NOVINKA: Kurz kybernetickej bezpečnosti teraz už od 0 €. Staň sa žiadaným profesionálom. Zisti viac:
NOVINKA: Staň sa dátovým analytikom od 0 € a získaj istotu práce, lepší plat a nové kariérne možnosti. Viac informácií:

1. diel - Základné pojmy a zásady kybernetickej bezpečnosti Nové

Ďalší

Vitajte v prvej lekcii on-line kurzu o kybernetickej bezpečnosti. V kurze sa budeme učiť posudzovať a zohľadňovať bezpečnostné riziká pri návrhu softvéru, porozumieme matematickým základom kryptografie a potom sa budeme zaoberať súčasnými kryptografickými algoritmami a ich reálnou aplikáciou.

  • Symetrické šifrovanie – ilustračná schéma - Kybernetická bezpečnosť a NIS2
  • Kleopatra a šifrovanie súborov - Kybernetická bezpečnosť a NIS2
  • Okno Windows firewallu – povolenie aplikácie Postman - Kybernetická bezpečnosť a NIS2
  • Ilustračný obrázok sily hesla - Kybernetická bezpečnosť a NIS2
  • Ukážka podvodnej stránky napodobňujúcej Raiffeisenbank - Kybernetická bezpečnosť a NIS2

Minimálne požiadavky

K tomuto kurzu nepotrebujete žiadne špeciálne znalosti, stačí bežná práca s počítačom 🙂

Prečo sa zaujímať o kybernetickú bezpečnosť

Azda každá literatúra o kybernetickej bezpečnosti začína tým, ako jej význam stúpa v čase, keď sa čoraz viac dôležitých záležitostí rieši elektronicky a ako sa táto téma stále systematicky podceňuje. To všetko je pravda, a preto bezpečnosť považujeme za zvlášť perspektívny odbor do budúcnosti. Každý dnes potrebuje chrániť minimálne svoje peniaze v elektronickej podobe.

Príklad z praxe

Na úvod začneme príkladom z praxe. Ako si myslíte, že je zložité zistiť, koľko peňazí má na bankových účtoch relatívne veľká a úspešná IT firma? Asi si hovoríte, že by to bol veľký hackerský počin – bankové služby musia byť predsa špičkovo zabezpečené. To je dnes už viac-menej pravda, ale asi by ste žasli, ako to bolo dlhé roky predtým.

V praxi stačilo poslať e-mail s touto otázkou jednej zamestnankyni. Tento e-mail mal v hlavičke Mail from: uvedenú adresu niekoho z vedenia danej firmy, v hlavičke Reply to: e-mail útočníka, kam potom skutočne prišla odpoveď. A milá a aktívna zamestnankyňa zariadila zvyšok.

Podvrhnúť e-mail týmto spôsobom je veľmi jednoduché a zvládne to aj začiatočník pomocou niekoľkých riadkov kódu alebo bežne dostupných nástrojov. Čo z toho vyplýva?

Každé bezpečnostné riešenie je len také bezpečné, ako bezpečný je jeho najslabší článok. A najslabším článkom každého počítačového systému je tradične človek (bežný používateľ či administrátor).

Hrozby v kybernetickej bezpečnosti

Že sme mali informáciu utajiť, zistíme väčšinou až vo chvíli, keď dôjde k jej úniku a vznikne z toho problém. Informácie, ktoré unikli, sa už nedajú vziať späť. No aj keby sme naozaj nemali čo tajiť, v živote sa stretneme minimálne s niektorým z nasledujúcich útokov:

  • Sociálne inžinierstvo – Ide o klasický podvod, ktorý z nás má vylákať nejakú informáciu, prinútiť nás urobiť niečo, čo by sme inak neurobili. Iba sú pri ňom použité elektronické prostriedky ako v príklade z praxe vyššie.
  • Strata dát – Telefón či počítač nám môže niekto ukradnúť, môžeme vyhorieť, jednoducho sa nám poškodí disk alebo zabudneme či stratíme prístupové heslá k šifrovaným súborom.
  • Malware (škodlivý kód) – Či už z infikovanej aplikácie, e-mailu, alebo webových stránok. Ten potom môže robiť viac-menej čokoľvek, napríklad odchytávať heslá, sledovať našu polohu alebo čítať našu komunikáciu. Obzvlášť obľúbeným sa stáva tzv. ransomware, ktorý zašifruje naše dáta a za dešifrovanie požaduje výkupné.
  • Ohováranie a dezinformácie – Pretože na internet môže prispievať každý, a to čímkoľvek, čo mu napadne, nájdeme tu množstvo "smetí a nezmyslov". Rozhodne už dávno neplatí, že čo je niekde napísané, musí byť vždy pravda (a to vrátane videí). Cielené ohováranie zase nájdeme najčastejšie na sociálnych sieťach.
  • Krádež identity – Niekto zneužije našu identitu na odosielanie e-mailu, podpis zmluvy o pôžičke a podobne. Veľmi ťažko sa potom preukazuje, že sme to skutočne neboli my.

Nie každý si je vedomý faktu, že podľa zákona sa môže stať zodpovedným za trestný čin z nedbanlivosti, ak nemal zabezpečený svoj počítač a niekto ho využil na spáchanie trestného činu (najčastejšie sa stane súčasťou tzv. BOTNETu a bude použitý na DDoS útok).

Základné princípy kybernetickej bezpečnosti

Na rozdiel od bežnej trestnej činnosti nás v tejto oblasti polícia často nedokáže účinne ochrániť. Útočníci navyše bývajú ťažko dohľadateľní, ak neurobia chybu. O to dôležitejšie je rozumieť tomu, čo presne chceme chrániť a na aké oblasti sa pri zabezpečení zamerať.

Kybernetická bezpečnosť sa preto opiera o niekoľko základných princípov:

  • Confidentiality (dôvernosť) – V podstate ide o to, aby sa ku konkrétnym informáciám (dokumentom, mailom, videám, ale napríklad aj hovorom) dostal len ten, kto je na to oprávnený.
  • Integrity (celistvosť) – Zjednodušene povedané to znamená, aby niekto neoprávnený nemohol informácie (z)meniť.
  • Availability (dostupnosť) – Naopak chráni, aby k informáciám nestratili prístup oprávnené osoby. Patrí sem aj strata informácií alebo útoky typu (D)DOS. Tie spôsobia výpadok služby jej preťažením.
  • Authenticity (overiteľnosť, dôveryhodnosť) – Tu ide o preukázateľnosť toho, že daná informácia skutočne pochádza od uvedeného autora či zdroja. To, že niekto pod e-mail jednoducho napíše David Janko, ešte vôbec nedokazuje, že som to bol skutočne ja, pretože to môže urobiť každý. Druhou vecou je, ako dôveryhodný je samotný autor (čo striktne vzaté nespadá do kybernetickej bezpečnosti, ale v praxi je to tiež dôležité).
  • Utility (použiteľnosť) – Nie je veľmi možné chcieť napríklad od sekretárky, aby každú štvrťhodinu zadávala dvadsaťmiestne heslo, keď sa chce vrátiť k rozpísanému dokumentu, zatiaľ čo si odbehla uvariť kávu. To isté platí napríklad aj pre mobilný telefón. Vo všeobecnosti je problém od niekoho chcieť, aby si zapamätal viac než jedno zložitejšie heslo. Preto v praxi budeme vždy nútení hľadať kompromis medzi úrovňou zabezpečenia a praktickou použiteľnosťou daného riešenia.

Hlavné zásady

Pri hľadaní a implementácii riešenia sa budeme držať niekoľkých nasledujúcich zásad.

Oddeľovať, oddeľovať a oddeľovať

Všeobecne pre administrátorov a bezpečnostných architektov platí nutnosť oddeľovania sietí, serverov, služieb, skupín používateľov a ďalšej infraštruktúry. Nás však bude zatiaľ zaujímať predovšetkým rozlíšenie podľa úrovne zabezpečenia:

Stupeň (Class) zabezpečenia Laický opis Bežné označenie v komerčnej sfére Označenie podľa zákona č. 215/2004 Z. z.
C0 Ide o informácie, ktoré síce nemuseli byť nutne zverejnené, ale keby k tomu došlo, nič by sa nestalo. Verejné Verejné
C1 Tieto informácie zverejniť rozhodne nechceme, na druhej strane, život by sa nám kvôli tomu tiež nezrútil. Citlivé Vyhradené (Restricted)
C2 Únik takýchto informácií by bol osudový. Odolnosť proti bežným hackerom a polícii (pri bežnom vyšetrovaní) :) Interné Dôverné (Confidential)
C3 Únik informácií z tejto kategórie by už mohol niekoho stáť život. Od tejto úrovne by sme riešili aj napríklad to, že nás niekto môže mučiť, aby sme mu informácie poskytli. Odolnosť proti profesionálnym hackerom či tajným službám. Chránené Tajné (Secret)
C4 Tu platí to isté ako v úrovni C3. / Prísne tajné (Top Secret)

V tomto on-line kurze si vystačíme so zabezpečením do úrovne C2.

Automatizácia postupov

Vedomá znalosť je fajn, keď je našou primárnou činnosťou bezpečnosť. Väčšina používateľov má inú pracovnú náplň, na ktorú sa musí sústrediť. V takom prípade vedomie často chybuje a zabúda, pretože sa sústredí na niečo iné. Základné bezpečnostné návyky je teda potrebné dostať do podvedomia, aby ich človek robil automaticky (ako čistenie zubov pred spaním :) ). To sa robí najčastejšie opakovaním určitej činnosti.

Typickým príkladom je občasné vynútené zadanie hesla aj tam, kde sa bežne prihlasujeme biometricky (napríklad na mobilnom telefóne), aby sme heslo nezabudli.

Pomocou (post)hypnotickej sugescie možno dosiahnuť aj to, že si človek heslo vedome nepamätá a je schopný ho zadať iba na klávesnici. A to ešte len vtedy, ak je pri zadávaní sám! Niektoré techniky kybernetickej bezpečnosti nám zasahujú napríklad aj do psychológie.

Tam, kde to ide, samozrejme využívame automatické spracovanie pomocou programov a skriptov.

Minimalizácia nainštalovaného softvéru

Čím menej softvéru a služieb na počítači prevádzkujeme, tým znižujeme počet potenciálnych bezpečnostných dier, ktoré je možné využiť na prienik. Striktne túto zásadu uplatňujeme na firemných pracovných staniciach. Pri osobných počítačoch je to samozrejme trochu problém a úplnú bezpečnostnú nočnú moru potom predstavuje mobilný telefón, kde sa inštalácia nových a nových aplikácií stala (medzi)národným športom.

Operačný systém iOS je na tom o trochu lepšie než Android, no najbezpečnejším riešením je jednoducho nepoužívať mobilný telefón na prácu vyžadujúcu vyšší stupeň bezpečnosti než C1. Pre osobné počítače a notebooky si ukážeme, ako v prípade potreby použiť tzv. SandBox, virtuálny počítač alebo samostatný operačný systém spúšťaný napríklad z flashdisku. Ide o princíp oddelenia.

Životný cyklus kybernetickej bezpečnosti

Profesionálna kybernetická bezpečnosť nie je stav alebo produkt, ale neustále sa opakujúci proces Analýza -> Realizácia opatrení -> Monitoring a kontrola -> Detekcia a identifikácia nových hrozieb. My si tu vystačíme s aktualizáciami systému, aplikácií a občasnou kontrolou, či nám správne funguje zálohovanie.

Koncepcia End-to-end (E2E) ochrany

Koncepcia ochrany koncových zariadení, spravidla šifrovaním, vychádza z predpokladu, že jediné, čomu môžeme skutočne veriť, sme my sami a naše vlastné zariadenia. Viac-menej odpadá starosť o to, ako sú na tom zariadenia ostatných či cesta medzi nimi (napríklad či je dostatočne zabezpečená miestna Wi-Fi alebo či naše e-maily nečíta správca servera, hovory neodpočúva operátor alebo nejaká štátna inštitúcia).

Ide o taký účinný spôsob ochrany, že sa aj v niektorých demokratických štátoch, ako je napríklad Nemecko, objavujú hlasy volajúce po povinnom zabudovávaní zadných vrátok (backdoors) do elektroniky, aby ju štát mohol v prípade potreby prelomiť. My tu preto budeme preferovať lokálne bežiace aplikácie.

Používateľskou nevýhodou tejto koncepcie je obmedzenie pri spracovávaní či ukladaní dát na inom počítači než našom. Ide napríklad o dokumenty Google, rôzne webové rozhrania pre e-mail a podobne.

Koncepcia open source

Open source znamená, že sú k danej aplikácii verejne prístupné zdrojové kódy a každý (kto dokáže čítať zdrojový kód) si môže skontrolovať, že daná aplikácia skutočne robí iba to, čo autor či firma uvádza. To je samozrejme veľké bezpečnostné plus, a preto tu budeme preferovať open source aplikácie, najmä v prípade, keď majú prístup k našim heslám. Hovoríme tu o správcovi hesiel, šifrovacích aplikáciách a ďalších.

No fakt, že je nejaká aplikácia open source, ešte automaticky neznamená, že je bezpečná! V praxi vyberáme také aplikácie, ktoré sú už dlhší čas na trhu a používa ich väčší počet používateľov.

V budúcej lekcii, Symetrická a asymetrická kryptografia , sa pozrieme na rozdiely symetrickej a asymetrickej kryptografie a jej využitie v praxi. Ďalej sa budeme zaoberať digitálnymi podpismi, certifikátmi a certifikačnými autoritami.


 

Všetky články v sekcii
Kybernetická bezpečnosť a NIS2
Preskočiť článok
(neodporúčame)
Symetrická a asymetrická kryptografia
Článok pre vás napísal David Janko
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity