CORE20 – Digitální svět - Kyberbezpečnost1
Kyberbezpečnost
Tomáš Plesník et al.
CSIRT-MU, 6. 12. 2023
CORE20 – Digitální svět - Kyberbezpečnost2
Co nás dnes čeká?
Kyberhygiena
• 1. přednáška – 29. 11. 2023
• Jak se bránit („Těžko na cvičišti…“)
Kybernetické útoky
• 2. přednáška – 6. 12. 2023
• Čemu se bránit („Lehko na bojišti!“)
Závěrečná esej
• Připravena celkem 4 témata
CORE20 – Digitální svět - Kyberbezpečnost3
Kyberhygiena – opakování
• Hesla
• Zabezpečení zařízení
• (Ne)bezpečí na síti
• Bezpečnost e-mailové komunikace
• Digitální identity
CORE20 – Digitální svět - Kyberbezpečnost4
Kyberhygiena – opakování
• Hesla – základní mechanismus autentizace
• Frázová hesla – zapamatovatelná a jedinečná hesla (délka >= 3-4 slova, verše, říkanky)
• Prolomení hesel – sociální inženýrství, útoky hrubou silou, samotní uživatelé
• Správce hesel – bezpečný trezor chráněný „hlavním“ heslem (možnost generování hesel)
• Vícefaktorová autentizace – pokročilejší vrstva ochrany proti prolomení, typicky 2FA
• Biometrie – budoucnost vícefaktorové autentizace, problém zneužití, problém revokace
• Překonané metody – hesla na papírcích, rotace + pamatování si hesel, speciální znaky
CORE20 – Digitální svět - Kyberbezpečnost5
Kyberhygiena – opakování
• Zabezpečení zařízení – vstupní branou do světa internetu
• Uzamykání obrazovky – snižuje riziko zneužití dat či zařízení (PIN, heslo, gesto, biometrika)
• Náhledy notifikací – odhalují naše soukromí, kompromis nastavit pouze jména osob
• Antivirové řešení – síto filtrující nebezpečí digitálního světa (SW, malware, síťový provoz)
• Pravidelné aktualizace – poskytují vyšší bezpečnost SW i HW (oprava chyb, vylepšení)
• Testované zálohy – ochrana před ztrátou, poškozením či zašifrováním dat (on-line řešení)
• Co dělat při ztrátě – využití on-line služeb typu „Najdi moje zařízení“
CORE20 – Digitální svět - Kyberbezpečnost6
Kyberhygiena – opakování
• (Ne)bezpečí na síti – jak se bezpečně připojit na internet
• Veřejná WiFi (bez hesla) – velké bezpečnostní riziko pro citlivé údaje a data
• Veřejná WiFi (s heslem) – o něco bezpečnější, ale stále vás vidí připojení uživatelé
• Virtuální privátní síť – pomyslný tunel do „bezpečné“ sítě, do kterého útočník nevidí
• Eduroam – infrastruktura provozovaná mezinárodní výzkumnou a vzdělávací komunitou
CORE20 – Digitální svět - Kyberbezpečnost7
Kyberhygiena – opakování
• Bezpečnost e-mailové komunikace – nutnost kritického myšlení
• E-mailová zpráva – tvořena hlavičkou a tělem
• Elektronický podpis – zajišťuje integritu a nepopiratelnost přenášené zprávy a odesilatele
• Šifrování – zajišťuje důvěrnost přenášené zprávy
• Digitální identita – reflektuje nás a naše chování v online světě
• Digitální identita – tvořena naší digitální stopou (historie prohlížení, cookies, nákupy)
• Elektronická identita – přihlašování se do IS státu (e-občanka, mojeID, BankID)
8
Kybernetické útoky
CORE20 – Digitální svět - Kyberbezpečnost
CORE20 – Digitální svět - Kyberbezpečnost9
Definice
Kybernetický útok
„Útok na IT infrastrukturu za účelem způsobit poškození a získat citlivé či
strategicky důležité informace. Používá se nejčastěji v kontextu politicky či vojensky
motivovaných útoků.“
Zdroj: JIRÁSEK, Petr, Luděk NOVÁK a Josef POŽÁR. Výkladový slovník kybernetické bezpečnosti: Cyber security glossary. Třetí aktualizované vydání. Praha: Policejní akademie ČR v Praze, 2015. ISBN
978-80-7251-436-6.
CORE20 – Digitální svět - Kyberbezpečnost10
Kybernetické útoky
Nejčastější typy:
• Techniky sociálního inženýrství
• Sextortion
• Malware
• Ransomware
Méně časté:
• Odepření služby (DDoS)
• Man-in-the-Middle
• Drive-by-download
CORE20 – Digitální svět - Kyberbezpečnost11
Motivace útočníků
• Finanční zisk – jasná motivace za účelem obohacení
• Výzva a soupeření – nejen jedinci, ale také státní aktéři
• Pomsta – neutralizace či poškození „nepřítele“
• Vydíraní – psychologický, politický či ekonomický záměr
• Škodolibost – konkurenční boj
• Pokusy „script kiddies“ – první dětské krůčky
• Hacktivismus – spojením hackingu a aktivismu, politiky a technologie
CORE20 – Digitální svět - Kyberbezpečnost12
Jsou KB útoky bežné?
• Po celém světě neustále probíhá velké množství útoků
• V roce 2019 KB útok každých 39 sekund, v roce 2021 již každých 11 sekund (ransomware)
• Převládají generické útoky na uživatele (IT již dostatečně odolné)
• Masivní, jednoduché, cenově efektivní a hlavně úspěšné
• Techniky sociálního inženýrství, sextortion, malware + ransomware, DDoS
CORE20 – Digitální svět - Kyberbezpečnost13
Jsou KB útoky bežné?
• Můžete se přesvědčit na vlastní oči
• https://cybermap.kaspersky.com/
• https://www.fireeye.com/cyber-map/threat-map.html
• https://threatmap.checkpoint.com
• https://threatmap.fortiguard.com
• https://threatmap.bitdefender.com
• https://livethreatmap.radware.com
• https://cybermap.kaspersky.com/
CORE20 – Digitální svět - Kyberbezpečnost14
Situace (nejen) na MUNI
• Zvyšující se počet KB událostí a incidentů (zdroj: CSIRT-MU)
• 2019: 111 317 pokusů o KB útok a 541 incidentů (ručně řešených)
• 2020: 121 290 pokusů (nárůst o 9 %) o KB útok a 1 494 incidentů (nárůst o 200 %)
• 2021: 147 949 pokusů (nárůst o 22 %) o KB útok a 1 388 incidentů (pokles o 12 %)
• Varování NÚKIB ze dne 24. 2. 2021
• Č.j. 1506/2021-NÚKIB-E/310
• 55–70 % pravděpodobnost útoků typu ransomware v horizontu 1-2 let na VVŠ v ČR
• Ohrožen výzkum a vývoj (obecně pak Know-how) na VVŠ
• Útoky na nemocnice na jaře 2020, knihovny na jaře 2021, ŘSD na jaře
2022, UNOB na podzim 2023
CORE20 – Digitální svět - Kyberbezpečnost15
MUNI jako zdroj/cíl KB útoků
• Druhá největší univerzita v ČR
• Celkem 10 fakult
• 6 300+ zaměstnanců a 33 000+ studentů
• 27 000+ denně komunikujících IP adres
• 2 spravované VIS (IS MU a EPIS MU)
• 2 lokality s 3x40GE připojením do akademické sítě Cesnet2
• 1x Kyberbezpečnostní tým CSIRT-MU
CORE20 – Digitální svět - Kyberbezpečnost16
Útoky na MUNI
• Útoky na uživatele
• Phishingové a spear-phishingové kampaně
• Sextortion kampaně
• Malware kampaně (typicky spojené ransomware)
• Vishing, smishing
• Útoky na IT
• Zneužití zranitelností
• (D)DoS útoky
• Kompromitace strojů – zastaralé, nezabezpečené či nespravované SW a HW
CORE20 – Digitální svět - Kyberbezpečnost17
Jak to (zjednodušene) funguje v praxi?
• Fáze 1: průzkum prostředí
• Fáze 2: skenování cíle
• Fáze 3: získání přístupu
• Fáze 4: využití/udržování přístupu
CORE20 – Digitální svět - Kyberbezpečnost18
Jak to (častěji) funguje v praxi?
Najčastejší formy
kybernetických útoků
19 CORE20 – Digitální svět - Kyberbezpečnost
CORE20 – Digitální svět - Kyberbezpečnost20
Techniky sociálního inženýrství
CORE20 – Digitální svět - Kyberbezpečnost21
Techniky sociálního inženýrství
• Využívají psychologickou manipulaci, zneužívají naši zvědavost, strach, časový
stres či nepozornost k vylákaní přihlašovacích nebo osobních údajů.
• Phishing
• Spear-phishing
• Vishing
• Smishing
• Baiting
• Trashing
22
Kurz technik sociálního
inženýrství
Příběhy sociálního inženýrství
CORE20 – Digitální svět - Kyberbezpečnost
Zdroj: https://security.muni.cz/socialni_inzenyrstvi
CORE20 – Digitální svět - Kyberbezpečnost23
Phishing
CORE20 – Digitální svět - Kyberbezpečnost24
Phishing
• Jedna z nejčastějších technik sociálního inženýrství
• Za účelem vylákání přihlašovacích údajů
• Často generické varianty – anglické mutace
• Špatná čeština – použití překladače
• Užívané varianty:
• Generic phishing – požadavek na přihlašovací údaje přímo součást textu zprávy
• URL phishing – odkaz na URL v těle e-mailu
• Malware phishing – zaslání malware v příloze e-mailu
CORE20 – Digitální svět - Kyberbezpečnost25
Phishing – příklad
CORE20 – Digitální svět - Kyberbezpečnost26
Phishing – příklad
CORE20 – Digitální svět - Kyberbezpečnost27
Spear-phishing
CORE20 – Digitální svět - Kyberbezpečnost28
Spear-phishing
• Pokročilejší verze phishingu, které je již přímo zacílena
• Důkladné zpracování, včetně jazykové stránky
• Přesně zamířena na správné osoby či místa v organizaci
• Těžko rozpoznatelné i pro zkušené uživatele (pouze malé a detailní rozdíly)
• Většinou předchází delší a hlubší sledování cíle (oběti)
• Typicky prvotní fází většího a sofistikovaného útoku
• Hrozba Emotet-Trickbot-Ryuk (Downloader-Malware-Ransomware)
CORE20 – Digitální svět - Kyberbezpečnost29
Spear-phishing – příklad II.
CORE20 – Digitální svět - Kyberbezpečnost30
Spear-phishing – příklad II.
CORE20 – Digitální svět - Kyberbezpečnost31
Spear-phishing – příklad II.
CORE20 – Digitální svět - Kyberbezpečnost32
Jedná se o legitimní přihlášení do IS MU?
CORE20 – Digitální svět - Kyberbezpečnost33
A co toto?
CORE20 – Digitální svět - Kyberbezpečnost34
Kde je rozdíl?
CORE20 – Digitální svět - Kyberbezpečnost35
Spear-phishing – příklad
CORE20 – Digitální svět - Kyberbezpečnost36
Spear-phishing – příklad
CORE20 – Digitální svět - Kyberbezpečnost37
Spear-phishing – příklad
CORE20 – Digitální svět - Kyberbezpečnost38
Sextortion
CORE20 – Digitální svět - Kyberbezpečnost39
Sextortion
• Vydírání obětí sexuálním kontextem za pomoci relativně důvěryhodné zprávy
• Vyskytuje se i jako forma kyberšikany
• Častou cílovou skupinou jsou dospívající lidé, vysoce postavené či spořádaní osoby
• Vyděračské e-maily obvykle:
• Bývají zasílány masově (plané výhrůžky)
• Požadují poplatek relativně malého množství peněz (např. 200-250 USD)
• Snaží se uživatele dostat do časového stresu (zaplať do 24-48 hodin)
• Obsahují „jako důkaz“ legitimní přihlašovací údaje uživatele (typicky z nějakého úniku dat – např. Mall.cz)
• Výhružky se ale mohou skutečně naplnit, pokud útočník například pomocí Spyware
odposlouchává zařízení nebo sleduje webkameru.
CORE20 – Digitální svět - Kyberbezpečnost40
Sextortion – příklad
CORE20 – Digitální svět - Kyberbezpečnost41
Malware
̶ Škodlivý kód, který se šíří prostřednictvím bezpečnostních zranitelností v systémech, na
kterých nebyly nainstalovány potřebné záplaty či aktualizace.
̶ Časté iniciální doručení za pomoci spear-phishingu, USB flash či Drive-by-download
̶ Základní typy malware:
̶ Trojské koně
̶ Ransomware
̶ Spyware
̶ Viry a červy
̶ Backdoor
̶ Downloadery
CORE20 – Digitální svět - Kyberbezpečnost42
Malware
CORE20 – Digitální svět - Kyberbezpečnost43
Malware
Hrozba (Emotet-Ostap)-Trickbot-Ryuk
1. Spear-phishing – iniciální vektor (neuhrazená pohledávka či faktura)
2. Emotet či Ostap – Downloader.JS (pomocí VBA maker v souborech)
3. Trickbot – malware (komunikace s C&C serverem)
4. Ryuk – ransomware (šifrování dat na disku)
• https://blog.iinfosec.com/ransomware-attack-analysis
CORE20 – Digitální svět - Kyberbezpečnost44
Malware – příklad
CORE20 – Digitální svět - Kyberbezpečnost45
Malware – formální popis útoku
CORE20 – Digitální svět - Kyberbezpečnost46
Ransomware
CORE20 – Digitální svět - Kyberbezpečnost47
Ransomware
• Škodlivý SW určený k zašifrování dat oběti s cílem požadovat výkupné
• Dnes často v rámci útoků na nemocnice nebo vysoké školy
• Ve většině případů se jedná čistě o formu businessu
• Útočníci chtějí vydělat peníze a poskytují k tomu i patřičné zázemí
• Lze použít i jako útok v rámci nekalé soutěže mezi konkurenčními firmami
• Jen zřídka se jedná o osobní typ útoku
• Zálohování pro obnovu dat nemusí vždy stačit
• Útočníci vyhrožují zneužitím či prodejem „tajemství“ z odcizených dat
CORE20 – Digitální svět - Kyberbezpečnost48
Odepření služby (DDoS)
̶ Zahlcení cílového bodu (služby či stroje) falešnými žádostmi, čímž dojde k
znemožnění vykonávání legitimní činnosti
̶ Přetažení zařízení, služby či sítě vede k omezení provozu
̶ Legitimní uživatelé se tak nemohou dostat například na webovou stránku
̶ Typickou metodou reflexe (odražení) či amplifikace (zesílení)
̶ Denial of Service attack (DoS)
̶ Distributed Denial of Service attack (DDoS)
CORE20 – Digitální svět - Kyberbezpečnost49
Odepření služby (DDoS)
CORE20 – Digitální svět - Kyberbezpečnost50
Man-in-the-Middle
CORE20 – Digitální svět - Kyberbezpečnost51
Man-in-the-Middle
• Odposlouchávání komunikace typicky v rámci počítačové sítě
• Mezi uživatelem a aplikací, mezi dvěma uživateli, mezi dvěma službami
• Oblíbený způsob realizace za pomoci bezplatné veřejné WiFi sítě bez hesla
• Správce (hacker) vidí všechen síťový provoz přihlášených uživatelů
• Útočníci rovněž využívají webových stránek šifrovaných protokolů (HTTPs)
• Sofistikované útoky pak počítají s „odstraněním“ šifrování (např. SSL Stripping)
• Ještě před navázáním šifrovaného spojení
• Teoretická možnost „rozbíjet“ již ustanovené spojení, nicméně velmi výpočetně náročné
• Nicméně s TLS certifikátem jde samozřejmě všechno lépe (platí pro obě strany)
CORE20 – Digitální svět - Kyberbezpečnost52
Drive-by-download
CORE20 – Digitální svět - Kyberbezpečnost53
Drive-by-download
• Neúmyslné stažení počítačového softwaru z internetu
• Stahování, které uživatal autorizoval, aniž by si byl vědom důsledků
• Jakékoli stažení, ke kterému dojde bez vědomí uživatele
• Odkazy na různá úložiště (Google Drive, Úschovna, RapidShare)
• Stažený soubor se tváří jako legitimní SW (často s překvapením)
• Cracknuté či neoficiální verze aplikací
• Většinou dokáže odchytit antivirové řešení (pokud jej nevypnete)
54
Kyberkompas
Kurz základů informační bezpečnosti pro
uživatele
CORE20 – Digitální svět - Kyberbezpečnost
Zdroj: https://security.muni.cz/cybercompass
CORE20 – Digitální svět - Kyberbezpečnost55
Ochrana na úrovni uživatele
1. Mějte nainstalován antivirový program a udržujte jej aktualizovaný
2. Udržujte operační systém i aplikace aktuální
3. Vždy ověřujte adresu odesílatele zprávy a adresní řádek na webu (tzv. URL)
4. Neotvírejte e-maily a přílohy z podezřelých zdrojů
5. Vytvářejte silná hesla a změňte si všechny defaultní nebo opakovaně použitá hesla
6. Zrušte služby a účty, které se nepoužívají nebo už nejsou potřebné
7. Průběžně sledujte aktuální hrozby
8. Zálohujte a občas testujte zálohy
9. Hlašte bezpečnostní incidenty
10. Buďte kritičtí k tomu s čím se potkáte a pokud nevíte, ptejte se!
56
Ochrana na úrovni organizace
• CSIRT = Computer Security Incident Response Team
• Tým odborníků nejen na počítačovou bezpečnost
• Činnosti:
• Reakce na kyberbezpečnostní události
• Koordinace řešení kyberbezpečnostních incidentů
• Minimalizace dopadů a škod
• Reportování nadřazeným CSIRT týmům
CORE20 – Digitální svět - Kyberbezpečnost
57
CSIRT-MU
Naše mise
Masarykova univerzita je moderní vzdělávací instituce, pro niž je bezpečné kyberprostředí
nezbytné. Naším cílem je zajistit, aby takové skutečně bylo. Toho dosahujeme výzkumem
aktuálních hrozeb a možností jejich potlačení, stejně tak vzděláváním uživatelů a IT expertů.
Zajištění provozní bezpečnosti organizace
• Studenti a zaměstnanci univerzity
• IP adresy z rozsahů 147.251.0.0/16 a 2001:718:801::/48
• Doména muni.cz
• Významné informační systémy dle ZoKB
Inovace prostřednictvím VaV projektů
• Základní i aplikovaný výzkum (MŠMT, MV ČR, MO)
• Projekty s průmyslovými partnery (TA ČR)
• CRP projekty (MŠMT, MU)
• Ostatní (FR CESNET)
Akademický CSIRT
CORE20 – Digitální svět - Kyberbezpečnost
58
Poskytované kategorie služeb pro univerzitu
CORE20 – Digitální svět - Kyberbezpečnost
59
Přehled činností
• Provoz certifikovaného bezpečnostního týmu CSIRT-MU (TF-CSIRT)
• Plnění povinností daných Zákonem o kybernetické bezpečnosti (ZoKB) a Vyhláškou o KB (VoKB)
• Poskytování součinnosti bezpečnostním složkám ČR (PČR, NCOZ, NÚKIB, VZ, VeKySiO, ÚZSI, ÚZČ)
• Spolupráce s národními a mezinárodními bezpečnostními týmy (CESNET-CERTS, CSIRT.CZ)
• Spolupráce s CIT na jednotlivých fakultách
• Penetrační testování univerzitních systémů
• V poslední době např. MUNI Pomáhá, JobCheckIN, JP MUNI, Teiresiás atd.
• Osvěta a vzdělávání univerzitních uživatelů a skupin
• Kyberkompas, kurzy U3V a CŽV, školení správců
CORE20 – Digitální svět - Kyberbezpečnost
60
Přehled dalších činností
• Provoz zabezpečeného IS v režimu „Vyhrazené“
• Zákon č. 412/2005 Sb. „o ochraně utajovaných informací“
• Umožňuje univerzitě ucházet se o projekty v režimu „Vyhrazené“
• Údržba a rozvoj bezpečnostních nástrojů
• Každoroční investice ve výši několika mil. Kč
• Výzkum a vývoj v oblasti kyberbezpečnosti
• Inovace řešeny v rámci projektů aplikovaného výzkumu (výstupy nasazovány do provozu)
• Aktuálně jsme řešitelé několika evropských projektů, tří projektů bezpečnostního výzkumu MV ČR, dvou projektů MŠMT a jednoho projektu TA ČR
• Publikace za posledních 5 let: 2016: 11, 2017: 19, 2018: 23, 2019: 29, 2020: 35
CORE20 – Digitální svět - Kyberbezpečnost
CORE20 – Digitální svět - Kyberbezpečnost61
Co dělat v případe incidentu?
• Nepředpokládáme, že budete odborníky na kyberbezpečnost – to je náš úkol
• Pokud si nejste zcela jistí, vždy raději incident nahlašte – budeme Vám vděční
• Pište na e-mailovou adresu csirt@muni.cz nebo využijte formulář na
webu csirt.muni.cz
1. Identifikujte se
2. Popište problém
3. Přiložte důkazy
CORE20 – Digitální svět - Kyberbezpečnost62
Ochrana na úrovni CESNETu
• CESNET – sdružení vysokých škol a AV ČR
• Spravuje e-infrastrukturu pro přenos, zpracování a ukládání dat, spolupráci mezi
uživateli a týmy
• Připojuje VVŠ a AV ČR k ostatní výzkumným sítím a „normálnímu“ internetu
• Provoz kyberbezpečnostního týmu CESNET-CERTS
• Ochrana na úrovni perimetru
• Monitoring sítě, SIEM, detekce útoků, sdílení událostí, scrubbing centrum (ochrana před DDoS)
• Poskytování služby z pohledu NREN pro VVŠ
• Eduroam, správa identit, certifikáty, Metacentrum, penetrační testování, dohledové centrum
CORE20 – Digitální svět - Kyberbezpečnost63
Ochrana na úrovni státu
• Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)
• Ústřední správní orgán pro kybernetickou bezpečnost včetně ochrany utajovaných
informací v oblasti informačních a komunikačních systémů a kryptografické ochrany.
• Řídí se ZoKB (zákon č. 181/2014 Sb.) a VoKB (vyhláška č. 82/2018 Sb.)
• Provozuje kyberbezpečnostního týmu GovCERT
• Vyhodnocuje a ošetřuje aktuální rizika, vydání varování a definuje opatření
• Koordinuje řešení KB incidentů hlášených z KII, ISZS a VIS
• Provádí osvětovou a vzdělávací činnost
CORE20 – Digitální svět - Kyberbezpečnost64
Chcete se dozvědět více?
• Stránky CSIRT-MU – https://csirt.muni.cz
• Bezpečnostní portál MUNI – https://security.muni.cz
• Kurz Kyberkompas
• Kurz GDPR
• Techniky sociálního inženýrství
• Projekt CRP-KYBER21
CORE20 – Digitální svět - Kyberbezpečnost65
Témata esejí
• Kyberhygiena jako návyk člověka v 21.století
• Kyberbezpečnost a její vliv na jiné obory
• Kyberútoky - moderní hrozba dnešní společnosti
• Phishingové útoky - moderní hrozba dnešní společnosti
CORE20 – Digitální svět - Kyberbezpečnost66
Děkujeme za pozornost