná analýza.

kafe

Přestávka na kávu (foto: Ivana Dvorská)


Nejhorší je, že firmy cross-site scripting stále podceňují a na drtivé většině webů jsou velmi nebezpečné chyby. Díky těmto chybám je možné získávat data uživatelů, obcházet HTTPS, simulovat chování uživatelů a útočit na weby pomocí DDoS, říká Rastislav Turek, který na několika vlastních videích předvedl, jak může vypadat takový konkrétní útok skrze podvržené stránky XSS a CSS hack a ClickJacking. Pod lehce tajemným názvem posledního útoku se skrývá metoda překrytí webové stránky vlastním obsahem, přičemž nic netušící uživatel jednoduše kliká na originální prvky webu skrze překryvný obsah (nejčastěji flashovou hru). Uživatel tak provede nevědomky akce, které by rozhodně provést nechtěl. Pouze tři české banky, Komerční, Citibank a mBank mají aplikovanou ochranou proti ClickJackingu, zakončil Turek.

Následující přednáška Pavla Vondrušky z Telefónica O2 Czech Republic se zaměřila na důvěru v certifikáty. Stručně shrnuto, podle Vondrušky platí, že ne každý vydavatel certifikátů nabízí dostatečné záruky (vše záleží na jeho motivaci). O tu by se měly zajímat zejména společnosti, které na certifikátech staví svůj core byznys.

kucharik

Karel Kuchařík, Policejní prezidium ČR (Foto: Ivana Dvorská)


O zlatý hřeb dopoledního bloku se postaral Karel Kuchařík, který promluvil o současných aktivitách Policie ČR ve vztahu k informační kriminalitě.

Karel Kuchařík vede odbor informační kriminality Policejního prezidia ČR úřadu služby kriminální policie a vyšetřování. Základním úkolem policie z jeho resortu je obstarávání důkazů, které se týkají informačních trestných činů. Tato činnost má trochu blízko k daktyloskopii – trendem je zajišťovat výpočetní techniku a data.

Další náplní práce policistů je vytěžování důležitých informací z obrovského množství zajištěných dat. Přestože každý uživatel vlastní nebo pracuje často se stovkami GB, to podstatné zabírá řádově maximálně několik MB. V současnosti trvá policii průměrně tři až šest měsíců data vyhodnotit, což je ovšem příliš dlouhá doba. Podobné jako u počítačů je to i u osobních mobilních zařízení, z chytrých telefonů trvá tento úkon okolo tří měsíců. V budoucnu by mělo dojít k navyšování stavu útvarů, které se touto činností zabývají, a také k přílivu expertů, kteří by se mohli specializovat na konkrétní problematiku. Problém je trochu v tom, že samotná kyberkriminalita roste rychleji. Dnes jsou zřízeny útvary na krajích a v budoucnu se budou vytvářet i v menších územních celcích, říká Kuchařík.

Další problém leží v samotném oznamování trestné činnosti. Velký potenciál je v samotné veřejnosti nebo i v samotných postižených, kteří se dnes raději s oznámením neozývají, protože mají třeba sami špatné svědomí ohledně softwarových licencí a dalších dat, vysvětluje Kuchařík.

Z dalších zajímavostí zmiňme, že policie dnes využívá při své práci také metody sociologie. V současné době máme k dispozici sociologický průzkum o chování českých uživatelů a uživatelek na Internetu. Připravujeme také průzkum o průměrném pachateli, říká Kuchařík. Informovanost běžných uživatelů není přes veškeré dřívější pokusy vlády ani přes některé navazující soukromé iniciativy podle Kuchaříka na dostatečné úrovni a Česko má v tomto ohledu stále hodně co dohánět.

Na závěr se ještě alespoň stručně zmíním o odpoledním bloku. V jeho první části nás David Pikálek a David Lorenc informovali o aktuálních výzvách a možnostech zabezpečení přímého bankovnictví. Přes dojem, který jsme mohli nabýt dopoledne, se nás pan Lorenc z České spořitelny pokoušel přesvědčit, že je internetové bankovnictví bezpečné. Asi 80 % transakcí je u nás provedeno pomocí elektronického bankovnictví. A přesto drtivé většině klientů banky nemizejí peníze z účtů, prohlašuje Lorenc, který dodává, že pokud již k úniku dojde, zpravidla pokaždé se ukáže, že tím slabým místem nebyl samotný internetbanking, ale docela obyčejná kreditní karta. Na ty se také ostatně zaměřuje dnes většina phishingových aktivit. Zajímavé je, že i v případě těch nejprimitivnějších phishingových pokusů na ČS se vždycky našlo určité procento lidí, které podlehlo.

Oproti tomu David Pikálek se ve své navazující přednášce zaměřil spíše na jeden konkrétní způsob řešení bezpečného online bankovnictví. Nejslabším článkem je klientská stanice a uživatel, důležité je stále své uživatele vzdělávat a doplňovat jim důležité informace, zobecnil nakonec Pikálek svoji hlavní tezi.

Téměř na samém závěru došlo na ještě jedno velmi zajímavé téma, a sice na problematiku elektronických důkazů a jejich získávání. Jedním z populárních fenoménů digitálního undergroundu dneška je krádež identity prostřednictvím online seznamek. Nejhorší na této trestné činnosti je, že se jen velmi špatně dohledávají jakékoliv stopy, které by vedly k odhalení viníka. Před veřejností se o tomto trendu také zatím mlčí, říká Zdeněk Blažek z COMMERZBANK AG.

Stopy se nejčastěji dohledávají ve firewallech, routerech a uživatelských PC. Bohužel však neexistují konkrétní postupy pro situaci těsně po trestném činu. Máme velký problém s kvalifikací zasahujícího personálu. Chybí také přehled o aktuálních technologiích a technologických postupech, říká Blažek. Dalším problémem zůstává zejména trochu mlhavá povaha „digitálního důkazu“. nic není možné použít jako přímý důkaz, pokud není jednoznačně propojený s konkrétní osobou. V opačném případě pouze víme, že byl použit konkrétní stroj, komentuje ještě.

Content

Podle Blažka je dalším velkým problémem současná nekvalifikovanost zásahových sil policie. Běžnou a přitom naprosto zásadní chybou například bývá vypnutí běžících počítačů, při kterém se zničí velké množství stop či rovnou živých důkazů. A navíc je tu ještě jedna potíž. Prosazování zákona je problematické, i přesto, že se nám často podaří důkazy zajistit, odsouzených viníků je rozhodně jen mizivé procento, ukončuje Blažek. Problém vidí v nedostatku lidí v příslušném resortu policie a v nedostatečné kvalifikaci.

Kdybychom se pokusili konferenci shrnout do tří závěrečných vět, vypadalo by to asi následovně. Opět se potvrdilo, že hlavní hrozbou pro bezpečnost zůstává sám uživatel, hrozeb na Internetu bude přibývat a světový credit crunch situaci nejenže alespoň dočasně neztlumí, ale naopak ještě vyostří a zkomplikuje.

7 názorů Vstoupit do diskuse
poslední názor přidán 3. 3. 2009 15:46
Zasílat nově přidané názory e-mailem

Školení e-mail marketingu – pokročilé techniky

  •  
    Jak připravit šablonu moderního e-mailu
  • Jak spustit automatizované kampaně
  • Jak dynamizovat běžnou rozesílku

Detailní informace o školení e-mail marketingu - pokročilé techniky »