Bezpečnost na internetu

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Bezpečnost na internetu je relativně široký pojem a zároveň důležitý problém jak pro běžné uživatele, tak administrátory velkých sítí. Můžeme jí rozumět jako souboru opatření, jež mají za cíl znemožnit, nebo maximálně znesnadnit útočníkovi získání soukromých či neveřejných dat, obsahu komunikace, zamezit převzetí vlády nad počítačem, případně celou sítí, nebo útoku s pokusem vyřadit server z činnosti. V širším smyslu do této oblasti náleží také ochrana před úniky nevhodných osobních informací, například na sociálních sítích, manipulace s lidmi na sociálních sítích nebo zamezení zobrazení citlivých firemních dokumentů ve výsledcích vyhledávačů. Na bezpečnosti na internetu mají svůj zájem také státy, případně mezinárodní organizace. Většinou se snaží zamezit provozu stránek s ilegálním obsahem, nebo zamezit samotné nelegální činnosti pomocí zákonů (např. protispamová legislativa) a nasazením policie. V některých státech tato činnost hraničí, či dokonce přerůstá do cenzury. Příklady takových států jsou Čína[1] nebo Írán.[2]

Nebezpečí hackingu a spywaru[editovat | editovat zdroj]

Obvykle útočníka zajímá informace, kterou může zpeněžit, případně zneužít k vydírání nebo získání jiných cílů, případně omezení provozu serveru či užití výpočetního výkonu k vytvoření tzv. botnetu, jenž pracuje na obdobném principu jako distribuované výpočty, avšak s cílem rozesílat spam nebo koordinovat útok typu DDoS. Útoky též probíhají z jiných důvodů, než je výdělek. Útoky jsou prováděny jako upozornění na slabé zabezpečení, s cílem proslavit své jméno nebo otestovat svoje schopnosti a vyřešit problém, případně se naposledy pomstít zaměstnavateli po propuštění. Nepeněžně motivovaní útočníci často své úspěchy zveřejňují. Pokusy prolomit zabezpečení též mohou být objednané samotným cílem, jako penetrační test v rámci bezpečnostního auditu. Dnes již relativně zřídka někdo proniká cíleně do vzdáleného počítače za účelem získání hesel, například k internetovému bankovnictví. Hesla jsou hromadně a efektivněji sbírána k tomu vytvořenými programy, které se nazývají keyloggery, a poté jsou dražena na utajovaných aukcích [3] jako celé "balíky" čítající až tisíce přístupových údajů, případně jsou rovnou zneužita. Keyloggery se mohou maskovat za užitečný software, například za program zprostředkující předpovědi počasí a podobně. Jsou řazeny mezi spyware (tj. programy sledující činnost počítače, případně připravující "zadní vrátka" pro útok). K průniku k citlivým datům lze též využít bezpečnostních chyb v běžných programech. Speciální kapitolou je tzv. phishing (z angl. rybaření, používaný překlad rhybaření). Útočník "uloví" heslo uživatele tak, že mu zobrazí falešnou stránku, která se vydává vzhledově za jinou, například za stránku přihlášení do internetového bankovnictví. To se v praxi děje nejčastěji posláním falešného e-mailu, který taktéž dodržuje obvyklou vzhledovou strukturu e-mailů banky s žádostí k odeslání hesla z důvodu například poškození databáze. Pokud si oběť zadá svá přístupová hesla na odkazované stránce, jsou okamžitě uložena a útočník získal možnost manipulovat s účtem.

Nebezpečí v komunikaci[editovat | editovat zdroj]

Z důvodu absence šifrování by citlivá data neměla být posílána e-mailem, protože ten je předáván na své cestě nešifrovaně mezi mnohými uzly. Stejně tak většina komunikace skrz instant messaging služby probíhá nešifrovaně. E-mail bývá též příčinou mnoha virových nákaz, viry jsou často maskovány jako zajímavý obsah v příloze e-mailu. Typicky jde o .EXE či .COM soubory, různé souborové archivy, popřípadě běžné soubory kancelářských balíků, které obsahují škodlivé makro. Pro soubory cílící na zranitelnosti softwaru se používá výraz exploit.

Bezpečnost elektronické pošty[editovat | editovat zdroj]

Proces na pozadí[editovat | editovat zdroj]

Elektronická pošta je skládána, doručena a uchována v několikakrokovém procesu, který začíná složením samotným. Jakmile uživatel sepíše (složí) email a odešle jej, je zpráva transformována do standardního formátu, kterým je formát RFC 2822. Poté může být zpráva odeslána. Připojením do sítě poštovní klient, referován jako "poštovní uživatelský agent" MUA (Mail User Agent), se připojí na "poštovního přenosového agenta" MTA (Mail Transfer Agent), který běží a operuje na serveru. Poštovní klient pak serveru poskytne údaje o odesílateli. Následně přes příkazy na serveru se poštovnímu serveru předá seznam příjemců a pak i samotný obsah zprávy. Jakmile jsou seznam a zpráva přijaty a zpracovány, proběhne několik událostí. Identifikuje se cílový server příjemce, k tomu slouží služba DNS, ta určí, jaká zpráva jakému příjemci patří. Založí se spojení mezi poštovními servery klientů (příjemce a odesílatel) nakonec se i celá zpráva odešle a přes opačný proces se složí na druhé straně a pak doručí příjemci.

Pretty Good Privacy (PGP)[editovat | editovat zdroj]

Většinou se nepřekládá, ale lze jej přeložit jako "dost dobré soukromí". PGP poskytuje zprávě důvěryhodnost přes šifrování, ať už se jedná o zprávu samotnou či uložená data. Využívá různé kryptografické algoritmy - nejčastěji symetrické (DES, triple 3DES, AES,…), asymetrické (RSA, ElGamal), hašovací (SHA-1, MD5,…) a podpisové (DSS,…). Emailové zprávy mohou být chráněny šifrováním více variantami, některé hlavní si tu uvedeme.

  • podepsáním emailové zprávy zaručíme její integritu a zároveň potvrdíme identitu odesílatele
  • šifrováním obsahu zprávy zaručíme důvěru v data v ní uložených
  • šifrováním komunikace mezi poštovními servery chráníme důvěryhodnost jak obsahu zprávy, tak i hlavičky zprávy

První dvě metody šifrování se často používají v kombinaci (šifrování těla zprávy a ověřovací podpis), ale šifrování spojení se užívá často jen mezi dvěma organizacemi či společnostmi, které se na tomto postupu dohodly a chtějí své pravidelně odesílané elektronické poštovní zprávy chránit. Dělají to tak, že si například nastaví soukromou virtuální síť VPN (Virtual Private Network) a tím zašifrují komunikaci mezi servery přes celou cestu internetem. Na rozdíl od metod, kterými lze zašifrovat pouze tělo zprávy, pomocí VPN lze šifrovat zprávu celou, tedy i hlavičku, která obsahuje různé důležité informace, jako jsou informace o odesílateli, příjemcích a předmět zprávy. Avšak VPN samotná nedokáže propůjčit zprávě mechanismus na ověření podpisu, tedy neověří její autentičnost, a stejně tak nezaručí ochranu pro zprávu po celou cestu internetem.

Multipurpopose Internet Mail Extention (MIME)[editovat | editovat zdroj]

Překládáno jako "víceúčelová rozšíření internetové pošty". MIME je standard, který přetváří non-ASCII data na straně odesílatele do NVT formátu ASCII (Network Virtual Terminal), tyto data doručí jednoduchému poštovnímu přenosovému  protokolu SMTP (Simple Mail Transfer Protocol) a ten je odešle přes internet. Ten samý SMTP protokol na straně klienta příjemce tyto zaslaná data v NVT ASCII formátu doručí svému MIME a ten je převede zpět do originální zprávy v podobě původních non-ASCII dat. Výhoda MIME je především v tom, že zprávou lze odeslat i netextová data - non-ASCII znaky (české znaky,…) a přitom zůstává plně kompatibilní s protokolem RFC 2882. Tímto způsobem lze přenášet i přílohy, čili obrázky, zvuky, videa a další data. Navíc lze díky této technologii podepisovat elektronickou poštu.

Message Authentication Code[editovat | editovat zdroj]

Známý též v překladu jako "kód pro ověření pravosti zprávy", je to kryptografická metoda, která využívá tajný klíč (secret key) k zašifrování zprávy. Metoda vrací hodnotu MAC (Media Access Control), která může být dešifrována na straně příjemce použitím stejného tajného klíče, který použil odesílatel. Šifrování touto metodou chrání jak data obsažená ve zprávě - tedy její integritu, tak i její autentičnost, čili jednoduché ověření/identifikace odesílatele.

Nebezpečí na sociálních sítích[editovat | editovat zdroj]

Sociální sítě jsou velmi lákavým cílem jak pro klasické hackery, tak pro sociální inženýrství. Jejich databáze obsahují obrovské množství osobních údajů, které jsou lukrativním zbožím zejména pro účely šíření vysoce cílené nevyžádané reklamy, případně pro vytvoření sociologické analýzy, taktéž využitelné pro marketing. Pokud má sociální síť svoje API, umožňující vytváření programovatelných nástaveb, můžeme se často setkat se zneužitím na první pohled bezpečné aplikace, například hry, k současnému sbíraní dat o uživateli a jeho kontaktech.[4][5] Setkáváme se s vytvářením dalších kanálů pro nevyžádanou reklamu (skupiny nebo stránky na Facebooku, či účty na Twitteru), které lákají uživatele k připojení například populární hláškou z filmu, nabídkou něčeho zdarma či aktivaci nové služby, případně vydáváním se za veřejně známou osobnost. Přidání se ke skupině nebo odběru zpráv není nebezpečné v obvyklém slova smyslu, člověk se však dobrovolně vystavuje další možnosti průniku spamu k němu. Sociální sítě jsou však vesměs unikátní systémy, ve kterých neplatí vše univerzálně. Míra spamu tak v dané síti záleží na její koncepci (jak je řešeno sdružování uživatelů a hromadné posílání zpráv) a především na její popularitě, která z ní dělá zajímavý cíl pro tyto manipulace. Přeprodej početných skupin, stránek a účtů na Twitteru s mnoha odebírajícími je zcela běžnou věcí i přes to, že podobné aktivity jsou většinou zakázány v podmínkách užití služby.[6][7] Vzhledem k tendenci sociálních sítí otevírat se vyhledávačům a přeprodávat výsledky ze svých databází[8] je třeba rozmýšlet si informace, které o sobě poskytujeme. Informace na internetu poskytnutá má zpravidla tendenci na něm již zůstat[9] a tento trend se s větším otevíráním sociálních sítí směrem k vyhledávačům bude pravděpodobně prohlubovat.[10] Ve vztahu k sociálním sítím panuje velká důvěra a zároveň jejich uživatelé často nepovažují za nutné hlídat si svoje soukromí na nich. [11] Některé sociální sítě již dopředu v podmínkách užívání oznamují, že nenesou za vložená data a jejich zcizení žádnou odpovědnost. [12]

Kontroverzní problémy internetové bezpečnosti[editovat | editovat zdroj]

Internetová bezpečnost je i zájmem států, avšak z trochu jiného hlediska než je bezpečnost jednotlivce nebo firmy, jejíž síť je propojená s internetem. Prohlášeními o nelegálním obsahu a internetové bezpečnosti některé země, převážně totalitní, ovlivňují podobu internetu a vytěsňují z něj jiné než jimi protlačované oficiální názory. Vzniká tak jev regionalizace internetu, případně se tento jev připodobňuje k obrovskému firewallu[13], za kterým daná země a tamější uživatelé internetu leží. Internetový obsah je podrobně sledován i ve vyspělých zemích, v roce 2009 CIA investovala prostřednictvím jedné ze svých firem do firmy, jež se zabývá monitoringem Twitteru.[14][15] V roce 2007 německá vláda zvažovala schválení zákona o nasazení spywaru v boji proti zločinu,[16] od stejného roku je veřejně znám fakt, že FBI používá spyware k monitoringu počítačů podezřelých osob.[17] Od roku 2017 je i v Německu je možné, aby vyšetřovatelé instalovali spyware.[18]

Kvalitní heslo[editovat | editovat zdroj]

Podrobnější informace naleznete v článku Síla hesla.

Jak se chránit[editovat | editovat zdroj]

  • Používat aktuální antivir, antispyware, firewall.
  • Pravidelně aktualizovat používaný operační systém a užívané programy (zejména prohlížeče a jejich pluginy - Flash, Java).
  • Používat silné heslo, nezapisovat, neukládat a nesdělovat ho.
  • Nepoužívejte stejné heslo pro více služeb / přístupů.
  • Kontrolovat u podezřelých stránek jejich skutečnou adresu v řádku prohlížeče.
  • Neotvírat neznámé či podezřelé soubory, programy nebo přílohy poštovních zpráv.
  • K citlivým službám se připojovat pouze z vlastního počítače a nikdy přes neznámou wifi nebo z internetové kavárny.
  • Nenavštěvovat pornografické stránky nebo stránky, jež šíří warez. Často je na těchto stránkách záměrně obsažen malware.
  • Připojovat se k internetovému bankovnictví, e-mailové schránce či jiným citlivým službám zásadně přes HTTPS protokol.
  • U internetového bankovnictví se řádně odhlašovat ze služby.
  • Pro větší zabezpečení dat na disku je vhodné použít program pro šifrování dat (např. TrueCrypt aj.).
  • K zabezpečení e-mailové komunikace používat vhodné programy jako PGP, GnuGP aj.
  • Používejte dvoufázové ověřování pro přihlášení do e-mailu.
  • Pamatovat, že smazaná data nejsou na disku ve skutečnosti smazána, ale pouze označena k přepsání. Pro skutečné vymazání je nutné je mnohonásobně přepsat. [19]
  • Firmy a organizace mohou komunikovat přes zabezpečenou virtuální privátní síť. Virtuální privátní síť je také vhodným zabezpečením komunikace, pokud se připojujete přes neznámou wifi.
  • Pravidelně zálohovat důležitá data.
  • V sociálních sítích využívat co nejméně aplikacích třetích stran (her, kvízů atp.).
  • Uvažovat, které informace o sobě internetu poskytujete.

Odkazy[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

  1. http://www.lupa.cz/clanky/cenzura-v-cine-se-prohlubuje/
  2. http://computerworld.cz/internet-a-komunikace/nejprisnejsi-cenzura-internetu-je-v-iranu-1491
  3. http://www.zive.cz/bleskovky/kolik-stoji-vase-elektronicka-identita-na-cernem-trhu/sc-4-a-150676/default.aspx
  4. http://www.lupa.cz/clanky/facebook-raj-pro-podvodniky-aneb-hry-vladnou/
  5. http://www.aplikace-facebook.cz/clanky/zajimavosti/bezpecnostni-rizika-facebook-aplikaci/
  6. http://aktualne.centrum.cz/domaci/zivot-v-cesku/clanek.phtml?id=661042
  7. http://www.zive.cz/bleskovky/facebook-stalker-catcher-pul-milionu-nachytanych/sc-4-a-150294/default.aspx
  8. http://www.zive.cz/bleskovky/twitter-bude-jeste-tento-rok-ziskovy-pomohly-google-a-microsoft/sc-4-a-150247/default.aspx
  9. http://www.lupa.cz/clanky/soukromi-v-dobe-internetu-neexistuje-nasi-vinou/
  10. http://www.pooh.cz/WEBDESIGN/a.asp?a=2015781
  11. http://technet.idnes.cz/cesi-facebooku-nebezpecne-veri-falesne-krasavici-naletelo-60-procent-112-/sw_internet.asp?c=A091117_171036_sw_internet_pka
  12. http://www.lupa.cz/clanky/kauza-libimseti-cz-ukazala-ze-nejen-kral-je-nahy/
  13. http://www.chip.cz/cs/clanky/jak-prorazit-velky-cinsky-firewall.html
  14. http://aktualne.centrum.cz/zahranici/amerika/clanek.phtml?id=651471
  15. http://www.democracynow.org/2009/10/22/cia_invests_in_software_firm_monitoring
  16. http://www.root.cz/zpravicky/nemecka-vlada-se-chysta-rozesilat-zaskodnicky-kod/
  17. http://www.root.cz/zpravicky/co-vime-o-spyware-od-fbi/
  18. https://phys.org/news/2017-06-germany-surveillance-encrypted-message.html - Germany expands surveillance of encrypted message services
  19. Článek na zive.cz s přehledem několika programů k nevratnému mazání dat.

Související články[editovat | editovat zdroj]