Skoleni o bezpecnosti

<small>Z Wiki</small>

Téma/varianta: Školení o bezpečnosti

Vede: Mgr. Marek Nečas, Ph.D.

Student(i): Michal Makovec, učo: 63983, PřF B-CH ChKR [sem 3, roč 2]

Oficiální zadání:

Proveďte bezpečnostní školení zaměstnanců firmy. Sestavte přehled bezpečnostních zásad, které by měli zaměstnanci dodržovat, aby se vyhnuli virům, trojským koním, phishingu, odposlechnutí důležitých informací atd., včetně krátkého vysvětlení jednotlivých rizik a jejich mechanismů.

Obsah 1 1. Pravidelně zálohujte 2 2. Pravidelně aktualizujte operační systém a programové vybavení 2.1 Používejte legální software 2.2 Používejte automatické aktualizace 3 3. Používejte firewall 4 4. Používejte antivirový program 5 5. Elektronická pošta 5.1 Phishing 5.2 Nigerijské dopisy 5.3 Spam 5.4 Hoax, poplašné zprávy 6 6. Používejte další bezpečnostní nástroje 6.1 Malware 6.1.1 # Trojský kůň 6.1.2 # Spyware 6.1.3 # Adware 6.2 Software pro ochranu proti malware 7 7. Šifrujte, používejte elektronické podpisy 7.1 Důvěrné informace, přístupové údaje, hesla 7.1.1 Programové vybavení 7.1.2 Zabezpečení dat – šifrování, dešifrování 8 8. Microsoft Windows 8.1 Alternativní prohlížeče www stránek 8.2 Alternativní nástroje pro správu pošty 8.3 Nepoužívejte "vestavěné" sdílení souborů v OS Microsoft Windows 9 9. Zabezpečení bezdrátové sítě v rámci domácnosti 10 10. Monitoring provozu 11 11. Používejte "selský" rozum 12 12. Literatura

1. Pravidelně zálohujte

Pravidelně zálohujte důležitá data, dokumenty na externí média, jiný stroj v síti, ... (nebo v kombinaci).

Pro zálohování dat obsahující důvěrné informace stanovte zvláštní režim.

2. Pravidelně aktualizujte operační systém a programové vybavení

Používejte legální software

Používejte automatické aktualizace

Uživatelé operačního systému Microsoft Windows aktivují v počítači automatické aktualizace ze serveru update.microsoft.com.

Uživatelé operačního systému Linux mohou pro aktualizace či zdroje software využít lokálních zrcadel v naší síti, jmenovitě FTP server merlin.pvfree.net (lyon, Smržice) a v blízké budoucnosti též jeho mirror v Soběsukách (bazypv).

• Aktualizace Mandriva Linux v síti PVfree.net

• Aktualizace Debian GNU/Linux v síti PVfree

• Aktualizace Ubuntu Linux v síti PVfree

Nepoužívejte operační systémy u nichž byla ukončena oficiální podpora (Microsoft Windows řady 9x, ME, některé prehistorické linuxové distribuce).

3. Používejte firewall

• Firewall

Firewall ~ Hardwarové či výlučně softwarové zařízení (program), které monitoruje a analyzuje veškerý příchozí i odchozí provoz z/do internetu nebo uvnitř lokální sítě. Na základě nastavených bezpečnostních politik pak blokuje veškerá spojení, která byla vyhodnocena jako nežádoucí.

Pokud nelze jinak používejte pod operačními systémy rodiny Windows alespoň vestavěného softwarového firewallu MS.

Z dostupných softwarových řešení lze odkázat například na následující níže uvedené programy. Některé jsou nabízeny ve verzích k bezplatnému užití či bezplatně pro osobní nekomerční použití nebo jako plně funkční verze k bezplatnému časově omezené vyzkoušení produktu.

• ZoneAlarm - dostupná je i free verze pro bezplatné nekomerční použití
• F-Secure - zkušební verze na 6 měsíců zdarma
• Norton Internet Security (Symantec) - zkušební verze na 90 dní zdarma
• AVG Internet Security - firewall + nástroj proti virům, spamu , spyware
• McAfee Security - zkušební verze na 90 dní zdarma

a jiné...

4. Používejte antivirový program

Správně nastavený firewall doplněný o kvalitní antivirový program je výchozím bodem pro zabezpečení celého počítače.

• Antivir

Antivir, antivirový program ~ program detekující škodlivý software (počítačové viry, příp. obecně malware), aktivně brání jeho rozšíření a stará se o jeho likvidaci

Počítačový virus ~ kus programového kódu, který je schopen se prostřednictvím hostitelské replikovat bez vědomí uživatele, a to více než jednou.

Počítačové viry se mohou šířit mnoha způsoby... zejména však prostřednictvím elektronické pošty - jako příloha emailu; prostřednictvím makra dokumentu kancelářského balíku MS Office; prostřednictvím programů, které si stáhnete z internetu nebo obecně jákékoliv spustitelné soubory.

Infikovaný počítač počítač nemusí navenek jevit známky napadení, ale stejně tak se může zpomalit nebo zhroutit a restartovat každých pár minut. Někdy virus napadne soubory, které jsou nezbytné ke spuštění samotného operačního systému.

Z dostupných softwarových řešení (antivirových programů) lze odkázat například na následující níže uvedené programy. Některé jsou nabízeny ve verzích k bezplatnému užití či bezplatně pro osobní nekomerční použití nebo jako plně funkční verze k bezplatnému časově omezené vyzkoušení produktu.

• avast! - nabízí též verzi avast! 4 Home pro domácí, nevýdělečné používání zdarma
• NOD32 Antivirus Systém - kombinovaná ochrana před viry, červy, spyware, phishing, rootkit aj.
• AVG Internet Security - firewall + nástroj proti virům, spamu , spyware
• AVG Anti-Virus - nabízí časově omezenou zkušební verzi
• ClamWin Free Antivirus šířený pod GNU General Public License - zdarma
• Clam AntiVirus - GPL anti-virus toolkit pro UNIX - zdarma
• F-Secure - zkušební verze na 6 měsíců zdarma
• avast! Virus Cleaner - nástroj, pomocí kterého můžete odstranit vybrané viry z Vašeho počítače

a jiné...

Doporučení: Nepoužívejte více než jeden rezidentní antivirový program (rezidentní, tj. při startu počítače se automaticky umístí do operační paměti počítače RAM a sleduje probíhající činnost). Při současném použití více rezidentních antivirových řešení může nastat situace, že korektně nebude fungovat ani jedno.

Pro podrobné informace o antivirových programech, metody záchytu, recenze, testy nebo i informace o virech samotných doporučujeme navštívit stránku www.viry.cz.

• Aktuální situace virů šířících se e-mailem (virovyradar.cz)

• Problematika virů, články, aktuality, software (antivirovecentrum.cz)

5. Elektronická pošta

Nikdy neotvírejte přílohu e-mailu od neznámého odesílatele. ("Podívej se na moje fotky")

Nikdy neotevírejte přílohu e-mailu od známého odesílatele, pokud přesně nevíte, co má příloha obsahovat. Odesílatel nemusí vědět, že zpráva obsahuje virus.

Pozor na přílohy emailů elektronické pošty – soubory s příponou SCR, PIF, VBS a jiné, zákeřný kód ukrytý v makrech souborů MS Office.

Nespoléhejte na to, že email z adresy [email protected] skutečně napsal Váš kamarád Jan Novák nebo na to, že dokumetn podepsaný Janem Novákem skutečně napsal on (viz 7. Šifrujte, používejte elektronické podpisy).

Pro důležité maily používejte digitální podpis (viz 7. Šifrujte, používejte elektronické podpisy).

Pozor na podvodné emaily – phishing (viz Phishing).

Phishing

• Phishing

Phishing - druh počítačové kriminality, typ podvodu, podvodná technika používaná na Internetu k získání citlivých informací (přístupové jména a hesla, přístupové údaje do internetového bankovnictví aj.).

Nevyužívá slabin počítačových technologií, ale slabin vlastních samotnému člověku.

Útočník Vám zašle email a pod různými záminkami se z Vás snaží získat data související s Vašimi financemi (přístupová jména, hesla, čísla kreditních karet). Metod, které útočníci používají je několik:

• naláká vás na falešné webové stránky (které vypadají přesně stejně jako stránky vaší banky)

• pod různými záminkami vyžaduje zaslání přístupových údajů na zadanou emailovou adresu

• jinou variantou je, že Vám útočník namísto emailu zatelefonuje

• a další "sofistikovanější" či promyšlenější metody ...

Problematika phishingu je velice dobře a přitom "stručně" popsána v článku Phishing aneb rhybaření a určitě stojí za to si ho přečíst až do konce.

Nigerijské dopisy

Tzv. "nigerijské dopisy" šířené elektronickou poštou využívají psychologického "nátlaku" na uživatele, kdy lákají důvěřivé lidi na snadnou vidinu zisku. Jedná se o podvodné praktiky s cílem vylákat z uživatelů nemalé částky.

Nejrozšířenější variantou je příběh o mrtvých milionářích, kteří zanechali obrovské jmění: příjemce dopisů má poskytnout své bankovní konto za příslušnou úplatu k proprání těchto peněz. Když člověk konto poskytne, podvodníci mu z něho vyluxují veškeré jeho peníze.

Variant takovýchto nekalých praktik je vícero, zpočátku může jít o vylákání menších částek na pokrytí nákladů a nezbytných výdajů pro uskutečnění převodu či jako drobná "provize" pro úředníky tamější vlády.

Jak takový dopisy vypadá se můžete podívat například na této stránce, kde je dostupná on-line sbírka podvodných nigerijských dopisů.

Poznámka: V případě těchto a podobných praktik nemusí jít pouze o kontakt elektronickou poštou, méně rozšířenou variantou jsou u i "nigerijské dopisy" zasílané klasickou "papírovou" poštou případně i podpořené telefonickým kontaktem s "obětí" podvodu.

• Nigerijské dopisy stále útočí (idnes.cz)
• Nikdy neodpovídejte na "nigerijské" dopisy (britské listy)
• Podvodné jednání - tzv. „Nigerijské dopisy“ (mvcr.cz)
• Phishing - nový trend v podvodných dopisech (Pavel Satrapa)

Spam

• SPAM

Spam ~ zpravidla (reklamní) sdělení rozesílané masově internetem, zpočátku postihovalo pouze elektronickou poštu - nevyžádaná (reklamní) pošta rozesílaná na emailové adresy, v poslední době se masově rozšířilo i na ostatní druhy internetové komunikace a postihuje tak např. diskusní fora, konference, komentáře pod články nebo oblíbený instant messaging (ICQ, MSN / AOL Messenger aj.)

Pro eliminování množství příchozího spamu do Vaší schránky lze DOPORUČIT následující:

• nevystavujte svůj pracovní email veřejně na internetu, pokud tak činíte zadejte ho raději v "porušeném" tvaru, který stroji znesnadní jeho čtení

jan (tečka) novak (zavináč) email (tečka) cz namísto jan.nová[email protected]
jan (dot) novak (at) email (dot) cz 

• neposkytujte svůj pracovní email nedůvěryhodným zdrojům
• pokud Vám nějaká nevyžádaná pošta přijde - neodpovídejte na ni
• používejte nástroje pro rozlišení spamu - přímo na serveru či vestavěný filtr ve Vašem emailovém klientu
• nerozesílejte tzv. "řetězové" dopisy

Poznámka: V podobném duchu se nedoporučuje používat zobrazení tzv. ICQ statusu na Vašich internetových tránkách.

Hoax, poplašné zprávy

• Hoax

Více informací lze získat na stránkách

• http://www.hoax.cz/

• http://www.urbanlegends.com/ (anglicky)

6. Používejte další bezpečnostní nástroje

Malware

• Malware

Malware je program jehož záměrem je vniknout a/nebo poškodit počítačový systém. Pod souhrnné označení malware se zahrnují počítačové viry, trojské koně, spyware a adware.

Obecným pravidlem je:

• nespouštět / neinstalovat programy z nedůvěryhodného zdroje, néznámého či pochybného původů.
• používat antivirový program, nástroje na detekci a likvidaci malware

Této problematice se podrobně věnují internetové stránky

• http://www.spyware.cz/

• http://www.antispyware.cz/

• http://www.merijn.org/ (anglicky)

# Trojský kůň

Označení pro část programového kódu - program, který se jeví "navenek" jako užitečný, ale ve skutečnosti působí škody, na pozadí "tiše" vykonává jiné činnosti než ty, které jsou autorem programu deklarovány (deaktivovat antifirový program, deaktivovat firewall a jiné).

Trojské koně mohou být součástí volně stažitelného softwaru, který je nabízen zdarma. Objevily se i případy kdy byl trojský kůň vydáván za aktualizaci operačního systému Windows a šířen pod fiktivní hlavičkou Microsoftu jako příloha elektronické pošty.

# Spyware

Spyware je program, který využívá internetu k odesílání dat z počítače bez vědomí jeho uživatele. Na rozdíl od backdooru jsou odcizována pouze data typu přehled navštívených stránek či nainstalovaných programů. Tato činnost bývá odůvodňována snahou zjistit potřeby nebo zájmy uživatele a tyto informace využít pro cílenou reklamu. Nikdo však nedokáže zaručit, že informace nebo tato technologie nemůže být zneužita. Proto je spousta uživatelů rozhořčena samotnou existencí a legálností spyware. Důležitým poznatkem je, že spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí. (zdroj: wikipedia.org)

# Adware

Adware je označení pro produkty znepříjemňující práci s nějakou aplikací zobrazováním reklamy. Ty mohou mít různou úroveň agresivity - od běžných bannerů až po neustále vyskakující pop-up okna nebo ikony v oznamovací oblasti. Většinou ale nejsou přímo nebezpečné jako spyware a často jsou spojeny s nějakým freewarovým programem, který díky nim má prostředky na vývoj. (zdroj: wikipedia.org)

Software pro ochranu proti malware

Programy na ochranu proti spywaru, které jsou k dispozici zdarma, naleznete například zde:

• Lavasoft Ad-Aware SE - verze Ad-Aware SE Personal (zdarma pro pro osobní, nekomerční použití)

• Microsoft AntiSpyware Beta (zdarma)

• Spybot Search & Destroy (S&D)

• Hijackthis - online analýza log souboru programu Hijakthis

• http://www.spywareterminator.com/

Podmínky volného bezplatného užití se mohou u jednotlivých programů lišit nebo mohou být odvislé od použité verze programu, více informací o podmínkách užití naleznete v koncové smlouvě s uživatelem (EULA) jednotlivých programů.

Poznámka: Současný trendem antivirových řešení je dnes právě mimo ochrany před počítačovými viry, také především kombinovaná ochrana před internetovými červy, trojskými koni, spyware a jinou "havětí". Komerční produkty nabízející ucelená řešení "Antivir + firewall + ochrana proti spyware" ...

7. Šifrujte, používejte elektronické podpisy

Důvěrné informace, přístupové údaje, hesla

Věnujte dostatečnou pozornost bezpečnosti při zadávání důvěrných informací.

Při volbě nového přístupového hesla volte dostatečně netriviální heslo, nikam jej nepište, nesdělujte jej třetí osobě.

Nikdy nezadávejte důvěrné údaje do nezabezpečených formulářů (HTTP vs. HTTPS).

Nikdy nesdělujte důvěrné údaje (údaje o bankovním spojení, hesla či obecně jakékoliv přístupové údaje) třetí osobě.

Před nákupem platební kartou na internetu se předem seznamte s bezpečnostními prvky jimiž internetový obchod disponuje.

Programové vybavení

Pro vzdálenou komunikaci nepoužívejte telnet, používejte ssh.

Pro přenos dat nepoužívejte prosté ftp, používejte šifrovaného přenosu prostřednictvím protokolů sftp či staršího scp.

Šifrujte data, podepisujte emaily.

Zabezpečení dat – šifrování, dešifrování

Šifrování ochrání nejen data na vašem disku, ale i data přenášená po internetu. Je však třeba používat skutečně kvalitní šifrování. V současné době tyto nároky splňují šifry s dostatečně dlouhým asymetrickým klíčem, např. RSA nebo kryptografie pomocí eliptických křivek. Pracují na principu veřejného a soukromého kliče. Data, která vám někdo posílá, jsou zašifrována pomocí vašeho veřejného kliče. Tento klič dáte všem, od nichž chcete přijímat šifrované e-maily nebo data. Tato data pak lze rozšifrovat pouze pomocí vašeho soukromého klíče, který je nutné držet v tajnosti. Funguje to jako zámek a klič. Na potkání rozdáváte zámky, kterými lze zprávu pro vás uzamknout tak, aby ji nikdo nemohl přečíst. Pouze vy však máte soukromý klíč, kterým lze zámek otevřít. (zdroj: security_cz.pdf)

Uživatelé operačního systému Linux již mají pravděpodobně vhodné nástroje nainstalovány. Uživatelé Windows mohou využít např. volně distribuovaných programů z nabídky níže:

• PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/ (ssh, scp, sftp)

• WinSCP: http://winscp.net/eng/docs/lang:cs (sftp, scp)

• PGP: http://www.pgp.cz/ - http://www.pgp.com/ (šifrování, podepisování), starší freeware PGP v. 6.02i obsahuje zřejmě nedopatřením programátorů i GUI aplikaci PGP disk pro snadnou správu šifrování souborů na Vašem lokálním disku

• GPG/GnuPG: http://www.gnupg.org/ – GPG (GNU Privacy Guard) vychází z PGP (Pretty Good Privacy). Open-source programový balík pro bezpečnou komunikaci a předávání dat. Umožňuje šifrování a dešifrování, podepisování a kontrolu podpisu různých dat, třeba emailů.

Emaily, soubory můžete šifrovat "ručně" nebo použít dostupné pluginy pro internetové prohlížeče, emailové klienty, které toto ve spolupráci s PGP a GPG dělají automaticky. Je vhodné použít šifrovací klíče s délkou alespoň 1024 bitů.

Několik odkazů:

• GnuPG Handbook (anglicky)

• CZ HOWTO

• Stránky tvůrce PGP Philipa Zimmermanna nezmiňují jednu nepříliš rozšířenou zajímavost, a to způsob jakým byla „obejita“ americká vývozní omezení na šifrovací programy a následné celosvětové rozšíření PGP po Internetu. Zdrojový kód PGP byl vytištěn, listy svázány do knih, samotné knižní svazky vyvezeny za hranice USA a mimo USA přepsány do PC

Problematice šifrování a podepisování se u nás věnuje profesně například Ladislav Hagara (Univerzita obrany). V tisku je sborník z konference LinuxAlt (2006), který přinese mimo jiné právě jeho příspěvek (ve slovenštině) věnovaný přehledně a souhrnně této problematice.

8. Microsoft Windows

Alternativní prohlížeče www stránek

K předinstalovanému internetovému prohlížeči Internet Explorer v OS Microsoft Windows existují alternativy:

• Mozilla Firefox
• Opera

Oba výše uvedené programy jsou distribuovány zdarma a jsou volně k použití.

Alternativní nástroje pro správu pošty

K předinstalovanému emailovému klientu Outlook Express existují alternativy:

• Mozilla Thunderbird
• Opera Mail Client

Oba výše uvedené programy jsou distribuovány zdarma a jsou volně k použití.

Nepoužívejte "vestavěné" sdílení souborů v OS Microsoft Windows

Vestavěné sdílení souborů v operačních systémech rodiny Windows představuje závažnou bezpečnostní díru operačního systému a nedoporučujeme ho používat.

Výjimkou snad může být sdílení souborů prostřednictvím sdílení souborů Windows v rámci lokální počítačové sítě v rámci jedné domácnosti schované za routerem (např. wifi zařízení, nastavené v klientském režimu s překladem adres - NAT).

Poznámka: Windowsoidní sdílení souborů je uvnitř sítě PVfree.net blokováno na úrovni routerů - jednotlivých přístupových bodů (AP). Sdílené soubory jsou tak přístupné, ale pouze těm uživatelům, kteří jsou připojeni na stejný přístupový bod.

9. Zabezpečení bezdrátové sítě v rámci domácnosti

Používáte-li pro propojení počítačů v rámci domácnosti/firmy bezdrátové spojení používejte maximum prvků zabezpečení, které Váš AP (access point, přístupový bod) umožňuje.

• povolení asociace pouze vybraným MAC adresám, WEP, WPA, Radius, vypnout DHCP, aj. ...

Podrobněji se věnuje problematice zabezpečení bezdrátové sítě například článek Základy WiFi: jak zabezpečit bezdrátovou síť? na portále pctuning.cz

Problematiku můžete též prodiskutovat na našem diskusním fóru případně po předchozí domluvě konzultovat osobně v klubovně sdružení.

10. Monitoring provozu

Připojení členové mohou sledovat statistiky síťového provozu na jim přidělených IP adresách

• hotsanic - přehledné grafy veškerého provozu na Vašem přístupovém bodu (AP), vztažený k dané IP adrese

• traffic na iGW (tedy provoz z/do internetu) vztažený na konkrétní IP adresu

Pokud Váš počítač generuje dle statistik síťový provoz a prokazatelně nebyl v danou dobu připojen k síti, kontaktujte správce, patrně není vše v úplném pořádku.

Pokud Vám operační systém hlásí "konflikt IP adres", neprodleně kontaktujte správce. Jiný člen nerespektuje nařízení správců, a namísto přidělování adresy z DHCP, má nastavenou IP adresu "napevno", navíc nesprávnou - tu, která je přidělena Tvému zařízení, a dochází tak ke konfliktu. Jiným případem může být úmyslné cílené kradení IP adresy člena. Správci mají nástroje jak takového provinilce či záškodníka v krátkém čase odhalit a sjednat nápravu.

11. Používejte "selský" rozum

Používejte "selský" rozum.

Pokud nevim - tak se zeptám.

12. Literatura

Ing. Tomáš Přibyl, Počítačové viry a antivirové technologie (PVfree, Internet)

Antivirové programy | seminarky.cz (PVfree, Internet)

Ing. Boleslav Vraný, Bezpečnost v digitálním věku - Počítačová bezpečnost pro laiky (PVfree, Internet)

Uživatelská příručka sítě INTERNET pro potřeby resortu Ministerstva vnitra ČR (PVfree, Internet)

Materiály k výuce v kurzech Národního programu počítačové gramotnosti (PVfree, Internet1, Internet2)

WWW stránky Microsoftu věnované bezpečnosti (Internet)

Jaroslav Pinkava, Phishing aneb rhybaření I. | interval.cz (PVfree, Internet)

Ing. Martin Dobrovolný, Počítačové sítě | přednášky v PPT (PVfree)

RNDr. Libor Dostálek, Ukázky z publikací Velký průvodce protokoly TCP/IP a systémem DNS, Velký průvodce protokoly TCP/IP: bezpečnost a mnoho dalších textů od tohoto autora (PVfree, PVfree-ZIP 210,6 MB !, Internet, Internet-ZIP 210,6 MB!

Archiv článků a přednášek Jiřího Peterky (Internet)

Počítačové sítě | ewa.cz (Internet)