Rizika a bezpečnost

Rizika a bezpečnost

4IT460 - Analýza trhu ITpřednáška 6/13, LS 2012/13

25. března [email protected]

pondělí, 15. dubna 13

Bezpečnost: nová situace• Internet používají zhruba 2 miliardy lidí. Většina z nich nejsou odborníci na IT a

už vůbec ne na počítačovou bezpečnost.

• Bezpečnostní rizika reálného světa dovedeme jakžtakž vyhodnotit. • Někdy se pak podle toho i chováme.

• Rizikům virtuálního světa většinou nerozumíme.• Což platí i pro většinu z těch, kdo si myslí opak.• Kriminalita na internetu se vyplácí. Pravděpodobnost dopadení je malá.

• Zločinec ale nečíhá za každým webovým linkem. Paranoia je stejně mylná jako bezstarostnost.

• Rizika, jimž jsou vystaveny podniky a jednotlivci, se navzájem liší.


Drahoušek Zákazník,Tato is tvuj funkcionár oznámení dle Ceská Sporitelna aby clen urcitý služba dát pozor pod vule být deactivated a odstranit kdyby nedošlo k obnovit se bezprostrední.Predešlý oznámení mít been poslaný až k clen urcitý Žaloba Dotyk pridelil až k tato úcet.Ackoliv clen urcitý Bezprostrední Dotyk , tebe musit obnovit se clen urcitý služba dát pozor pod ci ono vule být deactivated a odstranit.Obnovit se Ted tvuj SERVIS 24 Internetbanking.SERVIZ: SERVIS 24 InternetbankingSKONANI: Leden, 05 2008Být zavázán tebe do using SERVIS 24 Internetbanking. My ocenit tvuj obchod a clen urcitý príležitost až k sloužit tebe.Ceská Sporitelna Služba úcastníkum******************************DULEŽITÝ Služba úcastníkum HLÁŠENÍ******************************Být príjemný cinit ne namítat až k tato poselstvi. Do jakýkoliv bádat , dotyk Služba úcastníkum© Ceská Sporitelna.Všechna práva vyhrazena.


Nigerian scam (419)Dear petr

My name is Mr. Stephane Devos, a Business Manager with Foreign Trade Bank(Cambodia office), am as well an account officer to a deceased customer of our bank, that shares the same last name as yours petr who died on a car accident with his wife and two children along Cambodian Thai-way on November 16th 2004. His account of US$18,765,000.00 million with us has been unclaimed due to unavailability of next of kin/relatives to claim his estate. In accordance with the escheat laws in Cambodia as a kingdom, the Board of Directors of the bank met forth night ago and resolved to turn the estate of the deceased over to Government pause having waited for too long without the deceased relatives/next of kin surfacing property and if this is done, invariably, the funds will end up to become Government property and it is as a result of this that am moved to contact you considering the fact that you share almost the same name with the deceased petr Hope the money will be intact pending until my physical arrival at your end for sharing?

Výtěžnost tohoto dopisu jen v USA:kolem $15 mil. ročně

Medián individuální ztráty (2008):$1650


Typy útoku• Podvod

• Destruktivní útok

• Krádež duševního vlastnictví

• Krádež identity

• Zneužití značky, ochranné známky apod.

• Narušení soukromí, (průmyslová nebo politická/vojenská) špionáž

• Útok s cílem dosáhnout publicity

• Sociální inženýrství (phishing apod.)

• Malware (velmi obecný pojem)• DDoS• Útoky proti DNS

Technologie útoku

Malware economy - dnes jde v cybercrime téměř vždy o rychlé peníze.


Axiomy• Bezpečnost není produkt, ale proces

• Rozhoduje nejslabší článek (jasně, ale který to je?)

• Rozhoduje lidský faktor, ne technologie

• Jediným základem úvah o bezpečnosti, který dává ekonomický smysl, je kalkulace nákladů a přínosů (risk management)

• Rizika i zabezpečení proti nim vždy obsahují externality


Malware economy

Komodita Podíl na trhu Rozsah cen

Informace z kreditní karty (i bez PIN) 32% $0,85 - $30

Údaje k bankovnímu účtu (i bez loginu) 19% $15 - $850

Přístupové údaje k e-mailu 7% $1 - $20

E-mailové adresy 7% $1,7 - $15 za 1 MB

Osobní identita (adresa, datum narození, čísla dokladů, telefonní číslo, rč) 7% $0,7 - $20

Zdroj: Symantec 2009, http://goo.gl/vK331


http://goo.gl/vK331

http://goo.gl/vK331

Co dovede malware• Sbírat data z napadeného počítače (hesla, čísla karet, podklady k vydírání,

key log)

• Sbírat falešné body za doporučení v e-shopech

• Odesílat z napadeného počítače spam

• Generovat z napadeného počítače prokliky na inzeráty na vlastních stránkách...

• ...nebo prokliky na inzerátech firmy, kterou chcete připravit o peníze

• Vytáčet telefonní čísla na placené linky (má-li počítač telefonní modem)

• Použít napadený počítač v botnetové síti např. pro DDoS

• Zastrašením přinutik k nákupu „bezpečnostního“ softwaru (scareware)


Kdo jsou útočníci• Hackeři (a ti, kdo by jimi rádi byli: script kiddies)

• Individuální zločinci

• Organizovaný zločin, „cybercrime-as-a-service“

• Lidé zevnitř

• Průmyslová špionáž

• Policie

• Teroristé

• Tajné služby: NSA (National Security Agency), ФАПСИ (Федеральное Агенство Правительственной Связи и Информации), CIA, FSB, ...המוסד

• Speciální vojenské jednotky, „low-intensity conflict“

„In God we trust. All others we monitor.“ -neoficiální motto NSA


Šifrování• Symetrická šifra: sdílený klíč

• Asymetrická šifra: dvojice soukromý/veřejný klíč

• Whitfield Diffie, Martin Hellman, Ralph Merkle - Stanford 1976

• Ron Rivest, Adi Shamir, Leonard Adleman - MIT 1977, RSA algoritmus

• Veřejným klíčem je (nepřesně řešeno)! součin dvou velkých prvočísel N= pq, soukromým klíčem znalost, o která prvočísla jde. Obtížnost útoku hrubou silou roste exponenciálně s délkou klíče.

• Malé cvičení: číslo 3127 (tj. 12bitový klíč) je součinem dvou prvočísel. Kterých?


Dva visací zámky

①

②

③


Využití asymetrické šifry• Všechny implementace RSA (včetně PGP)

• šifruje se veřejným klíčem příjemce

• Biometrické doklady včetně českých cestovních pasů

• Elektronický podpis

• Integrita, identifikace, nepopiratelnost, (čas)

• Hash dokumentu + soukromý klíč podepisujícího se přidá k (zašifrovanému nebo nezašifrovanému) dokumentu, podpis se ověří veřejným klíčem podepsaného


Identifikace a autentizace• Znalostí (heslem)

• Vlastnictvím (token, čipová karta)

• Vlastností (biometrie)

• tvář

• hlas

• otisk prstu

• rukopis

• geometrie dlaně

• sítnice

• duhovka


Falešně pozitivní/negativní

FAR (false accept rate) FRR (false reject rate)

citlivost

početchyb


Zranitelnost šifer• Lidský faktor, sociální inženýrství, phishing

• Délka klíče

• Entropie klíče (prakticky vždy menší než jeho délka!), speciálním případem je PIN ke klíči

• Implementace, útok postranním kanálem

• Sci-fi možnosti (polynomiální faktorizace, kvantové počítače)


Kryptoanalýza gumovou hadicí

http://xkcd.com/538/




Co s tím budeme dělat• Osvěta a čas, generační obměna

• Lepší technologie, zejména ochrana proti malware - bezpečnostní firmy jsou pozadu

• Minimalizovat externality, učinit dodavatele a provozovatele IT spoluzodpovědnými za rizika (analogicky k jiným oblastem života a byznysu)

• Sdílení a obchodovatelnost rizik - jejich přenos na pojišťovny

• Výše pojistky závisí (víceméně) na reálné bezpečnosti pojištěného objektu, vyplatí se tedy do bezpečnosti investovat


Bezpečnostní minimum • Aktuální antivirový program

• Aktuální operační systém a aplikace

• Rozumná míra jistoty, že jednáte přes internet (e-shopping, mail, download softwaru...) s existujícími a autentickými osobami


Education

Rizika a bezpečnost