Včera se v konferenčním centru City na pražském Pankráci konal už třetí ročník konference Trendy v internetové bezpečnosti, kterou pořádají společně čtyři servery společnosti Internet Info: Lupa.cz, Měšec.cz, Podnikatel.cz a Root.cz. Jejím cílem, tak jako v předchozích letech, bylo přinést nejnovější informace o aktuálních trendech v oblasti internetové bezpečnosti. Diskutovalo se například o virových hrozbách, o spamu na sociálních sítích, cloud computingu nebo online platebních metodách, které se na českém Internetu prosazují stále jen velmi pomalu.
Stejně jako v předchozích letech měli účastníci možnost navštívit zajímavé workshopy, přičemž bezpochyby největší zájem vyvolala, s internetovou bezpečností zdánlivě nesouvisející ukázka otevírání různých druhů zámků, v podání členů Asociace českých lockpickerů. Za pomoci planžet a speciálních klíčů zvládli otevřít běžně používané zámky v řádu několika sekund. Mezi zabezpečením zařízení připojeného k Internetu a zámkem přitom existuje jednoduchá analogie, čím více se o bezpečnostní rizika zajímáte a svůj majetek lépe zabezpečíte, tím více případnému zloději útok znesnadníte.
Trendy v internetovém nebezpečí
Podle Karla Obluka ze společnosti AVG o bezpečnosti na Internetu v současné době příliš mluvit nemůžeme, proto svou přednášku nazval Trendy v internetovém nebezpečí. V ohrožení jsou nejen samotní uživatelé, ale také například infrastruktura jednotlivých států. Platí přitom, že celkové dopady útoků na Internetu na světovou ekonomiku neustále rostou.
Společným znakem útoků je diverizifikace ať už, co se týče typu útoků nebo platforem, na které se zaměřují. Pokračuje také trend globalizace, kdy útoky zaměřené na uživatele například v Chile, směřují ze serverů v Rusku, stojí za nimi Američané a využívají exploity vyvinuté v Číně. Internetoví uživatelé stále bezpečnostní hrozby podceňují
, povzdechl si Karel Obluk.
V posledních letech se útoky velmi profesionalizovaly a stal se z tohoto odvětví velký byznys. Už dávno nejde o zábavu studentů, kteří šířili viry na disketách, ale o kšeft, na kterém se dá vydělat i více než 10 tisíc dolarů denně.
Z analýz, které má AVG k dispozici, vyplývá, že většina útoků pochází z webu, přičemž více než 90 procent infikovaných webů existuje méně než jeden den. Laboratoře AVG zpracují denně 30 až 40 tisíc nových virů. Složitost útoků roste a nejvíce jsou ohroženy nejpoužívanější platformy, i když se útočníci začínají stále intenzivněji zaměřovat i na platformy jiné. Používají se přitom portabilní aplikace nebo univerzální dokumenty, které se pohybují napříč platformami.
Velmi úspěšné jsou také útoky pomocí sociálních sítí, na kterých jsou uživatelé, co se týče bezpečnosti méně ostražití a opakují stále stejné chyby. V případě sociálních sítí apeloval Obluk na větší osvětu a vzdělanost mezi uživateli. Alarmující jsou výsledky průzkumu, který AVG provedlo mezi svými uživateli.
Vyplývá z něj například, že téměř čtvrtina uživatelů sociálních sítí přijme pozvání od člověka, kterého nezná. Více jak polovina nechává své přátele používat sociální sítě na svém počítači a téměř dvě třetiny uživatelů klikne bez rozmyslu na odkazy sdílené ostatními. Pětina dotázaných uživatelů se stala obětí krádeže či zneužití identity a téměř polovina byla obětí počítačové infekce.
Tento neblahý trend potvrdil v odpolední přednášce i Daniel Dočekal, který prohlásil, že největší největším bezpečnostním rizikem na Facebooku jsou sami uživatelé. Ti bezmyšlenkovitě klikají na tlačítko OK, stejně jako to dělali v případě virů. Facebook je plný podvodných stránek, aplikací a falešných či ukradených účtů. Podle některých statistik navíc téměř čtvrtina uživatelů FB neví, jak si nastavit soukromí. Podle Dočekala je jakákoli ochrana osobních dat na Facebooku v rozporu s potřebami marketérů, kteří jsou pro Facebook hlavním zdrojem příjmů.
Populární mezi útočníky jsou také falešné antiviry a videokodeky, podvrhnuté e-maily od internetových obchodů, jejichž prostřednictvím se útočníci snaží vylákat peníze.
Rozvoj mobilních zařízení s sebou přináší i nárůst množství mobilních hrozeb. Mluví se o nich sice již několik posledních let, ale nyní získávají na důležitosti v souvislosti s tím, že mobilní zařízení jsou stále připojena k Internetu a uživatelé si často neuvědomují, že u mobilu či tabletu je také třeba řešit otázku bezpečnosti. V ohrožení je podle Obluka nyní hlavně platforma Android, která díky své otevřenosti, umožňuje relativně snadno šířit zákeřné aplikace.
Jak se kybernetickým útokům brání česká státní správa
Slabým článkem u většiny typů útoků je samotný uživatel, který rizika buď podceňuje, nebo si je neuvědomuje. Obluk se shodl s dalším řečníkem, Alešem Špidlou, ředitelem odboru kybernetické bezpečnosti Ministerstva vnitra ČR, že je potřeba internetové uživatele vzdělávat.
Podle Špidly sice v Česku edukace v oblasti kybernetické a internetové bezpečnosti zatím chybí. Ministerstva vnitra a školství by ale ráda v příštích letech dostala výuku v oblasti kybernetické bezpečnosti do škol, ideálně už na první stupeň těch základních. Projekty typu Saferinternet či Bezpečný internet musí být spojeny se vzdělávacím procesem, jinak nemají příliš smysl, protože je děti samy od sebe nenavštíví,
dodal Aleš Špidla.
V reálném světě máme tradiční pravidla definovaná fyzikálními zákony, morálkou a dalšími známými principy. Problémem jsou ale nové autority, které definují pravidla v kyberprostoru. Definiční autoritou je zde například Facebook či Microsoft.
Podle Špidly je tak Internet svébytným prostorem, který si žije vlastním životem.Dostáváme se do nepříjemné situace: každý, kdo se dokáže v novém prostoru prosadit, se stává definiční autoritou.
Výsledkem jsou tak nový pravidla a nové problémy, které nemusejí být nutně ovlivňovány tradičními zákony.
Stát na to reaguje vypracováním bezpečnostní strategie, jejíž součástí je například národní a vládní skupina CSIRT. Veřejné sítě spadnou pod národní CSIRT, vládní pak bude zodpovídat za obory důležité pro chod státu.
V Česku existuje celá řada institucí, které mají pracoviště bezpečnostních a informačních systémů, ale případné útoky nikomu nehlásí. CSIRT bude působit jako zastřešující organizace, která bude získávat základní informace o útocích a data potom analyzovat. Toto pracoviště chceme spustit nejpozději v polovině příštího roku. Zároveň ve spolupráci s Českým telekomunikačním úřadem plánujeme udělat analýzu toho, jak jsou dodržovány bezpečnostní standardy v soukromé sféře,
nastínil plány ministerstva Aleš Špidla.
Bezpečnost z pohledu CZ.NIC
Do konce loňského roku pracovalo modelové pracoviště CSIRT při sdružení CESNET. Na začátku letošního roku převzalo úlohu národního pracoviště CSIRT sdružení CZ.NIC, které dočasně provozuje i vládní CSIRT.
Samotný CZ.NIC provozuje svůj vlastní interní CSIRT tým už od roku 2008. Jeho úkolem je řešit interní incidenty a problémy s doménovými jmény. Tým má právo zrušit delegaci domény při ohrožení národní i mezinárodní bezpečnosti. Neřešíme však tímto způsobem spamy, ochranné známky či autorská práva,
uvedl Martin Peterka, provozní ředitel CZ.NIC.
Kromě CSIRTu se věnoval také problematice DNSSEC. Ačkoli je podle Peterky touto technologií zabezpečeno přibližně 15 procent domén .cz, používají ji jen dvě banky a čtyři internetoví provideři. Z dvaceti nejnavštěvovanějších českých serverů nepoužívá DNSSEC ani jeden. Nicméně získat DNSSEC doménu je poměrně jednoduché, protože ji podporuje deset doménových registrátorů. Dva z nich přitom podepisují domény automaticky.
Miliardová investice do Avastu
Dopolední blog přednášek přinesl také zajímavý rozhovor, mezi zakladateli společnosti Avast Software (původně Alwil Software) a Petrem Koubským programovým ředitelem TUESDAY Business Network. Eduard Kučera a Pavel Baudiš loni prodali menšinový podíl ve firmě americkému investičnímu fondu Summit Partners za 100 milionů dolarů. Jednání o vstupu investora probíhala v první polovině minulého roku a zájemců o investici do Avastu bylo několik. Podle Pavla Baudiše nešlo ani tak o finanční stránku, protože Avast je velmi ziskový, ale šlo o to, že zakladatelé hledali partnera, který by jim pomohl s dalším rozvojem společnosti.
Zpočátku prodávali antivirové řešení firmám, s příchodem zahraničních firem, které pohltily české firmy, se jim ale přestalo dařit, protože zahraniční firmy měly vlastní bezpečnostní politiku. Hledali tedy způsob jak z toho ven a začali nabízet bezplatnou verzi, která je dnes k dispozici ve 38 jazycích.
Eduard Kučera (vlevo), Pavel Baudiš (vpravo), zakladatelé společnosti AVAST Software (dříve Alwil Software)
Získat první milion uživatelů trvalo Avastu 30 měsíců, druhý milion 5 měsíců, třetí milion dva měsíce. Dnes přibudou každý měsíc 3 miliony nových uživatelů. Nové jazykové verze vytvářeli a vytvářejí sami uživatelé. Avast má komunitu, která si sama pomáhá a to firmě samozřejmě výrazně snižuje náklady na podporu. Část uživatelů podle Kučery posílá Avastu peníze za antivirové řešení ne proto, že by musela, ale protože se domnívá, že je to správné.
Z doby, kdy měli problémy s financováním provozu firmy, se naučili velmi efektivně využívat lidskou pracovní sílu a většinu procesů zautomatizovali. To má za následek, že na jednoho zaměstnance připadá v Avastu milion uživatelů. Jeden uživatel navíc stojí Avast pouze jeden americký cent. Na konci ledna měl Avast 148 milionů registrovaných a 122 milionů aktivních, tedy těch, kteří použili Avast alespoň jednou za třicet dní. V roce 2009 měla firma obrat 566 milionů korun, o rok později už to bylo 1,005 miliardy korun, přičemž provozní zisk byl v roce 2010 661,5 milionů korun.
SCAM Kevin Brown
Počet e-mailových spamů má v posledních dvou letech klesající tendenci. Naopak roste množství spamu na sociálních sítích, ale vrací se opět také fenomén tzv. SCAMu neboli nigerijského spamu. Obvykle vás osloví neznámý člověk, který zdědil nebo jinak získal něčí majetek ve výši několika desítek milionů dolarů a potřebuje pomoc při převodu peněz ze země. Dalibor Chvátal, šéfredaktor serveru Měšec.cz, se pokusil vypátrat, kdo za těmito pokusy získat z lidí peníze stojí. Odpověděl tedy na mail Kevina Browna, který mu nabízel 15 milionů liber za to, že se bance prokáže falešnými dokumenty prokazujícími příbuznost s nedávno zemřelým multimilionářem.
Následovala výměna několika e-mailů a dokumentů, samozřejmě pozměněných, které Kevin a jistý právník, který měl s transakcí pomoci, požadovali. Poté došlo i na různé poplatky spojené s transakcí. Chvátal samozřejmě požadovanou částku na účet neodeslal. Poslal jsem jim nakonec jeden euro cent. Kevina to ale na příchozí platbě stálo dvacet liber,
dodal s úsměvem Chvátal.
Ačkoli se účastníci konference při ukázkách falešných dokumentů bavili, ve skutečnosti se Chvátalovi po zveřejnění kauzy ozvali 4 lidé, kteří podvodníkům naletěli a poslali jim na nutné výdaje v průměru 90 tisíc korun. Smutným rekordmanem je Čech, ze kterého podvodníci takto vylákali neuvěřitelných více než 733 tisíc korun.
Proč je dobírka stále tak populární
Není žádným překvapením, že mezi platebními metodami na internetu dlouhodobě dominuje dobírka. Uživatelé podle Gabriela Kalapoše z PayU považují dobírku za jednoduchý, pohodlný a bezpečný způsob placení. Proč si online platební metody zatím nezískaly mezi uživateli větší oblibu? Je to částečně způsobeno negativním obrazem v médiích, které často informují o podvodech, ale už mnohem méně zmiňují výhody online plateb,
prohlásil Kalapoš.
Změnit by se měl také přístup bank, které neinvestují dost času a snahy do vysvětlování výhod online plateb prostřednictvím médií. Hozená rukavice je i na straně některých e-shopů, které se domnívají, že jejich zákazníci online platby nepoužívají a nepotřebují. Důležité je také eliminovat strach uživatelů, že zboží na koupení na Internetu nepůjde reklamovat nebo že ho vůbec nedostanou. Tomu by měl napomoci systém hodnocení a doporučení ostatních uživatelů.
Cloud computing
Ivan Svoboda z RSA a Ivan Kutil z Appsatori diskutovali s Patrickem Zandlem o bezpečnostních rizicích přechodu na cloud computing. Ohrožuje cloud computing citlivá data ve firmách? Podle Ivana Svobody může být cloud nebezpečný v případě, že firmy k jeho využití přistoupí nezodpovědně.
Firmy se na cloudu zatím neodvažují provozovat kritické aplikace a to se nemusí změnit ani v budoucnu,
dodal Ivan Svoboda. Na druhou stranu přechod na cloud je pro firmy lákavý hlavně z ekonomického hlediska a většinu případných problémů lze vyřešit pomocí SLA.
Zleva: Ivan Kutil (spoluzakladatel AppSatori), Ivan Svoboda (Key Account Manager, RSA), Patrick Zandl (šéfredaktor serveru Lupa.cz)
Co se týče veřejného cloudu, tak už se podle Ivana Kutila naše citlivá data na webu stejně někde nachází. Cloud je podle něj jen logickým vyústěním vývoje. „Dříve jsme si dávali peníze pod postel, dnes by nás to nenapadlo,“ přiblížil, jak bychom za pár let mohli nahlížet na cloud. Je však zřejmé, že musí dojít ke změně způsobu myšlení.
Nepovede ale přesun firemních dat do cloudu k centralizaci Internetu? Svoboda se toho nebojí. „K centralizaci nedojde, protože vznikne mnoho dalších firem, které budou umístění dat v cloudu nabízet.“