Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Bezpieczeństwo online jak korzystać z portali społecznościowych Gerard Frankowski, Zespół Bezpieczeństwa PCSS Konferencja Portale społecznościowe jako nowa jakość życia w świecie wirtualnym Zespół Szkół Łączności im. Mikołaja Kopernika w Poznaniu

PCSS -przypomnienie Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowobadawczych Główne obszary zainteresowań Gridy, sieci nowej generacji, portale Wirtualizacja, HPC Bezpieczeństwo sieci oraz systemów http://www.pcss.pl 2

Portale społecznościowea bezpieczeństwo Portale są powszechne Popularne wśród młodzieży Nie wszyscy są świadomi zagrożeń, a także tego, jak sobie z nimi radzić Różne aspekty bezpieczeństwa 3

Zagrożenia bezpieczeństwa mogą być bardzo różne Społeczne (nietechniczne) Związane z prywatnością Ściśle techniczne Grafika: fejsik.pl 4

Zagrożenia społeczne wynikają z kontaktów między użytkownikami Cyberbullying i cyberstalking Bardzo podobne pojęcia, oznaczające mniej więcej nękanie kogoś w Internecie Cyberprzemocnie jest bezpośrednio zdefiniowana jako przestępstwo czy wykroczenie, ale jej amunicja (groźba karalna, pomówienie) już tak 5

Kto może nam pomóc? Centrum Bezpiecznego Internetu www.saferinternet.pl Pomoc online http://www.helpline.org.pl czat, linia telefoniczna, adres e-mail Instytucje powołane do ochrony porządku publicznego i bezpieczeństwa obywateli Kto sieje wiatr sami też zachowujmy się odpowiednio w Internecie! 6

Cyfrowy ślad Zagrożenia związane z naszą prywatnością Internet nie jest anonimowy Każdy z nas zostawia tropy: logując się do serwisu, płacąc kartą, a czasem nawet robiąc zdjęcie Sami zamieszczajmy informacje odpowiedzialnie Warto wiedzieć, w jakich przypadkach zostawiamy tropy 7

Co zawiera obrazek? 8

Uważajmy z wysyłaniem zrobionych zdjęć na serwisy społecznościowe Najnowszy, zaawansowany sprzęt (np. telefony komórkowe z wbudowanym GPS) zapisuje współrzędne miejsca wykonania fotografii Jeżeli posiadamy taki sprzęt, nie włączajmy usług geolokalizacji! 9

Istnieją już dedykowane narzędzia do śledzenia użytkowników Więcej: http://niebezpiecznik.pl/post/creepy-czyligeolokalizacja-internautow/ 10

Kilka ciekawostek Córka szefa brytyjskiego kontrwywiadu MI6 zamieściła na Facebookuswoje zdjęcie ze złotym karabinem Saddama Husseina, który otrzymał jej ojciec na pamiątkę służby w Iraku Wcześniej Sir Johna zdekonspirowała już jego żona ;) W 2008 r. 6 oficerów Służby Kontrwywiadu Wojskowego wysłało pod nazwiskiem zdjęcia z Afganistanu na portal Nasza Klasa Chińscy żołnierze od 2010 r. nie mogą być użytkownikami portali społecznościowych 11

12

Możesz sprawdzić, co Internet wie o Tobie http://witkay.com Badania: Łukasz Olejnik (ZB PCSS), Artur Janc dziękujemy za udostępnienie wyników! Polecamy nowsze wersje przeglądarek, np. Firefox 4! 13

Nasze najcenniejsze aktywa na portalu społecznościowym Tożsamość elektroniczna = moje konto Co może się stać, kiedy tożsamość zostanie skradziona? Jak chronić swoją tożsamość? Tożsamość rzeczywista = moje życie Zainteresowania Preferencje Inne informacje o mnie 14

Utrata wirtualnej tożsamości spowoduje rzeczywiste problemy Działania wykonywane w naszym imieniu (możemy to w końcu wyjaśnić, ale to też kłopot!) Zmiana zawartości profilu możliwa publikacja kompromitujących materiałów Dokonywanie przestępstw elektronicznych Blokada konta (napastnik zmienia hasło) Jeżeli korzystamy z takiego samego hasła w różnych serwisach, napastnik może odnaleźć inne konta i także je przejąć (lub np. tylko przeglądać naszą pocztę) 15

Dla napastnika może być cenny także nasz komputer Możliwe korzyści Przekształcenie maszyny w element botnetu Wykorzystanie jako źródła kolejnego ataku Sprzedaż mocy procesora Kradzież danych Robak Koobface(Facebook, MySpace, Bebo i in.) Rozsyła znajomym link do strony internetowej Na stronie znajduje się aktualizacja Adobe Flash Uruchomienie ściągniętego pliku infekuje komputer Działa w systemach Windows, Linux, MacOS 16

Ochronę techniczną rozpoczynamy od zabezpieczeń fizycznych Komputer, nad którym nie masz fizycznej kontroli, to nie Twój komputer! keyloggery(sprzętowe i programowe) zaglądanie przez ramię historia przeglądarki Grafika: www.szpiegowskie.info 17

Własnego komputera także musimy pilnować Możliwy scenariusz ataku: Wykryty zostaje błąd w module wyświetlania obrazków PNG w popularnej przeglądarce Napastnik zamieszcza złośliwy obrazek na profilu, wykorzystujący ten błąd po otwarciu pliku na komputerze ofiary wykonany zostanie kod Napastnik wysyła link do profilu wielu użytkownikom (Musicie to zobaczyć!) Ofiary wchodzą na profil napastnika i infekują swoje komputery 18

Oto kilka najważniejszych metod poprawy ochrony naszej maszyny Aktualny system i oprogramowanie Zabezpieczy przed znanymi błędami, ale nie przed wszystkim (tzw. 0-day exploits) Odpowiednia konfiguracja Praca na koncie bez uprawnień administratora Lokalne systemy bezpieczeństwa Antywirus, zapora (firewall), antyspyware Zdrowy rozsądek Nie instalujemy zbędnych, niepewnych aplikacji 19

Podstawowe zasady higieny naszej przeglądarki interfejsu do portali Dobieramy i konfigurujemy odpowiedni program Obecnie coraz trudniej różnicować browserypod kątem bezpieczeństwa Używamy jednej przeglądarki do korzystania z serwisu i jednocześnie innej do pozostałych stron Korzystamy z trybu prywatnego Wersja hardcore: surfujemy z maszyny wirtualnej Ostrożnie z Autouzupełnianiem! Opuszczając portal klikamy Wyloguj 20

Uaktywnianie trybu prywatnego Może utrudnić korzystanie z niektórych portali 21

Wyłączanie Autouzupełniania 22

Przeglądarki potrafią informować o stronach phishingowych 23

Sami również możemy zastosować podstawowe sposoby ochrony Nie ufamy podejrzanym wiadomościom Nie klikamy niezaufanych adresów URL Zakodowane i/lub z open redirect http://www.youtube.com/redirect?username=digitalhook&q =http%3a%2f%2fqwerjk.com%2fsec%2fyt%2fverify_age%2 53Fnext_url%3D%25252Fwatch%253Fv%3DtFHtRDG4iwMm &video_id=qh23qlivkrg&event... Wyrafinowani napastnicy budują strony łudząco podobne do prawdziwych, pod niemal identycznymi adresami Np. naszakiasa.pl( = naszakiasa.pl) 24

Przykładowastrona phishingowa Źródło: niebezpiecznik.pl 25

Odpowiedni sposób postępowania z hasłem pomoże chronić nasze konto Różne hasła do poszczególnych usług Odpowiednia złożoność hasła Co najmniej 9-10 znaków Litery (małe, wielkie), cyfry, znaki specjalne Unikanie istniejących słów i blisko leżących klawiszy Metoda mnemoniczna pomoże tworzyć hasła Zmieniamy hasła wymuszone przez portal Okresowo modyfikujemy swoje hasła Hasła nie zapisujemy 26

Kilka luźnych przemyśleń na koniec A może lepiej nie mieć konta? Decyzja jest Twoja, ale w takim wypadku sprawdź, czy ktoś nie założył konta za Ciebie ;) Zdecydujmy, co jest ważniejsze: liczba czy jakość znajomych? Stosujmy odpowiednie ustawienia prywatności Zapoznajmy się z polityką prywatności portalu, instrukcją (pomocą) oraz ustawieniami domyślnymi Nie wolno pozwalać widzieć wszystkiego wszystkim! 27

Najważniejsza linia obrony: zdrowy rozsądek Nie wolno ufać wiadomościom od nieznanych osób Niekiedy nawet informacja od znajomego może być złośliwa (ktoś mógł zaatakować jego konto!) Phishing: wszystkie prośby techników, administratorów o Twoje hasło dostępowe to oszustwo! Zauważone nieprawidłowości należy zaraportować właścicielom usługi 28

Podsumowanie Zarówno atak, jak i obrona następują na wielu warstwach Warstwa techniczna Warstwa społeczna Niebezpieczeństwa nie da się uniknąć całkowicie, ale można je zminimalizować Należy traktować środowisko wirtualne jako mniej zaufane od rzeczywistego 29

Autor prezentacji Dane kontaktowe gerard.frankowski@man.poznan.pl Zespół Bezpieczeństwa PCSS security@man.poznan.pl http://security.psnc.pl 30

Dziękuję za uwagę!