Bezpe nost ict lidsk faktor
This presentation is the property of its rightful owner.
Sponsored Links
1 / 41

Bezpečnost ICT - lidský faktor PowerPoint PPT Presentation


  • 65 Views
  • Uploaded on
  • Presentation posted in: General

Bezpečnost ICT - lidský faktor. RNDr. Dagmar Brechlerová, PhD. PEF ČZU KIT. Vztahy mezi základními pojmy. Hrozby. Objektivní hrozby – ostatní fyzikální - elektromagnetické vyzařování

Download Presentation

Bezpečnost ICT - lidský faktor

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Bezpe nost ict lidsk faktor

Bezpečnost ICT - lidský faktor

RNDr. Dagmar Brechlerová, PhD.

PEF ČZU KIT


Vztahy mezi z kladn mi pojmy

Vztahy mezi základními pojmy


Hrozby

Hrozby

  • Objektivní hrozby – ostatní

  • fyzikální - elektromagnetické vyzařování

  • technické a logické- krádež, zničení paměťového media, špatné propojení komponent, nedokonalé smazání záznamu na paměťovém médiu atd.

  • fyzické, přírodní- blesk, požár, výpadek napětí atd.- některým těmto hrozbám nejde aktivně čelit, pouze minimalizovat dopad


Hrozby1

Hrozby

  • Subjektivní hrozby - působení lidí

  • úmyslné

  • vnější útočníci - hackeři, špioni, konkurence

  • vnitřní - vlastní zaměstnanec, který je ve výpovědi, podplacený, vydíraný atd., obvykle se udává, že úmyslný útok vnitřního účastníka je nejčastější - až 80 % ze všech útoků, protože na ochranu systému zevnitř se velmi málokdy dbá důkladně.

  • neúmyslné - špatný správce, neškolený uživatel a poškození systému plynoucí z jeho neodborného zásahu


Lidsk faktor

Lidský faktor

  • Bezpečnost informačních systémů není zdaleka jen záležitostí technickou, ale velmi významným prvkem této (ne) bezpečnosti je prvek lidský

  • Je obvykle nejslabší článek kteréhokoliv informačního systému

  • Každý systém je právě tak silný (resp. slabý), jak je silný jeho nejslabší článek.


Soci ln in en rstv

Sociální inženýrství

Můžeme použít veškeré technické prostředky, instalovat nové antivirové a jiné anti programy, použít veškeré dostupné záplaty, šifrovat stále silněji, ale stále zásadní chyby dělá člověk.

Lidské chování je velmi rozmanité, a lidským chybám nejde vlastně úplně zabránit.

I zašifrovaná informace musí být nakonec koncovému uživateli zpřístupněna v nezašifrované podobě.


Soci ln in en rstv1

Sociální inženýrství

  • Vždy je tedy nutno počítat se selhávajícím lidským faktorem, a pokud to jde, těmto selháním se snažit zabránit.

  • Jedním z velmi úspěšných způsobů, jak získat informace o někom či o nějaké organizaci, je tzv. Sociální inženýrství.


Soci ln in en rstv2

Sociální inženýrství

  • Některým lidským selháním jde zabránit vhodným nastavením SW, je snaha vyvinout SW tak, aby řadu chyb vůbec neumožnil.

  • Jsou situace, kdy nejde lidské hlouposti, únavě, chybám, záměrné škodě či naivitě technickými prostředky zabránit, a toho právě využívá sociální inženýrství

  • Sociální inženýrství zneužívá lidských emocí včetně zvědavosti


Sociotechniky

Sociotechniky

Sociotechnika je přesvědčování a ovlivňování lidí s cílem oklamat je, aby uvěřili, že útočník je někdo jiný a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů

Při těchto metodách se útočník pokusí pomocí manipulace přesvědčit oběť, aby prozradila nějakou významnou informaci

Např. heslo je sděleno neznámému, kdo se představí jako správce systému, po telefonu nebo vloženo na podvržený formulář apod. Často je sociální inženýrství založeno na přesvědčení oklamaného, že udělal dobrou věc, někomu pomohl, pomohl své firmě apod.


Anonymita na internetu obr zek z sk n kdysi z internetu odkaz bohu el nev m

Anonymita na Internetu, (obrázek získán kdysi z Internetu, odkaz bohužel nevím)


Nadbyte n a nebezpe n informace

Nadbytečné a nebezpečné informace

Další metodou sociotechniků je získání původně zcela nevinné informace, ze které si pak útočník odvodí nějakou informaci významnější

Často mají organizace (včetně škol) na svých stránkách řadu jednotlivých nedůležitých informací, které při jejich kombinaci mohou vést ke získání dalších údajů pro organizaci důležitých, které by organizace jinak tajila


Sociotechniky1

Sociotechniky

Pokud sociotechnik chystá na nějakou organizaci útok, začne studiem internetových stránek, odkud získá jména, internetové adresy, případně telefony pracovníků.

Pak je možno pokračovat i na osobní stránky těchto lidí, kde jsou opět někdy zajímavé informace


Sociotechnick f gle

Sociotechnické fígle

  • Po získání základních informací je možno přistoupit k samotnému útoku, např. získat po telefonu nějaké významné informace

  • Nejsnazší útok je ve velké organizaci, kde se lidé navzájem neznají a kde je možno zavolat novému zaměstnanci a přes něj se pokusit získat informace. Sociotechnik mu zavolá, přivítá ho jako nového pracovníka ve firmě a začne např. s bezpečným nastavením hesla a připojením k síti. Nový pracovník je nadšený tím, že se zde o něj tak dobře starají, a udělal by skoro cokoliv. I pokud bude mít nějaké podezření, tak si na novém pracovišti nebude hned dělat problémy.


Soci ln s t

Sociální sítě

  • Představují zcela nový druh komunikace mezi lidmi

  • Dnes velmi často využívány pro sociální inženýrství

  • Technické zabezpečení organizací je obvykle již velmi dobré, proto se útočí jinak


Soci ln s t1

Sociální sítě

  • Umožňují snadno kontaktovat přátele

  • Sdílet s nimi informace například ze zájmových činností, multimédia jako videa, fotky, oblíbené písně a mnoho dalšího

  • Díky nim se můžeme snadno dozvědět konkrétní detaily!!!!! o dané osobě, najít téma k rozhovoru, poznat nové lidi, možností je opravdu hodně.


Soci ln s t skal

Sociální sítě - úskalí

  • Většina pramení právě z jejich otevřenosti prakticky každému návštěvníku.

  • Existují výjimky, pomocí kterých se dá předcházet sdílení osobních informací se všemi

  • Síť Facebook obsahuje poměrně efektivní systém, jak předcházet navštěvování profilu cizími lidmi

  • Jiné sítě zas vyžadují registraci a zobrazují informace o tom, který uživatel náš profil navštívi.


Myspace

Myspace

  • Server poskytuje místo, kde si uživatel může zřídit jakousi virtuální vizitku

  • Tento server je hodně využíván hudebními skupinami a nahrávacími studii

  • Po velkém rozvoji této sítě v posledních letech nastal útlum

  • Uživatelé mají tendence díky nově vzniklým sítím Myspace opouštět.


Linkedin

LinkedIn

  • Server je čistě profesně zaměřen

  • Jedná se o jakési virtuální curriculum vitae daného uživatele, které si mohou potencionální zaměstnavatele zobrazit a podle toho posuzovat, jak by daný člověk vyhovoval jejich poptávce


Flickr

Flickr

  • Flick, server patřící společnosti Yahoo, není sociální server v pravém slova smyslu

  • Jedná se spíše o gigantické fotoalbum.

  • Na svůj profil zde uživatelé umísťují alba s fotografiemi, která mohou být prohlížena a komentována ostatními uživateli.


Deviantart

DeviantArt

  • Největší internetový server zaměřený na umění a jeho prezentaci

  • Pomocí vytvořeného profilu je možnost nahrávat svá výtvarná díla či fotky, vše od grafického designu a web designu až po olejomalby a básně se zde dá prezentovat.


Youtube

YouTube

  • Tento web je určen specielně pro videa, kterých se zde nacházejí miliony

  • Videa jsou ve formátu FLV (FLash Video

  • Kdokoliv tak může nahrát prakticky jakoukoliv nahrávku, od svatby své tetičky až po profesionální tvorbu z oblasti animace, a ostatní uživatelé mohou hodnotit či komentovat.


Twitter

Twitter

  • V poslední době stále více se rozvíjející server, umožňující uživatelům odesílat jejich kontaktům krátké textové vzkazy o čemkoliv


Lide cz

Lide.cz

  • Společně s líbimseti.cz největší český komunitní server.

  • Uživatel si po registraci založí profil, na který dle uvážení přidá informace o své osobě, fotogalerii a další prvky, které společně vytváří jeho vizitku pro komunikaci s ostatními.


Lide cz1

Lide.cz

  • Několik možností, jak se seznámit či s někým jen diskutovat. K dispozici je chat - monitorovaná diskuze v reálném čase, která má většinou zadané konkrétní téma, často i sloužící k seznámení v reálu.


Lid cz

Lidé.cz

  • Další možností jsou diskuze, ty v závislosti na svém tématu slouží spíše pro rozvíjející se diskuzi například o konkrétních hudebních kapelách.

  • Mezi další služby patří například seznamka, možnost založit si vlastní blog, rádio a velké množství jiných vymožeností.


Lide cz2

Lide.cz

  • Tento server však představuje typické nebezpečí pro uživatele, který zde má otevřený a nijak nechráněný profil, zobrazitelný kýmkoliv zvenčí i bez nutnosti registrace.

  • Stejně tak není problém si založit falešný profil, vyplnit naprosto matoucí údaje, nahrát fotku, odcizenou kdekoliv na internetu a jít se rovnou bavit na chat, což může být v praxi velmi silně zneužitelné osobami z různými pochybnými záměry, včetně pedofilů, zlodějů a dalších kriminálních živlů.


Libimseti cz

Libimseti.cz

  • Server je víceméně obdoba lide.cz, jen je daleko více zaměřen na hodnocení uživatele, speciálně jeho vzhledu. Fotky lze hodnotit a komentovat je, přičemž se prakticky hledí pouze na vzhled.

  • Tento web navštěvují hlavně náctiletí uživatelé, kteří dělají vše pro to, aby dostali co nejlepší hodnocení, včetně promenování se v plavkách.


Libimseti

Libimseti

  • http://libimseti.cz/--Domino--?uid=

  • http://libimseti.cz/-ksandulka-?uid=

  • http://libimseti.cz/---KJK---?uid= necelých 14 let!!!

  • Opravdu dívky chtějí, aby celý svět věděl uvedené informace? Nedal tam toto info někdo jiný? Není jim méně? Nebude jim vadit za pár let, co o sobě psaly? Uvědomují si, že jejich foto lze zneužít?


Facebook

Facebook

  • Server samotný existuje již velmi dlouho, nicméně poslední dobou došlo specielně u nás k jeho masovému rozšíření.

  • Facebook víceméně spojuje všechny zmíněné weby a jejich možnosti. Umožňuje návštěvníkovi vytvoření profilu, nicméně narozdíl od téměř všech zmíněných webů je tento profil pod vlastním občanským jménem, a jeho majitel má pak možnost navázat spojení s lidmi ze svého okolí, práce, školy či se známými z mládí, se kterými se neviděl třeba dvacet let.


Registrace

Registrace

  • Údaje se nemusí vyplnit správně, dají se po registraci vždy změnit.

  • Správně však musí být věk, protože osoby pod 13 let na Facebook vůbec nesmějí samy, musí mít doprovod někoho staršího.


Nastaven soukrom

Nastavení soukromí


Aplikace

Aplikace

  • Nastavení aplikací a webových stránek slouží opět k vymezení toho, jaké informace dáváte ostatním k dispozici.

  • Aplikace, jsou podprogramy Facebooku, které mohou (ale nemusí) shromažďovat data o uživatelích; nejlepší je ovšem co nejvíce je omezit v přístupu k údajům na profilu.

  • Položka "Co o vás mohou sdílet vaši přátelé " slouží k omezení využívání informací přáteli, pokud by například někdo v seznamu přátel používal aplikaci, která umožňuje zaslání narozeninového přání, tj. dostane se k datu narození a nabídne uživateli poslat pohlednici, je možné jí tímto nastavením přístup k datu narození zakázat.


Aplikace1

Aplikace

  • Aplikace jako takové, pokud jsou povoleny, mají vždy přístup k veřejně přístupným informacím (jméno, fotka profilu, pohlaví, místo aktuálního pobytu, sítě, seznam přátel a stránky) a informacím, k nimž mají přístup všichni. Je tedy vhodné omezit všechna tato nastavení tak, aby k nim aplikace mohly přistupovat co nejméně


Bezpe nost

Bezpečnost

  • Ideální nastavení profilu z hlediska bezpečnosti je zamezit k přístupu do jakékoliv části profilu či galerie komukoliv kromě svých „přátel“, tzn. profilů, které jsou schváleny pomocí autorizace své přidání do jejich seznamu

  • Nevhodné je přijímat žádosti od neznámých osob, v případě nejasností jim nejdříve napsat zprávu. Stačí se zeptat, odkud se znáte a případně ještě ověřit zeptáním se na konkrétní podrobnosti, aby bylo jisté, že je to skutečně osoba vám známá.

  • Asi každý chce mít hodně přátel, nicméně rozšíření seznamu o jednoho člověka, který ani není skutečný přítel, protože jej vůbec neznáte, se může značně nevyplatit.


Facebook1

Facebook

  • Podle pokusu, který uskutečnili novináři v České republice, velké procento uživatelů facebooku zařadí mezi své přátele člověka, kterého vůbec neznají. Konkrétně se jednalo o vymyšlený profil vymyšleného chlapce a dívky. Výsledky jsou následující.

  • Test idnes 2009

  • Profil fiktivní dívky si přidalo 60% uživatelů

  • Profil fiktivního chlapce 42% dotázaných

  • Průměrný věk důvěřivců 19 let

  • Email – poskytlo 97 % „přátel“

  • Fotografie poskytlo – 90%

  • ICQ, Skype poskytlo – 56%

  • Mobilní telefon poskytlo – 23%

  • 19ti letý student z Prahy – poskytl svým novým „ přátelům“ vše včetně kompletní adresy domu


Bezpe nost1

Bezpečnost

  • Samozřejmostí je nepsat si na profil například adresu, tu je doporučeno sdělovat soukromě jen lidem, o nichž víme, kdo jsou, a pokud možno ne prostřednictvím Facebooku, protože se může stát, že profil byl odcizen

  • Jinými položkami, které je lépe nevyplňovat, je telefonní číslo, u ICQ, MSN a dalších komunikačních klientů dát zprávu, že jsou také na vyžádání.

  • Phishingové útoky pomocí sociálních sítí jsou velmi úspěšné!!!!


Blogy

Blogy

  • Sociální inženýři využívají také informace z blogů pro získání hesla a dalších informací

  • Pozor na prozrazení hesla pomocí infa z blogů


Safer internet informace o bezpe nosti pro d ti u itele rodi e

Safer internet – informace o bezpečnosti pro děti, učitele, rodiče

  • www.saferinternet.cz


Bezpe nost ict lidsk faktor

  • Děkuji Vám za pozornost, otázky, připomínky atd. na

  • [email protected]


  • Login