• žertík, smyšlenka

• např. poplašná zpráva o neexistujícím viru, příp. s návodem jak ho odstranit (→uživatel může odstranit důležitý soubor

• petice a výzvy

• pyramidové hry

• návody na rychlé zbohatnutí

• řetězové dopisy štěstí

• Vodítko pro rozpoznání hoaxu

  • žádost o rozeslání co největšímu počtu lidí

phishing

způsoby útoku

• podvržený email nějaké velké a známé společnosti, která vás žádá o ověření totožnosti

• často je v mailu odkaz na stránky, které napodobují stránky známé instituce a požadují informace

• žádost o vyplnění formuláře na podobné adrese

krádež citlivých informací

• údajů o platební kartě

• jména a hesla k nějaké službě (bankovní účty, internetové obchody)

• osobní údaje

nebezpečí

• uživatel přijde o peníze

• krádež identity → útočník se vydává na internetu za jinou reálně existující osobu

obrana

• na nic neklikat, nikdy nikomu nesdělovat osobní data

• posoudit reálnost popisované situace, případné odchylky

• ověřit si mail u instituce, která jej údajně odeslala

hijacker

• převezme internetový prohlížeč pod svou kontrolu, nastaví jeho parametry podle svého

• změní domovskou stránku atd. a hlídá nastavení, které není možné změnit

• změní nebo doplní seznamy oblíbených stránek

dialer

• podvodné programy

  • bez vědomí uživatele se snaží

    • vytočit číslo placené služby

    • změnit připojení k internetu přes jiného poskytovatele

  • nejčastěji ohrožení při spojení přes běžný modem

  • imunní je připojení ADSL

root kit

• u Unixu programy, které zajišťují přístupová práva administrátora

• ve Windows skrývají libovolný (škodlivý) programu před antivirovým nebo antispywarovým programem

• je spouštěn jako součást operačního systému s nejvyššími privilegii

• může skrývat soubory, adresáře, běžící procesy…

steganografie

• stegotext – způsob, jak skrýt data jejich zakódováním např. do obyčejného obrázku nebo do mp3 → skrytá zpráva

metody sociálního inženýrství

sociální inženýrství

• metoda, jež vede legitimní počítačové uživatele k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému

• je to způsob získávání důležitých informací od uživatelů bez jejich vědomí, že důležité informace poskytují

• využívá se s úmyslem oklamat lidi, aby prozradili hesla či jiné osobní informace

útočník ve firmě

• se vydává

  • za někoho, kdo má moc (oběť se podřizuje autoritě)

  • za nového pracovníka, který prosí o pomoc

  • za pracovníka technické podpory apod.

útočník na síti

• používá falešné dialogové okno, zobrazující žádost o opakované přihlášení nebo o zadání hesla

• nabízení odměny za registraci na internetové stránce, spojenou s vložením uživatelského jména a hesla

možnosti obrany počítače před škodlivým softwarem

• používejte firewall a antivir

• pravidelně záplatujte (díry v zabezpečení Windows)

• pozor na přílohy elektronické pošty

• nestahujte pochybné programy

• pravidelně zálohujte → dvě nebo více kopií

• zálohy skladujte na fyzicky oddělených místech

• zálohujte si starší verze

• šifrování

antivirové programy

• AVG Anti-Virus, AVG Internet Security

• AVG Anti-Virus Free Edition → zdarma, v angličtině, chudší

• avast! Professional

• avast! Home Edition

• Avira Antivir Personal – Free Antivirus

heuristická analýza

• snaží se porozumět kódu, hledá tzv. polymorfní smyčku, ta se neaktualizuje

• nezkoumá přítomnost konkrétního viru, ale upozorňuje na podezřelé soubory

• malý expertní systém zkoumá hlavičku programu na základě databáze virových pravidel

metody autentizace

autentizace

• proces ověření identity, obvykle po identifikaci

• identifikace rozpozná, ale neověří

• autentizace je ověření deklarované identity

• uživatel dokazuje, že je opravdu tím, za koho se vydává

• princip

  • porovnání přístupového identifikátoru s hodnotou, která je uložena v autentizačním zařízení

• co vím → znalosti, obvykle hesla, PIN

• co mám → vlastnictvím předmětu – karta, klíč

• kdo jsem → biologická identifikace – otisk prstu, snímek sítnice, tvar ruky

• co dělám → provedení určité akce v konkrétním čase a místě – jak rychle píši, charakteristické rysy písma

• kde jsem → logování pouze z určitého místa

silné heslo

• je kombinací abecedy, znaků, číslic, mezer

• obsahuje malá a velká písmena

• nemá snadno domyslitelné části

• není odvoditelné ze jména, adresy nebo mailu

• snadno se pamatuje, dá se rychle napsat

• minimální délka hesla alespoň 8 znaků (rozumné do 14 znaků)

útoky na heslo

• hádání hesla

  • zkoušení hesla stejného jako uživatelské jméno, jméno firmy, slovo „heslo“, jméno

  • útok hrubou silou → zkoušení všech možných kombinací znaků

• spoofing hesla

  • uživatel si myslí, že se hlásí normálně, ale je podstrčen jiný program

  • poté je přihlašování přerušeno a je požadováno nové přihlášení

  • útočník má heslo a jméno

• kompromitování souboru hesel

obrana

• kryptografie

  • kryptografická ochrana, stačí hashování, které zpomalí slovníkový útok

• kontrola přístupu

  • přístupová práva, omezit přístup k souboru s hesly, zneviditelnit

• kombinace obou

38