Bezpečnost
Everybody will be hacked, it’s just a matter of when, not if.
Problémy
- Shodan: Search Engine for the Internet of Everything
- „Útok“ zevnitř organizace
- Proč já? (👁 Zablokované útoky na mém WordPressu)
- Proč teď? (K průniku došlo již před delší dobou.)
Typy útoků
- Denial of Service (DoS) – zahlcení
- 🐭 proveďte útok na servery TUL
- Distributed Denial of Service (DDoS) – zahlcení, kdy útok přichází z vícero míst
- Botnet – síť infikovaných počítačů použité pro DDoS
- Phishing – odesílání zpráv, které se zdají být z důvěryhodných zdrojů s cílem získat osobní přístupové informace nebo citlivá data. Snaží se ovlivnit uživatele, aby např. klikl na nebezpečný odkaz, otevřel nebezpečný soubor.
- Spear phishing – cílený propracovaný phishing na konkrétní osobu nebo organizaci.
- Man in the middle (MitM) – odposlechnutí a zneužití komunikace
- jak je možné jednoduše upravit přenášený radiologický snímek (DICOM): Injecting and Removing Cancer from CT Scans — technické detaily
- Dále o DICOM a bezpečnosti: DICOM: medicínské obrázky s citlivými daty a škatulkou pro malware
- Pozor na to, kdo se fyzicky dostane k mému zařízení!
- Kartu pro přístup do budovy lze načíst čtečkou, vytvořit kopii karty (ukázka, vysvětlení), a pak se dostat do místností, kde jsou počítače,
- a nainstalovat mezi klávesnici a počítač keylogger.
- Příklad: Děti pomocí keyloggeru zjistily heslo učitelek, a pak si ve školním systému měnily známky.
- Malware – škodlivý software, který běží na zařízení bez vědomí uživatele (vir, červ, trojský kůň)
- Spyware (špehovací software) odesílá data bez vědomí uživatele
- Ransomware – vyděračský software – znepřístupní (zašifruje) / ukradne data, aby byly vydány za určitý poplatek
Sociální inženýrství
- Podvodníci, kteří se vydávají za Policii (Jirka vysvětluje věci)
- Scam: máme vaše heslo, pošlete bitcoiny ~ Have I Been Pwned
- Hesla
- tvorba hesel; brute-force × hash (MD5 Hash Generator)
- jedinečná! → správa hesel
- dvoufaktorové ověřování
- LIANE: Centrální heslo (zabezpečeno) + Heslo pro vzdálený přístup (v případě wifi se slabým šifrováním by mohlo uniknout)
- Podvržený
- e-mail,1) – spoofing
- telefonní číslo – spoofing
- Vaše plánovaná operace se ruší. SMS zprávu s takovým zněním dostala pacientka Fakultní nemocnice v Plzni. Lékaři její zákrok ale nezrušili ani neodložili. Byla to podvodná zpráva, kterou pacientce zaslal neznámý pachatel. Případ už vyšetřuje plzeňská kriminální policie. iDNES.cz
- hlas: Volá šéf, ať pošlu vyšetření prezidenta na e-mail.
Řešení
- Zálohování
- Nenechat si data jen u Googlu (zrušení účtu). Nicméně veškerá data, které mám u Google si můžu elegantně stáhnout: Google Takeout.
- Pravidlo 3-2-1 (3 zálohy na 2 různých médiích a aspoň 1 mít na jiném místě)
- Aktualizace
- OS, sw, firmware modalit atd.
- Alfa verze; beta verze; release candidate; stable release; long-term support (LTS) — Životní cyklus vydání softwaru
- Antivirus pro PC (Defender ve Windows je asi lepší než jiný neplacený, který si musíte na počátač instalovat; ale placený bude lepší než vestavěný Defender.) ❔ A pro mobil? Je Linux bezpečnější?
- Neklikat kam nemám
- nedůvěryhodné zkrácené odkazy jako bit.ly atd. (test)
- Veřejné Wi-Fi (automatické přihlašování umožní přihlásit se na podvrženou wifi se silnějším signálem, než má ta pravá – Evil twin). Když budete využívat https, tak se takové riziko týká jen cíleného útoku; raději si však zapněte VPN.
- Domácí router se zastaralým firmwarem a defaultním heslem může být skutečné nebezpečí.
- Odhalit zranitelnosti mého webu penetračním testem
- na úrovni organizace:
- omezení IP adres, ze kterých je možno přistupovat (navíc například zakázat i přístup přes VPN – např. Liane)
- minimální oprávnění (Proč být admin a mít možnost vše smazat, a být pak za to zodpovědný?)
- šifrování (symetrické; asymetrické: veřejný a privátní klíč) – pro zajištění komunikace na webu i pro podepisování e-mailů digitálním podpisem
- hashování – zajištění integrity (zpráva nebyla modifikována)
Kam dál
- Vyhledávejte na netu jako MacGyver – Michal Špaček (LinuxDays 2018) – opravdu velmi zajímavé povídání týkající se bezpečnosti — více od autora
- Seriál Bezpečnost dat ve zdravotnictví (Root.cz)
- Cookies (podcast Českého rozhlasu) – např. díl Hackli nemocnici? Máte právo vědět, co se stalo s vašimi daty
- Bezpečnost dat ve zdravotnictví – Petr Kajzar (LinuxDays 2017)
- Hacker pozmení údaje o alergií a lekár zabije pacienta (podcast Rozhovory MD)
- KYBcast – Václav Maněna (pro učitele)
🐭 Udělejte si test (kybertest.cz). Splnění zdokumentujte screenshotem „Závěrečného hodnocení“. Je jedno, kolik uděláte chyb. Chyby okomentujte.3)
Poslední úprava: 18.06.2024