OnlÍri6.ITUinLCZ události | věda I Student | english rubriky Bezpečnost systému závisí na uživatelské přívětivosti věda & výzkum i. května 2016 David Povolný Ta, jak uživatel zachází s bezpečností, je dnes jedno z klíčových témat naši laboratoře, říká bezpečnostní expert Václav Matyáš. Programátor často něco nějak mysli, ale nedovede se na to podívat okem uživatele. Václav Matyáš začínal jako expert na šifrování, postupně ale dospěl k tomu, že o bezpečnosti sebelepšího systému nakonec stejně rozhoduje především to, jestli s ním umí správně zacházet jeho uživatel. Právě to je oblast, na kterou se jako vedoucí výzkumné skupiny zaměřené na bezpečnost informačních technologií, v posledních letech orientuje. Zároveň na Fakultě informatiky MU usiluje o to, aby se vzdělávám studentů smysluplně provazovalo s aplikační sférou. pozvánky » Pondělí Týden pohybových 5-9- aktivit a zdraví pro zaměstnance MU Čtvrtek Odborná konference 8. 9. Novela zákona 0 vysokých školách Pátek Výstava kaktusů a jiných 9-9- sukulentů Pondělí Začátek nového 19. 9- semestru Středa Zahájení akademického 21.9. roku 2016/2017 Newsletter: Zůstaňte v obraze vědecké * Bioskop centrum MU w Virtuální prohlídky C_ľ> vědeckých pracovišť MU nenechte si ujít Když se řekne bezpečnost informačních technologií, Člověk si může představit celou řadu věci. Co je jádro toho, čemu se ve vaší laboratoři CRoCS věnujete? Shrnul bych to pojmem autentizace. Ověřování buď toho, kdo je uživatel, který se chce někam dostat, nebo potvrzování, že ten, kdo vám posílá data, je skutečně ten pravý. Věnujeme se jak cistě informatický orientovaným věcem, jako je aplikovaná kryptografie, kde hledáme slabiny různých algoritmů, tak í dost multidiscíplínárním věcem, jako je usable security, čilí uživatelsky přívětivá bezpečnost. Co si pod tím představit? Jsou to už desítky let, co se IT odborníci snaží vylepšovat zabezpečovací systémy, jenže problém je v tom, že sebebezpečnější systém nakonec závisí na svých uživatelích. Pokud ho neumí ovládat, tak bezpečný být nemůže. Celá zmíněná oblast výzkum se proto orientuje na to, jak systém nastavit, aby uživatel všechno pochopil a neskončilo to kontraproduktivně. Nadání dětí není za trest. Psychologové ukazují, jak s nimi pracovat Badatelna - 23. díl: Jak si zahrát flétnou na plameňomet Zůstaňte v obraze Přihlásit Newsletter online.muni.cz Newsletter věda.muni.cz Jak to může vypadat v praxi? Často to znamená vyřešit otázku, jak vhodně zjednodušit ovládání. Představit si to můžete třeba přes internetový prohlížeč. Buď můžete nastavovat zabezpečení přes jednotlivé parametry, kterých jsou desítky a málokdo jim všem rozumí. Anebo něco přednastavíte a necháte uživatele., aby sí vybral, jak moc chce být chráněný třeba na třístupňové škále. On si jen pohne nějakou líštou a vlastně řadě detailů nemusí skoro vůbec rozumět. Turecký student Muni: Erdoganův režim o demokracii nestojí Spadá tam i vyhodnocováni kvality hesla? Ano, to je podobné. Když jste dřív zadával heslo, tak vám většina systémů řekla jen, jestli je dobré, nebo z nejakého důvodu špatné. Dneska už máte v systémech různé barometry, které vám ukážou i s pomocí barevné signalizace, jestli je heslo slabé, středně silné nebo úplně super bezpečné. To všechno je důsledek toho, že se odbornicí začali zabývat bezpečností z pohledu uživatele. To už ale asi není jen o informatice... Hodne intenzivně proto spolupracujeme s fakultou sociálních studii s týmem Davida Šmahela, ale taky s právnickou fakultou a s lidmi kolem Radima Polčáka. Zatím je to tak pětina objemu práce naší skupiny, ale je to pořád na vzestupu a taky je tu zájem ze soukromého sektoru. Když jsme na fakultě rozbíhali možnost sponzorování doktorských studentů konkrétními firmami, tak na usable securíty všichni slyšeli. I lidi, co nerozumí bezpečností, chápou, že je to potřebné. Když jsme teď potřebovali dodatečně sehnat stipendium pro jednoho studenta, který se tomu bude věnovat, nebyl to vůbec problém. Spíš bylo zájemců 0 sponzoring moc. Jedním z velkých témat vaší laboratoře bývaly platební karty a jejich zabezpečení. Proč už to neděláte? Jakmile se něco stane komoditní technologií a není v té oblasti nic vědecky zajímavého v horizontu několika let, tak to pro nás nemá moc smysl. Prostě jakmile si uvědomíme, že saháme na věc, kterou už si bere trh a řeší to řada konzultantských firem, tak mí instinkt říká, zeje čas se posunout dál. Tak to bylo 1 s těmi kartami. Nebyla tam pro nás už žádná výzva. Hodne nás to ale posunulo. Už tehdy před těmi deseti lety jsme se dotkli toho, jak uživatel zachází s bezpečností, což je dnes jedno z klíčových témat naší laboratoře. Co je hlavni motivace, proč se zabývat bezpečnosti? Je to obrana? Poznat, co se dělá na informačních technologiích spatně a jak se to dá zneužít, a pak nacházet řešení, jak to udělat lépe a minimalizovat možnost zneužití. To je hlavní důvod, proč o tom vykládáme studentům a proč to zkoumáme. Nenapadá někdo, že vlastně učíte i jak útočit? Ještě před 20 lety s tím problémy bývaly. Ale dnes už všichni rozumí tomu, že abyste se mohl účinně bránit, musíte prostě vědět, jak přemýšlí útočník. Vlastně si musíte hrát na hackera* To je naprosto přirozené. I dobrý policista se musí naučit finty zlodějů, aby mohl být o krok před nimi. Pro mě osobně je na bezpečností právě to nej zajímavější} že člověk musí umět přepínat mezí dvěma polohami. Jednak musím přemýšlet o tom, co je na systému špatného a jak se do nej dostat. A jednak zvažovat dostupné zdroje a uživatelskou praxí a v tomto kontextu hledat, jak vše udělat lepší. Bezpečnost totiž typicky není o tonij že bychom realizovali neprůstřelné řešení. Spíš jen zvýšíme bariéru útočníkovi. Vy samozřejmě můžete udělat totálně neprůstřelný systém, jenže on je pak nepoužitelný pro uživatele. Existuje čistě teoreticky možnost Jak něco zašifrovat nebo jinak zabezpečit takt že je to z principiálního hlediska nepřekonatelné? Možné to je, ale jen pro velice malé komponenty systému. Můžete udělat algoritmus, který je prokazatelně bezpečný. Už teď teoreticky umíme věci, o kterých víme, zeje nespočítají ani kvantové počítače. Jenže vám do toho vždycky vstoupí lidský faktor. Ten algoritmus musí někdo naprogramovat. I když ho naprogramuje výborně, pak ho musí někdo nainstalovat. A když ho nainstaluje bez chyby, tak ještě přichází uživatel. Takhle vznikají chyby a díry pro útočníky. Takže se zase dostávame k usable security. Presne tak. I j á jsem začínal s kryptografií a zajímaly mě spíš technické aspekty. Ale pak jsem cím dál tím víc zjišťoval, že to můžeme sebelíp naprogramovat, ale když to uživatel použije jinaký než jak jsme zamýšleli, je to vlastně k ničemu. To platí v IT obecně, že často programátor něco nějak myslí, ale nedovede se na to podívat okem uživatele. Ajťáci pak nadávají a existuje na to i spousta vtipů, jak jsou ti uživatelé hloupí - „problém" aleje, že se to proste dělá pro ne. Oni jsou ti, kteří to potřebují používat a kteří za to platí. Jak si představit typickou bezpečnostní hrozbu. Je to hacker? Hackeři napadající systém zvenku jsou jednotky procent bezpečnostních incidentů, to je jen špička ledovce. Drtivá většina problémů je způsobená tím, že se počítačové technologie používají nevhodným způsobem. Lidi si to prostě udělají sami. Další významný faktor je zneužití informačních technologií současnými nebo bývalými uživateli. Typicky jsou to někdejší zaměstnanci, kteří se mstí, nebo současní zaměstnanci, kteří jsou nespokojení. Třeba jsou mizerně placení, ale starají se o informační systém, který je životně důležitý nebo obsahuje citlivé údaje. Když ale Čtete o tom, že nějaký server čelí stovkám útoků denně, kdo to dělá? To jsou vypuštěni roboti? Velmi často. Otázka je, jestli to můžete považovat za opravdový útok. Typicky je to tak, že nějaké děcko si stáhne software, který spustí, a on pak zkouší náhodné útoky po síti. Takové věci nejsou moc nebezpečné, protože zpravidla bezpečnostní komunita ví, o co jde, a základním nastavením svých systémů se proti tomu umí rutinně bránit. Formálně to sice útok je, ale asi tak významný, jako když vám někdo začne ze stříkací pistole střílet na auto se zavřenými okny. Normální Člověk má zavřená okna... Když na vás bude najednou stříkat milion vodních pistolek, tak vám to auto asi i zastaví, ale šance, že se to stane, je malá. Jiná věc je, když je takový software vymyšlený někým tak, aby napadal jedno místo na síti. To se pak ty děti ale stávají nástrojem někoho dalšího s jasným záměrem. Už jste zmiňoval, že někteří doktorandi jsou na fakultě informatiky sponzorovaní firmami a že u tématu usable security bylo zájemců z firem dokonce víc. To zní skoro jako sci-fi. Je to běžné? Přímé sponzorování doktorandů je na fakultě poměrně nová věc, která se týká zatím spise jednotlivců. Dospěli jsme k tomu až po letech oťukávání s průmyslovými partnery fakulty, ale doufám, že toto se běžnou věcí stane. Proč ty roky oťukávání? Když firma přijde na fakultu s nějakým nápadem nebo problémem, který by bylo potřeba řešit, zpravidla je to něco v horizontu měsíců. Což je samozřejmě pochopitelné, ale pro nás to znamená, že je to využitelné jen do určité míry. Může to být něco, co zapadá do směrování doktoranda, ale dizertací na tom nenapíše. Může to být zajímavé zpestření práce pro někoho, kdo se potřebujeme jednou týdně odreagovat u jiného tématu, než je to, kterým se primárně zabývá. Každopádně jsme se takhle naučili pracovat, a protože se to osvědčilo, časem se firmy nechaly přesvědčit, že má cenu do nějakého studenta zainvestovat i dlouhodobě. Třeba právě na čtyři roky, které trvá doktorské studium. To je asi velký zlom. Ohromný. Firmy tím totiž přistoupily na určité riziko. Říkají tím: My sice nevíme, co přesně budeme dělat za tři roky, ale věříme, že to, co děláte na fakultě vy, je perspektivní. Navíc první rok až dva toho studenta prakticky neuvidí, maximálně na kvartální schůzce. Můžou sice mluvit do plánu jeho studia, ale reálně uvidí nějaké hmatatelné výsledky jeho práce až třeba po dvou letech. Skvěle nám to už teď funguje s firmami Y Soft a Red Hat a další se přidávají. Na spadnutí je teď třeba Konica Minolta nebo Lexical Computing. Zní to tak trochu jako určitá forma transferu technologii. V podstatě ano. Představa., že bychom jako na přírodovědecké fakultě přísli na něco, co se dá zapouzdřit, patentově ochránit a pak prodat, tu není moc naplnitelná. I když se samozřejmě najdou výjimky. Stane se, že děláme na nějakém problému, který nás zajímá akademicky a pedagogicky a třeba za tři roky ho uvidíte jako produkt, ale ve většině případů neděláme věci firmě na míru. Spíš společně pracujeme na vzdělaní studenta, sdílíme diplomku, firma dává fakultě nějaké peníze, případně studenta ještě zaměstnává na částečný úvazek, a v okamžiku, kdy absolvuje, může u ní plynule pokračovat třeba jako vývojář. Prostě společně pracujete na člověku, není to tolik o společném programování. Ne že bychom společně nedělali nějaký výzkum, ale prostě fakulta není software house. U spousty' institucí a někdy i firem je bohužel vidět takové očekávání. Představují si, že by naši studenti mohli vyvíjet nej různější z mého pohledu triviální věcí, na které vám z fleku udělá nabídku deset firem z Brna. Možná očekávají, že se na tom studenti něco naučí. Ano, taková spolupráce může studentovi hodně dát, ale musí se vhodne nastavit tak, aby to nebyla jen programátorská rutina. Tu si může student odbýt na praxi, ke které fakultu nepotřebuje. Nám se se Sdružením průmyslových partnerů FI podařilo dostat do stádia, že máme více než stovku závěrečných prací obhájených ve spolupráci se soukromými firmami, což je více než pětina všech diplomových prací na fakultě. Jak vznikají zadání? Téma přichází buď od nás a firmu zaujme, nebo firma přijde s problémem a společně vymyslíme, jak to přetavit v zadání diplomové práce. Student pak má dva konzultanty, jednoho technického přímo ve firmě a jednoho na fakultě, který hlídá zejména akademické standardy. Taková spolupráce studenty ohromně posouvá. Někdy končí tím, že ve firme plynule pokračují, a někdy se stane, že student zjistí, že chce jít dál a zkusit prácí zase jinde. To je taky užitečné. sdílet článek □□□□ Sdruženi vzniklo už v roce 2007. Změnila se koncepce? Dnes už vlastně pracujeme na čtvrté revizi, ale základní parametry jsou stejné. Zůstalí jsme na třech segmentech partneru podle míry spolupráce. Jen dřív to bylo založené víc na financích, které firma do našeho vztahu investuje. Dnes klademe větší důraz na počet úspěšně obhájených závěrečných prací. Ukázalo se totiž,, že pro některé firmy nebyl problém zaplatit peníze za nej nižší stupeň partnerství, a získat tak přístup na fakultu, ale už pro ne byl problém efektivně spolupracovat s větším poetem studentu na diplomové práci. Kritéria jsme proto změnili, protože peníze pro nás nejsou to hlavní. Chceme hlavně studenty kvalitně vzdělávat, teoreticky i prakticky. Doktorát si domlouvali po emailu Václav Matyáš přisel před 20 lety na fakultu informatiky a už vychoval řadu studentu. m Univerzita hostí bezpečnostní experty. Do Brna se přesunou z Cambridge Na akci se diskutuje o záležitostech, které se často zdají jako sci-fi, většinou se ale stanou realitou. i H Ji Bezpečnostní tým z Masarykovy univerzity odhalil hackera Za posledních sedm napadl škodlivým softwarem nejméně 1500 počítačů. Snažil se získat přístupová hesla. » události » komentáre » absolventi » student sport » věda & výzkum »téma » víte...? » podívejte se » kultura a společnost » přírodní vědy » zdraví a medicína » byznys a ekonomie »IT a technologie