Konferenci zahájila přehledem aktuálních bezpečnostních hrozeb na českém internetu Andrea Kropáčová, zakládající členka národního bezpečnostního týmu CSIRT zřízeného ministerstvem vnitra ve spolupráci se sdružením CZ.NIC.
Za necelé čtyři roky fungování českého CSIRTu bylo podle Andrey Kropáčové týmu reportováno 2300 bezpečnostních incidentů, přičemž 73 z nich bylo prokazatelně nevyřešeno. Incidenty, které se nepodařilo vyřešit, neohrožovaly bezpečnost českého internetu, ale pouze provozovatele konkrétních postižených sítí.
CSIRT by měl být místem „poslední záchrany“, kam se sbíhají hlášení o útocích, u nichž není jasné, kdo je za ně zodpovědný, na něž adresát stížnosti nereaguje, nemá snahu incident řešit nebo se jedná o velmi závažný incident. Strukturu útoků přehledně ukazuje graf:
Bezpečnostní rizika na Internetu nejsou izolovaným fenoménem. Naopak jsou silně provázána a navázána na na hrozby, které známe z reálného světa. Miloš Balabán, vedoucí Střediska bezpečnostní politiky CESES na Fakultě sociálních věd UK, se ve své přednášce snažil zasadit bezpečnostní hrozby na Internetu do složitého klubka globálních rizik. V této souvislosti hovořil o narůstající důležitosti oblasti jihovýchodní Asie a možném konfliktu při snaze některé z mocností získat nebo udržet v dané oblasti svůj vliv.
Internet už dnes patří mezi klíčové infrastruktury, které lidstvo používá, stejně tak jako například rozvody elektrické energie. Jaroslav Pejčoch, předseda představenska společnosti T-Soft, hovořil o provázanosti těchto infrastruktur a nastínil případné scénáře, které by nás čekaly v okamžiku, kdyby k výpadku některé z klíčových infrastruktur došlo. Výpadek jedné z infrastruktur s sebou přináší riziko výpadku dalších, které jsou závislé jedna na druhé. Určitá bezpečnostní rizika skýtá podle Pejčocha také geografická nebo vlastnická závislost jednotlivých sítí.
Petr Koubský se ve své přednášce zamýšlel nad svobodou Internetu. Ten je podle Koubského součástí reálného světa. Všechny sny o tom, že může být svébytným prostorem, jsou naprosto mylné. Ať děláte na Internetu jakýkoli byznys, neobejdete se bez lokálních prostředníků. Ti jsou plně vystaveni dosahu lokální legislativy. Tito prostředníci se dají vždycky zmáčknout, aby legislativu dodržovali. Svoboda na Internetu končí tam, kde jsou lokální prostředníci,
dodal Koubský. Komu tedy patří Internet a kdo ho řídí? Podle Koubského patří těm samým, kteří řídí celý svět.
Petr Špringl představil celou škálu možností pro zabezpečení IT infrastruktury a počítačových sítí. Upozornil mimo jiné na to, že neustále roste počet zařízení, která mají svou vlastní IP adresu a jsou připojena k Internetu. V brzké době budou podle Špringla disponovat vlastní IP adresou i například ledničky. Všechna tato zařízení mohou být teoreticky zneužita k nelegální činnosti. Klíčovým v této souvislosti je monitoring sítí, který dokáže na základě nestandardního chování odhalit například botnety.
S rostoucím počtem smartphonů pochopitelně roste množství škodlivých kódů nebo podvodných aplikací speciálně vyvinutých pro tato zařízení. Bohdan Vrabec připomněl, že v loňském roce byly odhaleny první pokusy o oklamání uživatelů prostřednictvím podstrčených QR kódů.
Není náhodou, že se tyto falešné QR kódy objevily v Jižní Koreji, kde společnost Tesco loni o prázdninách vyzkoušela koncept prodeje zboží v metru prostřednictvím QR kódů. Pro hackery bylo velmi jednoduché přelepit kód u jednotlivých výrobků podvrhnutým QR kódem. Loni před Vánocemi, v rámci reklamní kampaně, prodával v pražském metru pomocí QR kódů drogistické zboží internetový obchod Mall.cz. V okamžiku, kdy uživatel kód načte, dostane se na stránku, která obsahuje škodlivý kód, malware atd.
Ivo Rosol ze společnosti OKsystem hovořil o významu čipů v dokladech. Základní funkcí čipu je ztížit možnost padělání dokladu. Doklady padělají nejen kriminálníci, ale také samotné státy. Rosol v této souvislosti připomněl případ třech Čechů, kteří byli zadrženi loni v Zambii kvůli podezření ze špionáže. Ti se prý dostali zpět do Čech právě díky padělaným dokladům, které zprostředkovala česká vláda.
Rosol si v průběhu své přednášky několikrát rýpnul do podoby nových občanských průkazů, které mohou být za příplatek vybaveny čipem, který ale nelze zatím nelze prakticky téměř vůbec využívat. Podle Rosola je projekt promarněnou šancí a Česko by si mělo vzít příklad z Německa, které pojalo nové občanské průkazy daleko zodpovědněji. Vydat občanský průkaz s čipem a neudělat celou infrastrukturu pro její použití je k ničemu,
uzavřel svou přednášku Rosol.
Pro fajnšmekry, kteří si libují v nastavování bezpečnostních certifikátů a politik, připravil pro lepší zažívání po obědě přednášku Ondřej Mikle ze sdružení CZ.NIC.
Důvěryhodnost certifikačních autorit podle něj začala být v posledních měsících zpochybňována více než kdy předtím. Za rok 2011 byly útočníky napadeny autority Comodo a Diginotar. Tento rok se Trustwave přiznala k vydávání certifikátů pro korporátní man-in-the-middle „útoky“.
Naštěstí už existují návrhy několika protokolů, které mají omezit možnost libovolné CA vydat certifikát pro libovolnou doménu. Ondřej Mikle ukázal principy jejich fungování a proti jakým útokům chrání.
Další zásady bezpečné komunikace prostřednictvím protokolu SSL a také perličky ze světa českých i zahraničních certifikačních autorit připojil Petr Komárek ze společnosti ZONER software.
Spolupracovník Lupy Daniel Dočekal ve své přednášce o bezpečnostních rizicích sociálních sítí postuloval, že služby jako Facebook či Twitter otevírají nové možnosti pro viry, krádeže identit, šmírování, získávání osobních údajů a řadu dalších nepěkných aktivit. Podle Dočekala sociální sítě zastihly tyto technologie zcela nepřipravené jak své provozovatele, tak uživatele. Připomněl, že i nejmladší jsou na sociálních sítích vlastně už od narození:
„Někteří rodiče jsou skutečně s odpuštěním takoví magoři, že svým dětem zakládají facebookové profily hned po narození. Pak tam vítězoslavně nahrávají jeho fotky, jak poprvé čůrá, jak poprvé nečůrá, jak poprvé udělal bábovičku, jak šel poprvé do školy. Až to dítě bude jednou dospělé, bude mít na Facebooku svůj podrobný životopis. Otázka je, jestli něco takového bude chtít mít. Na to se ho rodiče neptají. Paradoxní je, že se dnes lidé Facebooku často nezbaví ani poté, co ulehli do hrobu. Zůstává po nich prakticky nesmazatelná digitální stopa.“
Jedním z hlavních trendů v internetové bezpečnosti pro rok 2012 jsou tak podle Daniela Dočekala digitální závěti, které zaručí, že se po smrti uživatelů k jejich digitální stopě nedostane nikdo nepovolaný, případně, že se z ní pozůstalí nedozví o zemřelém nic ošklivého.
„Potom je tady ještě druhý trend v internetové bezpečnosti. Populace, která se na sociálních sítích vyskytuje, by teoreticky měla se stoupajícím věkem být moudřejší. Naučit se lépe chápat pojmy soukromí, více se svému soukromí věnovat. Já o tom mám nesmírné pochyby. Zatím to spíš vypadá, že ti lidé jsou rok od roku blbější. Proto také v dnešní době zkratka BFU znamená Běžný facebookový uživatel.“
Důkazem jsou podle Daniela Dočekala nejpopulárnější české stránky, kterým vévodí podvody typu Vytvoř si svou fotku z Avataru a podívej se, jak bys vypadal, nebo stránky slibující každodenní losování o automobily či počítače – mnohé mají stovky tisíc fanoušků, ty nejpopulárnější přes půl milionu.
Naivita uživatelů jde podle Dočekala ruku v ruce s tím, že přestalo být jasné, kde začíná a kde končí soukromí, ze kterého se zároveň stala zpeněžitelná komodita. Sami jej ochotně vyměňujeme za různá „cukrátka“.
S průřezem aktuálními hrozbami, malwarem, neboli havětí, která se pohybuje po internetu, seznámil posluchače Igor Hák, zakladatel serveru Viry.cz, který od roku 2003 pracuje v antivirové firmě ESET. Začal pohledem do osmdesátých a devadesátých let, kdy se objevovaly viry podstatně zábavnější než dnes. „Když to řeknu jednoduše, dnešní havěť stojí za prd. Už s ní není taková legrace jako v minulosti. Chybí vizuální výstupy, nehraje žádnou hudbu, většinou jen tiše běží a vykrádá data uživatele.“
Viry přitom bývaly mnohem zábavnější. Igor Hák předvedl například jeden prvních boot virů pro MS-DOS – Brain z roku 1986. Jeho autoři ve zdrojovém kódu uvedli nejen svá jména, ale i telefonní čísla a svou adresu v Pakistánu, na které je bylo možné zastihnout.
Další archivní virus, který Igor Hák připomněl, je Ambulance – sanitka, která s hlasitým houkáním jezdila sem a tam přes monitor a mazala z něj písmena a čísla. Když se škodlivý kód z roku 1989 pokusil rozběhnout v současnosti na virtuálním PC, narazil na velký problém. Rychlost průjezdu auta je přímo úměrná rychlosti procesoru. „Na dnešních strojích proto bohužel není šance jakýmkoliv způsobem průjezd této sanitky zachytit.“
Dnešní havěť už podle Igora Háka není tak zábavná. „Nastupuje anonymita, vymřely mediální hvězdy, havěť se už vizuálně nijak neprojevuje, její cíl není pobavit, ale okrást uživatele o peníze nebo o data.“ Jedinou zábavnou výjimkou je virus Win32/Autorun.PSW.Agent.E. Český škodlivý kód z října 2011 se snaží z infikovaných systémů vykrádat uložená data. Má několik zvláštností: byl napsán v PHP, vyskytoval se prakticky jen v České republice, a ve zdrojovém kódu se skrývá několik vtipů. Ukradená data například virus posílal na server sadomaso.okamzite.eu. Funkce nesly názvy jako „namnožit“ nebo „čórka“.
Podobné výtvory dnes ale nejsou v hlavním proudu internetové kriminality. Do něj se dostal Facebook, který je podle Igora Háka nejen ideálním kanálem pro šíření informací, ale také spamu, hoaxů a jiné havěti. „Trochu tomu napomáhá i absolutní důvěra v inteligenci našich facebookových přátel.“ Do praxe se tak podle něj dostal i jev známý jako „clickjacking“ neboli unášení kliknutí, kdy autor škodlivého kódu vyvolává v uživatelích dojem, že klikají na něco jiného, než ve skutečnosti klikají.
Konferenci uzavřely dvě přednášky o bezpečnosti mobilních transakcí. První z nich přednesl Petr Dvořák z vývojářského studia Inmite, které nedávno vytvořilo mobilní aplikaci České spořitelny (byť byla později v oficiálních materiálech prezentována jako dílo větší firmy Cleverlance, která Inmite využila jako subdodavatele). Mladá a malá firma se tak musela vypořádat s bezpečnostními nároky, jaké na informační systémy klade nadnárodní banka.
Hlavním problémem mobilních bankovních aplikací na chytrých telefonech a tabletech je podle Petra Dvořáka dosud chybějící možnost vícefaktorové autentizace uživatele. Ne každé zařízení, na kterém taková aplikace běží, má totiž SIM kartu. Většina bankovních aplikací jde proto cestou povolení této funkcionality na webu v rozhraní “velkého” internet bankingu, a v mobilní aplikaci se už pak spokojuje s jednofaktorovým ověřením klienta pomocí hesla.
Zatím nejde o velký bezpečnostní problém. “Mobilní bankovnictví není zatím až tak rozšířené, používají ho u nás řádově tisíce lidí. Pro útočníky není tento kanál příliš zajímavý. Kdybych byl útočník, útočil bych jinudy.” Do budoucna se ale podle Petra Dvořáka branže bez vícefaktorového ověřování uživatelů neobejde. Jako nejpraktičtější a nejpravděpodobnější řešení vidí malou klíčenku generující jednorázový kód. “Takové řešení by uživatele bolet nemuselo.”
Závěr konference potom patřil šéfredaktorovi serveru Měšec Daliboru Chvátalovi. Posluchače seznámil se svými zážitky z cesty po Evropě, na níž vyzkoušel bezkontaktní placení kartami, hodinkami a mobily různých výrobců ve čtrnácti evropských zemích. Jako hlavní bezpečnostní rizika se v testu ukázaly neznalá obsluha, nezkušení zákazníci a nekompatibilní, nespolehlivá zařízení. Mobilní telefony s NFC čipy se často “kousaly”, automaty na španělské dálnici přijaly z tuctu nabízených platebních karet jedinou… Potvrdila se tak stará známá pravda, že bezpečnost v digitálním světě není produkt, který bychom si mohli pořídit a jednou provždy mít, nýbrž nekonečný proces.