News
CySeCo se stává novým členem ETN
CySeCo doporučuje uživatelům BoxCryptor
Současný trend používání veřejných cloudových úložišť, např. DropBox, OneDrive a Disk Google přináší pozitiva v podobě jednoduchého a spolehlivého zálohování a možnost dostupnosti dat z různých zařízení a platforem. Tyto výhody jsou však doprovázeny hrozbou zneužití nebo krádeže dat nahraných do cloudu, jak dosvědčuje např. úspěšný útok na data uložená v iCloudu. Lze však předpokládat, že většina podobných útoků je před uživateli utajena nebo, v horším případě, je nezaznamená ani samotný provozovatel úložiště.
Standardem při ukládání dat do cloudů, by tak mělo být jejich šifrování. Ovšem klienti poskytovaní provozovateli úložišť data nešifrují, případně používají svůj vlastní certifikát. V takovém případě však nahraná data může přečíst minimálně samotný provozovatel. Řada úložišť také provádí kontrolu nahraných dat s cílem objevit zakázaný obsah, např. nelegální filmy nebo software.
Řešením je tedy používat aplikaci, která umožňuje používat soukromý certifikát (heslo) uživatele při nahrávání dat do cloudu. Takovou aplikací je např. BoxCryptor, který umožňuje využití uživatelského šifrování (hesla) a propojení s klienty cloudových úložišť. Šifrování dat nahrávaných do cloudu poté probíhá automaticky na pozadí bez potřeby interakce uživatele.
Aplikaci BoxCryptor ve free verzi je možné získat zde.
Chystaný projekt pro trh USA
V rámci získaných zkušeností z provozu zabezpečených B2B aplikací v prostředí České republiky a Evropské unie, připravuje nyní jeden z členů spolku nasazení unikátního B2B systému optimalizovaného pro severoamerický trh. V souvislosti s tímto projektem byla v USA založena pobočka v Pittsburghu za účelem podpory obchodních a marketingových aktivit přímo na cílovém trhu. Předpokládáme, že kromě samotného prodeje a provozu zmiňované aplikace, přinese působení ve Spojených státech zajímavé zkušenosti z oblasti bezpečnosti, které budou diskutovány i v rámci spolku.
CySeCo doporučuje vývojářům OWASP TOP 10
Národní tým CSIRT a pracovníci CZ.NIC vytvořili společně českou verzi známého dokumentu OWASP TOP 10, který se věnuje deseti nejkritičtějším zranitelnostem vyskytujících se ve webových aplikacích. V dokumentu jsou přehledně vysvětleny samotné principy zranitelností, možné způsoby jejich zneužití a uvádí také způsoby, jak se jim bránit.
Dokument OWASP TOP 10 je ke stažení zde.
CySeCo doporučuje uživatelům ověření e-mailů
Uživatelé internetu jsou průběžně konfrontováni s informacemi o krádežích přihlašovacích účtů k různým aplikacím a službám. Často jsou úspěšně napadeny i celosvětově známé a prestižní společnosti. V mnoha případech jsou součástí ukradených účtů také emailové adresy uživatelů, s kterými se poté obchoduje na internetu.
Německý Hasso Plattner Institut, který sdružuje IT výzkum v rámci německých univerzit, provozuje unikátní řešení, které umožňuje zjistit uživatelům, zda nebyly ukradeny jejich e-mailové adresy (a případně další data) a zda nejsou nabízeny na prodej na hackerských tržištích.
Ověřit e-mailovou adresu prostřednictvím nástroje HPI Identity Leak Checker můžete zde.
Podobnou službu provozuje také Policie ČR pro doménu .cz zde.
Zranitelnost FREAK
Výzkumníci z francouzského institutu INRIA a ze společnosti Microsoft Research objevily další zranitelnost v protokol OpenSSL, která umožňuje dešifrovat zabezpečenou komunikaci mezi klientem a serverem.
Otestovat váš prohlížeč na tuto zranitelnost a dozvědět se další informace můžete zde.
Společný bezpečnostní projekt členů CySeCo
V souladu s cíli spolku, mezi kterými je navrhování a podpora účinných bezpečnostních opatření v oblasti ICT, proběhl zatím poslední úspěšně dokončený projekt implementace zabezpečení infrastruktury a dat u zákazníka z oblasti zdravotnictví. Ochrana dat ve zdravotnictví je naprosto klíčová, neboť se pracuje (dle zákona o ochraně osobních údajů) s citlivými osobními údaji, tj. s daty, které umožňují identifikovat osobu a její zdravotní stav.
Zákazník tak oslovil spolek CySeCo, který za využití spolupráce svých členů, zabezpečil data a infrastrukturu nejen po softwarové a hardwarové stránce, ale také implementoval (s úspěšnou certifikací) normu ISO 27001:2013 řešící systémy řízení bezpečnosti informací.
Vysokou úroveň zabezpečení potvrdil během auditu normy ISO 15189:2013 Český institut pro akreditaci.
CySeCo doporučuje uživatelům Secunia PSI
Jednou z nejčastějších příčin krádeže nebo zneužití dat, zejména na soukromých PC, jsou zastaralé (neupdatované) verze nainstalovaných programů, a to i v případě záplat kritických chyb. Jedním z dostupných řešení, které toto řeší automatizovaným a pro uživatele přívětivým způsobem, je aplikace Secunia PSI (Personal Software Inspector).
Secunia PSI je volně šiřitelná (zdarma) aplikace pro domácí použití. Aplikace identifikuje zranitelnosti v nainstalovaných aplikacích (78% zranitelností se nachází mimo programy Microsoftu, a proto se na ně nevztahují pravidelné aktualizace Windows, které většina uživatelů provádí) a provádí jejich automatickou aktualizaci z jednoho místa (procesu). To je velkou výhodou za situace, kdy se uvádí, že na průměrném PC je potřeba aktualizovat až 75 aplikací cca 25 různými aktualizačními mechanismy.
Secunia PSI také identifikuje zastaralé programy, které již nejsou podporovány výrobcem, a představují velké riziko pro zabezpečení vašeho PC. U takových programů je pak doporučeno jejich odinstalování, které významně zvýší bezpečnost počítače.
Další informace o aplikaci a možnost jejího stažení najdete zde.
Národní strategie kybernetické bezpečnosti ČR
Dne 16. 2. schválila vláda Národní strategii kybernetické bezpečnosti ČR na období let 2015 – 2020. Dokument je koncipován jako výchozí materiál (koncepce) pro tvorbu bezpečnostních politik, standardů, směrnic a dalších předpisů a doporučení s cílem zvýšit kybernetickou bezpečnost v ČR.
Strategie je ke stažení zde.
Zákon č. 181/2014 o kybernetické bezpečnosti
Dlouho chystaný a diskutovaný zákon č. 181/2014 o kybernetické bezpečnosti začíná platit od 1. ledna 2015.
Zákon ukládá povinnosti poskytovatelům služeb elektronických komunikací (případně subjektům zajišťujících síť elektronických komunikací), správcům informačních (nebo komunikačních) systémů kritické informační infrastruktury a správcům významných informačních systémů.
Základem povinností je provádění tzv. bezpečnostních opatření, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru.
Bezpečnostní opatření jsou organizačního a technického charakteru. Organizační opatření se zaměřují na přijetí systému řízení bezpečnosti informací (např. ISO 27001:2013) a z toho plynoucí procesy (řízení aktiv a rizik, bezpečnostní politika, bezpečnost lidských zdrojů, kontroly a audity apod.). Technická opatření se zaměřují na fyzickou bezpečnost, implementaci nástrojů pro ochranu integrity dat a sítí, ověřování identity uživatelů, řízení přístupových údajů, ochranu před škodlivým kódem, na aplikační bezpečnost a používání kryptografických prostředků a další opatření vyjmenovaná v zákoně.
Klíčovými pojmy jsou také kybernetická bezpečnostní událost, tj. událost, která může způsobit narušení bezpečnosti a kybernetický bezpečnostní incident, kdy již došlo k narušení bezpečnosti informací v informačních systémech.
Důležitou součástí zákona jsou také prováděcí právní předpisy:
- Nařízení vlády o kritériích pro určení prvku kritické infrastruktury
- Vyhláška o významných informačních systémech a jejich určujících kritériích
- Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Plná znění zákona a prováděcích předpisů jsou dostupná zde.
Z pohledů potenciálních správců kritické informační infrastruktury a významných informačních systémů je důležité identifikovat, zda se na jimi provozovaný informační systém vztahují požadavky zákona. Na toto existují pomůcky (rozhodovací mapy) pro kritickou infrastrukturu a pro významné systémy.
Počítačové hrozby v roce 2015
McAfee (nyní Intel Security), největší společnost specializovaná na bezpečnostní technologie, zveřejnila predikci bezpečnostních hrozeb pro rok 2015.
Sledování uživatelů na internetu se bude dále rozšiřovat a bude stávat sofistikovanějším. Zvýší se počet útoků v rámci tzv. Internetu věcí v důsledku narůstajícího počtu připojených zařízení, nedostatečného zabezpečení a cenných dat uložených v těchto zařízeních. Obecně se předpokládá zvýšení útoků a jejich propracovanosti na mobilní zařízení napříč platformami. Útočníci se také zaměří na digitální platební systémy, vzhledem k jejich postupnému rozšiřování, zejména na mobilních zařízeních, kde doposud nejsou implementována dostatečná bezpečnostní opatření. Mezi „stabilními“ hrozbami zůstává malware, ransomware a nebezpečí nově nalezených zranitelností v běžně používaných technologiích. Zajímavou informací je upozornění na snahy útočníků na deaktivaci sandboxů, jejichž rozšíření v mnoha případech zabraňuje činnosti škodlivého software.
Celá analýza je dostupná zde.
Počítačové hrozby v roce 2014
Agentura Evropské unie pro bezpečnost sítí a informací (ENISA) zveřejnila analýzu bezpečnostních hrozeb za rok 2014.
Analýza konstatuje řadu změn v oblasti bezpečnostní problematiky, upozorňuje na zvyšující se komplexitu útoků, které zaznamenaly řadu „úspěchů“, nejen v oblasti krádeží a zneužití dat, ale také na samotnou infrastrukturu internetového provozu. Zmíněny jsou však i úspěchy koordinovaných operací specializovaných bezpečnostních týmů, za vzájemné spolupráce soukromého a veřejného sektoru při eliminaci hrozeb a v podpoře preventivních opatření. Za největší úspěchy jsou označeny výrazné potlačení botnetové sítě ZEUS a výrazná redukce infikovaných serverů zneužívaných pro DDOS útoky.
Mezi známé (potvrzené) hrozby a problémy lze zařadit objevené zranitelnosti v dlouhodobě používaných protokolech SSL a TLS, masivní krádeže dat, které poukázaly na slabiny v zabezpečení kritických dat ve veřejném i soukromém sektoru, a sledování chování uživatelů na internetu.
Celá analýza je dostupná zde.