Kamil Nešetřil

Podklady pro výuku

Uživatelské nástroje

Nástroje pro tento web


Bezpečnost

Everybody will be hacked, it’s just a matter of when, not if.

Problémy

  • Shodan: Search Engine for the Internet of Everything
  • „Útok“ zevnitř organizace
  • Proč já? (👁 Zablokované útoky na mém WordPressu)
  • Proč teď? (K průniku došlo již před delší dobou.)

Typy útoků

  • Denial of Service (DoS) – zahlcení
    • 🐭 proveďte útok na servery TUL
  • Distributed Denial of Service (DDoS) – zahlcení, kdy útok přichází z vícero míst
    • Botnet – síť infikovaných počítačů použité pro DDoS
  • Phishing – odesílání zpráv, které se zdají být z důvěryhodných zdrojů s cílem získat osobní přístupové informace nebo citlivá data. Snaží se ovlivnit uživatele, aby např. klikl na nebezpečný odkaz, otevřel nebezpečný soubor.
    • Spear phishing – cílený propraco­vaný phishing na konkrétní osobu nebo organizaci.
  • Man in the middle (MitM) – odposlechnutí a zneužití komunikace
  • Malware – škodlivý software, který běží na zařízení bez vědomí uživatele (vir, červ, trojský kůň)
    • Spyware (špehovací software) odesílá data bez vědomí uživatele
    • Ransomware – vyděračský software – znepřístupní (zašifruje) / ukradne data, aby byly vydány za určitý poplatek

Sociální inženýrství

Sociální inženýrství

  • Scam: máme vaše heslo, pošlete bitcoiny ~ Have I Been Pwned
    • Hesla
      • tvorba hesel;  brute-force × hash (MD5 Hash Generator)
      • jedinečná! → správa hesel
        • ukládání v prohlížeči: kdo má přístup k nezamknutému počítači může zobrazit hesla: Prozkoumat → value type: "password" změnit na value type: "text" 👁
        • bezpečnější správce hesel: Bitwarden
      • dvoufaktorové ověřování
      • LIANE: Centrální heslo (zabezpečeno) + Heslo pro vzdálený přístup (v případě wifi se slabým šifrováním by mohlo uniknout)
  • Podvržený
    • e-mail,1)spoofing
    • telefonní číslo – spoofing
      • Vaše plánovaná operace se ruší. SMS zprávu s takovým zněním dostala pacientka Fakultní nemocnice v Plzni. Lékaři její zákrok ale nezrušili ani neodložili. Byla to podvodná zpráva, kterou pacientce zaslal neznámý pachatel. Případ už vyšetřuje plzeňská kriminální policie. iDNES.cz
    • hlas: Volá šéf, ať pošlu vyšetření prezidenta na e-mail.

Řešení

  • Zálohování
  • Aktualizace
    • OS, sw, firmware modalit atd.
    • Alfa verze; beta verze; release candidate; stable release; long-term support (LTS) — Životní cyklus vydání softwaru
    • Antivirus pro PC (a pro mobil?). Je Linux bezpečnější?
  • Neklikat kam nemám
  • Veřejné Wi-Fi (automatické přihlašo­vání umožní přihlásit se na podvrženou wifi se silnějším signálem, než má ta pravá.) Když budete využívat https, tak se takové riziko týká jen cíleného útoku.
    • Domácí router se zastaralým firmwarem a defaultním heslem může být skutečné nebezpečí.
  • Odhalit zranitelnosti mého webu penetračním testem
  • Tor – kde berou informace hackeři (nákup exploitů), kde prodávají data, pronajímají si botnety, a kde se můžete obejít cenzuru či sledování.
  • na úrovni organizace:
    • omezení IP adres, ze kterých je možno přistupovat (navíc například zakázat i přístup přes VPN – např. Liane)
      • A co komerční VPN „pro zvýšení bezpečnosti“, na které jsou všude reklamy?
    • minimální oprávnění (Proč být admin a mít možnost vše smazat, a být pak za to zodpovědný?)
  • šifrování (symetrické; asymetrické: veřejný a privátní klíč) – pro zajištění komunikace na webu i pro pode­piso­vání e-mailů digitálním podpisem
  • hashování – zajištění integrity (zpráva nebyla modifikována)

Kam dál

🐭 Udělejte si test (kybertest.cz). Splnění zdokumentujte screenshotem „Závěrečného hodnocení“. Je jedno, kolik uděláte chyb. Chyby okomentujte.3)

🔒

SHIT: (app, voicechanger.io)

1)
Existují různé „online fake mail sender“, zkoušel jsem jich víc a nefungují.
2)
Další možnost: Umělá inteligence provede dabing videa: ukázka, nástroj.
3)
Jedna otázka je mluvená.
Poslední úprava: 14. 01. 2024