Kryptografie a bezpečnost C:\Users\Karel\Desktop\Quantum-Encryption-Will-Stop-Hackers.jpg Úvodní otázka: Co se o nás dá zjistit jen pomocí polohy? •Kde pracujeme/studujeme •Kde bydlíme •Náš socio-ekonimický status (co navštěvujeme za obchody, podniky,…) •Naše zájmy •S kým se pravděpodobně stýkáme (porovnání dat s jinými uživateli) •Do jisté míry naše politické názory (shromáždění, demonstrace) •Co používáme za dopravní prostředky •Jak často a kam cestujeme za hranice (jak to třeba souvisí s naší prací ?) …a to je „jen“ poloha •Jen přes telefon se dá sledovat mnoho dalších věci: ▫Komu voláme ▫Jaké stránky navštěvujeme ▫Celý aparát soc. sítí (který sleduje milion svých metrik) ▫Odposlech přes mikrofon ▫Apps které používáme a dáváme jim práva ▫Prakticky cokoliv co děláme na internetu ▫ ▫…a to nepočítáme vyložený mallware Phone Vector PNG, Vector, PSD, and Clipart With Transparent Background for Free Download | Pngtree Kryptografie •věda zabývající se zajištěním utajené a důvěryhodné komunikace – tedy tvorbou šifer pro lepší zabezpečení nás na síti C:\Users\Karel\Desktop\crypt.jpg Proč kryptografie? •Stále větší část našich dat je na síti • •Prostřednictvím internetu děláme i důležité úkony (el. Podpis, žádosti o práci, platby…) • •Kryptografie na síti je stejně logická jako to, že zamykáme svoje domy nebo auta • •S kryptografií se setkáváme každý den, i když si to ani neuvědomujeme -> třeba při přihlašování do IS MU C:\Users\Karel\Desktop\images.jpg Něco z historie •Lidé šifrovali svoji komunikaci již od starověku • •Šifrovali se rozkazy pro vojska, deníky politiků, depeše diplomatů… • •Kryptografie nebyla tedy vědou spojenou s IT, ale obecně s šifrováním zpráv http://cryptographicsoftware.com/wp-content/uploads/2011/08/History-of-Cryptography.png C:\Users\Karel\Desktop\Skytale.png C:\Users\Karel\Desktop\enigma.jpg Skytalé - šifrování, který se skládá z válce a na něm navinutém pergamenu na kterém je napsaný vzkaz. Používali je Řekové, kteří ji využívali během válek. Enigma - šifrovací stroj používaný za války německou armádou Kryptografie vs. Kryptoanalýza Kryptologie Kryptografie Kryptoanalýza Zabývá se zajištěním utajené a důvěryhodné komunikace – tvoří šifry Zabývá se získáváním tajných informací – snaží se šifry prolomit Zahrnuje obojí – tedy jak vytváření, tak i luštění šifer Cíle kryptografie •zabezpečit komunikaci citlivých dat mezi uživatelem a internetovou službou • •zajistit důvěryhodnost komunikace mezi uživateli (např. email) • •autorizace závažných úkolů (ebanking, el. obchody, ...) • •omezit přístup k určitým službám jen pro určené jedince (zabezpečená wi-fi) • http://data.computerworld.cz/img/article_title/title_l/40/5b0483af5cae9bf06db589a68cb133.jpg Časté omyly uživatelů •„V tom e-mailu stejně nemám nic co by stálo za to ukrást.“ – chyba. Stačí i to, že znají vaše e-mailové heslo, které může být stejné/podobné jako heslo k e-bankingu, pracovním datům a podobně • •„Jaká je pravděpodobnost, že se to stane zrovna mě?“ – docela slušná. Data o uživatelích dnes kradou často autonomní programy. Pokud odhalí že máte slabé zabezpečení zaměří se na vás. • •I když vy sami nejste pro hackera zajímavý, může z vašich dat získat informace třeba o vašem zaměstnavateli Co tedy napomáhá k naší ochraně? •Dobré heslo •Certifikační systém •Šifrované spojení •Zdravá paranoia J http://icomputerdenver.com/wp-content/uploads/2013/10/Data-Protection.jpg Autentizace •… je ověření identity uživatele, který se pokouší přihlásit do služby, systému apod. (od slova autentický) • vpodle toho, co uživatel zná (zná správnou kombinaci uživatelského označení a hesla nebo PIN) v vpodle toho, co uživatel má (nějaký technický prostředek, který uživatel vlastní – hardwarový klíč, smart card, privátní klíč apod.) v vpodle toho, čím uživatel je (uživatel má biometrické vlastnosti, které lze prověřit – otisk prstu, snímek oční duhovky či sítnice apod.) v vpodle toho, co uživatel umí (umí správně odpovědět na náhodně vygenerovaný kontrolní dotaz) Autentizace – jak se provádí? Heslo – vaše osobní šifra https://blog.lookout.com/wp-content/uploads/2013/11/password.jpg Co je to „dobré heslo“ •…je takové, co půjde špatně odhalit J • •1) Heslo by se neměl tvořit nějaký snadno dohádatelný údaj o uživateli. – tedy ne vaše jméno, jména vašich dětí apod. • •2) Mělo by být dostatečně dlouhé – čím delší tím déle trvá jeho odhalení. S každým dalším znakem se násobí časová délka nutná k jeho odhalení • •3) Mělo by obsahovat velká a malá písmena, čísla a speciální znaky (@, ?). Nejdůležitější je ale jeho délka > > [USEMAP] Jak s heslem zacházet •hesla k důležitým službám (ebanking, IS, email, ...) nesmí být stejná •heslo nikdy nikomu nesdělujte •důležitá hesla neukládejte v prohlížeči, ani je nikam nezapisujte •po zadání hesla na nedůvěryhodném stroji (např. na cestách) jej při nejbližší příležitosti změňte Něco více o heslech Klikni zde Útoky na hesla •Sociální inženýrství - patří mezi nejúčinnější metody útoků . Útočník se snaží zjistit buď přímo zjistit heslo, nebo informace, které ho k heslu dovedou. Prostě se vás zeptá. Druhá varianta je zjistit si základní informace o daném člověku a potom zkusit zmiňované jméno partnera, dětí, dalších rodinných příslušníků, nebo domácích zvířat. • •Odchycení hesla- používají se například keyloggery (programy pro snímání stisknutých kláves na klávesnici). • •Slovníkový útok - Útočník má slovník slov daného jazyka a zkouší zadat jako heslo jednotlivá slova z tohoto slovníku. Nezadává ručně, ale automaticky pomocí počítačového programu. Takovým způsobem pak může vyzkoušet mnoho hesel za sekundu. • •Útok hrubou silou - Nejprimitivnější varianta útoku, útočník zkouší postupně zadávat všechny kombinace, například: aaa, aab, aac, aad,... • Elektronický podpis •Vychází z principů asymetrického šifrování • •El. podpis je potvrzení, že zpráva byla vytvořena daným autorem •realizován pomocí asymetrické kryptografie: ▫pomocí soukromého klíče je k dané zprávě vytvořen podpis ▫příslušný veřejný klíč umožňuje ověřit pravost podpisu • http://www.datoveschranky.eu/wp-content/uploads/elektronicky-podpis.jpg Certifikace pomocí https •Nástavba běžného http protokolu, který není šifrován • •U https jsou využívány certifikáty důvěryhodnosti, které vydává nějaká velká certifikační autorita • •Dnešní prohlížeče s certifikáty umí běžně pracovat a pokud web žádnou certifikaci nemá (nebo ji jen předstírá) snaží se vás většinou varovat •Certifikát v Google Chrome http://frakira.fi.muni.cz/~izaak/PBIT/Kryptografie_a_bezpe%C4%8Dnost/pasted_image001.png •Odhalení nedůvěryhodného certifikátu http://frakira.fi.muni.cz/~izaak/PBIT/Kryptografie_a_bezpe%C4%8Dnost/pasted_image002.png Některé formy útoku •Phising – podvržené stránky a zahrávání si s psychologií uživatele • •Útoky na hesla – různé metody jak odhalit vaše heslo. Viz. kapitola o heslech • •Odposlech bezdrátové komunikace • •Malware – různé druhy škodlivého softwaru, které mohou získat vaše hesla, nebo přímo data Psychologie v útoku - phishing •Only amateurs attack machines; professionals target people. • –— Bruce Schneier C:\Users\Karel\Desktop\phishing-cat-page.jpg Phishing •Pro útočníka je jednodušší využít neopatrnosti cíle (vás) a jeho oklamání, než složitě nabourávat šifrované stroje • •Evolučně jsme si vytvořili poznávací mechanismy, proti podvodům z očí do očí, teď se musíme naučit mechanismy pro odhalení podvodů skrze monitor. • Phishing – jak funguje •Vytvoření návnady (falešná stránka vaší banky) •Rozeslání e-mailů uživatelům (výzva ke změně hesla, kontrole údajů…) •Uložení vašich údajů u útočníka •…poté proběhne standardní přihlášení do běžné služby, aby se nevytvořilo podezření • C:\Users\Karel\Desktop\Phishing-tactic.jpg • C:\Users\Karel\Desktop\nigerian-prince-LBD-232x300.jpg Šifrování wifi vs. odposlech •Na rozdíl od pevné (drátové) sítě nelze fyzicky omezit přístup k bezdrátové síti. U wifi není možné zjistit, zda probíhající komunikaci někdo nesleduje (a nenahrává). Z těchto důvodů se zavádí autentizace (přihlašování) při připojení síti a šifrování provozu přihlášených uživatelů • •Pozor tedy na wifi zdarma! J http://www.wisconsinsmp.org/wp-content/uploads/2014/08/wifi.png Útok na wifi •Odposlech •není možné jeho aktivitu zjistit •v případě nešifrované (nebo slabě šifrované — WEP) vidí veškerou komunikaci vedenou mimo zabezpečené protokoly (např. https) •může sledovat například osobní údaje, stahované dokumenty a další data putující sítí, které mu umožní vést přímé útoky: vydávání se za uživatele (krádež identity), získání přístupu přes fingovanou ztrátu hesla a pod. • •Ofenzivní útočník •v případě slabého šifrování může získat klíč pro vstup do sítě (WEP) •může získat přístup k nastavení přípojného bodu (a využít jej např. ke sledování aktivity na síti) •po získání přístupu do sítě útočit na jednotlivé počítače (i tak jednoduše, jako vyhledávání nevědomky sdílených složek) •vytvořit volně přístupný přípojný bod, na kterém bude sledovat veškerou komunikaci • • • http://www.guardmyip.com/images/wireless_security1.jpg Jak se tedy bránit? •jako uživatel ▫nepřipojujte se k nedůvěryhodným přípojným bodům ▫používejte zabezpečený protokol https ▫mějte zapnutý firewall •při nastavení domácí sítě ▫změňte výchozí hodnoty pro název sítě a heslo pro administraci ▫vyberte šifrování provozu pomocí WPA (WPA-2), WEP varianta je dnes již považována za slabou ▫zvolte dostatečně silné heslo (viz výše) • Malware •= škodlivý software, jehož účelem je poškození, nebo infiltrace počítačového systému • •Řadí se sem různé viry, trojské koně, keylogery, atp. • •Pomocí malwaru je možné: –Získávat data a údaje z postiženého PC (třeba hesla, soukromá data…) – Použít ovládnutý počítač k nelegální aktivitě (rozesílání dalších virů, útokům na velké cíle…) Některé druhy malwaru •Trojský kůň – vydává se za užitečný SW, po instalaci uživatelem provádí svoji pravou funkci • •Keylogger – program který snímá stisknuté klávesy (odposlech hesel) • •Adware – méně škodlivý, způsobuje časté zahlcování reklamou http://4.bp.blogspot.com/-0WvexwTGYPA/UwxP3kCclRI/AAAAAAAAAC8/sUL6uqAuK24/s1600/First+Tor-Based+And roid+Malware+Spotted+in+the+Wild.jpg Ransomware •Vyděračský software neboli ransomware je druh škodlivého softwaru, který zabraňuje přístupu k počítači, který je infikován. •Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. •Některé formy ransomware šifrují soubory na pevném disku (kryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení. • Výsledek obrázku pro ransomware RansomWare • Výsledek obrázku pro ransomware Kyberbezpečnost z pohledu žáka základní školy Obsah obrázku text, interiér Popis se vygeneroval automaticky. Žákovské prekoncepce – co žáci často slyšeli •Nebezpečí sexuálních útoku přes internet •Existuje malware (žáci spíše říkají viry) •Fantaskní povědomí o hackerech (skrze optiku filmů, her, …) •Viry často vnímají jako destruktivní •Vágní představa o krádeži identity (často moc nevědí proč) •Často až přehnaná důvěra v antivirové programy (potažmo i firewall) • Kde je nebezpečí? Výsledek obrázku pro phishing Ä�esky Rizikové chování v kyberprostoru •Děti jsou samozřejmě cíle všech dosud zmíněných rizik (stejně jako dospělí) •Více se jich ale dotýkají některá další rizika Obsah obrázku osoba, zeď, interiér, muž Popis se vygeneroval automaticky. Kyberšikana •Kyberšikana je spjata s šikanou školní •Kyberšikana sdílí základní rysy a projevy tradiční šikany, avšak ty nabývají v kyberprostoru jiných forem • ▫Kyberšikana je kolektivní označení forem šikany prostřednictvím elektronických médií, jako je internet a mobilní telefony, které slouží k agresivnímu a záměrnému poškození uživatele těchto médií. Stejně jako tradiční šikana zahrnuje i kyberšikana opakované chování a nepoměr sil mezi agresorem a obětí. ▫(Price & Dalgeishe (2010) ) ▫ Obsah obrázku logo Popis se vygeneroval automaticky. Kyberšikana •Základní prvky kyberšikany: ▫Probíhá prostřednictvím elektronických médií ▫Opakuje se ▫Záměrnost agresivního aktu ze strany útočníka (někdy se může plést jen s vrstevnickým popichováním a podobně) ▫Mocenská nerovnováha ▫Oběť vnímá toto jednání jako nepříjemné, ubližující ▫ Projevy kyberšikany •Vydávání se za někoho jiného - vytvoření falešného profilu oběti, komunikace s kamarády z takového profilu, zveřejňování upravených a citlivých fotek,… •Vyloučení a ostrakizace •Vytěžení osobních věcí a následné zveřejnění (třeba v group chatu) •Pomlouvání, urážky, hrozby násilím, hecování ostatních na síti k násilí na oběti.... Obsah obrázku Webové stránky Popis se vygeneroval automaticky. Kybergrooming •označuje chování internetových uživatelů (predátorů, kybergroomerů), které má vyvolávat falešnou důvěru a tím přinutit oběť k osobní schůzce •Kybergrooming zahrnuje celou řadu trestných činů, jako jsou nebezpečné vydírání, sexuální nátlak, navazování nedovolených kontaktů s dítětem apod. • Obsah obrázku Webové stránky Popis se vygeneroval automaticky. Kybergroomingem se zabýval třeba film "V síti" Příklady manipulace oběti - Mirroring Převzato od Kamil Kopecký, e-bezpečí Obsah obrázku diagram Popis se vygeneroval automaticky. Příklady manipulace oběti - Uplácení Převzato od Kamil Kopecký, e-bezpečí Obsah obrázku diagram, text Popis se vygeneroval automaticky. Příklady manipulace oběti - snižování hranic vkládáním sexuálního obsahu do konverzace Převzato od Kamil Kopecký, e-bezpečí Obsah obrázku text Popis se vygeneroval automaticky. •… a mnoho dalších jako: • ▫Nátlak ▫Phishing ▫Izolace dítěte od okolí (tajemství,…) ▫Přímé vydíráni ▫Vytěžování osobních informací ▫Využívání "fake webcam loopů" ▫…. ▫ Obsah obrázku muž, osoba Popis se vygeneroval automaticky. K čemu kybergrooming směřuje? •Primárně: 1)Osobní setkání s obětí/sexuální zneužití dítěte 2)Vytěžení dítěte stran autentického pornografického materiálu buď pro osobní potřebu nebo pro obchod Obsah obrázku hudba, smyčcový nástroj, viola, kytara Popis se vygeneroval automaticky. Další nebezpečné fenomény •Sexting •Cyberstalking •Pranky a challange (vzpomenete si na nějaké virální?) •A mnoho dalších... • Obsah obrázku osoba, jezení, jídlo, dezert Popis se vygeneroval automaticky. Kontext Obsah obrázku tabulka Popis se vygeneroval automaticky. •Tyto data jsou z roku 2019, tedy 4 roky stará.... • •A jsou z doby před COVIDEM... • •A ještě jeden problém (další strana) Kontext Obsah obrázku tabulka Popis se vygeneroval automaticky. •Výzkum má sice relativně velký vzorek (n=27177 dětí) , ale extrémně nízký počet účastníků ve věku 7-9 let.... • •Tudíž nám výzkumná data o soc. Sítích do jisté míry kopírují věk účastníků • •Proto je potřeba data zkoumat komplexně ;) Zpátky k výuce a školnímu prostředí... •Kde děláme jako učitelé chyby? •Co je potřeba naučit? •Na co cílit? •Jak motivovat k využívání? •…. • Časté chyby v předávání znalostí •Zastaralé informace (principy virů, chování útočníků, motivace útočníků) •Opakované chyby odvětví (metodika hesel) •Menší akcent na bezpečnost mobilních zařízení •Malá návaznost na žákovskou realitu Obsah obrázku text Popis se vygeneroval automaticky. Co chceme žáky naučit (příklady) •Obecné povědomí • •Často se učí •Co je to malware •Jak pracuje •Jak pracují antiviry, firewall •Co je to ransomware •…a mnoho dalších •Dobrou praxi • •Ovládat a používat prvky zabezpečení •Two-step verification •Zabezpečení domácí wi-fi •Zásady dobrého hesla •Rozpoznání závadných stránek (phising, hoax, …) •Rozpoznání soc. inženýrství •Fake news •… mnoho dalších • Dobrá praxe je velice užitečná, ale jak docílíme toho, aby ji žáci integrovali do svých životů? Jak motivovat k využívání naučeného? • Co tedy žáci využívají? •Herní platformy – Steam, Uplay, Origin, GoG, Google play, Playstation Network, Xbox Live Marketplace…. •Sociální sítě – Facebook, Instagram, Youtube, Snapchat, Musical.ly… •Další služby – maily, různé aplikace, diskuzní fóra, el. žákovské knížky,… Two-step verification • Výsledek obrázku pro steam two step authentication Výsledek obrázku pro playstation two step verification Výsledek obrázku pro uplay two step verification • • •„If it’s free, you are the product.“ Obsah obrázku silueta Popis se vygeneroval automaticky. If it’s free, you are the product •Na příkladu sociálních sítí, které žáci používají se dá tento koncept dobře demonstrovat • •Slouží k lepšímu pochopení principu ochrany našich osobních údajů a identity online If it’s free, you are the product •Pochopení, že vše co sdílíme a na síti děláme má nějakou cenu •Žáci většinou nevidí jako problém, že se jim zobrazují cílené reklamy •Potřebujeme žákům vysvětlit jak je možné s nimi manipulovat zobrazováním cíleného obsahu na soc. sítích •Jak z hlediska konzumerismu, tak třeba politicky nebo názorově (viz skandál Cambridge Analytica) •Uvědomit si propojení komplexních informací o nás Výsledek obrázku pro sign with facebook button Výsledek obrázku pro sign with google+ Výsledek obrázku pro sign in with twitter LOL If it’s free, you are the product •1) Cílení reklamy •2) Cílená manipulace •3) Testování pro budoucí vývoj •4) Testování pro placenou formu produktu •5) Obchod s osobními údaji •6) Obchod s vašimi preferencemi a čímkoliv co jde měřit •7) Vyložené podvody Rady na závěr •Buďte paranoidní ! Pomáhá to J • •Nepodceňujte svoji významnost ! • •Když nevíte nechte si poradit od vašeho správce sítě! • •Vždycky někdo někde poslouchá ! • • http://cdn.makeuseof.com/wp-content/uploads/2012/11/black-lock-icon.png?2d92c1 Zdroje •http://prf-czv.osu.cz/nabidka/seminar/data/Kryptografie.pdf •http://www.cl.cam.ac.uk/~rja14/Papers/SEv2-c05.pdf •http://mi21.vsb.cz/sites/mi21.vsb.cz/files/unit/mzka.png •http://frakira.fi.muni.cz/~izaak/PBIT/Kryptografie_a_bezpe%C4%8Dnost.html •http://www.cl.cam.ac.uk/~rja14/Papers/SEv2-c02.pdf •http://www.flops.cz/zaklady-sifrovani-symetricka-a-asymetricka-kryptografie •http://cs.wikipedia.org/wiki/Autentizace •http://www.guardmyip.com/images/wireless_security1.jpg • •DOSTÁLEK, Libor, Marta VOHNOUTOVÁ a Miroslav KNOTEK. Velký průvodce infrastrukturou PKI a technologií elektronického podpisu. 2., aktualiz. vyd. Brno: Computer Press, 2009, 542 s. ISBN 978-80-251-2619-6. • • • • • •