Wstęp - Technologie Informacyjne
Transkrypt
Wstęp - Technologie Informacyjne
Ignorantia iuris nocet nieznajomość prawa szkodzi Lato 2015 Walka o fizyczne i informacyjne bezpieczeństwo będzie główną częścią ceny jaką zapłaci nasza „usieciowiona” cywilizacja Zagrożenia zasobów IT narzędzi, informacji i usług Cyberprzestępcy w USA zarabiają więcej niż handlarze narkotyków Codziennie do Sieci trafia 55 000 nowych malware Pcworld XII.09; Chip II/2010 Przykłady strat związanych z IT Rzeczywiste zagrożenia przeciętny komputer zawiera kilkadziesiąt monitorujących, nieznanych użytkownikowi, programów Największe straty prywatności w cyfrowej erze • 2007 - Zagubiono dysk z danymi o 25 milionach Brytyjczyków – dane o 40% populacji UK. • 2006 – zgubiono dane o 26,5 mln weteranów USA • 2003 – Z AOLu skradziono dane o 92 milionach osób • Największe katastrofy oprogramowania November 22, 2007, NYT Data Leak in Britain Affects 25 Million By ERIC PFANNER Największe katastrofy oprogramowania • 1962 – zniszczenie Mariner 1 (brak znaku „-”) • 1996 – Ariane 5 • 1979 – wykryty przez system obronny NORAD „atak” na USA 2020 rakiet z ZSRR • 1983 „atak” na ZSRR • Pomyłka okablowania Airbus’a A380 (rózne wersje CAD CADIA) – straty 5 mld euro. • Wstrzymany rozwój niemieckiego programu A2LL dla bezrobotnych Chip VIII 09 Kradzieże danych • Ukradziony laptop pracownika Boeing’a zawierał nazwiska i nr. ubezp. 382 000 byłych i obecnych pracowników – w sumie 100 152 801 rekordów. • Dane z Public Policy Institute for AARP wskazują na ujawnienie 90 milionów rekordów pomiędzy 1 stycznia 2005 a 26 maja 2006, w tym 43% z edukacyjnych instytucji. December 18, 2006. LINK BY LINK. An Ominous Milestone: 100 Million Data Leaks. By TOM ZELLER Jr. Oszustwo komputerowe - manipulacja danymi (np.: straty banków USA, tradycyjny napad - 8 000 USD, komputerowe oszustwo - 0,5 mln USD) - manipulacja programem („na salami” grosze na własne konto) Straty - świat • Na całym świecie każdego roku cyberprzestępcy odpowiadają za utratę przez użytkowników 113 miliardów dolarów • Statystycznie każda z 378 milionów ofiar musi liczyć się ze średnią stratą 298 dolarów, czyli ok. 930 zł. CHIP.PL KWIECIEŃ 2014 Straty UK • Duże firmy UK atakowane są raz tygodniowo, mniejsze – raz na miesiąc. • Koszt jednego ataku na dużą firmę £250,000. KEVIN J. O’BRIEN, Europe Weighs Requiring Firms to Disclose Data Breaches, NYT, Jan. 16, 2013 Straty – Polska: 2 000 000 000$ CHIP.PL KWIECIEŃ 2014 Zhakowany JPMorgan • Personalne informacje z 76 mln domostw – 1/3 obywateli USA, + 7 mln małych firm • Nazwisko, adres, tel, mail – dane teraz i przeszłość • Groźba przekazania/sprzedania innym przestępcom. Ways to Protect Yourself After the JPMorgan Hacking, NYT By TARA SIEGEL BERNARDOCT. 3, 2014 Wykradanie danych Website Security Threat Report 2014 Symantec, 2013 Trends, Volume 19, Published June 2014 Home Depot’s computer broken • Hakerzy ukradli 53 mln adresów mailowych klientów. http://bits.blogs.nytimes.com/2014/11/06/home-depot-says-hackers-also-stole-emailaddresses/?emc=edit_th_20141107&nl=todaysheadlines&nlid=4706125&_r=0 LUKRATYWNY HAKINC • Najbardziej intratnego cyberprzestepstwa w dziejach dokonano w kwietniu 2009 roku. Hakerzy ukradli kilka terabajtów danych o amerykańskim myśliwcu F-35 Lightning II. zarobili: 300 mln. USD Chip V, 2010 Brak zabezpieczeń • Nastolatek przejął kontrolę nad częścią systemu kierowania ruchem tramwajowym w Łodzi. • w jednym ze spowodowanych przez niego wypadków zranionych zostało 12 osób. • 14- latek zmodyfikował pilota TV, na podstawie dostępnej dokumentacji firmy tramwajowej. SIERPIEŃ 2013 CHIP.PL Zagrożenia branż Cisco 2015 Annual Security Report Rozkład procentowy incydentów obsłużonych ręcznie przez CERT Polska Zagrożenia w sieci, http://www.egospodarka.pl/93716,Zagrozenia-w-sieci2012-wg-CERT-Polska,1,12,1.html, [17.05.2014]. Liczba zgłoszeń automatycznych w poszczególnych kategoriach Zagrożenia w sieci, http://www.egospodarka.pl/93716,Zagrozenia-w-sieci2012-wg-CERT-Polska,1,12,1.html, [17.05.2014]. Narzędzia phishingu Website Security Threat Report 2014 Symantec, 2013 Trends, Volume 19, Published June 2014 raport Check Point • średnio 66 ataków na firmy tygodniowo, • udane próby kosztują każde z przedsiębiorstw od 100 tys. do 300 tys. dol. w zależności od kraju. • Największe zagrożenie - Denial of Service sierpień 2012 , pcworld.pl Zagrożenie życia • ekspert z firmy McAfee zdołał wpłynąć na pracę pompy insulinowej w taki sposób, że wydała całą dostępną insulinę naraz, co w rzeczywistych warunkach mogłoby spowodować śmierć chorego. • profesor Kevin Fu z Uniwersytetu w Massachusetts zmodyfikował ustawienia defibrylatora wszczepianego pacjentom z zaburzeniami pracy serca, mającego normalizować jego pracę - znalazł sygnał radiowy pozwalający wyłączyć urządzenie. CHIPPL WRZESIEŃ 2012 Motywy, skutki • 65 proc. cyberataków wynika z motywacji, związanych z korzyściami finansowymi, a prawie połowa ma na celu zakłócenie działalności firm lub kradzież danych klientów. • Przeciętny udany atak kosztuje firmę 214 tys. dol. - od 100 tys. dol. w Brazylii do 300 tys. Dol. w Niemczech. • Największe źródło zagrożeń firmy - wykorzystywanie przez pracowników urządzeń mobilnych. Na drugim miejscu znalazło się korzystanie z serwisów społecznościowych, na trzecim - z pamięci USB. sierpień 2012 , pcworld.pl Typy naruszeń - przyczyny • Naruszenia przez outsourcing – mniej powszechne, droższe • Ważne gubienie laptopów, urządzeń mobilnych i nośników • Firmy są bardziej czujne w zapobieganiu awarii systemów • Zaniedbanie jest najdroższym i najczęstszym zagrożeniem 2010 Annual Study: U.S. Cost of a Data Breach, March 2011 Pięć scenariuszy IT apokalipsy • Scentralizowana sieć energetyczna ulega awarii (2003, błąd operatora w USA, 55 milionów ludzi bez prądu) • Impuls elektromagnetyczny wysokiej częstotliwości • Awaria Google – brak dostępu do zasobów (Docs, poczta i inne). • Awaria DNSów – brak internetu • Rozbłysk słoneczny – wszystkie zasoby cyfrowe zostają zniszczone. Luka historyczna ostatnich 20 lat. http://features.techworld.com/networking/3217591/five-doomsday-scenarios-for-it-apocalypse/?getDynamicPage&print LUKI Bezpłatne antyhakerskie WWW.PCWORLD.PL LISTOPAD 2015 Hakerskie wrota do systemu Chip II.2012 Luki - błędy w kodzie • Takie błędy to nie tylko możliwość nieprawidłowego działania danego rozwiązania, ale dodatkowo poważne zagrożenie dla bezpieczeństwa danych. • Program zawierający błędy może stać się narzędziem ułatwiającym dystrybucję złośliwego oprogramowania, infekowanie kolejnych komputerów, infiltrację użytkowników itd. Producenci z największą liczbą luk MARZEC 2015 CHIP.PL Chip XI. 2015 Nagrody za błędy • Tyle płacą producenci oprogramowania w ramach programów bug bounty. Wynagradza się hakerów, którzy powiadamiają firmy programistyczne o nieznanych wcześniej błędach w ich aplikacjach. Chip 3/2014 Nagrody za nieznane luki CHIP.PL GRUDZIEŃ 2015 Nagrody z wojska i rządu Chip 3/2014 Nagrody Google'a za wykrycie błędów MARZEC 2015 CHIP.PL ILE GOOGLE PŁACI HAKEROM? WRZESIEŃ 2015 CHIP.PL Najbardziej narażone systemy operacyjne w 2014 roku MARZEC 2015 CHIP.PL Chip 3/2014 Chip IV.2011 Luki w przeglądarkach CHIP.PL KWIECIEŃ 2013 Otwarte luki w przeglądarkach Jak się chronić • Aktualizacje przeglądarki • Aktualizacje rozszerzeń • Usuwanie Javy i Flasha, we współczesnym Internecie opartym na HTML5 nie są już potrzebne. • Kasowanie spamu: kasujmy bez czytania. Kod otwarty: bomba zegarowa • Otwartość kodu to w pewnym sensie również wada, bo jawność kodu ułatwia potencjalnym agresorom wyszukanie w nim błędów, które można następnie wykorzystać podczas ataków. MARZEC 2015 CHIP.PL Exploity • niewielkie programy wykorzystujące błędy w oprogramowaniu wykorzystywane do pokonywania zabezpieczeń komputerów • ich stosowanie zazwyczaj łączy się z łamaniem prawa. • W najgroźniejszej postaci występują jako tzw. zero-day (lub oday), czyli w wersji opartej na nieznanej wcześniej luce w aplikacjach komputerowych. Przed takim exploitem nie ma obrony. CHIP.PL PAŹDZIERNIK 2012 Exploit Acquisition Program (skrót EAP) • oferowanie programistom i hackerom z całego świata sprzedaż exploitow zero-day • średnio udaje się pozyskać 2-3 exploity w miesiącu. Za każdy z nich firma płaci twórcom od 10 tys. dolarów w górę CHIP.PL PAŹDZIERNIK 2012 exploity „zero-day” • cyberprzestępcy mają już opracowane nowe exploity „zero-day atakujące Windows XP, ale wstrzymują się z ich uruchomieniem do czasu, gdy Microsoft przestanie wspierać ten system operacyjny. • Analitycy szacują że w kwietniu 2014 r., gdy Windows XP już nie będzie wspierany technicznie, co trzeci komputer na całym świecie będzie dalej pracować pod kontrolą tego systemu. Pcworld X.2013 Luki bezpieczeństwa w programach takich producentów jak Adobe, Mozilla czy Apple odkryto czterokrotnie więcej luk niż w aplikacjach Microsoftu, ok. 60% z nich to luki krytyczne, czyli te, które mogą być wykorzystane do ataku szkodliwych programów. Chip III.2011 Luki w zabezpieczeniach ma 86 procent stron WWW • da się je wykorzystać do zaatakowania witryny lub jej użytkowników. • Najczęściej są to błędy typu content spoofing, umożliwiające nieautoryzowane modyfikowanie treści publikowanych na stronie. PCWorld VII.2013. Błędy/niebepieczeństwa programów • Analizie poddano 1316 bankowych aplikacji mobilnych i przeanalizowano łącznie 705 milionów linii kodu. • Okazało się, że 70% aplikacji związanych z bankowością indywidualną oraz 69% programów do usług finansowych podatnych jest na ataki pozwalające pozyskać dane użytkowników. WWW.PCWORLD.PL SIERPIEŃ 2015 Crapware programy w nowym komputerze • Demonstracyjne wersje programów lub przestarzałe aplikacje - intratne źródłom dochodu dla branży komputerowej, z którego posiadania klient nie czerpie żadnych korzyści. • Ok. 20 na każdym komputerze Typy naruszeń - przyczyny • „Po raz pierwszy” – koszt naruszeń największy • Lepsze zarządzanie naruszeniami – mniejsze koszty • Maleje zainteresowanie outsousingiem • Więcej firm ma ponadśrednie zabezpieczenia – mniejsze koszty naruszeń 2010 Annual Study: U.S. Cost of a Data Breach, March 2011 Koszty szybkiego reagowania • Więcej organizacji szybko reaguje na naruszenia bezpieczeństwa danych, • W 2010 roku, koszt szybkiej reakcji 268 dolarów – 219 w 2009. 2010 Annual Study: U.S. Cost of a Data Breach, March 2011 7 głównych ataków • Brute force - zgadywanie hasła użytkownika. Atak bardzo łatwy do wykrycia i zablokowania przez bank, czasochłonny, praktycznie niestosowany. • Podsłuchanie hasła - przed podsłuchem zabezpieczają hasła jednorazowe i (w krótkim okresie) maskowane. • Phfshing - przekierowanie użytkownika na fałszywą stronę i wyłudzenie jego listy haseł. Chronią przed tym wszystkie metody wyświetlające szczegóły, transakcji, której dotyczy kod. • Man-in-the-middle - podsłuchanie lub sfałszowanie transmisji danych miedzy klientem a bankiem. • Man-in-the-browser- szkodliwe oprogramowanie modyfikuje przeglądarkę. Zabezpieczają antywirusy i analiza po stronie banku. • Socjotechnika - przekonanie użytkownika lub pracownika banku, żeby sam wyjawił hasło lub wykonał niebezpieczną operację. Chroni przed tym jedynie świadomość zagrożeń u klienta i pracowników banku. • Ataki zewnętrzne - przechwycenie kart z hasłami, podsłuchanie sieci GSM, wyłudzenie duplikatu karty SIM. Najlepiej zabezpieczają przed nimi tokeny sprzętowe. PCWorld, 7/2010 CHIP.PL LISTOPAD 2014 Internet rzeczy Internet of thinks Internet rzeczy Internet of Things • Narażone: kamery, elektroniczna niania, samochody, urządzenia medyczne i inne • Kontrola zwyczajów jazdy samochodem – ubezpieczenia • Liczniki energii elektrycznej • AGD Auto w Sieci - carhacking • Pojazd staje się mobilnym komputerem. Tak samo jak PC i smartfony - narażony jest na ataki. • Kilka pojazdów, które były podłączone do Internetu, mogłoby już teraz być zdalnie kontrolowane przez włamywaczy. • Możliwy jest także atak przez port OBD 2 (OnBoard Diagnostics, czyli autodiagnostyki pokładowej) Inteligentne telewizory/smart tv CHIP.PL PAŹDZIERNIK 2013 Smart TV Granica między smartfonem, pecetem i telewizorem coraz bardziej się zaciera • Zainfekowanie urządzenia zarządzanego przez sieć może doprowadzić do kradzieży informacji o kartach kredytowych lub szpiegowania za pomocą kamery zainstalowanej w telewizorze. • Telewidzowie – nowa grupa docelowa • Nowi kupujący przez internet • Botnety na bazie TV Inteligentne liczniki CHIP.PL PAŹDZIERNIK 2013 Skutki blackoutu – inteligentne liczniki CHIP.PL PAŹDZIERNIK 2013 Raport Bezpieczeństwo Procesów Biznesowych 2010 – Seendico • Najbardziej narażone na ryzyko: sprzedaż (65%), produkcja (55%) i IT (48%) Bezpieczenstwo Procesów Biznesowych 2010: zagrozenia i rozwiazania Onlinowy kalkulator ryzyka http://www.emc.com/microsites/fraudgame/flash.htm http://www.emc.com/microsites/fraudgame/flash.htm http://www.emc.com/microsites/fraudgame/flash.htm http://www.emc.com/microsites/fraudgame/flash.htm http://www.emc.com/microsites/fraudgame/flash.htm http://www.emc.com/microsites/fraudgame/flash.htm Polityka i wojna w Sieci • Więcej w Reklama od slajdu 379 “cyber-Pearl Harbor” • The phrase “cyber-Pearl Harbor” first appeared in the 1990s. For the last 20 years, policy makers have predicted catastrophic situations in which hackers blow up oil pipelines, contaminate the water supply, open the nation’s floodgates and send airplanes on collision courses by hacking air traffic control systems. • “They could, for example, derail passenger trains or, even more dangerous, derail trains loaded with lethal chemicals,” former Defense Secretary Leon E. Panetta warned in 2012. “They could contaminate the water supply in major cities, or shut down the power grid across large parts of the country.” http://bits.blogs.nytimes.com/2015/10/14/online-attacks-on-infrastructure-are-increasing-at-a-worrying-pace/?emc=edit_th_20151016&nl=todaysheadlines&nlid=4706125&_r=0 The Terrorism Act 2000 • ,,każdy kto próbuje dokonać poważnych szkód w systemie elektronicznym z intencją zastraszenia lub wpłynięcia na rząd lub społeczeństwo, w celu uzyskania korzyści dla jego politycznej, religijnej i ideologicznej sprawy”.,, Terrorism Act 2000, www.homeoffice.gov.uk/terrorism/, [20.05.2014]. ,, Terrorism Act 2000, www.homeoffice.gov.uk/ terrorism/, [20.05.2014]. Centrum Doskonalenia Obrony przed Atakami Cybernetycznymi (CCD CoE – The Cooperative Cyber Defence Center of Excellence). • Estonia, Litwa, Łotwa, Niemcy, Włochy, Hiszpania i Słowacja. W następnych latach dołączyła Polska, USA, Niderlandy i Węgry. Wolę przyłączenia wyraziła również Turcja, Wielka Brytania i Francja. Oficjalnie Centrum rozpoczęło swoją działalność w 2009 roku. Powyższe Centrum dostało status międzynarodowej organizacji bezpieczeństwa, na podstawie Protokołu Paryskiego 1952 roku. NATO CCDCoE, www.ccdcoe.org, [05.01.2014]. Do nadzorowania sfery bezpieczeństwa teleinformatycznego zostały powołane zespoły: • - Centrum Koordynacyjne Systemu Reagowania na Incydenty Komputerowe resortu obrony narodowej, • - CERT.GOV.PL, działający w ramach Agencji Bezpieczeństwa Wewnętrznego, ma pieczę nad administracją publiczną, • - Pionier CERT , działający w ramach Centrum Superkomputerowe-Sieciowe w Poznaniu, • - TP CERT działa, tak jak sama nazwa mówi, w ramach Telekomunikacji Polskiej, • - CERT Polska, działający w ramach Naukowej i Akademickiej Sieci Komputerowej. Cyberzagrożenia • cyberwojny (cyberprzestrzeń jako czwarta część wojny obok wody, ziemi i powietrza), • cyberterroryzmu ( do działań terrorystycznych), • cyberinwigilacji społeczeństwa (zwiększony przy pomocy monitoring instrumentów teleinformatycznych), • cyberprzestępczości (przestępczość zorganizowana oraz przestępczości ekonomiczne). Sienkiewicz P., Terroryzm w cybernetycznej przestrzeni Cyberterroryzm państwowy • - wojna, • - walka z terroryzmem, • - konflikt lokalny, • - walka informacyjna, • - walka z pedofilią, • - walka z organizacjami terrorystycznymi, • - walka z handlarzami narkotyków, • - działalność służb ochrony państwa. Elementy infrastruktury krytycznej (IKP) • -usługi informacyjne • -energetyka • -transport • -władza centralna • -sektor finansów • -służba zdrowia i ratownictwo • -wodociągi i dystrybucja żywności. K. Liedel, Jak przetrwać w dobie zagrożeń terrorystycznych, Warszawa 2008 Cyberterroryzm niepaństwowy • - działalność ruchów powstańczych, narodowo-wyzwoleńczych, • - działalność organizacji terrorystycznych, • - działalność przestępców, • - wandalów, • - crackerów, • - hackerów, • - frustratów, • - aktywistów, • - szpiegów, • - haktywistów. E. Lichocki, Cyberterroryzm państwowy i niepaństwowy, http://www.csikgw.aon.edu.pl, [17.04.2014]. USTAWA z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw • Ib. Przez cyberprzestrzeń, o której mowa w ust. la, rozumie się przestrzeń przetwarzania i wymiany informacji tworzoną, przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm. ) wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami.". • „2. Katastrofę naturalną lub awarię techniczną mogą wywołać również zdarzenia w cyberprzestrzeni oraz działania o charakterze terrorystycznym.". Centrum Operacji Cybernetycznych • jednostka specjalna, która ma być odpowiedzialna za prowadzenie i koordynowanie wirtualnych działań • wojsko będzie do tej jednostki rekrutować hakerów WWW.PCWORLD.PL MARZEC 2014 Cyberterroryzm • Korzystanie z siły i przemocy przeciwko osobom i ich własności z pogwałceniem prawa. • Celem tego jest wymuszenie pewnego postępowania i realizacja różnego rodzaju własnych celów, w tym politycznych. • Ceberterroryzm dotyczy takich zjawisk w internecie. Pierwsza wojna w cyberprzestrzeni • Paraliż krajowej cyfrowej infrastruktury Estonii – – – – – – Prezydent, Premier, Parlament, Agencje rządowe, Największe banki, Gazety. • Głównie dzięki „botom” – anektującym komputery, czyniąc je narzędziami ataku - niewolnikami “zombies,” • Główna metoda ataków na Estonię - digital denial of service May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack By JOHN SCHWARTZ Cyfrowe wojny • CIA (1992) podczas operacji wywiadowczej umieszczono bombę logiczną w oprogramowaniu na które polował rosyjski wywiad. • Zmieniła się w jeden z największych fajerwerków w dziejach świata, gdy sterowany wadliwym oprogramowaniem system rurociągów eksplodował z mocą trzech kiloton trotylu. PcWorld II/2010 Hactywizm • Rozprzestrzenianie wirusów w sieci - forma demonstracji politycznej, zwana hacktywizmem. • Australijscy w 1989 roku zainfekowali komputery NASA robakiem WANK, aby uniemożliwić start promu kosmicznego Atlantis, który miał wynieść sondę kosmiczną Galileo. Misja wywoływała protesty grup radykalnych ekologów, ponieważ sonda miała być zasilana paliwem atomowym. Startu nie udało się powstrzymać, ale usuwanie wirusa z sieci NASA trwało wiele tygodni. • W 2007 roku rosyjscy hacktywiści zablokowali atakami DDoS estońskie witryny rządowe. Rok później powtórzyli to podczas konfliktu z Gruzją. PcWorld II/2010 CYBERATAKI WYKRYTE W OSTATNICH LATACH CHIP.PL MAJ 2013 Cyberszpiedzy - Stuxnet • W przeciwieństwie do zwykłych wirusów, Stuxnet nie wykrada prywatnych danych internautów. Zamiast tego atakuje wyspecjalizowane systemy przemysłowe, zmieniając tryb pracy komputerów sterujących. • Wykryty w 2009 roku GhostNet składał się z blisko 1,3 tys. komputerów z ponad 100 krajów, zawierających dane o dużym znaczeniu politycznym, militarnym i handlowym. Niemal 30% tych maszyn znajdowało się w placówkach dyplomatycznych. PcWorld II/2010 Cybersabotaż i terroryzm • Stuxnet - to najbardziej zaawansowany szkodnik w historii złośliwego oprogramowania. • Ocenia się, że jego stworzenie zajęło kilka lat i prawdopodobnie pochłonęło kilkanaście milionów dolarów, a taki budżet jest poza zasięgiem hacktywistów i amatorów. Iran • Stuxnet ingerował w procesy przemysłowe sterowane komputerowo. • wirus nie mieszał we wszystkich zainfekowanych systemach. Jego kod dowodził, że celem były bardzo konkretnie maszyny, produkowane przez firmę Siemens i jej irańskiego konkurenta. Aktywował się przy specyficznych parametrach pracy, charakterystycznych tylko dla wirówek wzbogacających uran. Powodując stosunkowo drobne zmiany prędkości ich pracy, dramatycznie zmniejszał jakość ostatecznego produktu, uniemożliwiając wykorzystanie go do produkcji broni atomowej. PcWorld II/2010 Cyberatak – akt wojny (USA) • Przykłady ataku: paraliż zasilania elektrycznego, atak na szpitale lub służby ratunkowe = akt agresji • Militarna odpowiedź • Problem z definicją atakującego: osoba/grupa/państwo May 31, 2011, NYT, Pentagon to Consider Cyberattacks Acts of War, By DAVID E. SANGER and ELISABETH BUMILLER NATO wobec cyberataku • Po raz pierwszy uznano, że cyberatak na którekolwiek z 28 państw NATO może być uznany za atak naziemny lub bombardowanie z powietrza http://www.nytimes.com/2014/09/01/world/europe/nato-set-to-ratify-pledge-on-joint-defense-in-case-ofmajor-cyberattack.html?emc=edit_th_20140901&nl=todaysheadlines&nlid=4706125 Główne zagrożenia 2013 • Szkodliwe aplikacja do smatfonów i innych mobilnych urządzeń, głównie z Androidem. • Ransomware • Ataki zbliżone do wojennych – Stuxnet • Manipulacja w sieci, np. moderowane wyszukiwanie • Nierozsądne poleganie na chmurze – brak świadomości zagrożeń, środków obrony REUTERS on Publish Date October 23, 2015 • The chief executive of TalkTalk, a British telecommunications provider, said on Friday that she had received a ransom demand from hackers who had claimed responsibility for stealing data on some of the company’s four million customers. • “Yes, we have been contacted, by I don’t know whether it’s an individual or a group purporting to be the hacker,” Dido Harding, TalkTalk’s chief executive, told the BBC. European Cybercrime Centr - EC3 • Działa w ramach Europolu, czyli Europejskiego Urzędu Policji. • Głównie walka z: włamywanie na konta bankowe, skimming • Drugim przedmiotem - działania wymierzone w dzieci, ich seksualne wykorzystywanie, a potem umieszczanie nagrań i zdjęć z tego procederu w Internecie i handlowanie nimi. • Trzeci: ochrona przed cyberprzestępcami infrastruktury teleinformatycznej o decydującym znaczeniu dla funkcjonowania instytucji Unii Europejskiej. CHIP.PL KWIECIEŃ 2013 Kradzież tożsamości CHIP.PL SIERPIEŃ 2014 Kradzież tożsamości Identity theft • Po raz pierwszy zdefiniowana w dokumencie: the Identity Theft and Assumption Deterrence Act of 1998 (ID Theft Act), • Dokument ten zidentyfikował tę kradzież jako oddzielną kategorię przestępstwa. • “ …świadome przekazanie lub użycie, bez prawnej zgody, opisu lub identyfikacji innej osoby z zamiarem popełnienia lub pomocy lub nakłaniania, każdej bezprawnej aktywności, która jest określona jako przestępstwo w federalnym prawie albo uznawane jest jako przestępstwo przez inne regulacje stanowe lub lokalnego prawa”. http://www.mcafee.com/us/threat_center/white_paper.html Obnażanie informacyjne – kradzież tożsamości • Jednym z podstawowych zagrożeń w Sieci jest utrata prywatności - nieświadome udostępnianie informacji o sobie, które w krańcowych przypadkach doprowadza do tak zwanej kradzieży tożsamości. • Dane te tworzą głównie informacje, dostępne w portalach społecznościowych (Facebook, Nasza Klasa, Twitter, Blip ale także na Allegro czy Grouponie). • Są to m.in. zdjęcia, które automatycznie rozpoznawane, stwarzają nową ścieżkę do inwigilacji także osób, które nie są zarejestrowane w portalach, a są na nich zamieszczone ich zdjęcia w towarzystwie użytkowników określonego portalu. Social hacking • Wartość zbioru danych o konkretnej osobie waha się od kilku centów do kilku dolarów, w zależności od zakresu zebranych informacji oraz pochodzenia użytkownika. Blokowanie śledzenia aktywności użytkowników w Sieci • darmowe rozszerzenie przeglądarki internetowej Facebook Blocker. • Jego wersje do przeglądarek Safari, Chrome, Firefox i Opera można znaleźć na stronie webgraph.com/resources/facebookblocker CHIP.PL PAŹDZIERNIK 2012 Dzieci Co piąte dziecko nękane w Sieci jeden na pięcioro młodych ludzi (21 proc.) doświadczył zjawiska określanego jako cybernękanie, w którym ofiary są oczerniane za pośrednictwem portali społecznościowych. CHIP.PL KWIECIEŃ 2013 Zagrożenia dzieci • Po 4 minutach rozpoczyna się w niemoderowanych chatroomach nękanie o charakterze seksualnym • 40% ma kontakt z treściami erotycznymi online • 45% (12-17 lat) udostępnia swój telefon • 58% (5-9 lat zaczyna korzystać z Sieci, 16% wcześniej) • 64% zawiera znajomości przez Sieć. Chip, 05.V.2008. Najczęstsze zagrożenia dzieci • Kontaktowanie się z nieznanymi osobami, • ekspozycja na szkodliwe treści (nienawiść, narkotyki, samobójstwo), • otrzymywanie e-maili o treści związanej seksem, • bezpośrednie spotkania z osobami poznanymi w internecie oraz bycie ofiarą napastowania lub dokuczania przez innych. Raport „Polskie dzieci w internecie. Zagrożenia i bezpieczeństwo na tle danych dla UE", przygotowany na podstawie badań EU Kids Online wrzesień 2012, www.pcworld.pl przez Lucynę Kirwil z Szkoły Wyższej Psychologii Społecznej w Warszawie. Kontrola rodzicielska • Visikid - monitorowanie aktywności dziecka w internecie, jednocześnie aplikacja nie ma funkcji blokowania dostępu do nieodpowiednich treści. • Norton Online Family - oprócz śledzenia aktywności dzieci w internecie umożliwia blokowanie dostępu do nieodpowiednich treści. • Inne programy: Motyl 2012 firmy Adalex Soft (adalex.pl/motyl), Opiekun Dziecka (www.opiekun.pl), Strażnik Ucznia (www.straznikucznia.pl) oraz Beniamin (www.beniamin.pl). wrzesień 2012, www.pcworld.pl Dyżur.pl - NASK • • • • • • • • –przyjmuje anonimowo zgłoszenia od internautów dotyczące treści nielegalnych i szkodliwych, –miesięcznie analizuje średnio 922 zgłoszenia (w 2014, a w 2013: 558) dotyczące treści potencjalnie nielegalnych i szkodliwych, –od początku istnienia Zespół przeanalizował około 45 tysięcy zgłoszeń, w samym 2014 roku przeszło 11 tysięcy, –80% materiałów przedstawiających seksualne wykorzystywanie małoletniego jest usunięta w ciągu 3 dni od analizy zgłoszenia, –93% witryn przedstawiających powyższe treści znika w ciągu 7 dni, –wzrostowa prognoza zgłoszeń w 2015 – przewidywane około 14 tysięcy, –zespół prowadzi działania na rzecz tworzenia bezpiecznego Internetu oraz popularyzuje bezpieczne korzystanie z Internetu (programy, szkolenia, publikacje). Dyżurnet.pl W trosce o użytkowników Internetu – Zespół Dyżurnet.pl (II) 25 maja 2015 r. Przyczyny przestępstw IT FIRMA – pięć grzechów bezpieczeństwa teleinformatycznego 1. 2. 3. 4. 5. Fachowcy – powierzenie bezpieczeństwa IT wyłącznie informatykom Internet – beztroska w udostępnianiu Internetu pracownikom i brak monitorowania aktywności internetowej pracowników. Regulacje – brak wewnętrznych reguł (polityka bezpieczeństwa IT) wymuszających stosowanie odpowiednich środków i zasad postępowania. Maksymalizacja wiedzy – nagminny brak wiedzy wśród pracowników w zakresie bezpieczeństwa IT (proporcja szkoleń BHP i bezp. IT?), Audyt – zbyt mała wiedza o kosztach ryzyka – szacunku wartości możliwych strat i kosztów ich ograniczenia, Zmiana typów zagrożeń w Sieci Spyware Antyspyware Robaki Filtr treści Antyspam Zakazana Treść Spam Antywirus Związane z treścią Trojany Wirusy IDS VPN Firewall Związane z łączeniem Klucz Fizyczne Włamania Kradzież sprzętu Chip 6/05 Nimda (zagrożenie hybrydowe) rozprzestrzenianie Web Server Internet Router Stacja robocze Hub Stacja robocza Web Server Laptop Zainfekowany załącznik Atak na „dziurawy” serwer WWW Wcześniej zakażony serwer WWW Ataki przez przeglądarkę Współdzielone zasoby Jarosław Samonek, Country Manager, Symantec Poland Sp. z o.o. Źródła niebezpieczeństw • ryzyko związane z atakami na środowiska internetowe, • technologie bezprzewodowe i szerokopasmowe dostępu do Sieci • Komputery i inne cyfrowe urządzenia mobilne. Obrazy • Władze Płd. Korei zaleciły montowanie do komórek sygnalizatorów dźwiękowych robienia zdjęcia. • ParentWatch.com, KinderCam.com – kamery w miejscach pobytu dzieci – przedszkola, szkoły. WebCam • Wirusy WebCam są to robaki Rbot, które mają zdolność kontrolowania internetowej kamery ofiary stanowiąc zagrożenie wzrokowej inwigilacji określonych miejsc np. w domach i biurach. • Tysiące kamer podłączonych do prywatnych systemów zabezpieczeń przez niefrasobliwość ich administratorów jest dostępna publicznie, stwarzając nowy typ zagrożeń chronionych obiektów Kontrola nad kamerami komputerów • Webcamy rejestrujące intymne życie mieszkańców w domach • „The webcam software, called PC Rental Agent, had been installed on approximately 420,000 computers worldwide”. September 26, 2012, 6:28 pm Rented Computers Captured Customers Having Sex, F.T.C. Says By NICK BILTON Obrona przed przechwyceniem sprzętu • • • • Kamera, mikrofon, klawiatura Antilogger (www. zemana.com). HijackThis, Regularne aktualizacje systemu Windows. Kamery w mieście • CCTV – Closed-Circut Television – telewizja w obwodzie zamkniętym • 400 000 w Londynie. Przeciętny londyńczyk fotografowany 250 razy dziennie • Warszawa – 300 kamer • Czas przechowywania nagrań – 30 dni Chip IX.2007 Chip 10/2010 10 podstawowych zagrożeń utraty bezpieczeństwa 1/10 wrażliwe sieciowe aplikacje 1. Atak na aplikacje sieciowe przez „otwarte drzwi”. http://www.zdnet.co.uk/news/security-threats/2010/05/07/know-the-enemy-todays-top10-security-threats-40088650/ 10 podstawowych zagrożeń utraty bezpieczeństwa 2/10. Wyrafinowany phishing i pharming 2. Kradzież danych identyfikujących. Antywirusy i spyware nie dają gwarancji bezpieczeństwa – podstawa: edukacja użytkowników. 10 podstawowych zagrożeń utraty bezpieczeństwa 3/10. Spam 2014 Cisco 2015 Annual Security Report 10 podstawowych zagrożeń utraty bezpieczeństwa 4/10 Social media attacks • Łamanie słabych haseł i ufanie bezpłatnym programom. 10 podstawowych zagrożeń utraty bezpieczeństwa 5/10. Proste korzystanie z danych identyfikujących (identity theft) • Kradzież pieniędzy lub uzyskiwanie innych bezpośrednich korzyści. 10 podstawowych zagrożeń utraty bezpieczeństwa 6/10. Theft of credit-card details • Tylko 5% komercyjnych stron jest bezpieczna. • Wzrost kradzieży numerów kart płatniczych 10 podstawowych zagrożeń utraty bezpieczeństwa 7/10. Exploiting the latest technology • Rola nowych technologii VoIP, wirtualizacja, smartfony itp. 10 podstawowych zagrożeń utraty bezpieczeństwa 8/10. Increased outsourcing • Powierzanie dużych ilości danych firmom zewnętrznym. 10 podstawowych zagrożeń utraty bezpieczeństwa 9/10. Rise in super-portable data • Kradzież danych przez nośniki – laptopy, urządzenia USB. 10 podstawowych zagrożeń utraty bezpieczeństwa 10/10. Samozadowolenie • Dysponowanie nowoczesnymi technologiami bezpieczeństwa ale brak edukacji pracowników. Techniki i metody przestępstw IT Jawność sieciowej transmisji • Dane przesyłane przez otwartą sieć mogą być w prosty sposób podsłuchane, a następnie wykorzystane do ujawnienia haseł logowania do poczty i stron internetowych, a także pozyskania przesyłanych e-maili, rozmów głosowych i tekstowych, plików czy poufnych dokumentów. • W protokole HTML komunikacja między przeglądarką a serwerem WWW nie jest zaszyfrowana. Każdy, kto przechwyci taki strumień danych, może bez trudu odczytać Pcworld X.2013 zawartość strony. Typowy atak • • • • • • zdobycie hasła wykorzystanie dziur nieuprawnione działania instalacja „konia trojańskiego” podsłuchiwanie - packet sniffers przez „tylne drzwi” i przez e-mail Metody wykorzystywane przez włamywaczy • Denial of Service (DoS) - odmowa wykonania usługi, atakowany serwer zagubiony dużą liczbą żądań • port scan - uruchamianie usług na wielu portach i wykorzystanie luk (związanych z usługą) w bezpieczeństwie, • sniffing - podsłuchiwanie • spoofing - podszywanie się pod kogoś, • dictionary attack - atak słownikowy Rozłączenie Modyfikacja podsłuch fałszowanie Ograniczone sieciowe zagrożenia • • • • • • • • • • Bombardowanie pocztą Dziurawa aplikacja Dziurawy system operacyjny Odmowa wykonania usługi Zmiana makta aplikacji Przechwycenie sesji SMTP Rutowanie przez źródło Spam Wirusy Zdalne logowanie Haker HACKING Hacker - osoba, która włamując się do sieci komputerowej, pokonuje zabezpieczenia w postaci kodów i haseł broniących dostępu do zgromadzonej i przetwarzanej informacji Dep. Obrony USA przyznaje, że penetrowano 88% komputerów w 96% bezkarnie 70% penetracji przez pracowników firmy Kapelusze • • • • „white hats", ..grey hats" i „black hats". obrońcy praworządności - białe, Przestępcy – czarne bohaterowie należący częściowo do każdego z tych światów - szare. Defcon – spotkania superhakerów • Wielu pracuje na stanowiskach doradców służb bezpieczeństwa • Blokada światowej infrastruktury IT, bilety samolotowe, włamania do elektrowni atomowych, wybory Chip II/09 Logo hakerów* Slang hakerów • Freak (phr34) – maniak, • Dude <|OO<|3 – doświadczony haker, profesjonalista • |oo53r – looser, frajer, amator • Warez (//4r3z) – pirackie oprogramowanie • Więcej: www.catb.org/jargon/html/index.html *Szybowiec, figura z matematycznej gry Game of Life Malware HAKERZY NA USŁUGACH AMERYKAŃSKICH TAJNYCH SŁUŻB • FBI opłaca 25 proc. wszystkich hakerów i cyberprzestępców, zatrudniając ich jako informatorów. • Zdaniem ekspertów infiltrowane przez FBI są zarówno hakerskie fora dyskusyjne, jak i czaty organizacji Anonymous. CHIP.PL LIPIEC 2012 Malware • Neologizm powstały z wyrazów malicious (złośliwy) i software. • Szkodliwe oprogramowanie wszelkiego rodzaju. Zaliczają się do niego m.in. robaki, wirusy, trojany, rootkity, phishing, mishing (mobilne) vishing (phishing telefonicznie) i fałszywe aplikacje antywirusowe. • • • • • • • • Java 25% Flash 20% Shockwave 14% QuickTime 12% MediaPlayer 11% Adobe PDF 10% Dodatki do IE 5 Dodatki do Firefoxa 3 • Także: • Rzeczywiste dane do przeglądarki • Automatyczne wizytówki do maili Niebezpieczne końcówki plików Rozpowszechnianie malware Flash • Stwarzający powszechne zagrożenie Flash nie jest dla systemu operacyjnego niezbędny. • Flash stał się standardem multimedialnym – tyle tylko, że zainteresowali się nim przestępcy, dla których multiplatformowość również była istotnym atutem. WWW.PCWORLD.PL WRZESIEŃ 2015 Najniebezpieczniejsze produkty Narzędzie do tworzenia aplikacji Webowych Cisco 2015 Annual Security Report • Szpiegowskie, także użyteczne, pliki do monitorowania Twoich wędrówek • Także zapisywane jednocześnie w wielu miejscach Technologia canvas • Even the slightest change in one pixel — one dot in the image — can create a totally new ID. Different computers and web browsers may draw the image differently, resulting in an ID that is semi-unique to a user. Tracking code can use techniques like this to follow users from website to website — even when cookies are disabled in a user's web browser. Fingerprints used for tracking are normally hidden from the user and — unlike this demonstration — don't require a user's permission to draw. http://www.propublica.org/article/meet-theonline-tracking-device-that-is-virtuallyimpossible-to-block http://www.propublica.org/article/meet-theonline-tracking-device-that-is-virtuallyimpossible-to-block Collusion Po 5 i 10 minutach Collusion na drugi dzień Właściwości ciasteczka Chip VI/2011 Zasoby w komputerach • 93% firmowych dokumentów w postaci elektronicznej • 70% dokumentów nigdy nie jest drukowane • 53% nie testuje planów zabezpieczeń częściej niż raz na dwa lata • 63% firm nie uświadamia pracowników o tych planach • 75% nie obejmuje sytuacji: a jeśli backup nie działa? Czy podajemy nieprawdziwe dane sami o sobie? zbyt lekkomyślnie ujawniamy wiele danych osobowych, stając się łatwym celem dla rosnącej liczby przestępców wykradających tożsamości w Internecie. Autorzy zwracają uwagę, iż może to doprowadzić do masowego odwracania się klientów od firm internetowych. Ujawnianie danych • 79% ankietowanych jest skłonnych podać przypadkowej osobie dane osobowe wystarczające do kradzieży tożsamości. • 33% ankietowanych przynajmniej raz złamała podstawowe zasady bezpieczeństwa w Internecie, np. współdzieląc czy zapisując hasła. Wielu ankietowanych przyznało, że informacje o hasłach do kont internetowych przechowuje w portfelu. Pracownicy • 70% nieautoryzowanego dostępu do informacji dokonują pracownicy, • 95% ataków z poważnymi konsekwencjami było inicjowane przez pracowników, DLP (Data Leak Protection) wypływ informacji • Wiedza pracowników (78% incydentów) • Technologiczne podejścia: – – – – Klasyfikacja i ochrona danych Szyfrowanie Wykrywanie szkodliwych działań (logi) Zarządzanie urządzeniami (mobiloność!) Computerworld, raport spec. X.09 Powszechne pliki ze złośliwym kodem • Hakerzy dokonują ataków za pomocą powszechnie stosowanych rodzajów plików, używanych przez firmy do zapisywania danych, dokumentów oraz własności intelektualnej. Osadzając w takich plikach – np. pdf - złośliwy kod, można z łatwością uzyskać dostęp do wybranego systemu. http://wp.download.idg.pl/sbwps/0e6e4b972e269e6dbde941ea0950ae97/4f45fc92/adobe/Jak_uchronic_firme_przed_kradzieza_poufnych_danych.pdf Zapobieganie wykradania danych • Mechanizm DEP (Data Execution Prevention) uniemożliwia zapisywanie danych oraz niebezpiecznych kodów w lokalizacjach pamięci oznaczonych przez system Windows® jako chronione. Mechanizm DEP przeprowadza też kontrole pamięci sprzętu i oprogramowania. http://wp.download.idg.pl/sbwps/0e6e4b972e269e6dbde941ea0950ae97/4f45fc92/adobe/Jak_uchronic_firme_przed_kradzieza_poufnych_danych.pdf USB - zagrożenia • Zalepianie USB • Programowe blokady, np. dzięki Service Pack’owi 2 można ustawić wszystkie wymienne pamięci tylko do czytania • Sanctuary Device Control umożliwia pełną kontrolę nad portami sieciowych komputerów, np. o 16.10 w piątek dostęp do zapisu przez 7 minut. • USB Lock Standard – ochrona transferu: USB, IrDa, Bluetooth, CD/DVD/Blueray. • Wymuszanie obligatoryjnego szyfrowania zapisywanych danych. Oferty zabezpieczeń USB • Port Blocker, oferta Ardence Inc.'s dla pecetów i serwerów. • RedCannon Security's KeyPoint Crypto Mobile Storage. Umożliwia monitorowanie, audytowanie i rejestrowanie wszystkich dokumentów przesyłanych za pośrednictwem USB. • Ważne jest opracowanie polityki, edukacja, kontrola • Blokady można ominąć instalując z CD Linux’a – uzyskuje się dostęp do wszystkich zasobów. Pomyłki • Niemal połowa pracowników otrzymuje przez pomyłkę poufne informacje, • Powód – błędy ludzkie i zła polityka bezpieczeństwa. Techniki przestępstw informatycznych Podsłuch (eavesdropping) – dane przesyłane są bez zakłóceń, ale naruszana jest ich poufność. Phishing – scamming, zdobywanie przez użytkowników sieci danych innych internautów, pozwalających np. na oczyszczanie ich kont z pieniędzy. Spoofing – osoba może podszywać się pod inną tożsamość. Penetracja (tampering) – dane są przechwytywane, modyfikowane i przesyłane do adresata. Denial of Service (DoS) - odmowa wykonania usługi, atakowany serwer zagubiony dużą ilością żądań. Port Scan - uruchamianie usług na wielu portach i wykorzystanie luk (związanych z usługą) w bezpieczeństwie; Naśladowanie (impersonation) – dane docierają do osoby podszywającej się pod adresata. Może to przyjmować dwie formy: Misrepresentation – osoba lub organizacja może podawać fałszywą informację o prowadzonej działalności czy swojej ofercie. [ Podsłuch elektromagnetyczny • Emisja ujawniająca, ulot magnetyczny – zjawisko występujące w każdym obwodzie, w którym płynie prąd. • TEMPEST – Transient ElectroMagnetic Pulse Emanation Standard – trzy poziomy. • Techniki inwazyjne: wprowadzenie programu do PC ofiary, który wykorzystuje układy jako nadajnik (np. Tempest for Eliza – „nadaje muzykę przez kartę graficzną) • Techniki nieinwazyjne – wykorzystywanie nieinwazyjnych metod: bezprzewodowość, kable łączące urządzenia, zasilanie. Najsilniej generują” CRT i LCD Hakin9, 3/08, s. 23-25 NSA ma celowo inwigilować ponad 100 000 komputerów • Szpiedzy montują w podsłuchiwanych komputerach (bez internetu) małe transceivery. • Chipy radiowe na nieoficjalnej częstotliwości komunikują się na dystansie 13 km ze stacjami przekaźnikowymi NSA, które następnie przekazują dane dalej. • Chipy pozwalają USA na kompletną inwigilację komputerów, a także na zdalne sterowanie i niezauważoną instalację oprogramowania. • Jest jedno ograniczenie: pracownicy NSA muszą uzyskać jednorazowy, bezpośredni dostęp do sprzętu. CHIP.PL KWIECIEŃ 2014 Inwigilacja? • Pentium III „seryjny numer identyfikacyjny” • GUID - Global Unique Identifier – tajny (Intel -85% światowego rynku procesorów) mechanizm programowy (Office 97 i 2000), • Bug Report (XP) - programu raportującego błędy programów • Echelon (National Security Agency, USA), kontrola informacji (od 1947 r.) cyfrowych (90%) w skali całego globu (Internet, faks, mail, telefon). Inna nazwa: SIGINT Signals Intelligence PRISM • to kodowa nazwa czynności związanych ze zbieraniem danych, które oficjalnie opisywane jest jako US-984XN. • System działa na mocy Foreign Intelligence Surveillance Act z 1978 roku, który opisuje procedury fizycznej i elektronicznej inwigilacji oraz zbierania danych wymienianych pomiędzy obcymi mocarstwami i ich agentami a obywatelami USA, o ile ci ostatni są podejrzani o terroryzm lub szpiegostwo. PRISM mają uzupełniać kompletnie już tajemnicze programy o nazwach BLARNEY i FAIRVIEW. SIERPIEŃ 2013 CHIP.PL Kompromitacja usług USA • Odkąd informacje o PRISM zostały upublicznione - większość osób i podmiotów narażonych na inwigilację systemu wywiadowczego amerykańskich służb migruje na inne rozwiązania spoza USA (objętych parasolem PRISM), także do Polski. N.S.A. Said to Gather Users’ Online Data • Federalna administracja USA sekretnie gromadzi informacje uzyskiwane od największych internetowych firm przez 6 lat. Są to: Google, Facebook and i Apple. • Stwierdzono, że informacje były gromadzone tylko innych krajach. • Informacje te zawierały: e-mail, czaty, wideo, fotografie, gromadzone informacje, transferowane zbiory, wideo konferencje i loginy. CHARLIE SAVAGE and EDWARD WYATT June 6, 2013 Szare eminencje globalnej Sieci • Służby specjalne, bogaci inwestorzy, rządyci. którzy pociągają za sznurki Facebooka, PayPala i innych internetowych potęg, wolą pozostać w cieniu. CHIP.PL MARZEC 2013 SPRZĘTOWA PRZYNĘTA • Nowoczesnym wariantem konia trojańskiego może być zawirusowany nośnik danych, nieprzypadkowo „zgubiony" przez hakera. • Ciekawski pracownik podpina go do komputera, infekując całą sieć. • Trefny sprzęt bywa też przemycany pod postacią nagrody - może to być pendrive, ale również odtwarzacz MP3. CHIPPL WRZESIEŃ 2012 ID gadżetów • Unikalne ID gadżetów, np. Kindle Amazona, Sirius XM Radio, iPhony, • Brak polityki korzystania z tych informacji – tylko policja, jeśli tak to czy warto szukać sprzętu za 300 USD? • Jak obsługiwać sprzedane lub skradzione urządzenia? September 7, 2009, Gadget Makers Can Find Thief, but Don’t Ask By DAVID SEGAL Oznaczenia kolorowych wydruków Tracking Dots • Kropki (8x15< 1/1000 strony) z danymi o: – Data zakodowania, godzina, minuta – Identyfikator drukarki – www.eff.org/privacy/printers /list.php Keylogery i phishing • liczba keylogerów – szkodliwych programów zapisujących wpisywane na klawiaturze hasła i inne prywatne informacje – pomiędzy styczniem 2004 r. a majem 2006 r. wzrosła o blisko 250%. • W tym samym czasie liczba alarmów sygnalizujących możliwość ataku phishingowego wzrosła aż stukrotnie. • Sophos wykrył 5400 podmienionych witryn (2007) • Keyloger służb USA: Magic Lantern • http://www.mcafee.com/us/threat_center/white_paper.html. WARSZAWA – 22 stycznia 2007: Firma McAfee (NYSE:MFE) opublikowała raport McAfee® Avert® Labs. Chip II.2008 Computerworld 29 III 2011 Szpiegowanie/podsłuchiwanie • Desktop Surveillance 5.0 – obserwacja poczynań innych użytkowników komputera • Mini Monitoring 1.5.0 pl jw. • Magic Guardian Home – nadzoruje kilka komputerów • Family Keylogger 2.71 Podsłuch • Paraben Windows Breaker (www.paraben.com, ok. 600 zł), pozwala włamać się do dowolnego komputera z systemem Windows 7 lub starszym, wymaga tylko włożenia pendrive'a do portu USB. StealthGenie • zmienia dowolny telefon z Androidem w wielofunkcyjną pluskwę, instaluje się jak każdy inny app. Program działa w tle, bez wiedzy użytkownika telefonu, zaś podsłuchujący może wydawać mu polecenia za pomocą przystępnego interfejsu internetowego lub wysyłając SMS-y. • Korzystając z łącza internetowego telefonu, StealthGenie przekazuje zarejestrowane rozmowy, wszystkie SMS-y i zdjęcia, a także śledzi lokalizację urządzenia na podstawie sygnału GPS. CHIP.PL WRZESIEŃ 2014 Szantaż przez Internet – ransomware (więcej - wirusy 50) • Ransomware/wirusy GPcode – odszyfrowanie za okup • Zagrożenie zrujnowaniem Sieci firmowej o ile nie zapłaci szantażystom • Część procedur deszyfrujących oferuje Kaspersky • Np. trojan Kenzero wyłudza dane – okup (50 zł) za wstrzymanie ich publikowania • Kreator szantażystów: Silence of Winlocker,250$ + wsparcie techniczne • Zasadzki „przy wodopoju” Watering Hole Attack, w miejscach często odwiedzanych. • Pierwszy krok obrony – odinstalować Javę. Pc World VIII, 2013 Szantaż przez Internet – ransomware 2 • Grupa hakerów usiłowała wyłudzić €150,000 od Belgijskiego banku Belfius, szantażując bank zhakowanymi danymi. • Hakerzy w swoim szantażującym mailu zagrozili,, że jeśli w kilka dni nie opłacą okupu udostępnią dane firmy kredytowej i nieruchmości zarządzanej Elantis przez Belfius, zostaną ujawnione. • Szantażyści określili proceder jako 'idiot tax' dla przechowujących poufne informacje w niezabezpieczonych serwerach. Hackers hold bank to ransom over stolen data, By Tom Espiner, ZDNet UK, 4 May, 2012 16:16 Wirusy szyfrujące • Szyfrują one pliki na komputerze tak, aby ich otwarcie było możliwe tylko po wpisaniu hasła. • Wirusy szyfrujące zwykle atakują te pliki, które wytworzył bądź edytował użytkownik komputera, co zwiększa szansę na skuteczny szantaż (okup). • Tego typu wirusy mają kilka odmian. • Jednym z częściej atakujących komputery jest tak zwany Cryptolocker. CHIP.PL GRUDZIEŃ 2012 Kontrola komputerów osobistych • Projekt ustawy UE na swobodny dostęp do komputerów mieszkańców zjednoczonej Europy. Apple nieprzygotowany na zagrożenia • jest 10 lat za Microsoftem. • Powód – rosnący udział w rynku Mac staje się dla gangsterów opłacalnym celem. Sierpień 2012, chip.pl Inne zagrożenia • • • • • • Web 2.0 IM Wi-Fi FotoKomórki Pamięci Flash’owe Szpiegowanie i terroryzm Przejmowanie mentalnej inicjatywy przez maszyny – Singularity Bliskość pokonania bariery oddania maszynom decyzji o zabijaniu ludzi (np. rozważane są plany oddania takiej samodzielności samolotom szpiegowskim klasy Predator). Dotychczasowe osiągnięcia zapowiadające „eksplozję inteligencji maszyn”, należy przewidzieć także ekstremalne zagrożenie – „utratę ludzkiej kontroli nad bazującą na komputerach inteligencją”. http://singularityu.org/overview/ [maj 2009], AAAI Presidential Panel on Long-Term AI Futures, 2008-2009 Study. J. Markof, Scientists Worry Machines May Outsmart Man, „The New YorkTimes” 2009, July 26. Predator Drones and Unmanned Aerial Vehicles (UAVs), „The New York Times” 2009, July 24. DRON • Platforma — a nowa klasa komputerów ogólnego zastosowania, tak ważna jak PC czy smartfony. • Propozycja regulacji – lot poniżej 150 m. zawsze w zasięgu wzroku operatora. • Bezzałogowe roboty grożą inwazją na prywatność, zagrożeniem przerażających ataków z powietrza i niebezpiecznym zaśmiecaniem naszego nieba. http://www.nytimes.com/2015/02/05/technology/personaltech/giving-the-drone-industry-theleeway-to-innovate.html?emc=edit_th_20150205&nl=todaysheadlines&nlid=4706125&_r=0 Dron – sztuczna inteligencja • Myśliwiec Northrop Grumman X-47B • Operator przekazuje jedynie dane misji, takie jak trasa lotu i jej cel, o resztę - start, przelot, interpretację danych, celowanie, strzelanie i lądowanie - dron musi zadbać sam. CHIP.PL PAŹDZIERNIK 2014 Autonomiczna broń = proch, broń nuklearna • Elon Musk and Stephen Hawking Among Hundreds to Urge Ban on Military Robots • Autonomia zabijania • W rękach terrorystów http://www.nytimes.com/2015/07/28/technology/elon-musk-and-stephen-hawking-among-hundreds-to-urge-ban-onmilitary-robots.html?emc=edit_th_20150728&nl=todaysheadlines&nlid=4706125&_r=0 Zagrożenia Web 2.0 „Inwigilacja społecznościowa” • DRON – część europejskiego systemu bezpieczeństwa • system AMFIS - „rozpoznawanie za pomocą połączonych czujników mobilnych i stacjonarnych„ • AGH – projekt INDECT (2009-2013). „Intelligent information system supporting observation, searching and detection for security of citizens in urban environment", „Inteligentny system informacyjny wspomagający obserwację, INDECT (www.indect-project.eu) • M.in. Obserwacja, wyszukiwanie i detekcja dla celów bezpieczeństwa obywateli w środowisku miejskim. • Wynalazki: kamery, procedury rozpoznawania twarzy i zachowania, oraz narzędzia szpiegujące sprzęt i Internet. • dostępny przez Sieć dla służb bezpieczeństwa z obszaru całej Unii Europejskiej. • Indect ma protokołować połączenia telefoniczne, a powstający w jego ramach trojan unijny kontroluje pocztę i czaty podejrzanych. System ma także analizować zachowania konsumenckie, sprawdzając np. płatności kartą. MAJ 2012 CHIPPL MAJ 2012 CHIPPL Wi-Fi Zabezpieczenia standardy: • szyfrowanie WEP (Wired Equivalent Privacy), bardzo łatwe do złamania. • Lepsze: WPA i WPA2 – Łatwe do złamania podczas wymiany kluczy (firma Elomosoft) – Np. kartą graficzną Nivida GeForce GTX 295 – 250 mln haseł na sekundę – Hasła >= 20 znaków nadal bezpieczne Web 2.0 • Podszywanie się pod znajomych w celu wyłudzenia pieniędzy – np. ukradziono mi portfel podczas podróży (Facebook). • Instalowanie szpiegujących programów oferowanych przez znajomych • Korzystanie z hybrydy: Sieć - telefon Anonimowość • „Nasz profil” w niepowołanych rękach: przedmiot manipulacji, spam, szantaż • Lub, anonimowość sprzyja przestępcom, hakerom, spamerom, pedofilom, piratom • Zapobieganie: anonimowe maile, grupy dyskusyjne, bez śladów po wizytach na Stronie (IP), anonimowe programy P2P c.d. anonimowości • Kaskada serwerów pośredniczących usługa: JAP/JonDo lub przeglądarka Torpark (modyfikacja Firefoksa) • Wpisy o aktywności internautów: www.webferret.com • Dane o 50 mln osób z UE w shober.pl • Rozmowy Skype szyfrowane pomiędzy klientami Skype! Anonimowość c.d. • Jedną z najbardziej popularnych usług tego typu jest bezpłatny Mailinator (www. mailinatoKcom). Pozwala jedynie na odbieranie wiadomości, bez możliwości ich wysyłania, a wszystkie są usuwane co kilka minut • Alternatywny sposób polega na używaniu połączenia tunelowego. Korzystając z sieci VPN, łączysz się z serwerem usługodawcy i za jego pośrednictwem przeglądasz zasoby Internetu – ukrywasz IP, szyfrujesz transmisję PCWorld, 7/2010 WIRTUALNE SIECI PRYWATNE (więcej Internet/wstęp 199) • Pierwotnie stworzone jako bezpieczna metoda dostępu do sieci korporacyjnych, dziś usługi VPN często służą jako narzędzia anonimizujące. • Inaczej niż w przypadku sieci Tor korzystanie z nich najczęściej jest płatne. CHIP.PL KWIECIEŃ 2015 Proxy • Jest to serwer (lub oprogramowanie) który łączy pośredniczy w połączeniu z zasobami sieci • Można łączyć się przez serwer pośredniczący za pomocą protokołu HTTP, HTTPS. • Serwer pośredniczący ma za zadanie przyśpieszyć proces ładowania się stron www, poprzez trzymanie ich w pamięci. Dzięki temu proces ładowania strony jest przyśpieszony. Zagrożenia z Web.2.0 • Najgroźniejsze poza phishingiem i spamem – infekcje przenoszone przez pliki multimedialne z Web 2.0 • Np. koń trojański za pośrednictwem utworu muzycznego z MySpace, za pośrednictwem QuickTime Ataki na usługi sieciowe dla graczy • Dochodowa jest produkcja wirusów komputerowych wykradających hasła do kont w grach multiplayer, takich jak „World of Warcraft". • Przejęte konta ogałaca się z wartościowych przedmiotów, które potem są sprzedawane na aukcjach internetowych. • można także przechwycić numer karty kredytowej gracza, gdy będzie chciał kupić dodatkowe usługi na fałszywej stronie styczeń 2012 www.pcworld.pl Sieciowe oszustwa • Nigeryjski przekręt (od lat 90.): odstępne za pośrednictwo w przelewach wielkich kwot. Wcześniej opłaty „manipulacyjne” • Łańcuszek św. Antoniego – pozyskiwanie adresów ofiar przekazywanego listu • Piękne dziewczyny – „przyjadę, przyślij pieniądze na bilet”. • Fałszywy sklep • Prośby o datki • Loteria i inne styczeń 2012 www.pcworld.pl Utrata hasła Twittera • Jeśli łupem cyberprzestępców padnie profil agencji informacyjnej, celebryty lub dużej firmy z milionową publicznością. Skutki mogą być bardzo poważne i przynieść wymierne straty finansowe. • Associated Press. Pod koniec maja straciła ona dostęp do swojego profilu na Twitterze, a osoby, które przejęły konto, opublikowały fałszywą informację o zamachach w Białym Domu. Odbiło się to na tyle szerokim echem, że wystąpił nagły spadek głównych indeksów na nowojorskiej giełdzie. Pc World VIII, 2013 Zagrożenia - Komórki, smartfony i inne mobilne urządzenia Kradzież laptopów • Według ankiety instytutu DDC przeprowadzonej wśród 200 ofiar rabunku najwięcej, bo aż 32 procent kradzieży sprzętu tego rodzaju zdarza się na lotniskach i na przystankach autobusowych. PCWorld, II. 2013 Zdjęcia z włączonej komórki → Chip, III. 2013 Komórki zagrożenia • Łatwe do zgubienia i kradzieży, zazwyczaj nie mają zabezpieczeń informacji • Podatne na malware • Otrzymują spam • Zdalne włączanie mikrofonu, kamery (szpiegowanie) • Lokalizowanie • Poczta trzymana na serwerach (dostęp przez komórki) narażona na podgląd CHIP.PL SIERPIEŃ 2014 Jak się chronić • Instalacja antywirusa • Programy tylko ze sklepu: Applea, Google'a i Microsoftu. • Sprawdzanie kodów QR • Aktualizacje systemu CHIP.PL PAŹDZIERNIK 2015 Malware w komórkach • 9 na 100 komórek w maju 2010 miało malware. • Poza kradzieżą danych, niszczeniem – szantaż zniszczenia zawartości pamięci – 5 Euro • Ataki na zwiększenie rachunków – usługi na konto ofiary • Zdalne włączanie komórki – podsłuch • Phishing http://www.nytimes.com/2011/02/24/technology/personaltech/24basics.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print BYOD (Bring Your Own Device) • Negatywną stroną zbyt łatwego dostępu do aplikacji i usług mobilnych jest naturalna chęć pracowników do korzystania z prywatnych urządzeń przenośnych w miejscu pracy. • BYOD jest nieodłącznym elementem szeroko pojętej mobilności korporacyjnej i powinien być rozpatrywany jako całość. BYOD • Jedną z podstawowych obaw związanych z BYOD jest możliwość wycieku wrażliwych informacji, jeśli prywatne urządzenie zostanie zgubione lub skradzione. • Z tego powodu ważne jest dostosowanie wewnętrznych zasad bezpieczeństwa (uprawnienia, aplikacje, kasowanie) 44 proc. firm nie reguluje BYOD • Niedawne badania ankietowe przeprowadzone przez Samsunga wśród menedżerów europejskich firm zatrudniających ponad 1000 pracowników wskazują, że wciąż niemal potowa polskich przedsiębiorstw tej wielkości nie ma żadnej, formalnej ani nieformalnej polityki wobec BYOD. MARZEC 2015 CHIP.PL Enterprise Mobility Management (EMM) • wprowadzenie systemu klasy umożliwiającego zarządzanie uprawnieniami poszczególnych urządzeń. Lista kontrolna: Pytania dla pracownika • Do jakich danych - np. geolokalizacyjnych - będzie miał dostęp pracodawca i w jaki sposób zostanie to uregulowane? • Co stanie się w razie zagubienia czy kradzieży urządzenia? Czy będę odpowiedzialny za straty? A może firmowe dane da się skasować zdalnie? • Jakich zasad muszę przestrzegać, korzystając z urządzenia? Czy są one zawarte w regulaminie pracy? • Czy mogę w dalszym ciągu wykorzystywać urządzenie do dowolnych celów prywatnych? • Jakiego oprogramowania czy appów będę używał w ramach programu BYOD? Czy korzystanie z prywatnego oprogramowania w pracy bądź ze służbowego programowania do celów prywatnych będzie zgodne z licencją? MARZEC 2015 CHIP.PL Zalecenia dla pracodawcy • Wprowadź odpowiednie regulacje dotyczące BYOD! • Weź pod uwagę bezpieczeństwo danych oraz ochronę danych pracowników, ich prawo do prywatności itd. • Uzgodnij z pracownikami i przedstaw całej załodze politykę firmy względem BYOD. Wpisz do regulaminu pracy. • Polityka BYOD/CYOD powinna regulować: metody nadzoru, kwestie odpowiedzialności, obowiązek zgłoszenia przez pracownika wykrycia naruszenia prywatności danych lub utraty urządzenia, obowiązek informacyjny pracodawcy w zakresie sposobu przetwarzania danych pracowników, ograniczenia korzystania ze sprzętu przez osoby trzecie oraz warunki licencjonowania oprogramowania, wysokość ew. wynagrodzenia i dodatków, reguły bezpieczeństwa, w tym zasady tworzenia haseł i aktualizacji oprogramowania. MARZEC 2015 CHIP.PL SŁOWNICZEK BYOD: Bring Your Own Device • • • • • • • • pracownicy wykorzystują własne urządzenia (smartfony, tablety, notebooki) do celów służbowych CYOD: Choose Your Own Device; pracownicy mogą wybrać (spośród kilku) model urządzenia służbowego, pozostaje ono własnością firmy COPE: Corporate Owned, Personally Enabled; pracownicy używają firmowych urządzeń do celów służbowych i prywatnych BYOS: Bring Your Own Software; na urządzeniach służbowych mogą być instalowane prywatne narzędzia, appy czy systemy operacyjne Konsumeryzacja: pracownicy chcą wykorzystywać prywatne urządzenia również w pracy - przyczyna trendu BYOD Enterprise Mobility Management (EMM): system centralnego zarządzania urządzeniami pracowników oraz firmowymi sieciami informatycznymi przez przedsiębiorstwo Mobile Device Management (MDM): szczególny przypadek EMM. obejmujący przede wszystkim instalację appów, serwisowanie i nadzorowanie aktywności urządzeń mobilnych Konteneryzacja: szczelne rozdzielenie służbowych i prywatnych danych przechowywanych w pamięci urządzenia, stosowane zwłaszcza w ramach programów BYOD MARZEC 2015 CHIP.PL GWAŁTOWNY WZROST LICZBY MOBILNEGO MALWARE'U STYCZEŃ 2013 CHIP.PL Przykłady zagrożeń • Malware AndroidOS/Fakeplayer.A obciąża rachunek użytkownika, automatycznie wysyłając SMS-y premium, kosztujące nawet po kilkanaście złotych. • Trojan Android/Adrd-A i iPhone'owy robak iKee.B integrują mobilny system z siecią botów. W efekcie urządzenie zaczyna wysyłać spam, pomaga w atakach typu DDoS • ZeuS przechwytuje kody TAN (bankowość) • Liczba złośliwych aplikacji na Androida 2012 >25 tys. Chip II.2012; PCWorld.X.12; I.2013 Przykłady c.d. • Ukrycie pod znanymi grami, np. Angry Pigs&Birds • Bezpłatne aplikacje śledzą zachowania właściciela • Zwrot aplikacji na Androida – do 15 minut. Atak na smartfony przez funkcję GPS • Nowoczesne telefony do lokalizacji używają sygnału A-GPS (Assisted GPS). Skraca czas lokalizacji z 12 minut do sekund. • A-GPS korzysta z informacji pochodzących z sieci telefonii komórkowej i otaczających je sieci WLAN. To umożliwia włamania. aplikacje szpiegujące • Aplikacje badają czas i sposób ich używania • Usługi analizowania tworzą profile użytkowników • Wiele aplikacji odczytuje numery identyfikacyjne stałych podzespołów urządzenia (np. adres MAC układu WLAN, numer IMEI modułu telefonii komorkowej czy identyfikator Android ID ygenerowany przez system operacyjny). • Niektóre aplikacje przesyłają niezaszyfrowane hasła PC WORLD październik 2014 Obrona • Shark for Root – aplikacja do nasłuchiwania • WireShark - do przeglądania przechwyconych danych • Analizowanie QR teksty zawierają malware • zaszyty w nich złośliwy kod może być wykorzystany do skutecznego przeprowadzania ataku typu phishing (i wyłudzenia danych) bądź infiltracji użytkownika. • Np. link do strony szpiegowskiej. Czy kupujący sprawdzają bezpieczeństwo adresu otwieranej strony How trust really affects online shoppers’ decision to buy. Symantec. 2015 Internet Security Threat Report, Volume 20 http://www.symantec.com/security_response/publications/threatreport.jsp Wskazówki bezpiecznej strony • https • Szara kłódka – właściciel strony kupił swoją domenę na własność • Zielona kłódka = Extended Validation SSL, How trust really affects online shoppers’ decision to buy. Symantec. 2015 Internet Security Threat Report, Volume 20 http://www.symantec.com/security_response/publications/threatreport.jsp Kto sprawdza „identity theft” podczas zakupów How trust really affects online shoppers’ decision to buy. Symantec. 2015 Internet Security Threat Report, Volume 20 http://www.symantec.com/security_response/publications/threatreport.jsp RECONBOTDLA I0S: Zmienia każdy iPhone w tajną kamerę internetowa, która filmuje, gdy wyświetlacz jest czarny. Chip, III. 2013 Obrona dla mobilnych Np. bezpieczny Android 1/2 • • • • • Aplikacje tylko z oficjalnego sklepu Program antywirusowy Wgrywać aktualizacje Automatyczne tworzenie kopii zapasowych Blokowanie nieautoryzowanego dostępu – Aplikacji kodem liczbowym (App Lock) – Szyfrowanie – Blokada ekranu (np. rozpoznawanie twarzy) WWW.PCWORLD.PL SIERPIEŃ 2013 Np. bezpieczny Android 2/2 • Lokalizowanie komórki na mapach Google’a (Avira Free Android Security) + sygnał akustyczny np. w mieszkaniu • W publicznych WANach – WPA2 • Blokada wysyłania info przez wścibskie reklamy (Lookout Ad Network Detector) Bezpieczeństwo rozmów przez komórki • • • • Oferta polskiej firmy TechLab 2000 Szyfrujący telefon Xaos Gamma Całkowite bezpieczeństwo Po małych przeróbkach komórki Sagem 100x – urządzenie do podsłuchu rozmów telefonicznych w otoczeniu Anty malware produkty dla komórek • • • • DroidSecurity F-Secure Kaspersky Lookout • Darmowe • Apple’s Find MyiPhone • F-Secure Anti-Theft for Mobile • Microsoft’s Find My Phone • R.I.M.’s BlackBerry Protect Bez słabych punktów: sklasyfikowany na drugim miejscu McAfee Mobile Security Dużo potrafi i nic nie kosztuje: avast! Mobile Security STYCZEŃ 2013 CHIP.PL Formy obrony • Antywirusy • Kontrola certyfikatów instalowanych na komórkach aplikacji CHIP.PL KWIECIEŃ 2012 Mobilne pakiety bezpieczeństwa dla Androida Chip II.2012 Bezpieczne smartfony • F-Secure Mobile Security (dla Android, Windows Mobile, Blackberry oraz rodziny Symbian i iOS). • pozwala administratorowi zdalnie lokalizować i zdalnie kontrolować zapisane na telefonie dane. • w razie kradzieży możliwe jest zablokowanie smartfonu w przypadku próby wymiany karty SIM. Oprócz tego - również zdalnie - można całkowicie wyczyścić pamięć mobilnego urządzenia – dane nie trafią w niepowołane ręce. GRUDZIEŃ 2012 CHIRPL The OFF Pocket™ • Wł. i Wy. Telefonu trwa ok. 40 s. • Wyjęcie baterii, nie w pełni wyłącza funkcje tel. • Lodówka mniej bezpieczna Pluskwy • Montowane w celowo zgubionych pendraive’ach • W kablach USB • Zasięg pluskwy do 13 km. WWW.PCWORLD.PL MARZEC 2014 Cloud computing zagrożenia Cloud computing - zagrożenia • Bezpieczeństwo transmisji • Bezpieczeństwo magazynowania • Gwarancja prywatności (inna w róznych krajach) zgodna z polityką użytkownika • Dostępność danych i ich odtwarzanie (recovery) http://features.techworld.com/security/3219109 /the-seven-deadly-sins-of-cloud-security/ Siedem grzechów bezpieczeństwa cloud computingu 1-4/7 • Strata/wypływ danych • Prosty błąd konfiguracyjny systemu w chmurze, może być powielane wielokrotnie • Kłopoty wewnętrzne – nieuczciwi pracownicy chmury • Koncentracja dużych ilości danych – konieczny mocny monitoring, podwójna autentyfikacja Siedem grzechów bezpieczeństwa cloud computingu 5-7/7 • Niebezpieczne interfejsy programistycznych aplikacji. Ważna autentyfikacja, kontrola dostępu i kryptografia • Zagrożenia przestępstw hakerskich • Nieznany profil ryzyka – IT poza firmą Największe zagrożenie dla informatyzowanych firm? • urządzenia mobilne (45% badanej próby). • 32% uznało, że źródłem kłopotów z bezpieczeństwem jest korzystanie z mediów publicznych, • 25% cloud computing. CHIP.PL KWIECIEŃ 2014 Przykład zarządzania bezpieczeństwem • parkiem maszynowym, danymi, bezpieczeństwem punków końcowych (i nie tylko) oraz pracownikami, • produkty LANDesk Software. Np. LANDESK MANAGEMENT SUITE • umożliwia inwentaryzację zasobów IT, • zdalne zarządzanie systemami operacyjnymi i aplikacjami (włącznie z ich zautomatyzowaną instalacją) • monitorowanie wykorzystania licencji. • funkcje MDM (Mobile Device Management), tym samym rozwiązując problem kontroli danych na urządzeniach mobilnych. CHIP.PL KWIECIEŃ 2014 Prywatność, cenzura, cyberbullying Manipulacja Samozniszczenie • Confide i Telegram umożliwiają wysyłanie samoniszczących się komunikatów, po ich przeczytaniu. • Confide – tekst jest widoczny tylko podczas dotykania palcem ekranu. • Telegram oferuje prywatne chatroomy gdzie można zadać czas po którym wszystkie teksty zostaną usunięte (1-5 minut). • SnapChat umożliwia odbierać i wysyłać ginące obrazy. Entering the Era of Private and Semi-Anonymous Apps By NICK BILTON , NYT Samoniszczące się maile – jednorazowe adresy • W sieci działa kilkaset serwisów oferujących usługę tymczasowych, anonimowych kont e-mail. .PCWORLD.PL GRUDZIEŃ 2015 Jednorazowe adresy • • • • • • Air Mail (pl.getairmail.com) Migmail.pl Guerrilla Mail TempMail (temp-mail.org/pl) meltmail.com www.yopmail.com/pl • Snapchat umożliwia przesyłanie zdjęć i filmów. • Można je odtworzyć maksymalnie przez 10 sekund, a następnie ulegają one autodestrukcji. • Każde zdjęcie można otworzyć dwukrotnie, po czym znika chyba że, zostało zapisane na „mystory” użytkownika, wówczas jest ono widoczne dla innych użytkowników „znajomych” przez 24h. Cyberbullying to przestępstwo • • • • • • W dniu 6 czerwca 2011 r. Kodeks karny, opublikowana w Dz. U. z 2011 r. Nr 72, poz. 381, ustawę uznającą cyberprzemoc i stalking w Polsce za czyn zabroniony podlegający karze na podstawie art. 190a K.k.[5][6]: paragraf 1: Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności do lat 3. paragraf 2: Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej. paragraf 3: Jeżeli następstwem czynu określonego w § 1 lub 2 jest targnięcie się pokrzywdzonego na własne życie, sprawca podlega karze pozbawienia wolności od roku do lat 10. paragraf 4: Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego. Prywatność • Prywatność oznacza prawo do kontroli informacji pod warunkiem, że inni uznają prawo do takiej kontroli • • privacy means a right to control information while others believe it is a right to prevent access to information. The legal definition of American privacy rights begins with the 1890 Harvard Law Review article when Samuel Warren and Louis Brandeis called for legal protection in what they called “the right to be left alone.” They said “numerous mechanical devices threaten to make good the prediction that ‘what is whispered in the closet shall be proclaimed from the house tops’ ” Journal of Mass Media Ethics: Exploring Questions of Media Morality, Publication details, including instructions for authors and subscription information: http://tandfonline.com/loi/hmme20, Newsgathering and Privacy: Expanding Ethics Codes to Reflect Change in the Digital Media Age, Ginny Whitehouse a a Whitworth University, Available online: 05 Nov 2010 Polityka ochrony danych propozycja (Komisja Europejska) • Straty firm z powodu utraty prywatności – 2,3 mld €/rok • Propozycja zmiany Data Protection Directive z 1995 roku • Np. prawo do usuwania osobistych danych z serwisów społecznościowych – opór USA NYT, November 29, 2011, A Proposal for E.U.-Wide Data Protection Regulation, By ERIC PFANNER Biały wywiad wyszukiwarek i sieci społecznościowych Biały wywiad - Google • Google przyznał się do zebrania 600 gigabajtów ze stron, niezabezpieczonych wi-fi (maile). • Oficjalne procedury uruchomione przez Hiszpanię, Czechy, Francję i Niemcy. May 20, 2010, In Europe, Google Faces New Inquiries on Privacy, By KEVIN J. O'BRIEN s http ://www.google.com • Troska o prywatność zapytań, szczególni w hotspotach • Uruchomienie https po złożenia konta w Google Dochodzenie antytrustowe Bruksela - Google • Dominacja na rynku szperaczy w Europie – 80%, USA tylko 66% • Blokowanie w SERP konkurencji, np. porównywarek cen • Oczekiwana kara – 10% wpływów z 23 mld USD November 30, 2010, NYT, Europe Opens Antitrust Inquiry Into Google, By JAMES KANTER and ERIC PFANNER Prywatność – media społecznościowe • Administracja wykorzystuje dane ze stron społecznościowych • Dochodzenia podatkowe • Motywy i wzajemne relacje osób • Lokalizacja • Rozpoznawanie twarzy – od 2011 Facebook (zmiana w „ustawienia prywatności”) • Facebook (Pcworld/XI.2011, s. 78) Zgoda na ograniczenia swobody informacyjnej usług w sieci • Niemcy: – Facebook zgodził się na ograniczenie udostępniania adresów w wyszukiwarce adresów przyjaciół – 2010 – Google skasował miliony zdjęć domów i mieszkań Facebook Makes Deal With German Privacy Group By KEVIN J. O'BRIEN Published: January 24, 2011 Sieci społcznościowe, przykład – Facebook 1/3 • 5,5 mln. Polaków utrzymuje w FB regularne kontakty • Każdy zgadza się by inni uzyskali wgląd w jego relacje społeczne • Udostępnianie FB dostępu do prywatnej poczty w WP, Onet, Interia • Kolekcjonowanie adresów i ich powiązań – obraz sieciowej społeczności. Chip maj 2011 Sieci społcznościowe, przykład – Facebook 2/3 • Aplikacje na komórki - iOS, Android, Windows Phone czy Symbian, a korzysta z nich około 200 mln osób z całego świata • Po zainstalowaniu i pierwszym uruchomieniu aplikacje tego typu synchronizują zapisane bazy kontaktów i przekazują nazwiska, numery telefonów oraz adresy email wprost do baz Facebooka. Chip maj 2011 Sieci społcznościowe, przykład – Facebook 3/3 • Facebook nie jest notowany na giełdzie – nie musi składać wymaganych przez kodeks handlowy raportów finansowych • Zasilanie finansowe: sponsorzy i reklamy • Udziały min. w rękach Microsoft (240 mln $) i rosyjska spółka DST (400 mln $) Chip maj 2011 Co można wyciągnąć z portalu • O zatrudnieniu, sytuacji finansowej, preferencjach i zainteresowaniach • Sposób spędzania wolnego czasu, plany weekendowe/wakacyjne • Miejsce zamieszkania, miejsca bywania – kluby • Znajomych i rodzaju kontaktów COMPUTERWORLD 10.V.2011 Prywatność na Facebooku • 8 na 10 US/UK dorosłych ma obawy o prywatność kupując na Facebooku • There are 230 million monthly active users across all of Zynga's games, and Zynga claims 60 million users play its games each day. Zynga also reports it sells 38,000 virtual items every second. Zynga made $575 million in revenue off the sale of virtual goods in 2010, compared to $22.8 million in advertising revenue. Will Privacy Concerns Limit F-Commerce? ClickZ Janice Diner | Social Commerce | August 2, 2011 Dane o nas dla nas • Firmy sieciowe (sklepy, wyszukiwarki, portale społecznościowe) dysponują ogromną ilością informacji o nas • Dostęp do danych o tobie, inicjatywy: – „mydata” - http://www.cabinetoffice.gov.uk/resourcelibrary/better-choices-better-deals, – „Bluebutton http://www.va.gov/BLUEBUTTON/index.asp) Kadry • 43 proc. europejskich firm sprawdza reputację potencjalnych pracowników w Sieci przed wysłaniem im zaproszenia na rozmowę wstępną, • 23 proc. osób z działów kadr odrzuciło kandydaturę danej osoby ze względu na negatywne komentarze pod jej zdjęciami oraz wypowiedzi w serwisach społecznościowych i blogach. Chip XII.2010 Fotografie, facial recognition linkig faces • Chwila po zrobieniu zdjęcia komórką – komplet dostępnych w sieci danych o fotografowanym • PittPatt face-recognition oprogramowanie rozpoznające w Facebooku • Heathrow - facial recognition, ochrona przed nielegalnymi imigrantami This story appeared on Network World at, http://www.networkworld.com/news/2011/080111-blackhat-facial-recognition.html Black Hat: System links your face to your Social Security number and other private things , Black Hat presentation to show how photos, facial recognition and overlapping databases will lead to less privacy, By Tim Greene, Network World , August 01, 2011 05:26 PM ET Face Recognition • SceneTap – rozpoznawanie postaci (nie twarzy). Ocena średniej wieku w grupie, rozkład płci • Kamery w bilbordach oceniają średni wiek, płeć i poziom uwagi, także dostosowując treść reklamy do oglądającego bilboard • Facebook – Tag Suggestions – rozpoznaje twarze przyjaciół i przyporządkowuje ich imiona • Przyszłość: analiza skóry i sugestia kremu NYT, November 12, 2011, Face Recognition Makes the Leap From Sci-Fi, By NATASHA SINGER Obnażanie informacyjne • Jednym z podstawowych zagrożeń jest utrata prywatności - nieświadome udostępnianie informacji o sobie, które w krańcowych przypadkach doprowadza do tak zwanej utraty tożsamości. Dane te tworzą głównie informacje, dostępne w portalach społecznościowych (NK, FB). Negatywne informacje • Trudne do usunięcia. Koszt 500 – 1000 USD • Blokada w wyszukiwarkach negatywnych informacji – tysiące USD + kolejne tysiące w danych o osobach: Intellius lub PeopleFinder • Usunięcie oszczerczych (ktoś o firmie) informacji – dziesiątki tysięcy USD http://www.nytimes.com/2011/06/11/your-mney/11wealth.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print Propozycja – 12.IV.2011 Commercial Privacy Bill of Rights • Kodeks podstawowych zasad postępowania z danymi osobowymi i informacjami, które mogą jednoznacznie identyfikować osoby lub urządzenia sieciowe służące do gromadzenia i dystrybucji informacji. http://kerry.senate.gov/work/issues/issue/?id=74638d00-002c-4f5e-9709-1cb51c6759e6&CFID=88008994&CFTOKEN=11424634 Prawa prywatności • prawo do bezpieczeństwa i odpowiedzialności. Gromadzący i przechowujący informacje musi wdrożyć środki bezpieczeństwa w celu ich ochrony, • prawo do wiedzy, zgody, dostępu i korygowania informacji, • prawo do minimalnej ilości danych, ograniczenia w ich dystrybucji i integralności. Children's Online Privacy Protection Act of 1998 • (1) IN GENERAL.—It is unlawful for an operator of a website or online service directed to children, or any operator that has actual knowledge that it is collecting personal information from a child, to collect personal information from a child in a manner that violates the regulations prescribed under subsection (b). http://www.ftc.gov/ogc/coppa1.htm http://www.ftc.gov/ogc/coppa1.htm Obrona w mediach społecznościowych • Bitdefender Safego (safego.bitdefender.com) – analiza wpisów umieszczanych na tablicy użytkownika, statusów i wiadomości w poszukiwaniu złośliwych treści – analizowane są wpisy znajomych pod kątem występowania linków przekierowujących na złośliwe strony lub aplikacje nastawione na zdobycie dostępu do wrażliwych danych – Badanie ustawień prywatności konta, aby ostrzec użytkownika, które informacje może udostępniać nieświadomie. • MyPageKeeper • www.socialshield.com (dla najmłodszych internautów) w różnych serwisach społecznościowych m.in. Facebook, Twitter, Google+ i MySpace. – Analizowane są wszystkie wpisy zarówno publiczne, jak i prywatne. – Aplikacja poszukuje nagości, odniesień do seksualności, dyskusji na temat alkoholu i narkotyków itp. Pcworld, I.2013 SERP bez śledzenia • Wyszukiwarka Startpage oferuje wyniki wyszukiwania stron internetowych generowane przez Google z zachowaniem pełnej prywatności! • Podobnie: https://duckduckgo.com/about; http://www.etools.ch/ dla innych narzędzi wyszukiwania Canvas fingerprinting • Witryny mogą (lub mogły) pozyskiwać swoisty odcisk palca przeglądarek internetowych odwiedzających je internautów. • Taki ślad pozwala zidentyfikować nie tylko przeglądarkę, ale i konkretnego jej użytkownika. • Większość operatorów witryn, nie wie o technologii dostępnej na ich stronach. Canvas • Komputer wyposażony w określoną przeglądarkę internetową generuje unikatową grafikę, ktorą można przekształcić w specyficzny adres URL lub sygnaturę. • można zidentyfikować tą metodą ponad 90% komputerów WWW.PCWORLD.PL MARZEC 2015 WWW.PCWORLD.PL MARZEC 2015 http://yacy.net/en/index.html • YaCy is a free search engine that anyone can use to build a search portal for their intranet or to help search the public internet. When contributing to the world-wide peer network, the scale of YaCy is limited only by the number of users in the world and can index billions of web pages. It is fully decentralized, all users of the search engine network are equal, the network does not store user search requests and it is not possible for anyone to censor the content of the shared index. We want to achieve freedom of information through a free, distributed web search which is powered by the world's users. http://yacy.net/en/index.html CENZURA W GLOBALNEJ SIECI CHIP.PL MARZEC 2013 Cenzura • Włochy i UK (Internet Watch Foundation) stosują mechanizmy blokujące i filtrujące. Treści związane z dziećmi. • Włochy – blokada zakładów bukmacherskich. • BKA – niemiecki odpowiednik CBŚ zamierza blokować wskazane witryny • Listę blokowanych witryn prowajderom dostarcza BKA Chip XI/09; Computerworld IX/09 Cenzura - Europa • Od marca 2009 roku CERT Polska w projekcie FISHA (A Framework for Information Sharing and Alerting). • Głównym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w sieci Internet. Zagrożenia – gry, projekt ustawy USA • 1.000 dolarów grzywny na sklepach, które sprzedają brutalne gry wideo dla osób poniżej 18 lat. • Brutalna gra: opcje dostępne dla gracza obejmujące zabijanie, okaleczanie, obnażanie lub napaść seksualną; obraz człowieka, który jest ewidentnie obraźliwy, odwołania do dewiacyjnych lub chorobliwych zachowań z nieletnimi oraz brak poważnej literackiej, artystycznej, politycznej lub naukowej wartości. November 2, 2010, Justices Debate Video Game Ban,By ADAM LIPTAK Autorytarne rządy w sieci • Szefowe koncernów - Mark Zuckerberg (Facebook), Lany Page (Google), Tim Coom (Apple) i JefF Bezos (Amazon) - decydują, jakie treści mogą pojawić się w ich serwisach, a jakie muszą zniknąć. Np.: – Apple umożliwia pobieranie appów tylko z jednego źródła własnego sklepu - i decyduje, ile pieniędzy mogą zarabiać ich twórcy – Google decyduje, jakie strony znajdujemy w Sieci, i przywiązuje użytkowników do siebie, oferując im dodatkowe usługi. – Facebook automatycznie określa, które wpisy znajomych, appy czy strony fanowskie mogą być dla nas interesujące. CHIP.PL KWIECIEŃ 2013 Kontrola treści Sieci, cenzura • 50 pracowników Telecommunication On Demand sprawdza ok. 20 milionów obrazów każdego tygodnia • Outsourcingowa firma - Caleris – 4,5 mln. Obrazów codziennie • YouTube kontroluje materiały wskazane przez internautów. • Facebook – kontrola w Palo Alto i w Dublinie. NYT, Policing theWeb’s Lurid Precincts, July 18,2010. Cenzura w Googlach PCWorld XII.2010 Dane z Google’a do rządów http://www.google.com/transparencyreport/ • W drugiej połowie 2010 roku rząd amerykański 4601 razy prosił Google 'a o informacje dotyczące użytkowników. W 96 proc. przypadków internetowy gigant częściowo lub całkowicie zgadzał się ich udzielić • Podobnie Brazylia, Indie, Wielka Brytania i Francja, jednak na ich prośby Google przystawał średnio tylko w 70 proc. przypadków. • Zero pytań z Chin Granice obiektywizmu • Na stronie Wikileaks opublikowano poufne, ukradzione dane o kontach klientów banku szwedzkiego. • Strona ta głosi, iż umożliwia ludziom publikować dokumenty anonimowo, z każdego państwa, które piętnują nieetyczne zachowania władz i korporacji NYT, March 5, 2008, 7:14 pm Bank Moves to Withdraw Its Suit Against Wikileaks Site By JONATHAN D. Kontrola/regulacja szybkości surfowania • Operatorzy telekomunikacyjni na całym świecie selektywnie zmniejszają szybkość transmisji – throttling. Więcej w mobilnym dostępie. – – – – – – USA – 23% UK (BT) – 74% Francja 21% RFN – 16% Japonia 49% Polska (operator w Łodzi) – 88% • Ocena programem „Glasnost” NYT, November 13, 2011, Putting the Brakes on Web-Surfing Speeds, By KEVIN J. O'BRIEN Cyberbulling Hejter Doktor Jekyll i pan Hyde Krzywe zwierciadło Internet, dzięki względnej anonimowości, bywa krzywym zwierciadłem – odbija naszą rzeczywistość ukazując, ukryte na co dzień, wypaczenia, kompleksy i paskudztwa codziennego życia Wzmacniająca funkcja IT: „rewers”: Cyberbullying – negatywna siła wirtualnego tłumu Cyberbullying obejmuje użycie informacji i technologii informacyjnych takich jak mail, komórki, IM, strony w celu wspomagania dyskusji, powtarzania, inicjowania, nieprzyjaznych zachowań osób lub grup z zamiarem uczynienia komuś krzywdy Cyberbulling? Hejter • złośliwe i powtarzające się nagabywanie, naprzykrzanie się, które może wywołać u ofiary poczucie zagrożenia. Obejmuje ono zachowania polegające na obsesyjnym śledzeniu, obserwowaniu albo kontaktowaniu się z inną osobą wbrew jej woli, • podszywanie się po kogoś w celu skompromitowania, • tworzenie opinii w publicznych miejscach wymiany informacji online, • tworzenie i rozsyłanie tendencyjnych maili ale także SMS-ów, wiadomości w portalach społecznościowych, na komuniaktorach, • kojarzenie w wyszukiwarkach niepochlebnych słów z nazwiskiem ofiary. • Ekstremalne konsekwencje – samobójstwa młodych ludzi • Hejter – zamieszczający nienawistne wpisy w internecie Cyberbullying – sieciowa nagonka • Poszywanie się po kogoś w celu skompromitowania • Tworzenie opinii w publicznych miejscach wymiany informacji online • Tworzenie i rozsyłanie tendencyjnych maili • Kojarzenie w szperaczach niepochlebnych słów z nazwiskiem ofiary • złośliwe i powtarzające się nagabywanie, naprzykrzanie się, które może wywołać u ofiary poczucie zagrożenia. Obejmuje ono zachowania polegające na obsesyjnym śledzeniu, obserwowaniu albo kontaktowaniu się z inną osobą wbrew jej woli, Stalker, cyberstalking, hejter Uporczywe nękanie • Złośliwe i powtarzające się nagabywanie, naprzykrzanie się, które może wywołać u ofiary poczucie zagrożenia. Obejmuje ono zachowania polegające na obsesyjnym śledzeniu, obserwowaniu albo kontaktowaniu się z inną osobą wbrew jej woli. • Do 3 lat więzienia za uporczywe nękanie ofiary, m.in. Telefonem, Internetem i inne pogróżki. Art.190a §1, 2, 3 i 4 (6. VI.2011) Prawo • Każda firma i osoba fizyczna, a nie tylko policja i prokuratura mają prawo żądać udostępnienia danych internauty godzącego w ich dobre imię - orzekł Naczelny Sąd Administracyjny. Pcworld X.2013 Ocena obraźliwego języka jest podzielona na sześć podkategorii: • przekleństwa, epitety, wulgaryzmy, rasowe nieprzyzwoitości, seksualne wulgaryzmy i słowa odnoszące się do części ludzkiej anatomii (brak podkategorii dotyczącej religii). https://www.readability.com/articles/xzj1jzqz?legacy_bookmarklet=1 Prawo a cyberstalking Art. 190a • § 1. Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności do lat 3. • § 2. Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej. § 3. Jeżeli następstwem czynu określonego w § 1 lub 2 jest targnięcie się pokrzywdzonego na własne życie, sprawca podlega karze pozbawienia wolności od roku do lat 10. § 4. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego. Niebezpieczne treści • Strony, głównie adresowane do młodych ludzi często zawierają treści szkodliwe, głównie związane z przemocą i seksem. Ekstremalne skutki • 21-latek ze Strzegomia, po ukazaniu się filmu (YouTube "zwierzenia szesnastolatki") na swój temat, popełnił samobójstwo (luty 2010). • Podobnie: Gdańsk, Krasnystaw, 21-latek (wieś Zagórz, styczeń 2009) – samobójstwo na żywo, przed internetową kamerą (serwis Interia). 16-latek, Damian (X. 2009, Krasnopole) – komunikat w Sieci spowodował samobójstwo (http://www.papilot.pl; http://dziennik.pl). • „Memory walls” – strony zadedykowane młodym ofiarom samobójstwa. Skutek – siedmioro, zachęconych wymową „Memory walls” młodych nastolatków popełniło samobójstwo (http://news.bbc.co.uk, 2010). Obrona - Entertainment Software Rating Board (ESRB) • Organizacja założona w 1994 przez Entertainment Software Association (ESA). • Pomaga zapewnić ochronę prywatności online branży interaktywnej rozrywki. • Misja: – Wzmocnienie pozycji konsumentów, zwłaszcza rodziców, w zdolności podejmowania świadomych decyzji na temat gier komputerowych i wideo – Nadawanie, stosownie do wieku i treści, http://www.esrb.org/index-js.jsp stosownych ocen. Oceny • Dotychczasowe, nadawane: – E (everyone), – T – Teens – M – Mature (>16 lat) • Nowe, nadawane przez ekspertów wg kwestionariusza ułatwiającego ocenić każdy subtelny niuans przemocy, seksualności, przekleństwa, narkotyki, hazard i funkcje ciała, które mógłby kogokolwiek obrażać https://www.readability.com/articles/xzj1jzqz?legacy_bookmarklet=1 Potencjał Web 2.0 dla dochodzeń kryminalnych • • • • • • • Dowody komunikowania się z osobami Wskazanie motywów i personalnych relacji Intencje i dowody premedytacji Informacje o lokalizacji Dowody na alibi lub brak alibi Wskazanie na okoliczności przestępstwa Narzędzia przestępstw i wskazanie korzyści z przestępstw. http://www.nytimes.com/2011/03/03/nyregion/03facebook.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print http://www.criminallawlibraryblog.com/U.S._DOJ__crim_socialnetworking.pdf Kto ma nasze dane? 1/2 CHIP.PL LISTOPAD 2013 Kto ma nasze dane? 2/2 CHIP.PL LISTOPAD 2013 Wartość informacji ŁĄCZNA WARTOŚĆ JEDNEJ OSOBY (MAKSIMUM INFORMACJI): OK. 1,65 $ CHIP.PL LISTOPAD 2013 Zapobieganie obrona 2011 r. rynek bezpieczeństwa w Internecie • osiągnął wartość 60 mld dol. • Firma Frost&Sullivan przewiduje, że do 2020 r. będzie to 140 mld dol. • Rząd USA planuje do 2015 r. wydawać CHIP.PL PAŹDZIERNIK 2012 Branże – gotowość do obrony Cisco 2015 Annual Security Report Sposoby obrony wg branż Cisco 2015 Annual Security Report Strategia bezpieczeństwa • określenie zasobów (co chronić?), • identyfikację zagrożeń (przed kim/czym chronić?), • analizę ryzyka (ile zasobów (czas, praca, pieniądze) należy przeznaczyć na ochronę?) Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku. Wybrane składowe bezpieczeństwa teleinformatycznego • • • • koszt wykrywania przestępstw, eskalacja – dynamika rozwoju, reakcje po zdarzeniach Zmniejszanie obrotów, zaufanie klientów 2010 Annual Study: U.S. Cost of a Data Breach, March 2011 Konstrukcje zabezpieczeń • nie istnieje bezpieczeństwo absolutne, • zapewnianie właściwego poziomu bezpieczeństwa to proces a nie stan, • napastnik często zamiast przełamywać zabezpieczenia umie je obejść, • konieczność stosowania wielu linii obrony, • złożoność najgorszym wrogiem bezpieczeństwa, • trudno wykazać osiągnięcie pewnego poziomu bezpieczeństwa, • wystarczy jeden incydent przełamania zabezpieczeń, by wykazać nieodpowiedni poziom bezpieczeństwa. Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku. Zasady wdrażania mechanizmów bezpieczeństwa • –zasada naturalności kontaktu z użytkownikiem, • –zasada kompletności zabezpieczeń, • –zasada minimalnego przywileju, • –zasada domyślnej odmowy dostępu. Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku. Zarządzani informacjami Data Governance • Zapewnienie dostępu do szczegółowych danych i uzyskanie pełnej kontroli danych, do tego w jaki sposób trafiają do systemów i kto z tych systemów potem korzysta. • Na przykład, nie można dopuścić do sytuacji, w której w firmie ubezpieczeniowej dane dotyczące rozliczeń z klientami wydostały się poza kontrolę pracowników działu rozliczeń. http://wp.download.idg.pl/sbwps/6af2816466052f1f6dbfda19ac8cacb6/4e2535ff/ibm2010/IIBM_Data_Governance_4.pdf Zadania zarządzania danymi 1/2 • • • • • • • definicja danych opis danych ograniczenia (polityka) synonimy terminy powiązane języki określające dane klasyfikacja wrażliwości danych, np. niskiej, średniej, wysokiej http://wp.download.idg.pl/sbwps/6af2816466052f1f6dbfda19ac8cacb6/4e2535ff/ibm2010/IIBM_Data_Governance_4.pdf Zadania zarządzania danymi 2/2 • przypisana osoba odpowiedzialna za ochronę danych (tzw. steward) • polityka jakości danych • polityka prywatności • polityka bezpieczeństwa • polityka cyklu życia danych • historia obejmująca zmianę nazw, definicji, ograniczeń, wersjonowanie • występowanie danych (tabele, raporty) Prewencja • Szyfrowanie, w tym pełne szyfrowanie dysku i urządzeń mobilnych / smartfonów • Rozwiązania Data Loss Prevention (DLP) rozwiązań • Identyfikacja i rozwiązania do zarządzania dostępem • rozwiązania Endpoint Security i inne narzędzia anty-malware • Przejmowanie botnetów Obrona • • • • Firewalle, Intrusion Prevention Systems (IPS), Anti-Virus (AV), Bramy dostępu (gateways). Bezpieczna informatyzacja • Strategia bezpieczeństwa informatyzacji obejmuje: – audyt legalności oprogramowania, – audyt wydruku, – oprogramowanie do zarządzania zasobami IT – polityki bezpieczeństwa informacji Cele bezpieczeństwa • Mechanizmy bezpieczeństwa powinny: – zapobiec atakowi, – wykryć atak, – zatrzymać atak i odzyskać stan sprzed ataku Kierunek rozwoju pakietów antywirusowych • przenoszenie niektórych elementów zabezpieczeń do chmury • ochrona tożsamości i prywatności podczas korzystania z portali społecznościowych i bankowości elektronicznej. Pamiętaj! - wszystko jest złe, do czasu udowodnienia, że jest dobre - zlikwidować cały ruch i dostęp bez odpowiednich uprawnień - nie chowaj głowy w piasek przed problemami bezpieczeństwa - pamiętaj, że zawsze są nieznane (zwykle duże) liczby nieznanych problemów bezpieczeństwa Złoczyńca Zabezpieczenia Zabezpieczane wartości Racjonalność podejmowania decyzji • racjonalnie jest zabezpieczać rzeczy ważne, • ważenie ryzyka i osiąganie kompromisu między poziomem zabezpieczeń a użytecznością rozwiązania, • ważenie ryzyka i osiąganie kompromisu między poziomem wydatków na zabezpieczenia a kosztem przełamania zabezpieczeń. Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku. Cena bezpieczeństwa • Nie powinna być większa od wartości oszacowanego ryzyka • Wartość ryzyka = wartość straty x prawdopodobieństwo straty Podstawowa ochrona pecetów nie ma perfekcyjnego zabezpieczenia • • • • • Antywirus Antyspam Firewall Antyphishing Backup • Norton 360 • OneCare • TotalCare Bezpieczeństwo komputera 1/2 • Używać NTFS, nie FAT 16 i 32 • Kontrola kont użytkowników • Logowanie przez hasło, wg kontrolowanych zasad (długość, trudność, czas życia) • Wyłączenie zbytecznych usług • Blokada automatycznego odtwarzania zew. Nośników • Poprawna konfiguracja przeglądarki Bezpieczeństwo komputera 2/2 • • • • • • • • • Automatyczne aktualizacje Firewall wł. Antywirus Antyszpieg Ocena bezpieczeństwa – Microsoft Baseline Security Analyzer (MBSA) Kopie zapasowe Szyfrowanie plików, poczty Usuwanie śladów Dokładne usuwanie plików Bezpieczeństwo Sieci Każdy Cebula informacyjna Zarząd Podstawowi klienci Finanse Dyrektorzy Szczególne komórki Dystrybutorzy, pośrednicy Pracownicy firmy Podwykonawcy Granice zatarły się Brak granicy sieci ONI MY Sieć częściowo bezpieczna Sieci nie zapewniające bezpieczeństwa Jarosław Samonek Symantec Poland Sp. z o.o. Problemy przedsiębiorstwa a problemy techniczne Konsekwencje Skutki • narażenie poufnych danych • przerwanie transakcji • utrata lub nadużycie danych Miejsce ataku Jarosław Samonek Symantec Poland Sp. z o.o. Firmy Trzecie jące Aplikacje Zarządzanie ZabezpieczaBezpieczeństwem Zarządzanie Bezpieczeństwem - Wymagania Gateway Serwer Klient Ochrona Bramy Ochrona Serwera Ochrona Klienta • • • • • • • • • • • • Ochrona przed wirusami Filtrowanie treści Firewall Wykrywanie włamań Ochrona przed wirusami Filtrowanie treści Zarządzanie Zagrożeniami Wykrywanie włamań Ochrona przed wirusami Filtrowanie treści Firewall Wykrywanie włamań Zarządzanie Incydentami Zarządzanie Konfiguracją Zarządzanie Zdarzeniami Zbieranie Przekazywanie Firmy Trzecie Jarosław Samonek, Symantec Poland Sp. z o.o. 1/5 podstawy korzystania z Internetu w firmie 1. Pracownik jest odpowiedzialny gdy korzysta z Sieci podczas pracy z niedopuszczalnych zasobów. "Edukacja w zakresie malware via Internet”. 2. Programy filtrujące umożliwiają kontrolę wirtualnych wędrówek pracowników (pornografia, zakupy). 3. Konieczna odpowiednia parametryzacja filtrów – kontrolowane otwieranie przejść. 2/5 Centralnie zarządzane oprogramowanie antywirusowe 1. Gwarantuje, że każdy PC w firmie jest automatycznie skanowany aktualnymi definicjami. 2. Zdalne usługi antywirusowe dla firm nie dających sobie z tym problemem rady, np. ISP. 3/5 Firewall z wykrywaniem intruzów 1. Sieciowe worm’y np. Sasser i Code Red nie różnią się od legitymizowanego ruchu i przechodzą przez firewall. 2. Intrusion detection umożliwia wyłapanie worm’ów (otwierają dostęp do LANu). 4/5 Instaluj Intrusion Detection 1. Firewall broni przed zewnętrzem intrusion detection na indywidualnych PC chroni przed próbami ataku od wewnątrz. Np. Trend Micro, Symantec. 5/5 Szyfrowanie i Cyfrowy podpis, certyfikaty 1. Podpis - Gwarancja poufności, integralności i autentyczności korespondencji 2. Certyfikat - Gwarancja wiarygodności instalowanego oprogramowania. 3. Zawsze korzystać z kontroli ważności certyfikatu Antywirusy i inne do obrony, darmowe i inne • • • • AntiVir Personal Windows Defender Malicious Software Removal Tool Online: www.mks.com.pl/skaner; infectedornot.com (tylko w IE) Ewolucja systemów bezpieczeństwa • I generacja: jasne zagrożenia i oczywiste środki zaradcze (szyfrowanie, firewall), • II generacja: własny haker i systemy ochrony aktywnej, • III generacja: wzorowanie się na modelu bezpieczeństwa i zarządzaniu ryzykiem Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Pierwsza generacja systemów bezpieczeństwa • Prosty schemat działania: eliminujemy zagrożenia poprzez zastosowanie odpowiedniego produktu, • Zagrożenia są oceniane z własnej perspektywy, • Duża liczba zagrożeń = bardzo duży problem, • Trudno ocenić opłacalność przeciwdziałania zagrożeniom Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 II generacja • Własny haker i monitorowanie aktywności użytkowników, • Zagrożenia są oceniane z perspektywy włamywacza komputerowego (zew. i wew.) • Duża liczba zagrożeń = mały problem, • Nadal trudno ocenić opłacalność przeciwdziałania zagrożeniom Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Etyczni hakerzy do wynajęcia http://neighborhoodhacker.com/ • Nasz zespół wysokokwalifikowanych hakerów pomaga hakować maile, Facebooka, websites, social media, urządzenia mobilne i inne. • Wynajmij hakera by dbać o swoją prywatność • Hire a Hacker to help you take control of your online privacy. As a professional hacker for hire company, we provide the best certified hackers available combined with talent and the highest level of privacy and confidentiality to our clients. How hiring a hacker works. Professional Hackers for Hire online • • • • • • • • • • • • • • • Hacker for Hire Services - Professional and Ethical Hackers Social Media hacker for hire Has your Facebook, Twitter or Google+ account been attacked by a hacker? Do you need to get back into a social media account? A Professional Hacker Can Help! Hackers for cracking passwords Everyone loses a password at some point. We help crack/recover passwords from computers, mobile & wireless devices, E-mail accounts, FaceBook and more! Hire hacker! Cyber Stalking Investigations Hire a hacker to help protect your children from cyber predators. Our professional hackers can find the source and help close the case on any investigation. Hire a Hacker! Email hackers for hire Any email is hackable and we can get in and recover your passwords. Hire a professional hacker to recover your personal data. Hire an Email hacker now! Professional Data Encryption Our professional hackers can encrypt any data and help protect sensitive information from any hacker who might try to hack your systems. Hire a hacker now! Our hackers have all the tools Our professional hackers have all the knowledge and tools to get the job done. No matter what your hacking need, we can get it done in a professional and timely manner. III generacja • Stosujemy techniki I i II generacji plus: • Wzorujemy się na obiektywnym modelu (standardzie) systemu bezpieczeństwa • Bezpieczeństwo i ryzyko traktujemy jako wielkości mierzalne, • Zarządzamy ryzykiem zgodnie z rachunkiem ekonomicznym Standaryzacja zarządzania zagrożeniami UTM - Unified Threat Management • Zapora ogniowa • IPS – Intrusion Prevention System • Moduł wirtualnych sieci prywatnych (IPSec, VPN, SSL VPN, PPTP) • Moduł autoryzacji użytkowników • • • • • • Ochrona antywirusowa Ochrona przed spamem Filtr URL Zarządzanie logami Kalendarze reguł Zarządzanie łączami zapasowymi • Kształtowanie pasma • I inne Sejfy • Ogień, woda, upadek. • Np. HDD – punkt krytyczny 55 stopni C • Sejfy z komunikacją: USB 2, kable do laptopa. PC World, VI.09 DRM DRM • DRM firmy Apple – FaiPlay, mnimum skuteczności (zhakowany w 2003 roku). • Przewidywania – 2008, DRM pozostanie wspomnieniem • Programy do omijania zabezpieczeń: – DVD Shrink – AnyDVD HD – Deamon Tools, Yasoo – uruchamianie programu bez oryginalnego krążka Chip 11/2007, s. 108 Zabezpieczania DRMu • technologia DRM (Digital Rights Management) – system do zabezpieczania komputerowych dokumentów, w tym muzyki, przesyłanych w Internecie. • Umożliwia on przekazywanie osobom trzecim publikacji z ograniczonymi prawami (np. bez możliwości wydruku, edycji czy zrobienia kopii). • DRM nie tylko zabezpiecza dane podczas transmisji kanałami publicznymi, lecz także kontroluje późniejsze ich wykorzystanie przez odbiorców (potwierdzając przez Internet ważność praw autorskich). • DRM zabezpiecza prawa autorskie właścicieli dokumentów poprzez ich szyfrowanie i oznaczanie „cyfrowym znakiem wodnym” (wzór bitów wkomponowanych w oznaczany znakiem plik). Odczytanie takiego pliku wymaga posiadania odpowiedniego oprogramowania. Trzy wersje DRM 1. Wersja pierwsza, pozwala na określenie: a) b) c) d) czy plik można odtwarzać czy plik można przegrać na urządzenia przenośne oraz CD po jakim czasie ma się skończyć możliwość odtwarzania pliku działa także na MAC OS-ie. 2. Wersja dziewiąta pozwala na określenie możliwości: a) b) c) d) e) 3. liczby odtworzeń liczby nagrań na urządzenia przenośne liczby nagrań na CD-Audio ustawienia wielu opcji czasowych ważności licencji (od kiedy i do kiedy, jak długo po pierwszym odtworzeniu itp.) usunięcia licencji na plik, gdy zostanie przestawiony zegar w komputerze. Wersja dziesiąta. Pliki zabezpieczone tą wersją odtwarza tylko Windows Media Player 10, działający wyłącznie pod Windows XP. Źródło: Krzysztof Piekarczyk, Nie za darmo, „Chip” 2005, nr 8. Protected Media Path (PMP) uniemożliwia nielegalne kopiowanie filmów i muzyki - (Protected Video Path) i audio (Protected User Media Path). Znak wodny • Cinavia jest dźwiękowym znakiem wodnym. Na płytach Blu-ray znajduje się on najczęściej w angielskiej ścieżce dźwiękowej i jest odporny na konwersję do innych formatów, a także na miksowanie z dźwięku wielokanałowego do stereo. • Od roku 2010 płyty Blu-ray obok szyfrowania AACS są chronione jeszcze znakiem wodnym Cinavia. • wyeliminowanie znaku wodnego bez utraty jakości nie jest możliwe nawet w teorii. GRUDZIEŃ 2013 CHIP.PL SiDiM • Nowa technologia znaku wodnego SiDiM (Bezpieczne Dokumenty Dzięki Indywidualnemu Znakowaniu) ma zapobiec kopiowaniu przez odstraszanie. • Inaczej niż w Cinavii, w czytnikach e-booków nie będzie zaimplementowane rozpoznawanie SiDiM. • SiDiM bazuje ma małych, ale widocznych zmianach w tekście: od prostych przekręceń słów aż po użycie pojęć synonimicznych GRUDZIEŃ 2013 CHIP.PL Przykład użycia zblendowanych krzywych wektorowych do zabezpieczenia obrazu; Adobe Illustrator, materiały własne, Tomasz Bala • nadawanie znaku wodnego nie musi wymagać znajomości edytorów graficznych. Można skorzystać z programów takich jaki PictureShark czy Image Signature, które automatycznie oznaczą zdjęcia, Znak wodny dla dźwięku • Np. Spread Spectrum Audio Watermarking - kodowanie wąskiego pasma szumu poprzez całe spektrum częstotliwości pliku, 20- 20000 Herzów. • Jest to forma niewidocznego, a w tym przypadku niesłyszalnego znaku wodnego. • Inne narzędzia: programy do obróbki cyfrowych materiałów dźwiękowych typu DAW jak Pro Tools czy Logic, analizatory sygnału audio czy wtyczki typu VST, RTAS itp. Bezpieczeństwo poczty elektronicznej • Automatyczna archiwizacja skrzynek mailowych • Narzędzia do archiwizacji i zarządzania pocztą elektroniczną (kontrola, indeksacja itp.). Enterprise Vault, EmailExtender, Sunbelt [2011]. Rezolucja Parlamentu Europejskiego - Raport Gallo • Dotyczy ochrony praw własności intelektualnej. Przyjęty tekst zrównuje ściąganie plików z internetu z innymi naruszeniami własności intelektualnej. • Permanentna, totalna inwigilacja internetu, na podobieństwo tej, której już teraz doświadczają Francuzi. Wybrana przez władze firma bez przerwy monitoruje wszelkie źródła udostępniające nielegalne filmy. SOPA i PIPA —Stop Online Piracy Act i Protect Intellectual Property Act • Ruch przeciw nadużywaniu kontroli/przestrzegania praw autorskich Anti-CounterfeitingTrade Agreement (ACTA) • Nowe przepisy przeciwko piractwu wykorzystujące internetowe filtry, blokady stron WWW i mechanizmy odcinające piratom dostęp do Sieci. • każdy ma być osobiście odpowiedzialny za wykorzystywano przez siebie elementy Internetu. • Providerzy mieliby tez wprowadzić zasadę trzech kroków (ostrzeżenie, przypomnienie, odłączenie) i w razie potrzeby blokować dostęp do Sieci użytkownikom pobierającym nielegalne pliki. • Rządy poszczególnych krajów UE będą zobligowane do wprowadzenia zgodnych z nią przepisów. Chip XII, 2010 ACTA - cel • Międzynarodowe ramy do działań przeciw naruszaniu własności intelektualnej • Porozumienie przeciw handlowi podrobionymi towarami, także w środowisku cyfrowym w zakresie szeroko pojętej własności intelektualnej. ACTA AD 2012 swobodna interpretacja • Prowajderzy mają prawo i obowiązek kontroli dystrybucji chronionych materiałów – zbyt duża swoboda kontroli inwigilacji • Zbyt łatwe udostępnianie, właścicielom chronionych materiałów, danych identyfikujących osoby/firmy rozpowszechniające chronione materiały Prawa autorskie • Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, przewidująca wzmocnienie „antypirackiej ochrony". • Piractwem komputerowym będzie udostępnianie i używanie aplikacji czy też systemu, na który nie ma się licencji i nie jest to oprogramowanie typu open source lub na licencji freeware czy shareware. Te same zasady dotyczą grafik, utworów muzycznych czy nagrań wideo. Piractwo komputerowe • Zgodnie z przepisami Ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych, kopiowanie i używanie programów komputerowych bez zezwolenia właściciela praw autorskich jest zabronione i podlega surowym sankcjom karnym i cywilnym. • Mianem piractwa komputerowego określa się kopiowanie, reprodukowanie, używanie, wytwarzanie oraz rozpowszechnianie bez zezwolenia programu komputerowego chronionego prawem autorskim. kwiecień 2012 www.PCWorld.com HD+ wyklucza modyfikację, filtrowanie treści Chip 12/09 Ograniczanie zagrożeń funkcji niepewnych/nowych aplikacji • środowiska dla innych aplikacji: • Piaskownice (w literaturze zwane też często sandboksami) • oprogramowanie do wirtualizacji naturalnego środowiska Piaskownice - sandboxy • tworzą wydzielony fragment systemu operacyjnego, który znajdującą się we wnętrzu aplikację uważa za cały system. Przykładem tego typu działa jest mechanizm jail • Piaskownice nadają się praktycznie do wszystkiego: pozwalają na uruchomienie przeglądarki internetowej w izolowanym środowisku, ale też na sprawdzenie, jakie szkody poczyniłby wirus, gdyby został uruchomiony bez zabezpieczenia. PCWorld 10/2009 Tryb piaskownicy • Tryb piaskownicy umożliwia utworzenie w systemie operacyjnym środowiska wykonawczego do uruchamiania programów z niskim poziomem uprawnień. W ten sposób chroni on system użytkownika przed niezaufanymi dokumentami, które mogą zawierać kod wykonywalny – taka metoda kontroli dostępu pozwala przypisywać różne poziomy uprawnień. Proces, któremu przypisano niski poziom uprawnień, ma ograniczony dostęp do większości obiektów. Inne mechanizmy często używane w trybie piaskownicy to ograniczone tokeny oraz limity zadań. http://wp.download.idg.pl/sbwps/0e6e4b972e269e6dbde941ea0950ae97/4f45fc92/adobe/Jak_uchronic_firme_przed_kradzieza_poufnych_danych.pdf Piaskownice - Sandboxie 3.38 • jedna z najłatwiejszych i najprzyjemniejszych w obsłudze piaskownic. • Instaluje się bez większych problemów i integruje z Eksploratorem Windows. • Inne piaskownice: GeSWall 2.9 Free/Pro, DefenseWall HIPS 2.56 PCWorld 10/2009; Chip II/2010 BITBOKS • To zautomatyzowane, kompleksowe środowisko łączące wirtualną maszynę, specjalną dystrybucję systemu Linux oraz bezpieczną przeglądarkę WWW. • Całość jest certyfikowana przez niemiecką federalną agencję bezpieczeństwa informacji (BSI - Bundesamt für Sicherheit in der Informationstechnik). • Np. do super bezpiecznej bankowości online CHIPPL WRZESIEŃ 201 2 Wybór i poprawna konfiguracja przeglądarek • Testy bezpieczeństwa (luk) • Instalacja wtyczki do podglądu adresów URL (dla stron o skróconych nazwach – aliasach) Wtyczki do podglądu adresów URL • ExpandMyURL (expandmyurl.com) i LongURLPlease (www.longurlplease). com) zapewniają aplety lub wtyczki do przeglądarki internetowej, które sprawdzają, czy z adresem docelowym skrótu wiąże się jakieś ryzyko. • Goo.gl, usługa skracania udostępniana przez Google'a, automatycznie skanuje adresy docelowe, aby wykrywać złośliwe witryny i ostrzegać internautów przed ryzykiem. Goo.gl jest ograniczony do serwisów i usług Google'a. Pcworld V 2010 Wirtualizacja • Wirtualizacja udaje nie system operacyjny a cały komputer • Aby skorzystać z aplikacji do wirtualizacji, konieczne jest posiadanie oddzielnej kopii Windowsa czy Linuxa PCWorld 10/2009 Oprogramowanie do wirtualizacji • udaje osobny komputer i wymaga posiadania dodatkowej licencji na system operacyjny. Jedynym wyjątkiem są tutaj Windows 7 Business, Ultimate i Enterprise, których właściciele w zestawie otrzymują program VirtualPC wraz z kopią systemu Windows XP. • Aplikacje do wirtualizacji są odpowiedzią na dwie najważniejsze potrzeby deweloperów i administratorów: – uruchamiania wielu środowisk bez przerywania cyklu pracy komputerów – obniżenia kosztów infrastruktury przy jej lepszym wykorzystaniu (zamiast nowego serwera kupuje się pa mięć RAM i kolejny procesor). Niebezpieczne roboty • Coraz większa autonomia i wolność maszyn • Robots have caused at least 33 workplace deaths and injuries in the United States in the last 30 years, What the Future Holds As Robotics Advances, Worries of Killer Robots Rise JUNE 16, 2014 (Nie)bezpieczeństwo Sieci Sieć nie: • ma właściciela • posiada centralnej kontroli, • ma standardów polityki funkcjonowania brak standardów międzynarodowego prawodawstwa Główne obszary związane z bezpieczeństwem IT wg British Standard 7799 • • • • • • • • • • Polityka bezpieczeństwa Formalna organizacja bezpieczeństwa Klasyfikacja zasobów i danych Bezpieczeństwo związane z personelem Bezpieczeństwo fizyczne i anomalie przyrodnicze Procesy operacyjne i zarządzanie infrastrukturą IT Kontrola dostępu do systemów Rozwój i serwisowanie aplikacji Planowanie na wypadek zdarzeń losowych Zgodność z wymogami prawa Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Punkt startowy dla Systemu Bezpieczeństwa • Polityka bezpieczeństwa informacji w formie dokumentu (w PL wzrost z 47 do 67%, EU – 75%), za, RZP, 17.XI, 2007 • Przydzielenie właściciela do wszystkich zasobów informacyjnych • Formalny proces edukacji i uświadamiania • Formalny proces zgłaszania zdarzeń naruszających bezpieczeństwo informacji • Planowanie ciągłości działań IT na wypadek zdarzeń losowych Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Bezpieczeństwo teleinformatyczne zapewnia się przez: • • • • • ochronę fizyczną ochronę elektromagnetyczną ochronę kryptograficzną ochronę transmisji ochronę dostępu do urządzeń lub sieci teleinformatycznych Rozporządzenie Prezesa Rady Ministrów z 11.03.1999 r. Biznes musi być pewny przez: - Integralności danych: musisz być pewny, że Twoje dane nie zostaną zmienione, - Poufności danych: musisz mieć możliwość zachowania poufności wyróżnionych informacji, - Autentyczności: musisz być pewny, że informacje, które otrzymujesz z Sieci są od osób, które się za nie podają (np. gdy dostajesz polecenie) A także: • Dostępność - informacja musi być dostępna dla uprawnionych użytkowników zawsze, kiedy mają taką potrzebę, • Rozliczalność - dostęp do informacji może być przypisany w sposób jednoznaczny tylko temu użytkownikowi, • Niezawodność - zachowanie i skutki działania (np. aplikacji, urządzeń) są takie jak zamierzone • Po pierwsze ... złe wieści: • Jedno z praw Murphy’ego każdy program ma • WIRUSA lub • ROBAKA Nie ma znaczenia czy Twoje oprogramowanie ma wirusy ... dopóki nie działają Rozwinięcie prawa Murph’ego • Liczba WIRUSÓW jest wykładniczo proporcjonalna do wielkości programu • Jeśli program spełnia funkcje bezpieczeństwa, to w owych funkcjach są wirusy • nawet najbardziej niewinne programy mają nieszczelności • Prędzej czy później twoja konkurencja znajdzie i wykorzysta te nieszczelności Zabezpieczenia technologie • • • • Firewalle Osobista identyfikacja Kryptografia Zabezpieczenie antywirusowe Zasady bezpieczeństwa Korzystaj z najmniejszej możliwej liczby programów Korzystaj z małych, dobrze znanych programów Skorzystaj z firewalli Firewall - dedykowana maszyna, której nie można wykorzystywać do innych celów Firewall - siedzi pomiędzy Twoimi komputerami i całym światem Podstawowe funkcje ochrony • antywirus, • zapora sieciowa, • ochrona przed phishingiem, • spamem i kradzieżą tożsamości. Firewall Użytkowe programy Firewall Zasoby informacyjne Firewall – początek 1985 • Technologia filtrowania pakietów • Firewall zabezpiecza sieci przed innymi sieciami, którym nie ufamy. Filtrując: pochodzenie, adresata, typ aplikacji protect networks from other untrusted (FTP/telnet) i typ pakietu (TCP/UDP). • Niektóre zawierają technologie serwera proxy Firewall dzisiaj • Zastąpiono intrusion detection systems IDSa — intrusion prevention systemem (IPSes) • Główną funkcją IDSu było wywoływanie alarmu w chwili wykrycia intruza „alarm przeciwpożarowy bez straży pożarnej” • anti-spam, anti-virus i anti-worm inspekcja/kontrola Podstawowe zadania Firewall’a - Cały ruch, w obu kierunkach musi przechodzić przez Firewall - Tylko autoryzowany ruch może przejść - Integralność maszyny Firewall’a musi być 100% Firewall, inne funkcje • Filtr portów i funkcje do ograniczania przepływu danych (uniemożliwienie działania trojanów) • Ochrona przed DoS’em (Denial of Service) – nieautoryzowany dostęp do LANu • Mechanizm translacji adresów (NAT- Network Adress Translation) • Logi, monitorowanie korzystania z Internetu (filtry) • Szyfrowanie dla potrzeb LAN, VPN Projektowanie Firewall’a - musisz mieć swoją politykę - na co można pozwolić w dostępie do informacji? - musisz spełnić oczekiwania biznesowe - co będzie zabronione? - kontrola nie autoryzowanej pracy - kto będzie autoryzował? - jaka będzie procedura autoryzacji? - kto będzie nadzorował przestrzeganie procedur? Najpowszechniejsze Firewalle • Zapora Windowsów • ZoneAlarm • Comodo Personal Firewall Miniserwer Yoggie Pico • Jak pamięć flash – pracuje pod Linux’em • 12 aplikacji odpowiadających za wszechstronne zabezpieczenie komputera (w tym firewall i antywirus) www.yoggle.com Inne środki obrony • IDS – system wykrywania intruzów • Honeypot – przynęta, symulowane zasoby, usługi. Przyspieszenie wykrycia ataku przez jego ułatwienie • Skaner otwartych portów: www.auditmypc.com/port-scanner.asp Honeypots – szpiegowanie wroga • Wabienie atakujących. Administrator może sprawdzić używane narzędzia i jakich informacji szuka i co z nimi robi dalej. Kamuflaż może zmylić hakera (myśli, że sukces) • Honeynets, sieci honypotów stworzone z realnego sprzętu i oprogramowania, np. Linux boxes, Cisco switches, Windows NT and Solaris. Honeypots Let You Spy on Your Enemy By Sharon Gaudin June 16, 2004 www.esecurityplanet.com/trends/article.php/3369421 Praktyczne zalecenia 2013 • • • • • • • • • Use PIN protection on your mobile devices Install an anti-theft app on your mobile devices The same goes for your laptop Perform PC security checks Encrypt your laptop Encrypt your USB drives Secure your social network accounts Sign up for online backups Install a two-way firewall (Windows comes with a firewall, but by default it only monitors incoming trafficNorton Internet Security or McAfee Internet Security, you likely already have a two-way firewall. But if you don't, consider using standalone two-way firewall like those fromA ZoneAlarm or Comodo. • Use OpenDNS for content filtering • Check your Wi-Fi security NetScreen - Zarządzanie ruchem/pasmem • Klasyfikacja ruchu: – – – – – – – Adres IP (źródła lub przeznaczenia) Protokół Użytkownik Port (źródła lub przeznaczenia) Usługi Pora dnia Dzień tygodnia Ascomp IT Systems Zarządzanie ruchem/pasmem • Parametry ruchu: – – – – Gwarantowane pasmo Maksymalne pasmo Priorytet (od 0 do 7) Zgodne ze standardem DiffServ • Optymalizacja – Monitorowanie ruchu w czasie rzeczywistym – Pomiar ruchu dla każdej klasy Ascomp IT Systems Kontrola rodzicielska • BENIAMIN – ochrona dzieci przed nieprzyzwoitymi treściami z Internetu • Białe i czarne listy WWW • Grafik używania komputera • Blok pobierania plików, uruchamiania programów • Kontrola historii • I inne Outsourcing bezpieczeństwa IT • Zmniejszenie kosztów, koncentracja na statutowej działalności • Najczęściej: – Administratorzy – zarządzanie serwerami, – monitoring bezpieczeństwa Kasowanie zapisów cyfrowych Pozorne kasowanie • Jeśli usuwasz jakieś dane, Windows ich nie kasuje, a jedynie oznacza jako usunięte. Fizycznie pozostają one na dysku. Kasowanie skasowanych • • • • • • Eraser File Shredder Active KillDisk Ccleaner Disk Wipe DBAN • • • • Acronis DriveCleanser Mediaeraser Blancco Ontrack Eraser WWW.PCWORLD.PL MAJ 2013 ODZYSKIWANIE DANYCH • Odzyskiwanie przypadkowo skasowanych plików • Odzyskiwanie plików ze sformatowanych woluminów • Odzyskiwanie plików z usuniętych lub uszkodzonych woluminów • Odzyskiwanie plików na podstawie sygnatur (raw data) • Odzyskiwanie plików określonego typu • Podgląd pliku przed odzyskaniem • Podgląd tekstowy / heksadecymalny Osiem najlepszych aplikacji do samodzielnego odzyskiwania danych • R-Studio firmy R-Tools Technology O&O DiscRecovery EaseUS Data Recovery Wizard w wersji 5.5 Professional, QueTek File Scavenger, Stellar Phoenix Windows Data Recovery GetDataBack for NTFS/FAT firmy Run-time Software, Advanced Disk Recovery oraz Kroll Ontrack EasyRecovery sierpień 2012 , pcworld.pl Kasowanie treści na dysku FAT - usunięte - nienaruszone Niszczarki danych/plików - standardy • • • • • DOD 5220.22-M (trzy przebiegi) NATO – 7 przebiegów VSITR – 7 przebiegów Algorytm Bruce Schneiera – 7 przebiegów Gutman Secure Deletion – do 35 przebiegów • Wartości losowe, zera i FF. Chip VII 09 Niemiecka norma DIN 66399 W Polsce brak normy • określa wymogi stawiane na rynku niemieckim urządzeniom i procesom mającym zagwarantować bezpieczne niszczenie danych na różnego rodzaju nośnikach. • Nowa norma odnosi się do dokumentów papierowych, do mechanicznego niszczenia nośników optycznych, kart magnetycznych, pamięci flash, dysków twardych itp. • Obecnie nawet 90 proc. informacji przechowywanych iest wyłącznie w formie elektronicznej. Chip II. 2013 Niszczarki danych/plików (ok. 30 euro) • • • • SystemUp Eraser 2009 Abylon Shredder Heidi Eraser (freeware) 0&0 SafeErase Wymazywanie danych 2011 PCWorld 4/2011 Niszczarka HSM Powerline HDS 230 10x25-30 mm Niszczarki dokumentów papierowych • Najwyższy poziom bezpieczeństwa zapewniają niszczarki typu pierce and tear, tnące i szarpiące papier nożami obrotowymi. PCWorld 10/IX Bezpieczeństwo bezprzewodowo • WEP (Wired Equivalent Privacy) – prywatność jak w przewodach. Słaba siła • WPA – zmienne klucze, lepsze algorytmy. Słaba wersja 64 bitowa, lepsza – 128 bitowa Zaufanie 1/2 • Ochrona danych osobowych • przetwarzane jedynie przez firmę • wykorzystywane wyłącznie w celu realizacji umowy • nie są udostępniane innym podmiotom • Prawa dostępu do danych: • dostęp do swoich danych oraz możliwość ich poprawiania • dane osobowe są przechowywane i zabezpieczone zgodnie z zasadami określonymi w obowiązujących przepisach prawa Zaufanie 2/2- Netcraft Toolbar, Trust • Netcraft: – Ochrona przed phishingiem – Kontrola lokalizacji hosta i wielkości ryzyka Risk Rating każdej oglądanej strony – Pomoc przed „naciągaczami” - fraudsters. • www.urlvoid.com Data Leakage Prevention - DLP • Usługi przy pomocy oprogramowania wykradającego informacje – Crimeware-asa-Service • Technologie chroniące przed wyciekiem danych: – Aplikacje internetowe, – Smartfony, zdalna blokada – Kontrola danych • Rynek DLP 2010 – 16 mld. USD Najgorsze błędy użytkowników peceta. Jak zdemolować komputer • Stosowanie dwóch antywirusów jednocześnie • Utrata dostępu do zaszyfrowanych zasobów • Wyłączanie automatycznej aktualizacji Windows • Pozbywanie się aplikacji przez usuwanie folderów • Bezmyślne testowanie oprogramowania • RAM z różnych źródeł • Przepełnienie HD • Eksperymenty w BIOSie • Przetaktowywanie PCWorld, maj 2010 • Brak kontroli temperatury Monitoring w pracy • 2007 – 93% internautów przyznawało do prywatnego korzystania z internetu w pracy. Aplikacje do śledzenia • Statlook (A+C), Oko Szefa, Mini Monitoring • Funkcje: audyt oprogramowania, inwentaryzacja sprzętu, blokowani i zarządzanie nośnikami wymiennymi, kontrola wydruków, analiza wykorzystywania komputerów, badania aktywności użytkowników, także internetu, kontrola rodzicielska, zrzuty ekranów, przechwytywanie klawiatury, blokady WWW Spector 360 Spector 360 Spector 360 Spector 360 Employee Monitoring Software - Activity Monitor • • Activity Monitor Key Features: View remote desktops. – • Easy Internet usage monitoring. – • • • • • • • Web surfing history logging. Real time tracking and recording of all URLs visited and time spent on each. Monitor software usage. – • You may easily have a look at any user’s desktop. Monitor software usage activity in real time. With this feature you know what programs and for how long your network users use during the day. Record activity log for all workplaces on the local or shared network location. Log file includes typed keystrokes, records of switching between the programs with time stamps, application path and window names, visited web sites and more. Track any user’s keystrokes on your screen in real time mode. Passwords, email, chat conversation - you have the full picture! Take snapshots of the remote PC screen on a scheduled basis. Easy spying without your presence. Time-sorted history of the activity in compressed JPEGs on your computer. Total control over the networked computers. Start or terminate remote processes, run commands, copy files from remote systems. You may even turn the computer off or restart it, not to mention logging off the current user. Deploy Activity Monitor Agent (the client part of the software) remotely from the administrator's PC to all computers in your network. Autodetection of all networked computers with Agent installed. Automatically download and logs from all computers on a scheduled basis. http://www.softactivity.com/em_l.asp Ochrona dziecka • Aplikacje onlinowe: Visikid, Norton online family, CyberPatrolFamily, CyberPatrol online protection • Aplikacje offlinowe: Opiekun dziecka, Strażnik ucznia, Beniamin, Motyl; zagr.: K9 Web protection, Safe Eyes, Salfeld Child Control, Cyber Patrol Parental Controls. Norton™ Online Family https://onlinefamily.norton.com/familysafety/whyUseNOF.fs Narzędzia do śledzenia • GdzieSaBliscy.pl • Gdzie jest dziecko • Buddyway.pl ID z sensorami • mikrofon, miejsce, ton głosu, postawy i język ciała, jak również, który mówił do kogo, na jak długo. • Banki, technologie, farmacja, zdrowie. • Wymagana zgoda. Dostęp do danych zagregowanych. • przychody wzrosły średnio 2 982 dolarów tygodniowo w każdej restauracji, Unblinking Eyes Track Employees Workplace Surveillance Sees Good and Bad By STEVE LOHRJUNE 21, 2014 Automat - Stróż/strażnik K5 Autonomous Data Machine The robot, which can be seen in a promotional video, is still very much a work in progress. The system will have a video camera, thermal imaging sensors, a laser range finder, radar, air quality sensors and a microphone. It will also have a limited amount of autonomy, such as the ability to follow a preplanned route. It will not, at least for now, include advanced features like facial recognition, which is still being perfected http://knightscope.com/ http://www.nytimes.com/2013/12/03/science/coming-soon-a-night-watchman-with-wheels.html?nl=todaysheadlines&emc=edit_th_20131130 Automatyzowane zasady utrzymania bezpieczeństwa 1. Inwentaryzacja urządzeń autoryzowanych i nieautoryzowanych 2. Inwentaryzacja oprogramowania autoryzowanego i nieautoryzowanego 3. Bezpieczne konfiguracje sprzętu i oprogramowania laptopów, stacji roboczych i serwerów 4. Bezpieczne Konfiguracje urządzeń sieciowych, takich jak firewalle, Routery i switche 5. Parametryzowanie obrony 6. Konserwacja, monitorowanie i analiza dzienników/logów audytów bezpieczeństwa 7. Bezpieczeństwo oprogramowania 8. Kontrola korzystania z uprawnień administracyjnych 9. Kontrolowany dostęp oparciu o zasadę „Need to Know” 10. Ciągła ocena wrażliwości i możliwości napraw 11. Monitorowanie i kontrola kont 12. Obrona przed malware 13. Ograniczanie i kontrola portów sieciowych, protokołów i usług 14. Kontrola urządzeń bezprzewodowych 15. Zapobieganie utracie danych Solving Common IT Security Problems, internet.com security book, 2012 Manualne zasady utrzymania bezpieczeństwa 16. Sieciowa inżynieria bezpieczeństwa 17. Testy penetracyjne 18. Potencjał reagowania na incydenty 19. Możliwość odzyskiwania danych 20. Ocena umiejętności w zakresie bezpieczeństwa i odpowiednie szkolenie Solving Common IT Security Problems, internet.com security book, 2012 Test penetracyjny • przeprowadzenie nadzorowanego ataku na system teleinformatyczny, • ocenia aktualny stanu bezpieczeństwa systemu. • Sprawdza wytrzymałość na usiłowanie złamania zabezpieczeń. trzy rodzaje testów penetracyjnych • atakujący posiada całkowitą wiedzę dotyczącą analizowanego systemu, jego architektury i wdrożonych procedur „white Box”. • „grey Box” - atakujący ma niewiele informacji na temat analizowanego systemu. • atakujący nie wie niczego o badanym systemie - „black Box”.. Sony has estimated that data breaches earlier this year cost it $200 million, and its losses are not insured. Ubezpieczenia od cyberataku • Średnie straty włamania do zasobów informacyjnych firmy – 7,2 mln USD (2010); 214 USD na jeden rekord • "podwójne ryzyko prywatności i bezpieczeństwa", które obejmują koszty utraconej działalności, koszty powiadomień, usługi kredytowe, monitorowanie, public relations i koszty usług prawnych oraz dochodzeniowych. Może to również obejmować działania sądowe, postępowania regulacyjne, grzywny, a nawet żądania zadośćuczynienia. NYT, December 23, 2011, 10:58 am Insurance Against Cyber Attacks Expected to Boom By NICOLE PERLROTH Odpowiedzialność korporacji USA • BERLIN - Do walki ze wzrostem cyberprzestępczości, Komisja Europejska rozważa plan, aby wymagać od spółek, które przechowują dane w internecie takich jak Microsoft, Apple, Google i IBM – aby zobowiązać je do zgłaszania utraty lub kradzieży danych osobowych obywateli Unii oraz ustalenia sankcji za ryzyko i grzywny. KEVIN J. O’BRIEN, Europe Weighs Requiring Firms to Disclose Data Breaches, NYT, Jan. 16, 2013 Nadzorowanie sfery bezpieczeństwa teleinformatycznego • - Centrum Koordynacyjne Systemu Reagowania na Incydenty Komputerowe resortu obrony narodowej, • - CERT.GOV.PL, działający w ramach Agencji Bezpieczeństwa Wewnętrznego, ma pieczę nad administracją publiczną, • - Pionier CERT , działający w ramach Centrum Superkomputerowe-Sieciowe w Poznaniu, • - TP CERT działa, tak jak sama nazwa mówi, w ramach Telekomunikacji Polskiej, • - CERT Polska, działający w ramach Naukowej i Akademickiej Sieci Komputerowej. Polska wobec zjawiska cyberterroryzmu, http://www.psz.pl/Piotr-Borkowski-Polska-wobec-zjawiska-cyberterroryzmu, s.1, The Business Software Alliance is the foremost organization dedicated to promoting a safe and legal digital world. BSA is the voice of the world's commercial software industry before governments and in the international marketplace. Its members represent the fastest growing industry in the world. BSA educates consumers on software management and copyright protection, cyber security, trade, e-commerce and other Internet-related issues. BSA members include Adobe, Apple, Autodesk, Avid, Bentley Systems, Borland, CNC Software/Mastercam, Internet Security Systems, Macromedia, Microsoft, Network Associates and 1. Korzystaj z Sieci ostrożnie „milczenie jest złotem” 2. Uważaj na cookies 3. Jeśli nie wiesz po co Stronie dane nie podawaj ich 4. Jeśli koniecznie chcą danych - spytaj webmastera po co? 5. Każda Strona gromadząca osobiste dane powinna mieć jawną „politykę prywatności” 6. Używaj programowych zabezpieczeń swoich zasobów Pięć kroków do bezpiecznej firmy 1. Identyfikacja krytycznych zasobów (usługi, oprogramowanie, sprzęt) 2. Ryzyko dysponowania zasobami 3. Opracowanie polityki bezpieczeństwa 4. Szkolenia 5. Wdrożenie odpowiednich do zasobów i ryzyka technicznych środków ochrony Technologia rozwiąże 60% problemów, edukacja 20 – pozostałym może zaradzić tylko dobre prawo Krzywe zwierciadło Internet, dzięki względnej anonimowości, jest jak krzywe zwierciadło – odbija naszą rzeczywistość ukazując, ukryte na co dzień, wypaczenia, kompleksy i paskudztwa codziennego życia Trendy • Koszty naruszeń odzwierciedlają troskę i trendy • Piąty rok koszty troski rosną • Zainteresowanie klientów bezpośrednią reakcją na naruszenia • Edukacja i programy szkoleniowe najczęstszą reakcją na naruszenia, plus kryptografia i inne technologie Ile zarabiają specjaliści od bezpieczeństwa* • 7500 -12 000 - administrator bezpieczeństwa teleinformatycznego 8000 -14 000 - etyczny haker (pentester) 10 000 -16 000 - inspektor bezpieczeństwa 10 000 -14 000 - audytor bezpieczeństwa 20 000 - Chief Security Officer, osoba nadzorująca całość spraw związanych z bezpieczeństwem IT w firmie * umowa o pracę, pensja podstawowa brutto październik 2012 www.pcworld.pl
Podobne dokumenty
Firewall - Technologie Informacyjne
May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack By JOHN SCHWARTZ
Bardziej szczegółowoWirusy
• Zainfekował dziesiątki tysięcy komputerów w 155 krajach • Stuxnet sprawił, że instalacje przemysłowe, sieci energetyczne i wodociągowe czy systemy kontroli ruchu kolejowego i lotniczego stały się...
Bardziej szczegółowoKomputer
W 2013 roku osiągną 3,7 bln dol., jest to wzrost o 4,2% w porównaniu z 2012 rokiem (3,6 bln dol.)
Bardziej szczegółowoKomunikacja w Sieci - Technologie Informacyjne
• Jest to darmowe oprogramowanie umożliwiające zainteresowanym „pisaną rozmowę” za pośrednictwem Internetu. Po zainstalowaniu oprogramowania można stworzyć listę osób, które dysponują podobnym opro...
Bardziej szczegółowo