IT rekvalifikácia. Seniorní programátori zarábajú až 6 000 €/mesiac a rekvalifikácia je prvým krokom. Zisti, ako na to!

1. diel - Základné pojmy a zásady kybernetickej bezpečnosti

Vitajte pri prvej lekcii on-line kurzu o kybernetickej bezpečnosti. V kurze sa budeme učiť posudzovať a zohľadňovať bezpečnostné riziká pri návrhu softvéru, porozumieme matematickým základom kryptografie a potom sa budeme zaoberať súčasnými kryptografickými algoritmami a ich reálnou aplikáciou.

Možno si hovoríme, že nemáme čo tajiť. Spoliehame sa na riešenia, ktoré sú nám predkladané a predpokladáme, že našu bezpečnosť v kybernetickom vyrieši za nás. Reklamy na softvér nás v tom samozrejme ešte utvrdzujú: "Nainštalujte si náš antivírus a všetko bude v poriadku, nemusíte sa o nič starať!"

Prečo sa zaujímať o kybernetickú bezpečnosť

Snáď každá literatúra o kybernetickej bezpečnosti začína tým, ako jej význam stúpa v čase, keď sa stále viac dôležitých záležitostí rieši elektronicky a ako je táto téma stále systematicky podceňovaná. To všetko je pravda, a preto bezpečnosť považujeme za zvlášť perspektívnu odbor do budúcnosti. Každý dnes potrebuje chrániť minimálne svoje peniaze v elektronickej podobe.

Na úvod začneme príkladom z praxe. Ako myslíte, že je zložité zistiť, koľko peňazí má na bankových účtoch relatívne veľká a úspešná IT firma? Asi si hovoríte, že by to bol veľký hackerský počin – bankové služby musia byť predsa špičkovo zabezpečené. To je dnes už viac-menej pravda, ale asi by ste žasli, ako to bolo dlhé roky skôr. V praxi však stačilo poslať e-mail s týmto dotazom jednej zamestnankyni. Tento e-mail mal v hlavičke Mail from: uvedenú adresu niekoho z vedenia onej firmy, v hlavičke Reply to: email útočníka, kam potom skutočne prišla odpoveď. A milá a aktívna zamestnankyňa zariadila zvyšok. Podvrhnúť e-mail týmto spôsobom je úplne triviálne a zvládne to aj začiatočník s pár riadkami kódu, ktoré buď sám napíše alebo na to použije verejne dostupnú utilitku. Čo z tohto vyplýva?

Každé bezpečnostné riešenie je len tak bezpečné, aký bezpečný je jeho najslabší článok. A najslabším článkom každého počítačového systému je tradične človek (bežný používateľ či administrátor).

Základné pojmy

Že sme mali informáciu utajiť, zistíme väčšinou až vo chvíli, keď sa dôjde k jej úniku a je z toho malér. Informácie ktoré unikli sa už nedajú vziať späť. Avšak aj keby sme naozaj nemali čo tajiť, stretneme sa vo svojom živote minimálne s niektorým z nasledujúcich útokov:
  • Sociálne inžinierstvo - Ide v podstate o klasický podvod, ktorý z nás má vylákať nejakú informáciu, prinútiť nás urobiť niečo, čo by sme inak neurobili. Iba sú pri ňom použité elektronické prostriedky v príklade z praxe vyššie.
  • Strata dát - Telefón či počítač nám môže niekto odcudziť, môžeme vyhorieť, jednoducho sa nám poškodí disk alebo zabudneme či stratíme prístupové heslá k šifrovaným súborom.
  • Malware (škodlivý kód) - Či už z infikovanej aplikácie, emailu, alebo webových stránok. Ten potom môže robiť viac-menej čokoľvek, napríklad odchytávať heslá, sledovať našu polohu alebo čítať našu komunikáciu. Obzvlášť obľúbeným sa stáva tzv. ransomware. To je vydieračský softvér, ktorý zašifruje naše dáta a za rozšifrovanie požaduje výkupné.
  • Ohováranie a dezinformácia - Pretože môže na internet prispievať každý čokoľvek ho napadne, nájdeme tu veľa "smetí a nezmyslov". Rozhodne už dávno neplatí, že čo je niekde napísané, musí byť vždy pravda (a to vrátane videí). Cielené ohováranie zase nájdeme najčastejšie na sociálnych sieťach.
  • Krádež identity - Niekto zneužije našu identitu na odosielanie e-mailu, podpisu zmluvy o pôžičke a podobne. Veľmi ťažko sa potom preukazuje, že sme to skutočne neboli my.

Nie každý si je vedomý faktu, že podľa zákona sa môže stať zodpovedným za trestný čin z nedbanlivosti, pokiaľ nemal zabezpečený svoj počítač a niekto ho využil na spáchanie trestného činu (najčastejšie sa stane súčasťou tzv. BOTNETu a bude použitý na DDOS útok).

Na rozdiel od bežnej trestnej činnosti, nás v tomto polícia príliš neochráni. Zďaleka nemá prostriedky na riešenie každého drobnejšieho trestného činu a tiež platí, že pokiaľ dotyčný útočník neurobí nejakú chybu, je prakticky nemožné ho dohľadať. Tým sa dostávame k vymedzeniu toho, čo vlastne do kybernetickej bezpečnosti spadá a čo potrebujeme chrániť:

  • Confidentiality (dôvernosť) - V podstate ide o to, aby sa ku konkrétnym informáciám (dokumentom, mailom, videám, ale napríklad aj hovorom) dostal len ten, kto je na to oprávnený.
  • Integrity (celistvosť) - Zjednodušene povedané to znamená, aby niekto neoprávnený nemohol informácie (z)meniť.
  • Availability (dostupnosť) - Naopak chráni, aby k informáciám nestratili prístup osoby oprávnené. Do toho patrí aj strata informácií alebo útoky typu (D)DOS. Tie najmä zaistia znefunkčnenie služby jej preťažením.
  • Authenticity (overiteľnosť, dôveryhodnosť)- Tu ide o preukázateľnosť toho, že daná informácia skutočne pochádza od uvedeného autora či zdroja. To, že niekto pod e-mail jednoducho napíše David Janko ešte vôbec nedokazuje, že som to bol skutočne ja, pretože to môže urobiť každý. Druhou vecou je, aký dôveryhodný je samotný autor (čo striktne vzaté nespadá do kybernetickej bezpečnosti, ale v praxi je to tiež dôležité).
  • Utility (použiteľnosť) - Nie je dosť dobre možné chcieť napríklad po sekretárke, aby každú štvrťhodinu zadávala dvadsaťmiestne heslo, keď sa chce vrátiť k rozpísanému dokumentu, zatiaľ čo si odbehla uvariť kávu. To isté platí napríklad aj pre mobilný telefón. Všeobecne je problém po niekom chcieť, aby si zapamätal viac ako jedno zložitejšie heslo, a preto v praxi budeme vždy nútení hľadať kompromis medzi úrovňou zabezpečenia a praktickou použiteľnosťou daného riešenia.

Hlavné zásady

Pri hľadaní a implementácii riešení sa budeme držať nasledujúcich niekoľkých zásad:

Oddeľovať, oddeľovať a oddeľovať

Všeobecne pre administrátorov a bezpečnostných architektov platí nutnosť oddeľovania sietí, serverov, služieb, skupín užívateľov a ďalšej infraštruktúry. Nás však bude zatiaľ zaujímať predovšetkým rozlíšenie podľa úrovne zabezpečenia:
Stupeň (Class) zabezpečenia Laický popis Bežné označenie v komerčnej sfére Označenie podľa zákona č. 412/2005
C0 Ide o informácie, ktoré síce nemuseli byť nutne zverejnené, ale keby k tomu došlo, nič by sa nestalo:) Verejné Verejné
C1 Tieto informácie zverejniť rozhodne nechceme, na druhú stranu, život by sa nám kvôli tomu tiež nezrútil. Citlivé Vyhradené (Restricted)
C2 Únik takýchto informácií by bol osudový. Odolnosť proti bežným hackerom a polícii (pri bežnom vyšetrovaní):) Interné Dôverné (Confidential)
C3 Únik informácií z tejto kategórie by už mohol niekoho stáť život. Od tejto úrovne by sme riešili aj napríklad to, že nás niekto môže mučiť, aby sme mu informácie poskytli. Odolnosť proti profesionálnym hackerom či tajným službám. Chránené Tajné (Secret)
C4 Tu platí to isté ako v úrovni C3. Prísne tajné (Top Secret) Prísne tajné (Top Secret)
My si v tomto on-line kurze vystačíme so zabezpečením do úrovne C2.

Automatizácia postupov

Vedomá znalosť je fajn, keď je našou primárnou činnosťou bezpečnosť. Väčšina používateľov má ale v pracovnej náplni inú prácu, na ktorú sa musí sústrediť. V takom prípade vedomie často chybuje a zabúda, pretože sa sústredí na niečo iné. Základné bezpečnostné návyky je teda potrebné dostať do podvedomia, aby ich človek robil automaticky (ako čistenie zubov pred spaním):) ). To sa robí najčastejšie opakovaním určitej činnosti.

Typickým príkladom je potrebné občasné vynútené zadanie hesla aj tam, kde sa bežne prihlasujeme biometricky (napríklad na mobilnom telefóne), aby sme heslo nezabudli.

Pomocou (post)hypnotickej sugescie možno dosiahnuť aj to, že si človek heslo vedome nepamätá a je schopný ho zadať iba na klávesnici. A to ešte len vtedy, ak je pri zadávaní sám! Niektoré techniky kybernetickej bezpečnosti nám zabiehajú napríklad aj do psychológie.

Tam, kde to ide, samozrejme využívame automatické spracovávanie pomocou programov a skriptov.

Minimalizácia inštalovaného softvéru

Čím menej softvéru a služieb na počítači prevádzkujeme, tým znižujeme počet potenciálnych bezpečnostných dier (security holes), ktoré je možné na prienik využiť. Striktne túto zásadu uplatňujeme na firemných pracovných staniciach. Pri osobných počítačoch je to samozrejme trochu problém a úplnú bezpečnostnú nočnú moru potom predstavuje mobilný telefón, kde sa inštalácia nových a nových aplikácií stala (medzi)národným športom.

Operačný systém iOS je na tom o trochu lepšie ako Android, avšak najbezpečnejším riešením je skrátka nepoužívať mobilný telefón na prácu vyžadujúcu vyšší stupeň bezpečnosti ako C1. Pre osobné počítače a notebooky si ukážeme, ako v prípade potreby použiť tzv. SandBox, tj virtuálny počítač alebo samostatný operačný systém spúšťaný z napríklad z flashdisku. Ide o princíp oddelenia.

Životný cyklus kybernetickej bezpečnosti

Profesionálna kybernetická bezpečnosť nie je stav alebo produkt, ale neustále sa opakujúci proces Analýza -> Realizácia opatrení -> Monitoring a kontrola -> Detekcia a identifikácia nových hrozieb. My si tu vystačíme s aktualizáciami systému, aplikácií a občasnou kontrolou, či nám funguje správne zálohovanie.

Koncepcia End-to-end (E2E) ochrany

Koncepcia ochrany koncových zariadení, spravidla šifrovaním, vychádza z predpokladu, že jediné, čomu môžeme skutočne veriť, sme my sami a naše vlastné zariadenia. Viacmenej odpadá starosť o to, ako sú na tom zariadení ostatné či cesta medzi nimi (napríklad či je dostatočne zabezpečená miestna Wi-Fi alebo či naše e-maily nečíta správca servera, hovory neodpočúva operátor alebo nejaká štátna inštitúcia).

Ide o tak účinný spôsob ochrany, že sa aj v niektorých demokratických štátoch ako napríklad Nemecko objavujú hlasy volajúce po povinnom zabudovávaní zadných vrátok (backdoors) do elektroniky, aby ju štát mohol v prípade potreby prelomiť. My tu preto budeme preferovať lokálne bežiace aplikácie.

Užívateľskou nevýhodou tejto koncepcie je obmedzenie pri spracovávaní či ukladaní dát na inom počítači ako našom. Ide napríklad o dokumenty Google, rôzne webové rozhrania pre e-mail a podobne.

Koncepcia Open Source

Open source znamená, že sú k danej aplikácii verejne prístupné zdrojové kódy a každý (kto dokáže čítať zdrojový kód) si môže skontrolovať, že daná aplikácia skutočne robí iba to, čo autor či firma uvádza. To je samozrejme veľké bezpečnostné plus, a preto tu budeme preferovať Open Source aplikácie, najmä v prípade, keď majú prístup k našim heslám. Bavíme sa tu o správcovi hesiel, šifrovacích aplikáciách a ďalších.

Avšak fakt, že je nejaká aplikácia open source ešte automaticky neznamená, že je bezpečná! V praxi vyberáme také aplikácie, ktoré sú už dlhšiu dobu na trhu a používa ich väčší počet užívateľov.

V budúcej lekcii, Symetrická a asymetrická kryptografia , sa pozrieme na rozdiely symetrickej a asymetrickej kryptografie a jej využitie v praxi. Ďalej sa budeme zaoberať digitálnymi podpismi, certifikátmi a certifikačnými autoritami.


 

Všetky články v sekcii
Kybernetická bezpečnosť
Preskočiť článok
(neodporúčame)
Symetrická a asymetrická kryptografia
Článok pre vás napísal David Janko
Avatar
Užívateľské hodnotenie:
5 hlasov
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity