Možnosti předcházení bezpečnostn

Možnosti předcházení bezpečnostním incidentům

Zjištěné bezpečnostní incidenty a nedostatky musí být nahlášeny osobám zodpovědným za bezpečnost dané sítě, zaarchivovány, zdokumentovány, prozkoumány a odstraněny s ohledem na příčiny, které je vyvolaly tak, aby mohlo být dosaženo nápravy. Na tuto situaci musí být správce i uživatel připraveni a reagovat rychle a efektivně. O řešení bezpečnostních incidentů a základních pravidlech si můžete přečíst v tomto článku, zde se jím zabývat nebudeme. Zde se budeme zabývat možnostmi předcházení bezpečnostním incidentů.

Prvním krokem při předcházení bezpečnostním incidentům je ochrana sítě, ochrana lokálních počítačů a služeb v ní běžících. Při návrhu bezpečnostních strategií je potřeba si uvědomit, že většina útoků pochází z řad lokálních uživatelů. Útoky zvenčí jsou méně časté a v případě, že je dobře navržená síť a jsou použité kvalitní a dobře nakonfigurované síťové prvky, také mnohem těžší. V ochraně před lokálními uživateli by měla pomáhat bezpečnostní politika sítě (dále jen BP), která definuje vztah uživatele a lokálních zdrojů, pravidla přípojení do sítě a postihy v případě porušení BP.

4.1 Lokální ochrana počítače

Následující body by začínajícímu správci mohly pomoci při realizaci bezpečnostní strategie pracovní stanice. Jedná se pouze o nejdůležitější body a jejich výčet rozhodně není úplný:

Vhodná volba operačního systému (dále jen OS). Správce by na pracovní stanice měl zvolit takový OS, který dobře zná, experimenty s novými distribucemi by neměl dělat na stanici, od které se vyžaduje rutinní provoz. Je dobré zvolit tzv. up-to-date distribuci, která zajistí, že systém nebude napadnutelný známými chybami, na které existují exploity 1 , které nevyžadují hlubší znalost počítačové problematiky a jejichž spuštění zvládne každý začátečník.

Samozřejmostí je pravidelná aktualizace OS. Většina operačních systémů obsahuje nástroje pro automatickou bezpečnostní údržbu. Tyto nástroje je vhodné nastavit tak, aby údržba probíhala automaticky a pravidelně, nejméně jednou denně!

Antivirová a antispyware ochrana by měla být běžnou součástí OS. Stejně jako v případě OS je důležitá její pravidelná aktualizace.

Správná konfigurace služeb. Je vhodné povolit pouze ty služby, které uživatel opravdu potřebuje, ostatní je dobré vypnout. Na běžné pracovní stanici není potřeba vpodstatě žádná běžící (přístupná ze světa) služba, maximálně služba pro vzdálený přístup (secure shell).

Pravidelná kontrola integrity systému. Většina OS má vlastní nástroje pro kontrolu integrity systému, nebo lze použít externí nástroje (Tripwire). Integrita systému se většinou kontroluje podle přístupových práv a kontrolního součtu systémových souborů.

Pravidelné zálohování mimo pracovní stanici. To chrání uživatele před ztrátou dat v případě narušení bezpečnosti systému i při hardwarovém problému (např. havárie disku) stroje.

Logování služeb a pravidelná kontrola logů. Pro tyto účely je v síti s větším počtem počítačů vhodné použít centrální logovací server a pracovní stanice nastavit tak, aby logovaly on-line na tento speciální server. Tak se správce v případě narušení bezpečnosti počítače dozví, jak k němu došlo, protože i když logy spolu s ostatními daty na postiženém počítači útočník smaže, díky on-line přenosu záznamů budou zduplikovány na logovacím serveru.

Osobní nebo též personální firewall (personal firewall) - je obzvláště vhodné jej instalovat na přenosné osobní počítače uživatelů. Slouží k ochraně systému v případech, kdy jej uživatel připojí do sítě, o jejímž zabezpečení a uživatelích nic neví, např. na služebních cestách mimo pracoviště.

Vzdělávání uživatele - koncový uživatel je klíč k bezpečnosti počítače a tedy i sítě. Povíme si o tom víc v samostatné kapitole.

4.2 Ochrana sítě

Ochrana sítě začíná u kvalitního síťového HW a vhodné tologie sítě. Použité síťové prvky je třeba chránit přístupovým heslem. Účinné a efektivní je použití firewallů. Firewall odděluje lokální síť od veřejného Internetu, případně lokální sítě od sebe navzájem. Firewally neochraňují před útoky zevnitř, ale před útoky zvenčí, přesněji řečeno ztěžují je.

Typické použití firewallu je následující - všechny uživatelské pracovní stanice lokální sítě jsou schované za prvkem, který realizuje firewall. Pracovní stanice nejsou dostupné zvenčí (z veřejného Internetu), ale směrem ven (do veřejného Internetu) je jejich provoz neomezen. Zde samozřejmě ještě může být ta varianta, že pracovní stanice nemohou neomezeně ani směrem ven, ale mají povolené pouze některé služby - pošta, WWW a pod. Takový model slouží k ochraně pověsti sítě a snižuje riziko, že pracovní stanice bude v případě např. zavirování škodit jinde. (Komerční firmy používají tato omezení i z toho důvodu, aby si zaměstnanci v pracovní době nevyřizovali své soukromé záležitosti).

Otázka je, kam v modelu sítě chráněné firewallem umístit servery - zdroje služeb a dat sloužících pro všechny uživatele společně, např. poštovní server, server s informačním systémem, webový server a pod. Primárně záleží na tom, jestli tyto stroje mají charakter veřejné služby nebo ne. V případě, že ne, je vhodné umístit je také za firewall. Pokud mají charakter veřejný, je možné je nechat buď před firewallem, nebo je umístit do tzv. demilitarizované zóny (DMZ) . DMZ je síť rovněž chráněná firewallem, ale oddělená od lokální sítě s pracovními stanicemi. Na vytvoření DMZ se dá použít další síťové rozhraní již použitého firewallu nebo další firewall.

4.3 Ochrana provozovaných síťových služeb

Umístění lokálních počítačů do sítě chráněné firewallem a serverů s běžícími službami do DMZ (za firewall), není po stránce zabezpečení samo o sobě dostatečným řešením. Pro servery poskytující služby dostupné po síti samozřejmě platí body uvedené v sekci Lokální ochrana počítače, ale servery jsou mnohem specifičtějším typem síťového zařízení a vyžadují ještě mnohem přísnější bezpečnostní opatření. Jedním z důvodů je to, že u většiny z nich je potřeba, aby byly pro uživatele dostupné odkudkoliv a jakákoliv síťová služba znamená potenciální díru do systému. Je proto nutné zmínit ještě pár doporučení:

Základním kamenem pro zabezpečení serverů a jejich služeb je ochrana hesel. V dnešní době by už mělo být samozřejmostí provozování pouze takových autentizačních mechanismů, které využívají některou ze silných šifrovacích metod, např. RSA (pojmenované po autorech - Ron Rivest, Adi Shamir and Len Adleman) .

Pravidelná údržba a kontrola provozovaných služeb, kontrola logů, antivirová ochrana OS, antivirová a antispamová ochrana pošty.

V síti s více uživateli je dobré zavést jednoznačnou autentizaci uživatelů v rámci organizace (sítě). Je vhodné, aby každý uživatel měl v rámci dané organizace unikátní identifikátor - přístupové jméne (login name), osobní certifikát, který bude používat pro přihlášení do systému a ke službám.

Nepodporovat anonymní užívání sítě a služeb - každý přístup do sítě a k provozovaným službám by měl být umožněn na základě autentizace. Provozování loginu a hesla, které každý zná, nebo které na požádání sdělí správce, se může vymstít. Půjčování uživatelského jména a hesla zapomětlivcům je možné občas potkat například ve studentských laboratoří. Tento způsob sdílení přístupu by neměl být používán.

Logování přístupu uživatelů ke službám a do sítě. Souvisí s předchozími dvěma body. V případě bezpečnostního problému je dobré mít po ruce nástroj, který určí, kdo na daném počítači v inkriminovanou dobu pracoval.

Archivace a zálohování důležitých dat - konfigurace systému a služeb, uživatelská data, logy a pod. Zálohy důležitých dat je samozřejmě nutné uložit mimo zálohovaný systém.

Systém detekce průniků (IDS, Intrusion Detection System) - detekuje narušení, případně pokusy o narušení bezpečnosti počítačových systémů. IDS systém může zajišťovat pouze bezpečnost stanice, na které je spuštěn (Tripwire, Medusa a pod.) nebo může monitorovat celý segment sítě a jeho provoz.

Ochrana lokálních počítačů a serverů je doplněk ochrany sítě a ochrana sítě je doplňkem ochrany počítačů. Žádná z nich není dostačující sama o sobě a je dobré si uvědomit, že i dohromady umožňují pouze o něco větší ochranu. Počítačová bezpečnost není něco, co se dá koupit, nainstalovat a už se tím nikdy nezabývat. Je to spíše komplexní balíček vyžadující aktivní přístup správce a všech uživatelů.

4.4 Uživatel a počítačová bezpečnost

Nejslabším článkem počítačové bezpečnosti obecně je vždy uživatel. Proto by měl být pravidelně vzděláván a je nutné mu neustále opakovat základní pravidla pro bezpečné používání počítačů a služeb. Následující řádky nejsou návodem, jak zajistit bezpečnost celé sítě nebo počítače, ani na jejich bezpečnou konfiguraci. Je zaměřen na základní rizika, která by uživatel měl znát a pravidla, která by měl dodržovat tak, aby jeho prostřednictvím nedošlo k narušení bezpečnosti ať už konkrétně jeho dat, nebo celého systému.

4.4.1 Základní pravidlo

Každý uživatel by měl vědět, že je nedílnou součástí počítačové bezpečnosti, že bezpečnost jeho stanice se týká také jeho, ne pouze správce, který se o jeho stroj stará, a že se na bezpečnosti své pracovní stanice a sítě aktivně podílí. Každá koncová stanice s narušenou bezpečností se může stát přestupním prvkem pro útok na ostatní zdroje v síti, proto se počítačová bezpečnost týká všech prvků, každé pracovní stanice, ne pouze centrálních serverů a datových úložišť. Každý systém je nejnapadnutelnější zevnitř.

4.4.2 Vhodná volba hesla a jeho pravidelná změna

Pro automatické nástroje není problém během několika minut vyzkoušet stovky tisíc hesel, hovoříme o tzv. slovníkovém útoku. Jako heslo tedy nejsou vhodná běžná slova (vyskytující se ve slovníku) typu kocka, auto, strom. Ani osobní jména oblíbených filmových či knižních hrdinů, nebo záměna znaků s diakritikou za numerické symboly ležící na stejné klávese, nebo použití dat identifikujících uživatele (adresa bydliště, čísla dokladů, rodná čísla ...) nejsou optimálním řešením. Hesla by měla pokud možno obsahovat i jiné, než pouze alfanumerické znaky (např. znaky ,.:;-=+_) a měla by být adekvátně dlouhá - řekněme alespoň 8 znaků. Diskutabilní je pravidelná změna hesla. V ideálním případě by změna hesla měla vést ke zvýšení bezpečnosti, ale řada správců oponuje, že vynucovat na uživatelích pravidelnou změnu hesla může být kontraproduktivní, protože ti se slabší pamětí si je o to více budou poznamenávat na papírky nebo volit hesla primitnivní. Takže dobrý kompromis na téma, jak často je heslo dobré změnit, asi neexistuje.

4.4.3 Ochrana hesel a klíčů

Heslo není vhodné si v cleartextové (čitelné) podobě kamkoliv poznamenávat - do diáře, na papírky, na doklady, na nástěnku, na stůl, na displej počítače... Pokud uživatel nevěří své paměti, je heslo vhodné chránit například další šifrou a pro uložení použít externí paměťové médium (disketu, CDROM, DVD, CF, Palm) a samozřejmě adekvátně ochránit i toto médium před zcizením. Heslo samozřejmě není vhodné komukoliv sdělovat (ani kolegovi, ani nadřízenému, ani správci) a obráceně - nedovolte, aby někdo sděloval své heslo vám! V případě prozrazení a zneužití hesla pak budete mimo podezření.

V případě přístupu k více službám, nebo strojům, které nejsou autentizovány centrálně, není dobré používat všude stejné heslo. Zapamatovat si pro různé služby různá hesla je sice trochu nepohodlné, ale nižší uživatelský komfort se jistě vyplatí. Rovněž je dobré používat pro různé systémy různá hesla a nepoužívat pouze jedno universální. Obzvláště je vhodné volit různá přístupová hesla pro pracovní a soukromé aktivity (není dobré mít stejné heslo např. do IS zaměstnavatele a pro soukromý poštovní účet na jednom z tzv. free mailů - seznam.cz, yahoo.com).

Dále je třeba dbát na správné používání hesla. Jestliže máte heslo např. pro přístup k poště, není dobré toto heslo zkoušet pro jiné služby, obzvláště ne ty, o kterých nic nevíte, nebo ty, které jsou z principu nešifrované (FTP). Obecně platí, že je dobré zeptat se adminitrátora, který vám heslo vydal, pro přístup ke kterým službám je dané přístupové jméno a heslo možné používat.

Mnoho uživatelů používá pro zjednodušení přístupu na vzdálené servery tzv. ssh klíče, typicky v případě, že potřebují pracovat s více vzdálenými servery, které se neautentizují centrálně, a na kterých jsou hesla spravována individuálně. V těchto případech je nutné pečlivě zvážit, kde je možné uložit privátní ssh klíč. Optimální je mít privátní ssh klíč pouze na své pracovní stanici, byť to může komplikovat přenos dat mezi vzdálenými servery navzájem.

4.4.4 Ochrana obsahu elektronické zprávy a vlastní identity

Uživatelé si často neuvědomují, jak jednotlivé služby fungují a v jaké podobě jsou data po síti přenášena. To je vede k mylné představě o tom, kdo se může k jejich datům dostat a jak. Asi nejtypičtějším příkladem ze všech je elektronická pošta. Většinu běžných uživatelů šokují především dvě zjištění:

že k obsahu jejich elektornických zpráv se může dostat každý, kdo má potřebné znalosti a možnosti, například odposlechem síťové komunikace nebo přímo na mail serveru. Jedinou spolehlivou cestou, jak ochránit obsah el. zprávy, je šifrování obsahu zprávy.

že kdokoliv na světě může poslat e-mail, který bude mít jako odesilatelskou adresu uvedenu adresu jejich. To, že do položky Odesilatel může každý vložit cokoliv, se uživatel většinou dozví až v okamžiku, kdy jim od nich samých přijde nesmyslný e-mail, o kterém vědí, že si jej neposlali. Stejně jako v případě ochrany obsahu zprávy, i tento problém má řešení a tím je elektronický podpis.

Řešení, jak vybavit elektronické zprávy elektronickým podpisem a ochránit obsah přenášených zpráv, poskytují metody založené na asymetrické kryptografii, například PGP klíče a X.509 certifikáty. Elektronický podpis je současně řešením i při ochraně integrity zprávy, pomocí něj lze zjistit, jestli zpráva byla cestou mezi odesilatelem a adresátem změněna nebo ne. Více na téma bezpečné elektronické komunikace si můžete přečíst v tomto článku.

4.4.5 Ochrana certifikátů a revokační klíče

K používání el. podpisu a šifrování obsahu zpráv nás motivuje snaha ochránit svá data, jejich integritu a svoji identitu. Neméně nutné ovšem je chránit privátní klíč (PGP, X.509 certifikátů) a být připraven na možnost zcizení nebo zničení privátního klíče. V takovémto případě je důležité PGP klíč (nebo X.509 certifikát) co nejrychleji revokovat. Revokací (zneplatněním) vlastník PGP klíče (nebo X.509 certifikátu) říká, že jeho el. podpisu již není možné dále věřit. Pro případ zničení privátního klíče je rozumné, aby se uživatel na tuto možnost včas připravil, např. tak, že si již při generování klíčů zároveň vygeneruje tzv. revokační klíč, pomocí něhož může sám zneplatnit svůj PGP klíč. V případě X.509 certifikátu je nutné co nejrychleji informovat CA (Certifikační autoritu), která X.509 certifikát zneplatní.

V souvislosti s elektronickým podepisování zpráv a jejich šifrováním je nutné dbát o pravidelnou kontrolu, jestli nedošlo ke zneplatnění některého z klíčů (nebo certifikátů), které máme uloženy ve svém poštovním klientovi (veřejné klíče lidí, se kterými jsme v e-mail kontaktu). Certifikační Autority, které certifikáty vydávají, obvykle nějakou vhodnou formou zveřejňují seznam zneplatněných certifikátů, například prostřednictvím svých webových stránek nebo el. poštou. Tyto seznamy by měly být pravidelně v systémech uživatelů aktualizovány (poštovní klienti, prohlížeče ...).

4.4.6 Pečlivost a pozornost

Uživatelé by měli neustále dbát i na záležitosti typu zamykání počítače při opuštění pracoviště (a to i krátkodobém) a na uzavření aplikací typu poštovní klient před odchodem z práce a podobně. Rovněž například v internetových kavárnách, obecně u jakéhokoliv počítače, u kterého je uživatel hostem, je vhodné po skončení práce vypnout spuštěné aplikace. Dále je třeba být opatrný i při sdílení přenosových médií, například s kolegou. Obecně platí "důvěřuj, ale prověřuj".

4.4.7 Přenosová média

Uživatelé by měli mít na paměti, že pravidelná antivirová ochrana jejich stanice není jediným samospásným řešením a že je nutné dávat pozor při transportu dat např. mezi domácím a firemním počítačem na externích médiích a věnovat pravidelnou (antivirovou) péči i těmto médiím. Stejně tak při používání přenosného počítače. Zavirovaný laptop přinesený z domova do firemní sítě by mohl napáchat velkou škodu.

4.4.8 Archivace a šifrování citlivých dat

V případě, že výsledkem naší práce jsou data, která nejsou určena pro každého a jejich prozrazení by mohlo způsobit problémy, je vhodné je před uložením na paměťové médium zašifrovat a mít je archivované pouze v šifrované podobě. K šifrování je možné použít např. již zmíněné PGP klíče nebo X.509 certifikáty, obecně jakoukoliv dostatečně dobrou metodu šifrování založenou na asymetrické kryptografii. Dobrou volbou jak zvýšit zabezpečení vlastních dat je samozřejmě i šifrovaný filesystém.

4.4.9 Znalost funkcionality používaných nástrojů a OS

To je velká bolest současných technologií - spolu s jejich uživatelskou přítulností se zmenšuje povědomí uživatelů o tom, jak daná aplikace vlastně funguje a co její chování může způsobit. Pozdě se potom diví, jak je možné, že jejich soukromý e-mail si může přečíst i někdo jiný než adresát, že data, která sami vlastní rukou smazali jsou na pevném disku jejich stroje k nalezení ještě dlouho poté, co tak učinili, že se dopustili porušení autorských práv, že na jejich e-mail adresu chodí velké množství spamů, že mají zavirovaný počítač a podobně. Je proto vhodné vědět a řídit se následujícím:

Nepoužívat zdánlivě užitečnou funkci zapamatovat heslo pro příští použití, kterou nabízí např. prohlížeč nebo poštovní klient. Uživateli tak sice přibude trocha práce navíc, ale to za bezpečnost dat a el. komunikace určitě stojí.

Pro mazání souborů používat sofistikované metody, které zajistí, že se daná data skutečně smažou fyzicky, ne pouze informace o nich. Zde je dobré zmínit, že je potřeba dát pozor na citlivá data např. při reklamování vadného disku, obecně jakéhokoliv paměťového média. To, že médium nefunguje, neznamená, že data na něm jsou nečitelná. Řešením může být např. používání již zmíněného šifrovaného filesystému, nebo alespoň šifrování vybraných souborů.

Pro bezpečnou elektronickou komunikaci používat šifrování zpráv, např. pomocí osobního X.509 cetifikátu nebo pomocí PGP klíčů. Pro ochranu vlastní identity elektronické zprávy podepisovat.

Neotevírat podezřelé e-maily a zvláště ne jejich přílohy. Na zjevný spam zásadně neodpovídat a nežádat o vyřazení z evidence, i když se to v dopise nabízí. V případě, že to uděláte, jen potvrdíte funkčnost adresy a podnítíte její zařazení do spamové databáze adres. Další způsob, jak se e-mail adresy dostávají do spam databází jsou:

Nezveřejňovat svou e-mail adresu na WWW stránkách v podobě, kterou je možné zpracovat strojově. Když už chcete svou adresu takovou cestou zveřejnit, je možné ji např. vložit do obrázku, nebo ji napsat jiným, než obvyklým způsobem stylu nekdo@nekde.cz, např. nekdo at nekde dot cz.

Přeposílat (forwardovat) zprávy uváženě. Hodně e-mail adres se získává z hlaviček mailů, které nesou žertovný obsah a člověk se o ně chce podělit s kolegy a přáteli. Po několika přeposláních je v těle mailu obvykle velké množství adres. Pak stačí, aby se takový e-mail dostal byť neúmyslně např. do webového poštovního archívu a odtud je již cesta do spam databáze adres velice krátká.

Neodpovídat na nabídky vyřazení z databáze adres.

Účiným bojem proti spamu je spolupráce se správcem a poskytovatelem připojení.

Při používání klientů pro sdílení dat (např. protokol BitTorrent) může při špatné konfiguraci dojít k tomu, že již v okamžiku stahování se data automaticky nabízí ke stažení, což uživatel často netuší a spoléhá se na to, že i když stahuje data chráněná autorským zákonem, tak jelikož je nehodlá distribuovat dál, ale chce je pouze pro své použití (což není porušením autorských práv), ničeho špatného se nedopouští. Netuší, že jeho klient automaticky tato data zpřístupní již v okamžiku stahovací fáze ostatním uživatelům a čímž se dopouští porušení autorských práv.

Porušování autorských práv je v současné době velkým celosvětovým problémem, a protože mnoho firem přichází touto cestou o značný zisk, investují nemalé částky do boje proti tomuto pirátství. A to jak na poli technickém, tak na poli právním. Na poli technickém spočívá tento boj ve vyvíjení systému pro odhalování a monitorování zdrojů těchto nelegálních dat a jejich činnosti. O těchto aktivitách se majitel takového zdroje ani nemusí dozvědět, přesněji jej ani nemusí rozpoznat. V lepším případě pak takové sdílení skončí odpojením od sítě ze strany poskytovatele konektivity, na kterého se poškozená strana obrátila se žádostí o řešení, v horším soudní žalobou o náhradu škody.

K většině důležitých služeb a nástrojů existují jejich zabezpečené verze, například pro práci s el. poštou jsou to protokoly IMAPS, POPS a SMTPS, pro přístup na vzdálené servery a přenos dat utility SSH a SCP, což jsou zabezpečené obdoby utilit typu telnet a FTP.

Instalovat programy pocházející jen ze spolehlivých, obecně známých a ověřitelných zdrojů! Pornografické i jiné servery často nabízejí stažení souborů, jejichž skutečným účelem je ovládnutí uživatelova počítače. Uživatel má samozřejmě možnost si integritu softwarových balíčků ověřit u jejich vydavatele. Neplatí to sice 100%, ale většina vydavatelů software svoje data podepisuje a tyto pospisy je samozřejmě možné ověřit. Není-li si však uživatel jist, měl by instalaci nových věcí nechat na správci!

4.4.10 Psychologický nátlak

Každý uživatel by měl vědět o možnostech psychologického nátlaku, kterého se může stát obětí. Měl by vědět, že nikdo, kolega, správce, ani nadřízený nemá právo po něm pod jakoukoliv záminkou žádat sdělení jeho hesla, a že taková žádost je nelegální, podezřelá a neměla by zůstat bez odezvy. Správce daného stroje heslo uživatele k ničemu nepotřebuje, protože má jiné prostředky, jak se v systému zaautentizovat tam, kam v souvislosti se svou rolí správce potřebuje. Nadřízený pracovník má zase k dispozici formální postupy, které může uplatnit v souladu s pravidly firmy. Nikdo nemá nárok, aby mu kolega prozradil heslo ke svému účtu, ke klíči a podobně. Vždy je vhodné si uvědomit paralelu z běžného života - souseda nebo šéfa také neučíme svůj podpis podle podpisového vzoru, který máme v bance. O možnostech a rizicích psychologického nátlaku by měli být informováni především začínající studenti a noví zaměstnanci.

Do této kategorie rovněž patří poplašné e-maily typu "honem si změň heslo na 'zbcdef', nebo dojde ke zneužití tvého účtu". Ke zneužití skutečně dojde, pokud výzvu uposlechnete. Uživatel by si měl pamatovat, že pokud došlo k porušení bezpečnosti systému, na kterém pracuje, správce jej o změnu hesla přijde požádat osobně a rozhodně mu nebude nařizovat, jaké heslo si má zvolit.

4.4.11 Základní znalost práv, povinností a rizik

Uživatel se do vážných problémů může dostat i zdánlivě nevinnou činností jen proto, že nezná základní práva a povinnosti. Typickým příkladem je porušení autorských práv vystavením dat (filmů, hudby, software), která jsou autorským právem chráněna, např. na své WWW stránky, nebo prostřednictvím sdíleného klienta, čímž je dále poskytuje veřejně ke stažení. Tímto činem se dopustí nelegálního šíření dat chráněných autorským zákonem a to může vést až k žalobě postiženou osobou a žádosti o její finanční kompenzaci. Občas si uživatelé myslí, že se jim na poli autorkého práva nemůže nic stát, protože "Co mi může udělat firma z USA? Do České Republiky na mě přece nedosáhne". Je to představa mylná, většina zemí a ČR rovněž má zákony, které postihují nelegální šíření dat chráněných autorským právem a každý (i osoby ze zahraničí) se jejich prostřednictvím mohou zneužití svých dat bránit.

Dalším poměrně častým prohřeškem, kterého se uživatelé dopouštějí, je spamování (spamming). Rozesláním například reklamních informací velkému množství příjemců se uživatel dopouští nejen prohřešku proti slušnosti a síťové etiketě, ale v některých případech také porušuje platné zákony dané země.

Další velkou bolestí je zacházení s privátními údaji a daty. V posledních letech je velmi populární tzv. phishing. Obecně je phishing definován jako spam, který uživatele směřuje na podvrženou WWW stránku připravenou tak, aby uživatele přesvědčila k vyzrazení osobních dat. Podvržená stránka obvykle impersonuje banku nebo internetového prodejce. Princip je velmi jednoduchý - uživateli přijde poplašná elektronická zpráva, že jejich bankovnímu účtu hrozí zneužití, že to může vést ke ztrátě financí, ale že tomu mohou zabránit, když okamžitě změní např. přístupový kód prostřednictvím odkazu uvedeného ve zprávě. Odkaz vede na stránky ne ovšem banky, ale hackera. Design stránky je velice podobný stránkám banky a tváří se důvěryhodně. Na této stránce je uživatel vyzván k vyplnění důležitých údajů a když tak učiní, jeho osud, přesněji osud jeho úspor, je zpečetěn.

Aby se člověk phishingem nedal oklamat, je dobré si uvědomit následující:

Poplašný phishing mail je obecného charakteru, chybí oslovení jménem, e-mail adresa příjemce není uvedena v hlavičce, nebo je tam adres více a podobně. Naopak seriózní organizace typu banka obvykle maily zákazníkům neposílají hromadně, ale cíleně, včetně oslovení, titulu a dalších dolňujících informací. V současné době již často elektronicky podepsané.

Poplašný mail v sobě nese odkaz na stránku, jejíž URL je "podobné" URL existující banky. Např: www.citybank.cz.23cz34.hosting.yahoo.com.

Mail obsahuje samy o sobě podezřelé informace - výhružky zrušením nebo zneužitím účtu a podobně.

Na tomto poli zneužívání uživatelovy neznalosti počítačů je obrana dvojí - vzdělávání uživatele a zdravý selský rozum. Dobré je uvědomit si vhodné paralely z neinternetového života - neznámému příchozímu, který by tvrdil, že vaše konto bude za 5 minut zneužito, ale on vás může zachránit, když mu dáte své doklady a naučíte jej svůj podpis, také asi nebudete věřit, ale půjdete se informovat do své banky.

Obranou na poli technickém je pak ověřování autenticity druhé strany. Tím se dostáváme na pole posilování autentizačních mechanismů - soukromé fráze, tokeny, certifikáty, klíče.

4.4.12 Spolupráce správce a uživatele

Velice důležitým bodem na poli bezpečnosti je komunikace mezi uživatelem a správcem. Uživatel by měl vědět, že správce je od toho, aby mu maximálním způsobem pomohl, obzvláště v případě problémů na poli bezpečnosti. Uživatelé se často stydí přiznat, že pravděpodobně udělali něco, co může vést k narušení bezpečnosti (např. kompromitace hesla) a tuto skutečnost tutlají, ať již ze strachu před správcem nebo nadřízenými, nebo z obavy o svou osobní prestiž. To je veliká chyba. Včasným a vhodným zásahem může správce ještě mnohé zachránit, čím déle ale uživatel s upozorněním správce na svou chybu váhá, tím horší situace nakonec může být.

Také je dobré si uvědomit, že i správce je jen člověk a není vševidoucí. Proto když uživatel pojme podezření, že něco není s jeho počítačem nebo s konkrétní službou v pořádku, měl by mu své podezření sdělit, byť by se nakonec ukázalo jako mylné.

4.5 Následky narušení bezpečnosti počítače/sítě

Uživatelé si často myslí, že bezpečnost jejich dat, počítače a sítě obecně se jich netýká, obzvláště v případě, že jsou pouze "pasivními" uživateli a o počítač, který při své práci používají, se stará správce. Tento pohled na počítačovou bezpečnost je nejsilnější především u začínajících studentů a zaměstnanců, obecně u mladých, málo zkušených uživatelů. Tito uživatelé mají často tendenci vnímat bezpečnost "své" pracovní stanice tak, že za vše zodpovídá správce a že v případě narušení bezpečnosti se jim nemůže stát žádná újma a za nic neponesou zodpovědnost. Jedná se samozřejmě o představu mylnou - i pasivní uživatel se na porušení bezpečnosti svého počítače může aktivně podílet. Například tak, že kolegovi půjčí k použití svůj počítač nebo své heslo, nebo použitím zavirovaného přenosového média, nebo prostě jen svou naivitou a nevědomostí (porušení autorkých práv, spamming), což jej ale samozřejmě nezbavuje zodpovědnosti. Další mylnou představou, se kterou někteří uživatelé kalkulují, je, že v případě narušení bezpečnosti nelze zjistit, jak přesně k němu došlo a následně tedy, kdo je za problém zodpovědný. Většina zkušených správců ale je schopna zjistit, proč k narušení bezpečnosti došlo. Významnou pomocí v pátrání po slabém místě napadeného systému představují například systémy pro obnovu smazaných dat, nebo centrální log servery, které zaznamenávají důležité operace jako například přihlášení do systému a podobně. Uživatelé by o těchto technologiích měli vědět (stejně jako o faktu, že správce je člověk zvídavý a případy narušení bezpečnosti, když už nastanou, bere jako příležitost se něco nového naučit) zvyšuje to totiž jejich pocit odpovědnosti - jakmile se dozvědí, že ve světě počítačů nic nemizí nenávratně, jejich přístup se změní ve prospěch bezpečnosti. Dále je vhodné je informovat o možných následcích narušení bezpečnosti stroje a dat, které mohou být velice vážné - zneužití identity uživatele a jeho osobních dat například pro přístup k privátním datům nebo k oklamání ostatních (el. podepsané zprávy aneb ukradení identity), ztráta peněz z bankovního účtu pomocí odchycených hesel a pod.

To všechno může vést k narušení soukromí, ke ztrátě osobní prestiže, dobrého jména, financí, k problémům v rodině a partnerském životě, k problémům v zaměstnání a následně jeho ztrátě, vyloučení ze školy a podobně.