Bezpieczeństwo �i anonimowość �w internecie��kurs dla nauczycieli

Jerzy Wawro, 2019

Część I

​

Szkoła wobec zagrożeń płynących z internetu

Co nas chroni i co nam zagraża?

• Moralność
• Reguły życia w społeczeństwie
• System prawa + państwo
• Środki bezpieczeństwa

• Katastrofy
• Łamanie zasad, Przestępczość
• Nieostrożność (wypadki)

Internet zmniejsza skuteczność

• Moralność: złudne poczucie bezkarności, obce kultury (globalna wioska)
• Zamiast społeczeństwa – społeczności bez silnych więzi i relacji osobowych
• Niska skuteczność państwa (rządzą ponadnarodowe korporacje)
• Tradycyjne zabezpieczenia nie są skuteczne

Nowe zagrożenia

• Demoralizacja (pornografia / sexting, obce wzorce kulturowe, fałszywe autorytety)
• Stalking (nękanie) – czasem prowadzi do samobójstwa
• Utrata prywatności, utrata danych (w tym danych osobowych, danych wrażliwych) – może być źródłem szantażu
• Kradzieże (na przykład pieniędzy z konta)
• Masowe powielanie kłamstwa (postprawda)

Skala zagrożeń

• Trwa III Wojna Światowa - toczy się w internecie
• Wszyscy jesteśmy atakowani i wszyscy musimy podjąć wysiłek obrony
• Szkoła – szczególna odpowiedzialność ochrony dzieci.

​

​

​

Przykład – bezpieczne hasła

• Muszą być długie i nie podlegać atakom słownikowym
• Przykład: Ala ma kota Mruczka AlmakoMr2018
• NIE WOLNO ZAPISYWAĆ!!!

​

Moje hasło – mój problem?

Scenariusz ataku na MSZ’2013

• Złamanie hasła do poczty jednego z pracowników (zaczęło się od słabego hasła)
• Wysłanie do jego kolegów załącznika – arkusza ze złośliwym oprogramowaniem (nie był od obcej osoby – więc otworzono)
• Uzyskanie dostępu do sieci

https://niebezpiecznik.pl/post/kancelaria-premiera-msz-mon-i-kancelaria-prezydenta-zhackowane-wiemy-kto-stoi-za-tymi-wlamaniami/

Bezpieczne (?) dziecko

Wprawdzie gros respondentów badania „Bezpieczne dziecko 2018” jest świadomych nowych niebezpieczeństw, jakie czyhają na ich pociechy, to jednak okazuje się, że aktywność najmłodszych niejednokrotnie wymyka się kontroli rodzicielskiej. Przykładem zagrożenia, z którym rodzice nie mieli do czynienia jeszcze kilkanaście lat temu, jest Internet i rozwój nowoczesnych technologii. Prawie 80% przedszkolaków posiada własny telefon komórkowy lub tablet. Ten odsetek wśród nastolatków jest jeszcze wyższy, sięga aż 97% (93% w 2016).

​

http://www.egospodarka.pl/151083,Bezpieczne-dziecko-2018,1,39,1.html

Zabraniać czy edukować?

• https://sieciaki.pl/
• https://www.edukacja.fdds.pl/scenariusze-zajec
• http://www.necio.pl/
• https://www.saferinternet.pl/
• https://cybernauci.edu.pl/

Nauczycielom potrzebna wiedza

1. Jakie są zagrożenia?
2. Jakie zachowania są bezpieczne?
3. Jak się przed nimi bronić?
4. Jak reagować w razie stwierdzenia problemów?

Pierwsze trzy punkty wymagają kompetencji technicznych: wiedzy o funkcjach programów związanych z bezpieczeństwem oraz środkach techniczne jakie mamy do dyspozycji.

II. Skąd się biorą zagrożenia

• Internetowi chuligani zwani „hakerami”
• Biznes
• Cele militarne i ekonomiczne
• Cele polityczne

Żyjemy w globalnej wiosce – także zagrożenia są globalne

Główne zagrożenia’ 2019

• Cryptojacking – zmuszanie do udziału w kopaniu kryptowaluty.
• Włamania - fałszywa pomoc techniczna.
• Ransomware - szyfrowanie dysków

http://www.egospodarka.pl/art/galeria/151082,TOP-10-zagrozen-w-sieci,3,12,1.html

Hakerzy

Słowo „haker” oznaczało kiedyś człowieka zgłębiającego tajniki rozwiązań technicznych dla ich ulepszenia, rozbudowy, czy zastosowania w nietypowych rozwiązaniach.

​

Obecnie – synonim chuligana. Przykład: haker przejął kontrolę nad kamerą w komputerze Miss Nastolatek USA, Cassidy Wolf . Przez rok czasu ją podglądał bez jej wiedzy, podsłuchiwał jej intymne rozmowy z rodziną i robił zdjęcia, gdy w sypialni zmieniała ubrania

Cele ekonomiczna - spam

• Serwer poczty – główny cel ataków
• Zbyt słabe hasła!!!
• RODO – nowe zasady bezpieczeństwa.

​

Cele polityczne

„post-prawda” - pojęcie to zrobiło zawrotną karierę po zwycięstwie Donalda Trumpa w USA. Oskarżono go, że zwycięstwo to zapewnił sobie, posługując się kłamstwami.

​

Deep State czy Big Data

Dlaczego Trump łamie wyborcze obietnice? Można postawić dwie hipotezy: „głębokie państwo” jest zbyt silne i Trump musi się mu podporządkować (bo na przykład mają na niego „haki”) lub w czasie kampanii wyborczej obecny prezydent rzeczywiście kierował się jedynie strategią, mówiąc to co wyborcy chcieli usłyszeć.

​

​

20% Huxley’a

Głównym polem walki jest praktycznie bezbronna część każdego społeczeństwa - 20% „naiwnych” zidentyfikowanych przez Huxley’a. To oni są bardziej podatni na propagandę, otwierają bezmyślnie załączniki w mailach, wchodzą na fałszywe strony zmiany haseł etc…

20% wystarczy by rządzić?

Tak – jeśli większość uzna, że polityka to draństwo

Big Data

Amerykański naukowiec Michał Kosiński stworzył model analizy danych („big data”) który „na podstawie dziesięciu polubień z Faceboka jest w stanie ocenić daną osobę lepiej, aniżeli przeciętny kolega z pracy. 70 polubień wystarcza, aby przewidzieć znajomość charakteru danej osoby lepiej, niż jej przyjaciel, 150 lepiej, niż rodzice, przy 300 polubieniach maszyna jest w stanie przewidzieć zachowanie danej osoby lepiej, aniżeli jej partner. Przy jeszcze większej ilości polubień udaje się nawet przebić to, co ludzie sami myślą, że wiedzą o sobie. W dniu w którym Kosiński publikuje te odkrycia otrzymuje dwa telefony. Jeden z groźba kroków prawnych oraz jeden z ofertą pracy. Oba od Facebooka”.

​

Firma SCL (Strategic Communications Laboratories), która nawiązała kontakt z Kosińskim jest firmą-matką dla Cambridge Analytica. To jest ta firma, która zorganizowała wyborczą kampanię internetową dla Trumpa i dla Brexitu.

Wywiad gospodarczy - cybernetyczna wojna

^{Dokumenty ujawnione przez Snowdena pokazują, że NSA podsłuchiwała nie tylko polityków, ale także organizacje międzynarodowe i liderów biznesu. Szpiegowane były (są?) transakcje finansowe, w szczególności przy pomocy kart kredytowych. Monitorowano system Visa oraz system płatności międzynarodowych SWIFT (projekt "Follow the Money"). Agencja tworzy bazę danych finansowych o nazwie Tracfin do przechowywania informacji zebranych od instytucji finansowych. W 2011 r. baza danych miała 180 milionów wpisów, z których 84 procent to transakcje kartami kredytowymi..}

Cybernetyczna wojna (2)

^{Kiedy w 2006 roku ujawniono te działania, Unia Europejska zażądała od Stanów Zjednoczonych poszanowania prywatności i prawa europejskiego. Porozumienie zawarto w 2010. Jednak Snowden ujawnił, że Stany Zjednoczone nigdy nie zaprzestał monitorowania przelewów SWIFT.}

^{W dniu 29 grudnia 2013 r., Der Spiegel informował, że NSA złamała niemal wszystkie procedury zabezpieczeń największych firm, w tym Cisco, Huawei, Juniper i Dell. Włamano się m.in. do sieci komputerowej, brazylijskiego koncernu naftowego Petrobras.}�

^{Według Der Spiegel„Rząd USA szkoli ludzi nie tylko do paraliżowania sieci wroga, ale także do przejmowania kontroli nad kluczowymi elementami infrastruktury, takimi jak elektrownie, fabryki, lotniska czy oczyszczalnie. Z wojskowego punktu widzenia prowadzona przez NSA inwigilacja jest tylko rozpoznaniem”}

Cybernetyczna wojna (3)

^{Celem hakerskich ataków NSA były firmy i instytucje Chin. Stany Zjednoczone ukradły ogromne ilości ważnych informacji wywiadowczych z Chin i innych krajów. Włamano się między innymi do serwerów z Tsinghua University, najbardziej prestiżowej uczelni Chin.}

�^{Stany Zjednoczone również pobiera informacje z gier komputerowych. Gry, takie jak "World of Warcraft" i "Second Life" są używane w celu szpiegowania graczy. Powszechnie wiadomo, że większość graczy w tych grach to Chińczycy. Także chińskie komunikatory i poczta (China Mobile), były inwigilowane przez NSA.}

Cybernetyczna wojna (4)

^{Przykłady danych gromadzonych przez USA}

• ^{dane prawie 5 miliardów połączeń telefonii komórkowej na całym świecie każdego dnia;}
• ^{komórki kanclerz Niemiec Angeli Merkel przez co najmniej 10 lat;}
• ^{podłączenie do głównych łączy centrów danych Yahoo oraz Google i kradzież w ten sposób danych setek milionów klientów;}
• ^{aplikacje do telefonów komórkowych w celu kradzieży danych osobowych;}
• ^{operacjach szpiegowskich na dużą skalę zarówno przeciw chińskim przywódcom i chińskim instytutom badawczym i chińskim firmom – w tym gigantowi Huawei.}

​

Cybernetyczna wojna (5)

^{„Rosyjscy hakerzy”}

^{Według WSJ: Rosyjskim cyberwłamywaczom udało się wykraść nie tylko dane dotyczące cyberobrony USA, ale także informacje o metodach stosowanych przez NSA w inwigilacji systemów informatycznych obcych państw.}

^{Kradzież tych informacji pozwoliła Moskwie na penetrację amerykańskich systemów informatycznych oraz na wzmocnienie obrony swoich własnych systemów przed analogicznymi próbami amerykańskiego wywiadu.}

^{Zdaniem ekspertów cytowanych przez portal "WSJ" rosyjskim hakerom udało się wykraść cybernetyczne tajemnice władz amerykańskich poprzez wykorzystanie programu antywirusowego rosyjskiej firmy Kaspersky Lab w charakterze "tylnych drzwi" do komputera prywatnej firmy pracującej na zlecenie NSA.}

​

Polska – wywiad gospodarczy

W Polsce trwa wdrażanie systemu sprawozdawczości podatkowej JPK, Krajowa Izba Rozliczeniowa (KIR) realizuje system STIR gromadzący dane o podmiotach gospodarczych dostępne w bankach. BIK – biuro informacji kredytowej.

​

^{Gromadzone w jednym miejscu informacje biznesowe o wielu podmiotach to duże niebezpieczeństwo wykorzystania ich niezgodnego z prawem. W USA oficjalnie telekomy mogą spieniężać dane o klientach. U nas jest to szara strefa – ale wszyscy doświadczamy nękania telefonami w ramach telemarketingu – bez względu na to, czy kiedykolwiek wyraziliśmy zgodę na takie kontakty.}

Część III. Kompetencje techniczne

Szyfrowanie danych

Można założyć, że wszystkie informacje jakie są przesyłane w sieci mogą zostać podsłuchane. Dlatego ważne informacje muszą być szyfrowane. W szczególności dotyczy to danych służących do identyfikacji i autoryzacji.

Dwa rodzaje szyfrów:

• symetryczne (ten sam klucz szyfruje i odszyfrowuje)
• asymetryczne - inny klucz do zaszyfrowania inny do odszyfrowania

Szyfrowanie asymetryczne

Chroni wiadomość przed fałszowaniem. Po odszyfrowaniu nie da się jej zmienić i zaszyfrować ponownie!

Algorytm RSA - podstawa bezpieczeństwa internetu - szyfrowanie poprzez potęgowanie modulo n (^ oznacza potęgowanie): C = M^e mod n

​

Mając daną wiadomość zaszyfrowaną (C) oraz klucz (e,n) nie potrafimy w łatwy sposób uzyskać wiadomości pierwotnej. Odszyfrowanie można wykonać poprzez potęgowanie używając innego wykładnika (klucza): M=C^d mod n

​

Jest to możliwe jeśli powyższe równania są swoją odwrotnością (czyli pomnożenie ich daje w wyniku 1), albo inaczej mówiąc: (M^e mod n) ^d mod n = M

Klucz publiczny i certyfikaty

Algorytm RSA zapewnia, że znalezienie klucza szyfrującego na podstawie klucza deszyfrującego jest zadaniem trudnym (NP - złożoność wykładnicza). Możemy więc nawet klucz deszyfrujący ujawnić (gdy zależy nam tylko na autentyczności)!

​

W oparciu o to zbudowano infrastrukturę klucza publicznego i podpisy elektroniczne.

Infrastruktura klucza publicznego

CA - centrum autoryzacji - zapewnia o tożsamości osoby posiadającej klucz (wydaje certyfikat)

TLS

Klucze asymetryczne są częścią protokołu szyfrowania danych w internecie nazwanego TLS.

Protokół SSL (Secure Socket Layer) został opracowany przez firmę Netscape w drugiej połowie lat 90-tych XX wieku. Po ustandardyzowaniu przyjął on nazwę TLS (Transport Layer Security). Specyfikacja i biblioteki (OpenSSL) dla TLS są ogólnie dostępne.

​

Strony internetowe

https – bezpieczna odmiana http

​

Czym jest HTTP?

Przykład zapytania

​

GET /lesson01/index.php HTTP/1.1�Accept: image/gif, image/jpeg, (...)�Accept-Language: en-US,pl;q=0.5�User-Agent: Mozilla/4.0 (compatible; ...)�Accept-Encoding: gzip, deflate�Connection: Keep-Alive�Host: bootcamp.threats.pl

Przykładowa odpowiedź:

​

HTTP/1.1 200 OK�Server: IdeaWebServer/v0.60�Date: Mon, 30 Mar 2009 16:16:38 GMT�X-Powered-By: PHP/5.2.6�Set-Cookie: SampleCookie1=CookieValue�Set-Cookie: SampleCookie2=CookieValue; expires=Mon, 30-Mar-2009 17:16:38 GMT�Content-Type: text/html�Connection: Keep-Alive�Content-Length: 2001

HTTP - protokół wymiany danych w internecie. Jak widać są te dane wysyłane jako tekst - więc można go przechwycić i odczyta. HTTPS to uniemożliwia.

Poczta - SMTP, IMAP

Starttls lub TLS/SSL - jeśli serwer obsługuje

​

Część IV

Identyfikacja i autoryzacja w internecie

Facebook, Google, …..

1. Użytkownik chce uzyskać dostęp do serwisu.
2. SP (Service Provider) generuje żądanie potwierdzenia tożsamości do IdP.
3. Użytkownik zostaje przekierowany do IdP
4. IdP identyfikuje użytkownika.
5. IdP przesyła poświadczenie tożsamości, które zostaje przekierowane do SP.
6. SP weryfikuje potwierdzenie tożsamości.
7. Użytkownik uzyskuje dostęp do zasobów (serwisu).

Facebook, Google, … c.d.

• Aplikacja internetowa (Program Użytkownika, Client Application) chce uzyskać token autoryzujący dostępu do informacji. Serwer autoryzacyjny zwraca się do użytkownika z zapytaniem o to, czy zezwala na autoryzację aplikacji. Po uzyskaniu potwierdzenia następuje przekazanie tokenu.
• Standard OAuth2
• Idea jednokrotnego logowania (SSO)

V Jak być bezpiecznym.

​

Zachowaj zdrowy rozsądek

​

Nie dajmy się zwariować.

Istnieją urządzenia “fałszywej bazy” pozwalające przechwycić transmisję z/do naszego smartfona. Jednak wyciąganie baterii, to już przesada. Czasem fałszywa panika jest tworzona celowo. Na przykład NSA nie potrafiąc złamać algorytmu RSA rozsiewało plotki o jego zagrożeniach. Udało im się sprzedać alternatywne rozwiązania - oczywiście z tajnym kluczem dodatkowym.

Stosuj bezpieczne hasła

Po wejściu w życie RODO sprawa wymagań wobec haseł stała się powszechnie znaną. Wydaje się nawet, że została przekroczona jakaś granica zbytniej komplikacji. Wystarczy prostych reguł:

1. Nie stosuj haseł w postaci jednego słowa, albo słabych modyfikacji typu "Passw0rd!"
2. Stosuj znaki specjalne (&%^ ….).
3. Nie zapisuj haseł i nie stosuj przewidywalnej metody modyfikacji (<starehasło> 1, <starehasło> 2 itd.).

Hasła typu 1234 to zaproszenie do włamania.

Niestety ludzie nie zachowują się rozsądnie. Na przykład testy klientów Swedbanku wykryły, że hasło “123456” miało ponad 5 500 kont klientów banku…

TLS

Transmisja TLS, algorytm klucza publicznego RSA i Certyfikaty dają nam prawie 100% bezpieczeństwa transmisji. Jednak pamiętajmy, że zawsze na początku lub końcu kanału transmisji czyha niebezpieczeństwo.

Strony internetowe: zwróćmy uwagę na https – bezpieczna odmiana http

Poczta: protokół TLS lub Srtartls

Uwaga na maile!

Zachowujmy ostrożność przy otwieraniu i czytaniu maili

Bank nigdy nie poprosi nas o PIN. Nigdy nie klikajmy w linki czy załączniki od nieznanych nadawców. Każda nieprawidłowość jest podejrzana: błędy językowe, odwołanie do nie istniejących faktur etc…

​

Szykuj się na najgorsze

Pomimo tego, że zachowujesz ostrożność - zawsze licz się z atakiem i utratą danych. Musisz mieć plan awaryjny.

Kopia, kopia kopia

Pamiętaj, że pendrive nie jest odpowiednim nośnikiem dla ważnych danych. Nie tylko dlatego, że łatwo go zgubić, ale też ma ograniczoną trwałość. Kopie okresowe powinno się robić na serwerze, lub dysk zewnętrzny. Można też robić kopie w chmurze - ale pamiętaj, że to nie daje gwarancji

Ostrożnie z zapisywaniem haseł

​

Pamiętaj, że to co Ty zapiszesz, inny użytkownik komputera odczyta!

​

Włączaj tryb prywatny

Zwłaszcza, gdy łączysz się z bankiem, albo używasz publicznego komputera!

W trybie prywatnym nie są pamiętane ściągane pliki, historia aktywności i “ciasteczka” (cookies):

• Chrome - “Nowe okno incognito”, Ctrl + Shift + N
• Firefox - “Nowe okno prywatne” Ctrl + Shift + P
• IE - ?

Zamiast zapisywania haseł - korzystaj z szyfrowanej bazy - jak KeePass

Program KeePass zapamiętuje hasła.

​

Można go zintegrować z przeglądarką.

Stosuj programy antywirusowe

Nawet darmowy program antywirusowy jest lepszy niż żaden. Taką opcję oferuje na przykład Avast.

Pamiętaj jednak, że żaden program antywirusowy nie jest w 100% skuteczny!

Włącz kontrolę rodzicielską

Na przykład dodatek “Parental Control”

Pamiętaj, że musisz założyć nowego użytkownika w systemie operacyjnym z ograniczonymi uprawnieniami do ziman

Zachowaj czujność

W każdej instytucji jest obecnie ktoś odpowiedzialny za bezpieczeństwo. Powinniśmy wiedzieć kto i zgłaszać mu przypadki nietypowej pracy urządzeń i zgłaszać incydenty naruszenia bezpieczeństwa (spam, wirusy, konie trojańskie)

Dziękuję za uwagę