Bezpečnost – problémy

Everybody will be hacked, it’s just a matter of when, not if.

Motivace

Mapa probíhajících útoků
Shodan: Search Engine for the Internet of Everything
„Útok“ zevnitř organizace
Proč já? (👁 Zablokované útoky na mém WordPressu)
Proč teď? (K průniku došlo již před delší dobou.)

Typy útoků

Denial of Service

Denial of Service (DoS) – zahlcení
- 🐭 proveďte útok na servery TUL
Distributed Denial of Service (DDoS) – zahlcení, kdy útok přichází z vícero míst
- Botnet – síť infikovaných počítačů použité pro DDoS

Phishing

Phishing – odesílání zpráv, které se zdají být z důvěryhodných zdrojů, s cílem získat osobní přístupové informace nebo citlivá data. Snaží se ovlivnit uživatele, aby např. klikl na nebezpečný odkaz, otevřel nebezpečný soubor.

Poznáte jej? Můžete si udělat Phishingový test (slovensky).¹⁾
Spear phishing – cílený propracovaný phishing na konkrétní osobu nebo organizaci.

Man in the middle

Man in the middle (MitM) – odposlechnutí a zneužití komunikace.

Jak je možné jednoduše upravit přenášený radiologický snímek (DICOM): Injecting and Removing Cancer from CT Scans — technické detaily

Dále o DICOM a bezpečnosti: DICOM: medicínské obrázky s citlivými daty a škatulkou pro malware

Pozor na to, kdo se fyzicky dostane k mému zařízení!

Kartu pro přístup do budovy lze načíst pomocí Flipper Zero (vysvětlení). Útočník třeba vytvoří kopii karty, a pak se dostane do místností, kde jsou počítače.
- Flipper Zero má také (co by se mohlo stát v učebně)
  - infraport (může simulovat ovladač dataprojektoru, zkoušet různé kódy, a tak vypnout dataprojektor) i
  - Bluetooth (tváří se jako sluchátka – nabízí se ke spárování; zapne všechny vibrátory v místnosti).
a nainstalovat mezi klávesnici a počítač keylogger.
- Příklad: Děti pomocí keyloggeru zjistily heslo učitelek, a pak si ve školním systému měnily známky.

BadUSB

Nestrkejte neznámé flešky do počítače – jako třeba USB Rubber Ducky, což je vlastně virtuální klávesnice, která píše a posílá klávesové zkratky do napadeného počítače. O.MG Cable je méně nápadný, ovladatelný přes WiFi, má key logger.

Malware

Malware je škodlivý software, který běží na zařízení bez vědomí uživatele (vir, červ, trojský kůň)

Spyware (špehovací software) odesílá data bez vědomí uživatele
Ransomware – vyděračský software – znepřístupní (zašifruje) / ukradne data, aby byly vydány za určitý poplatek

Sociální inženýrství

Sociální inženýrství ²⁾

Podvodníci, kteří se vydávají za Policii (Jirka vysvětluje věci)
Scam: „Máme vaše heslo, pošlete bitcoiny“ ~ Have I Been Pwned
- Hesla
  - tvorba hesel; brute-force × hash (MD5 Hash Generator)
  - jedinečná! → správa hesel
    - ukládání v prohlížeči: kdo má přístup k nezamknutému počítači může zobrazit hesla: Prozkoumat → value type: "password" změnit na value type: "text" 👁 ³⁾
    - bezpečnější správce hesel: Bitwarden
  - dvoufaktorové ověřování
  - LIANE: Centrální heslo (zabezpečeno) + Heslo pro vzdálený přístup (v případě wifi se slabým šifrováním by mohlo uniknout)
Podvržený
- e-mail,⁴⁾ – spoofing
  - 🐭 Prohlídněte si hlavičku e-mailu.
- telefonní číslo – spoofing
  - Vaše plánovaná operace se ruší. SMS zprávu s takovým zněním dostala pacientka Fakultní nemocnice v Plzni. Lékaři její zákrok ale nezrušili ani neodložili. Byla to podvodná zpráva, kterou pacientce zaslal neznámý pachatel. Případ už vyšetřuje plzeňská kriminální policie. iDNES.cz
- hlas: Volá šéf, ať pošlu vyšetření prezidenta na e-mail.
  - Ukázka technických možností AI: Deepfake video v češtině pomocí HeyGen: Článek na Živě ⁵⁾

Podvod na bazaru

¹⁾

Není záludné; měl jsem 100 %.

²⁾

Sem patří i phishing, ale ten jsme probrali hned na začátku.

³⁾

Když máte hesla např. v Google Chrome a nainstalujete si např. Firefox, tak si můžete přetáhnout hesla z Chrome, aniž byste museli zadávat heslo apod. Lze zapnout „Hlavní heslo“ (biometrika / PIN), to ale budete muset zadávat vždy, když chcete heslo použít.

⁴⁾

Existují různé „online fake mail sender“, zkoušel jsem jich víc a nefungují.

⁵⁾

Další možnost: Umělá inteligence provede dabing videa: ukázka, nástroj.