IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 1 - Základní pojmy a zásady kybernetické bezpečnosti

Další

Vítejte u první lekce on-line kurzu o kybernetické bezpečnosti. V kurzu se budeme učit posuzovat a zohledňovat bezpečnostní rizika při návrhu softwaru, porozumíme matematickým základům kryptografie a poté se budeme zabývat současnými kryptografickými algoritmy a jejich reálnou aplikací.

Možná si říkáme, že nemáme co tajit. Spoléháme se na řešení, která jsou nám předkládána a předpokládáme, že naši bezpečnost v kyberprostoru vyřeší za nás. Reklamy na software nás v tom samozřejmě ještě utvrzují:

Nainstalujte si náš antivir a vše bude v pořádku, nemusíte se o nic starat!

Proč se zajímat o kybernetickou bezpečnost

Snad každá literatura o kybernetické bezpečnosti začíná tím, jak její význam stoupá v době, kdy se stále více důležitých záležitostí řeší elektronicky a jak je toto téma stále systematicky podceňováno. To všechno je pravda, a proto bezpečnost považujeme za zvlášť perspektivní obor do budoucna. Každý dnes potřebuje chránit minimálně své peníze v elektronické podobě.

Příklad z praxe

Na úvod začneme příkladem z praxe. Jak myslíte, že je složité zjistit, kolik peněz má na bankovních účtech relativně velká a úspěšná IT firma? Asi si říkáte, že by to byl velký hackerský počin - bankovní služby musí být přeci špičkově zabezpečené. To je dnes už víceméně pravda, ale asi byste žasli, jak tomu bylo po dlouhé roky dříve. V praxi však stačilo poslat e-mail s tímto dotazem jedné zaměstnankyni. Tento e-mail měl v hlavičce Mail from: uvedenou adresu někoho z vedení oné firmy, v hlavičce Reply to: email útočníka, kam poté skutečně přišla odpověď. A milá a aktivní zaměstnankyně zařídila zbytek. Podvrhnout e-mail tímto způsobem je naprosto triviální a zvládne to i začátečník s pár řádkami kódu, které buď sám napíše nebo k tomu použije veřejně dostupnou utilitku. Co z tohoto vyplývá?

Každé bezpečnostní řešení je jen tak bezpečné, jak bezpečný je jeho nejslabší článek. A nejslabším článkem každého počítačového systému je tradičně člověk (běžný uživatel či administrátor).

Základní pojmy

Že jsme měli informaci utajit zjistíme většinou až ve chvíli, kdy se dojde k jejímu úniku a je z toho malér. Informace, které unikly se již nedají vzít zpátky. Nicméně, i kdybychom opravdu neměli co tajit, setkáme se ve svém životě minimálně s některým z následujících útoků:

  • Sociální inženýrství - Jedná se v podstatě o klasický podvod, který z nás má vylákat nějakou informaci, přimět nás udělat něco, co bychom jinak neudělali. Pouze jsou při něm použity elektronické prostředky v příkladu z praxe výše.
  • Ztráta dat - Telefon či počítač nám může někdo odcizit, můžeme vyhořet, jednoduše se nám poškodí disk nebo zapomeneme či ztratíme přístupová hesla k šifrovaným souborům.
  • Malware (škodlivý kód) - Ať už z infikované aplikace, emailu, či webových stránek. Ten pak může dělat víceméně cokoli, například odchytávat hesla, sledovat naši polohu nebo číst naši komunikaci. Obzvlášť oblíbeným se stává tzv. ransomware. To je vyděračský software, který zašifruje naše data a za rozšifrování požaduje výkupné.
  • Pomluvy a dezinformace - Protože může na internet přispívat každý, a to čímkoliv ho napadne, nalezneme zde spoustu "smetí a nesmyslů". Rozhodně už dávno neplatí, že co je někde napsáno, musí být vždy pravda (a to včetně videí). Cílené pomluvy zase najdeme nejčastěji na sociálních sítích.
  • Krádež identity - Někdo zneužije naši identitu k odesílání e-mailu, podpisu smlouvy o půjčce a podobně. Velmi obtížně se pak prokazuje, že jsme to skutečně nebyli my.

Ne každý si je vědom faktu, že podle zákona se může stát odpovědným za trestný čin z nedbalosti, pokud neměl zabezpečený svůj počítač a někdo ho využil ke spáchání trestného činu (nejčastěji se stane součástí tzv. BOTNETu a bude použit k DDOS útoku).

Na rozdíl od běžné trestné činnosti, nás v tomto policie příliš neochrání. Zdaleka nemá prostředky na řešení každého drobnějšího trestného činu a také platí, že pokud dotyčný útočník neudělá nějakou chybu, je prakticky nemožné ho dohledat. Tím se dostáváme k vymezení toho, co vlastně do kybernetické bezpečnosti spadá a co potřebujeme chránit:

  • Confidentiality (důvěrnost) - V podstatě jde o to, aby se ke konkrétním informacím (dokumentům, mailům, videím, ale třeba i hovorům) dostal jen ten, kdo je k tomu oprávněn.
  • Integrity (celistvost) - Zjednodušeně řečeno to znamená, aby někdo neoprávněný nemohl informace (z)měnit.
  • Availability (dostupnost) - Naopak chrání, aby k informacím neztratily přístup osoby oprávněné. Do toho spadá i ztráta informací nebo útoky typu (D)DOS. Ty zejména zajistí znefunkčnění služby jejím přetížením.
  • Authenticity (ověřitelnost, důvěryhodnost)- Zde jde o prokazatelnost toho, že daná informace skutečně pochází od uvedeného autora či zdroje. To, že někdo pod e-mail jednoduše napíše David Janko ještě vůbec nedokazuje, že jsem to byl skutečně , protože to může udělat každý. Druhou věcí je, jak důvěryhodný je samotný autor (což striktně vzato nespadá do kybernetické bezpečnosti, ale v praxi je to také důležité).
  • Utility (použitelnost) - Není dost dobře možné chtít třeba po sekretářce, aby každou čtvrthodinu zadávala dvacetimístné heslo, když se chce vrátit k rozepsanému dokumentu, zatímco si odběhla uvařit kávu. To samé platí například i pro mobilní telefon. Obecně je problém po někom chtít, aby si zapamatoval více než jedno složitější heslo. Proto v praxi budeme vždy nuceni hledat kompromis mezi úrovní zabezpečení a praktickou použitelností daného řešení.

Hlavní zásady

Při hledání a implementaci řešení se budeme držet následujících několika zásad:

Oddělovat, oddělovat a oddělovat

Všeobecně pro administrátory a bezpečnostní architekty platí nutnost oddělování sítí, serverů, služeb, skupin uživatelů a další infrastruktury. Nás však bude zatím zajímat především rozlišení podle úrovně zabezpečení:

Stupeň (Class) zabezpečení Laický popis Běžné označení v komerční sféře Označení podle zákona č. 412/2005
C0 Jedná se o informace, které sice nemusely být nutně zveřejněné, ale kdyby k tomu došlo, nic by se nestalo. Veřejné Veřejné
C1 Tyto informace zveřejnit rozhodně nechceme, na druhou stranu, život by se nám kvůli tomu také nezhroutil. Citlivé Vyhrazené (Restricted)
C2 Únik takových informací by byl osudový. Odolnost proti běžným hackerům a policii (při běžném vyšetřování) :) Interní Důvěrné (Confidential)
C3 Únik informací z této kategorie by už mohl někoho stát život. Od této úrovně bychom řešili i například to, že nás někdo může mučit, abychom mu informace poskytli. Odolnost proti profesionálním hackerům či tajným službám. Chráněné Tajné (Secret)
C4 Zde platí totéž jako v úrovni C3. / Přísně tajné (Top Secret)

My si v tomto on-line kurzu vystačíme se zabezpečením do úrovně C2.

Automatizace postupů

Vědomá znalost je fajn, když je naší primární činností bezpečnost. Většina uživatelů má ale v pracovní náplni jinou práci, na kterou se musí soustředit. V takovém případě vědomí často chybuje a zapomíná, protože se soustředí na něco jiného. Základní bezpečnostní návyky je tedy potřeba dostat do podvědomí, aby je člověk dělal automaticky (jako čištění zubů před spaním :) ). To se dělá nejčastěji opakováním určité činnosti.

Typickým příkladem je třeba občasné vynucené zadání hesla i tam, kde se běžně přihlašujeme biometricky (například na mobilním telefonu), abychom heslo nezapomněli.

Pomocí (post)hypnotické sugesce lze dosáhnout i toho, že si člověk heslo vědomě nepamatuje a je schopen ho zadat pouze na klávesnici. A to ještě jen tehdy, pokud je u zadávání sám! Některé techniky kybernetické bezpečnosti nám zabíhají třeba i do psychologie.

Tam, kde to jde, samozřejmě využíváme automatického zpracovávání pomocí programů a skriptů.

Minimalizace instalovaného software

Čím méně softwaru a služeb na počítači provozujeme, tím snižujeme počet potenciálních bezpečnostních děr (security holes), které je možné k průniku využít. Striktně tuto zásadu uplatňujeme na firemních pracovních stanicích. U osobních počítačů je to samozřejmě trochu problém a úplnou bezpečnostní noční můru pak představuje mobilní telefon, kde se instalace nových a nových aplikací stala (mezi)národním sportem.

Operační systém iOS je na tom o trochu lépe než Android, nicméně nejbezpečnějším řešením je zkrátka nepoužívat mobilní telefon k práci vyžadující vyšší stupeň bezpečnosti než C1. Pro osobní počítače a notebooky si ukážeme, jak v případě potřeby použít tzv. SandBox, virtuální počítač nebo samostatný operační systém spouštěný z například z flashdisku. Jedná se o princip oddělení.

Životní cyklus kybernetické bezpečnosti

Profesionální kybernetická bezpečnost není stav nebo produkt, ale neustále se opakující proces Analýza -> Realizace opatření -> Monitoring a kontrola -> Detekce a identifikace nových hrozeb. My si zde vystačíme s aktualizacemi systému, aplikací a občasnou kontrolou, zda nám funguje správně zálohování.

Koncepce End-to-end (E2E) ochrany

Koncepce ochrany koncových zařízení, zpravidla šifrováním, vychází z předpokladu, že jediné, čemu můžeme skutečně věřit, jsme my sami a naše vlastní zařízení. Víceméně odpadá starost o to, jak jsou na tom zařízení ostatní či cesta mezi nimi (například zda je dostatečně zabezpečená místní Wi-Fi nebo zda naše e-maily nečte správce serveru, hovory neodposlouchává operátor nebo nějaká státní instituce).

Jde o tak účinný způsob ochrany, že se i v některých demokratických státech jako například Německo objevují hlasy volající po povinném zabudovávání zadních vrátek (backdoors) do elektroniky, aby ji stát mohl v případě potřeby prolomit. My zde proto budeme preferovat lokálně běžící aplikace.

Uživatelskou nevýhodou této koncepce je omezení při zpracovávání či ukládání dat na jiném počítači než našem. Jde například o dokumenty Google, různá webová rozhraní pro e-mail a podobně.

Koncepce Open Source

Open source znamená, že jsou k dané aplikaci veřejně přístupné zdrojové kódy a každý (kdo dokáže číst zdrojový kód) si může zkontrolovat, že daná aplikace skutečně dělá pouze to, co autor či firma uvádí. To je samozřejmě velké bezpečnostní plus, a proto zde budeme preferovat Open Source aplikace, zejména v případě, když mají přístup k našim heslům. Bavíme se zde o správci hesel, šifrovacích aplikacích a dalších.

Nicméně fakt, že je nějaká aplikace open source ještě automaticky neznamená, že je bezpečná! V praxi vybíráme takové aplikace, které jsou už delší dobu na trhu a používá je větší počet uživatelů.

V příští lekci, Symetrická a asymetrická kryptografie, se podíváme na rozdíly symetrické a asymetrické kryptografie a jejího využití v praxi. Dále se budeme zabývat digitálními podpisy, certifikáty a certifikačními autoritami.


 

Všechny články v sekci
Kybernetická bezpečnost
Přeskočit článek
(nedoporučujeme)
Symetrická a asymetrická kryptografie
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
157 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity