Bezpečnost na internetu ve vzdělávání veřejnými knihovnami

Bezpečnost na internetu ve vzdělávání veřejnými knihovnami 16. 5. 2012

MZK

Pavla Kovářová

Osobní informace: přítel Marek má dva syny

Proč jsem zde? Pozvání Mgr. Adély

Dilhofové Bezpečnost na internetu

můj život už víc než 7 let Dlouhodobý cíl zavádět

téma do vzdělávání v knihovnách (patrné i na dizertaci)

Adéla Dilhofová

Osobní informace: Dříve Adéla Ryšavá, nar. 25. června 1976 ZŠ Pohořelice, Dlouhá 35 (ukonč. 8.B 1990), SOŠ

informačních a knihovnických služeb, Hapalova 6, Brno-Řečkovice (ukonč. 1994), magisterské studium Vědecké informace a knihovnictví (FF MU, ukonč. 2000)

Manžel Tomáš Dilhof – grafický designer (IČ 86955993, datum narození 28.07.1981)

Proč jsem zde?

Martina Bartáková

Osobní informace: Vedoucí pobočky KJM v Králově Poli E-mail: [email protected], tel. 549 259 234 Studium vědeckých informací a knihovnictví (do

2000) i obecné teorie a dějin umění a kultury (Dějiny umění do 2009, Sdružená uměnovědná studia do 2011) (?)

Proč jsem zde?

Veronika Bednářová

Osobní informace: Knihovna Jiřího Mahena, pobočka Lány

(nadřízená Jitka Fukalová) Proč jsem zde?

Jana Dvořáková

Osobní informace: Arcibiskupské gymnázium Kroměříž 1. reference knihovního systému Clavius (22. 8. 1999) „Pokud se rozhodnete poslat email ze své schánky,

můžete psát většině zaměstnanců AG (tedy i vychovatelům). V emailové adrese uveďte před zavináč jeho prijmeni bez hacku a carek. Obecné schéma emailové adresy zaměstnanců AG: prijmeni(zavináč)agkm(tečka)cz. Výjimkou je adresa knihovnice Jany Dvořákové [email protected].“

Proč jsem zde?

Jana Hošáková

Osobní informace: Bydlí v Brně Pochází z Prostějova Zajímá se o výklad snu: „byla sem v nasi zahrade -

vsude krasne jarne zelena trava a najednou vlcak - rozzureny pes, neni nas, my vlcaka nemame, bala jsem se, ale pak me neco uklidnilo, ikdyz vycenil zuby, pak sem byla za plotem v te zahrade a videla ten plot, branu... najednou sem jela kolem na kole (na svem-jako vzdy) a bylo tam plno deti...(s detmi sem casto, mam je rada)“

Proč jsem zde?

Petra Mazáčová

Osobní informace: V Obecní knihovně Bohuňovice

vedla besedu pro žáky 8. a 9. tříd na téma „Memento neznamená zapomnění, aneb drogy v literatuře“

Proč jsem zde?

Ludmila Mičínová

Osobní informace: Zatím titul Bc. Studium Speciální pedagogiky na MU (od 2010),

kombinovaný bakalářský program Proč jsem zde?

Jana Paculová

Osobní informace: Odpovědná knihovnice KJM v Řečkovicích Jediná na seznamu pracovníků k dané e-mailové

adrese, která je vyhledatelná na nedluzim.cz (Poradna pro pomoc s dluhy)

Proč jsem zde?

David Pačes

Osobní informace: Nar. 27. června 1982 Studium: Gymnázium Bučovice (do 2001), VUT

(Elektrotechnika a informatika do 2006), MU (Lektorství NJ do 2012)

Práce: administrátor Moodle (CVIS VUT) od července 2006

Proč jsem zde?

Bohumila Pavková

Osobní informace: Dříve Bohumila Furchová Načetla příspěvek do literární soutěže Českého

rozhlasu Brno v poznávání knih Řekni mi co čteš Proč jsem zde?

Jitka Podlezlová

Osobní informace: Knihovnice v KJM, pobočka Řečkovice/Lesná Z Jevíčka? VOŠ a SOŠ informačních a knihovnických služeb,

Hapalova 6 (Brno-Řečkovice) (ukonč. 2008) Proč jsem zde?

Eva Seďová

Osobní informace: Přes e-mail vedoucí na Knihovnu Kyjov na

stránkách není uvedena v kontaktech (tam jen ředitelka a vedoucí služeb a zástupce ředitele)

Proč jsem zde?

Martina Šikulová

Osobní informace: Odpovědná knihovnice KJM, pobočka Lesná

Proč jsem zde?

Tibor Uhrín

Osobní informace: Zatím titul Bc. (udělen 2009) Magisterské studium pouze přerušeno Dříve Gymnázium P. Křížkovského s uměleckou

profilací, Kristenova 58/27 Autor skvělého článku o zdrojích pro CI v ČR

Proč jsem zde?

Brainstorming

Co podle Vás spadá pod bezpečnost na internetu?

Launching the new Career Element. Media Spin [online]. 09 Apr 2010 [cit. 2012-05-15]. Dostupné z: http://mediaspin.com/blog/?paged=2/social_networks_profiles-hgrebe-800.jpg

Bezpečnost na internetu

Podtéma informační bezpečnosti Informační bezpečnost – pojem odvozený od

informační gramotnosti, etiky… Pro každého významná jiná témata s

ohledem na roli (voják X pedofil X knihovník)

Proč bezpečnost?

Základní lidská potřeba Může zničit mnohá pozitiva Někdy stačí minimální aktivita pro vyhnutí se

maximálním nepříjemnostem (malware) S významem informací a informatizací roste i

význam bezpečnosti na internetu

Informační (ne)bezpečnost

IB = ochrana a obrana před hrozbami způsobenými informacemi a technologiemi s nimi spojenými

Na úrovni tvůrce (e-podpis), zprostředkovatele (SPI) i příjemce informací

Každá ochrana kvalitnější, když nebezpečí známé

Malé množství útoků lze omezit legislativně, o něco více technologicky, ale každé chováním

Informatici často ve vzdělávání bezradní X vzdělání = základ (prvky IB hlavně lidé)

Elektronické zdroje zneužitelných informací

O co jde v první řadě?

INFORMACE Jen nejproblematičtější řeší zákon – OÚ Zneužitelné nějakým způsobem všechny

informace + na informacích založena většina dnešních útoků (cílení) – osobní informace

Nejslabší článek zabezpečení = člověk

O co především? (BARRETT, S. 31-32) Tradiční OI

Skutečné jméno a příjmení, adresa, telefonní číslo apod.

Informace o majetku, doba dovolené Rodné číslo, čísla dokladů, kódy platebních karet,

jméno matky za svobodna, informace o blízkých osobách apod.

Elektronické OI E-mailová adresa Heslo k různým aplikacím

Získávání hesla

1. Zkoušení 1. Prázdného hesla 2. Předdefinovaných dvojic3. Dle získaných OI

2. Lamače1. Slovníkový útok2. Útok hrubou silou

Silná hesla by měla být před prolomením změněna „čtvrtina (…) jako heslo používá nějaký pro ně

snadno zapamatovatelný údaj, jako třeba datum jejich narození či nějakého výročí“ (Noska)

Získávání informací

Cílenější: náročnější, ale úspěšnější Méně cílené: méně úspěšné, proto více

oslovených

Přímé: přes jakýkoli kontakt Nepřímé: zveřejněné/zpřístupněné (i omezeně)

Získávání kontaktních informací – nákup, formuláře, harvesting…

Legální zdroje - přehled

Soubory, stránky, příspěvky… vyhledatelné Použitý HW k ukládání dat Hlavičky zpráv Programy za informace (freeware,

shareware, adware…) … Samotná oběť

Google jako zdroj informací

Google najde vše, ale musí se vědět jak (viz Long)

Podstatné správné nastavení a užívání operátorů Hledání ve speciálních bázích (obrázky, Groups…) Některé parametry lze zadat jen v URL Doporučuji nápovědu, např.

možné omezení typů souborů Nejdřív začít na povrchu, pak speciální hledání

(konkrétní aplikace, intranet, „help“, jména, kontaktní údaje, životopisy…)

Google hacking pro pokročilé

Složitější techniky Spojení mezi stránkami Traverzování – hádání pravděpodobných URL Inkrementální substituce – nahrazování čísel v

URL blízkými Pro zajímavost – hledání pro hackery

Co lze Googlem najít?

Data publikovaná omylem, odstraněné informace přes archiv – doménové hledání a specifikace souboru

Seznamy e-mailových adres nebo uživatelů Výpisy adresářů Připojený HW Nainstalovaný software Uživatelská jména a hesla Atd.

Útoky k získávání informací

Nabourání, např. IP adresa – skenování portů – nalezení slabin – prolomení

Phishing a pharming Malware (spyware, keyloggery, cookies,

Password Stealery a podobné) Útoky na majetek (zaznamenané informace),

vč. odpadků Ovládnutí či „správné“ nastavení veřejného

počítače

Oběť jako zdroj

Jistota, že jde o toho, kdo má být cílem Často jednoduché Stroj jedná dle instrukcí X člověk ovlivnitelný Když informace není dostupná zpřístupněním

a útok příliš náročný (viz výše), je třeba si o ni říct => sociální inženýrství

Sociální inženýrství

SI ověřené z offline světa i legální Publikace o úspěšné reklamě = o různých

způsobech tlaku na zákazníka SI = podvod Cílem přimět uživatele udělat něco, co by jinak

neudělal a co jej zřejmě poškodí Základem žádost ve správném kontextu Stačí minimum technických dovedností a

znalostí Častá složka většiny útoků (zvyšuje úspěch),

téměř jistě i do budoucna – proto zde podrobně

Průběh

Výběr a kontaktování (hl. přes e-mail) vhodné oběti

Útočník vždy něco požaduje (činnost, informace, peníze…) Předpoklady u útočníka: dobrý dojem, kreativita,

sebejistota… Útočník spoléhá na to, že oběť se cítí

nevýznamná Působí na psychiku oběti

Poděkování (oddálení odhalení)

Ochrana a obrana

Ochrana zneužitelných informací Nepřetržitý proces 3 jistoty:

100% bezpečí neexistuje Nejvíc problémů si způsobí každý sám Prevence je vždy úspěšnější než represe

Vzdělávání zde klíčové

3 pilíře: Rozumné chování Správné nastavení a používání softwaru Bezpečnostní aplikace

+ Jistota je jistota – vše zálohovat

Obrana proti SI

Zdravá nedůvěra Před poskytnutím informací si položit otázku: „Ublížilo

by mi jejich prozrazení mému nepříteli?“ Ověřování – nejlépe neelektronicky Lepší se „ztrapnit“ než podlehnout

Pozornost, všímat si podrobností Nebýt pohodlný

Číst certifikáty, licenční podmínky, varování, potvrzení…

Hesla v hlavě (ne na papíře či v prohlížeči) Stahovat jen nezbytné

Bezpečnostní strategie – nejčastěji ve firmách

Ochrana osobních informací

Omezení sdělování kontaktních údajů, ale i dalších osobních informací

Sledovat, co zveřejňují blízcí lidé a upozornit je, pokud to překročí mou hranici soukromí

Čas od času ověřit, jaké informace zveřejněny o mé osobě/firmě

Pozor na odpadky

E-maily

Opatrná práce s e-maily a přílohami – rozhodování: Dle odesilatele Dle obsahu

Zprávy od neznámých odesilatelů neotvírat, problematické hned smazat

Zamyslet se nad tím, co odesilatel požaduje Nepoužívat odkazy ve zprávě (výjimkou

potvrzovací e-maily doručené ihned po činnosti)

Možnosti běžného vybavení

(automatické) aktualizace u všeho SW, vč. OS

Správné nastavení webového prohlížeče (soukromí, zóny obsahu, Cookies, ActiveX, vyskakovací okna…)

OS (Win pro běžnost)

Uživatelské účty mohou hodně pomoci, u vyšších verzí upraveno UAC Win Vista: 0/1 + výjimky Win 7: 4 úrovně + výjimky

Bezpečné přihlášení (Ctrl+Alt+Del) Bezpečná hesla lze někdy vynutit (např.

složitost, stáří, délka, historie hesel) Zaheslovaný spořič, max. po 10 minutách

Bezpečnostní aplikace

Dnes by mělo být běžné vybavení Antivir Antirootkit Antispyware Firewall Antispam (rodičovská ochrana)

Antiphishingové nástroje (možné v bezpečnostním balíku, plugin, protokol napojený na vyhledávač…)

Filtrování obsahu (NNO, spam…) Backlist Whitelist Nastavení indikátorů, hl. slov a spojení, ne

vždy spolehlivé (hodnotí pravděpodobnost) Služby hodnocení ručně důvěryhodným

zdrojem/komunitou – nezávislé na jazyku, ale limitovaný počet zdrojů, často vzniká whitelist/blacklist

Další EIZ k bezpečnosti na internetu

iNeBe

Koncepce E-learning Portál

České obecné preventivní programy Saferinternet CZ – základní a v ČR nejznámější Bezpečně online – spojeno se SI CZ (osobami i

materiálem uvnitř) pomoc online.cz, Ewa má problém (dříve Richard

má problém) – zdroje pro pomoc dětem e-bezpečí – od pedagogů, je to poznat i na cílení Bezpečný internet.cz – kurzy přizpůsobené různým

cílovým skupinám, ne moc systémové, stojí za tím ale významné firmy, např. Seznam se bezpečně

Český Microsoft Security Center

Zahraniční obecné preventivní programy Safer Internet (EU) – hl. výzkumy a akce inSafe – hl. materiály jednotlivých uzlů i-SAFE – velmi bohatý zdroj, Virtuální akademie Microsoft Security Center On Guard – velmi pěkný zdroj Get safe online – také moc pěkné Internet Safety Project – ne zrovna pro děti, hodně o

sdílení informací (netvořeno jen autory z projektu) ENISA, FOSI – organizace (ne úplně pro veřejnost,

ale pro odborníky) PRIME – poslední „novinka“ ze září 2008

Další zahraniční programy, hl. cílené na děti KINSA – zaměřeno hl. na sexuální násilí na dětech,

spíše aktivity v tradičním prostředí Royal Canadian Mounted Police Internet Safety Internet Watch Foundation Virtual Global Taskforce Media Awareness Network – obecně informační

gramotnost, především pro děti a dospívající WiredSafety – velmi rozsáhlý, ale ne zrovna

přívětivý zdroj, schovány pěkné a kvalitní informace Be Web Aware CyberTip – opět především sexuální násilí na

dětech

Legislativa, etika, pravidla chování EURLEX – legislativa EU Global Network Initiative – etický kodex IuRe – hl. soukromí v ČR, tvořeno především

právníky, velmi kvalitní zdroj, stejně jako připojené, např. Big Brother Awards

Instituce české státní správy se vztahem k tématu ÚOOÚ Portál veřejné správy ČR MŠMT Ministerstvo vnitra MPO

Informace o nových bezpečnostních mezerách CVE – Common Vulnerabilities and

Exposured CERT SANS Institute CIS (Center for Internet Security) Security Focus

Zdroje k jednotlivým problémům Hoax: snopes.com, HoaxSlayer Hoax.cz – hoax i phishing, loterie, scam,

malware a řetězové e-maily Phishing: Anti-Phishing Working Group, Anti-

Phishing Phil™ Training Game Proti-šikaně (pod Saferinternet CZ)

Malware – nejbohatší téma

Stránky antivirů (resp. jiných anti-malwarů), např.: F-Secure, Kaspersky, McAfee, Norton, Lavasoft, DoShelp.com, ESET

Další zdroje: Virus Bulletin, SecureList, Viry.cz

Nejen o malwaru: Sophos

Odpolední program

Co bude odpoledne?

Skupinová práce Každá skupina své téma, zpracuje dle

zadání, představí ostatním (10 min.) Garant pro skupinu + já pro všechny k

dispozici

Rozdělení do skupin

Vylosujte Poskládejte slova či slovní spojení:

Krádež identity Kyberšikana Phishing Sexting Stalking

Máte skupinu Práci začněte, kdy chcete, nejpozději 12:30

Skupinová práce

1. Čtení s předvídáním2. Skupinové vymezení problematiky:

• Co to znamená• Základní charakteristiky• Předpoklady pro provedení• Základní ochrana a obrana

3. Návrh útoku daného typu na Lucku Májkovou na základě zjištěných informací

4. Návrh metodiky vzdělávací lekce

Příklady metodik pro inspiraci Frontální výuka Skupinová diskuze, založeno:

Na osobě (modelové situace) Ze vzdělávaných Lokálně/globálně známá osobnost

Na příběhu Na zábavě – hry/videa/filmy

Pracovní listy Metody kritického myšlení

Prezentace skupin

Představení problematiky Útok na Lucku Májkovou Metoda vzdělávací lekce k tématu

Diskuze Doporučení od ostatních

Závěrečná reflexe

Záznam z učení

Děkuji za vytrvání do konce.

Dotazy?

Pavla Kovářová

[email protected]

Použité zdroje

BARRET, Daniel, J. Bandité na informační dálnici. Kateřina Dufková. 1. vyd. Brno: Computer press, 1999. 235 s. ISBN 80-7226-167-3.

BOTT, Ed, SIECHERT, Carl. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. 1. vyd. Brno: Computer Press, 2004. 696 s. ISBN 80-722-6878-3.

ČEPIČKA, David a Sascha ZÄCH. Neprozraďte se!. PC World [online]. Praha: IDG Czech, 2006, č. 12 [cit. 2012-03-21]. ISSN 1210-1079. Dostupné z: http://www.pcworld.cz/pcw.nsf/507139fc8752e797c12568bb004a187b/6fa5c904dbaff2d7c1257275004ce35c?OpenDocument

ČESKO. Zákon č. 101 ze dne 4. dubna 2000 o ochraně osobních údajů a o změně některých zákonů. In: Sbírka zákonů České republiky. 2000, částka 32, s. 1521-1532. Dostupný také z: http://aplikace.mvcr.cz/sbirka-zakonu/ViewFile.aspx?type=c&id=3420. ISSN 1211-1244.

JAGODZIŃSKI, Marcin. Hledá se: Kevin Mitnick [online]. [cit. 2007-03-19]. Dostupné z: mitnick.helion.pl/about_k_mitnick.pdf.

KILIÁN, Karel. Bezpečnost a anonymita na Internetu : Hesla a politika hesel. 1. PC Revue [online]. 2002 [cit. 2012-03-21]. ISSN 1213-080X. Dostupné z: http://www.1pcrevue.cz/ak0420.htm

KRÁL, Mojmír. Bezpečnost domácího počítače: Prakticky a názorně. 1. vyd. Praha: Grada, 2006. 334 s. ISBN 80-247-1408-6.

LONG, Johnny. Google hacking. Vyd. 1. Zoner Press: Brno, 2005, 472 s. ISBN 80-868-1531-5. MCLUHAN, Marshall. Člověk, média a elektronická kultura : výbor z díla. 1. vyd. Brno: JOTA, 2000. 424 s.

ISBN 80-7217-128-6. MITNICK, Kevin. Umění klamu. Překlad Luděk Vašta. HELION S.A., 2003. 348 s. ISBN 83-7361-210-6. NOSKA, Martin. Výzkum: Uživatelé hazardují se svými hesly k webovým službám. Computerworld [online].

14.10.10 [cit. 2012-03-21]. Dostupné z: http://computerworld.cz/bezpecnost/vyzkum-uzivatele-hazarduji-se-svymi-hesly-k-webovym-sluzbam-7882

ZEMÁNEK, Jakub. Slabá místa Windows aneb jak se bránit hackerům. Computer Media, 2004. 156 s. ISBN 80-86686-11-6.