Trendy v internetové bezpečnosti, to bylo téma konference, která se včera konala v Praze. Vystoupení jednotlivých účastníků se zaměřovala na novinky v oblasti internetových útoků, zabezpečení před nimi a zkušenostmi s jejich různými formami.
Konferenci její pořadatel, společnost Internet Info, rozdělil do dvou částí. První dopolední blok se věnoval bezpečnosti z hlediska technologie, zatímco druhá část se zaměřila na bezpečnost bankovních služeb.
Máme se bát připojení na internet?
Dopoledne tedy přednášeli odborníci na IT a konzultanti z oblasti bezpečnosti. Z jejich příspěvků až místy běhal mráz po zádech. Podle většiny z nich je ochrana naprosté většiny uživatelů internetu nedostatečná, pravděpodobnost infikování počítače proto skoro stoprocentní a jedinou šancí, jak nic nechytit, je nikam se nepřipojovat.
Odpolední program obstarali lidé zabývající se především bankovními službami. Jejich prezentace působily o něco optimističtěji. Přednášející sice potvrdili, že intenzita i variabilita internetových útoků roste, ale pokud doopravdy dojde ke krádeži peněz, může si za to svoji neopatrností zpravidla sám uživatel. Lidé se tak snad nemusí bát zůstat připojení na internet.
Depresivní první část, nebezpečí číhá všude
Dopolední program se takřka nesl v apokalyptickém duchu. Jako první vystoupil nezávislý publicista Daniel Dočekal, který za největší slabinu v internetové bezpečnosti označil uživatele samotného. Dočekal kritizoval ale i české banky a další instituce, které neprověřují své stránky na viry a umožňují tak jejich šíření. Lidem doporučil, aby si dávali větší pozor při tom, když stahují nějaký program či hry. I zdánlivě nevinná stránka může být infikována, a to bez vědomí jejího majitele. Žádná data nejsou bezpečná. Jedinou skutečnou jistotou je data vytisknout, na počítači poté smazat a vytištěná spálit v krbu,
uzavřel své vystoupení s nadsázkou Dočekal.
Následoval rozbor moderních phisingových útoků a možností ochrany. Téma přednesl Jan Guzanič z firmy Cleverlance Enterprise Solutions, který se mimo jiné i detailně zaměřil na ceny různých dat na černém trhu. Jejich výše dle použitelnosti odcizených informací může dosahovat až stovek dolarů. Mezi „nejdražší“ se podle Guzaniče řadí detaily o bankovních účtech. Svůj příspěvek ukončil Guzanič varováním, aby firemní počítač lidé nedávali k dispozici dětem na hraní her a aby s internet bankingem postupovali velice opatrně.
O současných trendech v počítačových hrozbách pak promluvil Filip Navrátil z firmy ESET software. V současnosti se podle něj zvyšuje počet falešných antivirových a antimalwarových programů Pokračuje nám také distribuce malware v podobě falešných kodeků,
varoval Filip Navrátil. Falešné „antiprogramy“ uživateli oznamují, že v počítači se nachází vir a doporučují stažení a zaplacení „antivirového“ programu. Jako příklad může sloužit program Antivirus 2008. Většina této havěti se chytí na warez a porno stránkách.
Optimismus do žil nevlily ani další příspěvky
Po krátkém „coffee breaku“ pokračovala konference příspěvkem Petra Krčmáře, šéfredaktora serveru Root.cz, jenž se zaměřil na bezpečný vzdálený přístup k firemním sítím. Lidé se podle Petra Krčmáře při mobilním připojení chovají více nezodpovědně, než při stálém připojení v práci. Na cestách si snadněji instalují různé nebezpečné programy, či půjčují notebook rodině. Jak se bránit napadení firemní sítě? Omezit instalace vlastního software a hardware a nastavit jasná pravidla pro používání počítače,
poradil Krčmář.
Poté se rozhovořil Rastislav Turek o cílených útocích na banky, konkrétně přes jejich internetové bankovnictví. Podle Turka firmy stále podceňují rizika spojená s útoky na jejich stránky a sítě. Turek poté demonstroval útok pomocí tzv. „clickjackingu“. Uživatel se domnívá, že klikáním například hraje hru, ale přitom tím potvrzuje zcela jiné příkazy. Jenom tři banky u nás prý mají ochranu proti tomuto napadení.
Dopolední program pak zakončily přednášky Pavla Vondrušky ze společnosti Telefónica O2, který se zaměřil na důvěru v certifikáty, a Karla Kuchaříka z Policejního Prezidia ČR, který se věnoval informační kriminalitě. Policie podle slov Kuchaříka hlavně pracuje s obrazem fyzického disku, uživatelskými soubory či s údaji o připojení k Internetu. Nemonitoruje uživatelská data, kterými by mohl poškozený porušovat například autorský zákon. Po vystoupení Karla Kuchaříka přišla přestávka na oběd.
Za zmínku také stojí skutečnost, že celá konference byla online komentována pomocí mikroblogovacího systému Twitter. Řada účastníků konference se do diskuze aktivně zapojila (viz obrázek). Diskuze také současně běžela na plazmové televize v předsálí.
Odpoledne se začala mračna roztahovat
Po polední pauze se rozjela druhá část, který se zaměřila na bankovní instituce a možnosti ohrožení a ochrany internet bankingu a dalších způsobů plateb. Současně s přednášky probíhal ve vedlejším sále také DNSSEC workshop Ondřeje Surého. V hlavní aule jako první vystoupil Jiří Kašpar ze softwarové společnosti PNB, který pohovořil o vývoji požadavků na systémy internetové bankovnictví. V roce 1998 internet bankingem disponovala pouze jediná malá banka, Expandia Banka. Žádná velká banka tehdy tuto službu neměla. Dnes se stal internet banking naprostým standardem. Internet banking se velice rychle oblíbil a nedůvěru k němu překonala jeho komfortnost,
zmínil Jiří Kašpar.
Následoval Karel Kadlčák ze Sdružení pro bankovní karty, jenž se zaměřil na bezpečné platby na internetu. Podle Kadlčáka funguje dobře systém 3D Security. Problémem však je, ale na rozdíl od obchodníků neexistuje v ČR banka, která tento systém u svých karet podporuje.
Poté vystoupili odborníci České spořitelny (ČS) David Lorenc a David Pikálek, kteří zmínili své zkušenosti a rozsáhlého phisingového útoku z loňského jara. První phisingové maily podle Davida Lorence z ČS vzbuzovaly spíše úsměv na tváři, avšak útočníci se rychle zdokonalovali a poslední maily vypadaly takřka jako od České spořitelny. Lorenc nicméně připomněl, že ke zneužití peněz přes internetové bankovnictví nedošlo. Problém spořitelna řešila jen u platebních karet, kde stovky klientů vyzradili útočníkovi údaje o svých kartách. Průměrná škoda činila 13 000 Kč a většinu klientů ČS odškodnila. Odškodnění se nedostalo těm klientům, kteří při phisingu dali útočníkům všechny údaje včetně PINu,
upozornil David Lorenc. Závěrem pak dodal, že bezpečnostní opatření bank jsou na dobré úrovni.
Celé osazenstvo sálu pak pobavil svým výstoupením Zdeněk Blažek z Commerzbank AG, který nešetřil humorem, ale ani kritikou. Velice negativně se Blažek stavěl ke kvalifikaci pracovníků, kteří obstarávají elektronické důkazy. Policie (a nejen v ČR) má zásadní problém v získávání odborníků, průměrná doba řešení trestného činu z této oblasti činí 17 měsíců. Podobně kritický názor měl i na legislativní úpravu informační kriminality. Čím je více zákonů a čím detailnějších, tím hůře. To je příprava na minulou bitvu,
uvedl Blažek.
Jako předposlední vystoupil Jiří Nápravník, konzultant v oblasti bezpečnosti IT, s tématem výhod a nástrah elektronického podpisu. Celou konferenci pak uzavřel finanční arbitr František Klufa, který promluvil o reklamaci a řešení sporů. Podle Klufy se u velice mála odcizených peněz dopátrá viník. Z 23 milionů odcizených korun se podařilo vypátrat 4000 Kč,
uzavřel Klufa.
Krátce po 17 h konference skončila. Ač se názory na kvalitu zabezpečení proti internetovým úrokům lišily, na jednom se shodli všichni. Největší riziko se nachází mezi klávesnicí a židlí. Čtěte více v nejbližších dnech na stránkách konference
Foto: Ivana Dvorská
ČLÁNKY DO MAILU