KISK:Informační bezpečnost
Organizační pokyny k diskuzím na semináři
V rámci každé přednášky po teoretickém shrnutí základních informací o řešené problematice bude následovat diskuze o konkrétním reálném problému, který byl v něčem významný. U většiny témat je vybraný příklad dostatečně podložený v literatuře, u českého případu je na výběr i zahraniční alternativa, je na každém, na který případ se rozhodne zaměřit. Příklady jsou uvedeny v první prezentaci v IS MU. Před přednáškou do úterní půlnoci bude zde každým uvedeno:
- reference jedinečného odborného zdroje, který k danému případu četl (ve formě podle platné normy ISO 690)
- otázky či podněty, které ho při čtení napadaly
Práce se zdroji
Pro diskuzi je nutné vybrat opravdu odborný zdroj, ne zpravodajství nebo popularizační materiál. Důvěryhodnost zdroje bude řešena na přednášce, protože hodnocení důvěryhodnosti zdroje je v informační bezpečnosti klíčové. Každý musí číst jiný článek než ostatní, tedy proto slovo "jedinečný" výše. Platí pravidlo "kdo dřív přijde, ten dřív mele". I proto je na tuto činnost použito wiki prostředí, které dobře dokumentuje historii úpravy stránky.
Otázky a podněty
V této části je možné uvést cokoli odborného, co si myslíte, že by mělo být řešeno na diskuzi v kolektivu Vašich kolegů. Může se jednat o zajímavost, na co Vám článek neodpověděl nebo co Vás překvapilo, prostě cokoli, co by mohlo být přínosné, čemu má smysl věnovat pozornost. I v této části je nutné dodržet princip jedinečnosti, tedy neopakovat to, co již uvedl někdo jiný.
Na semináři
Při setkání ve středu bude diskuzní část zahájena shrnutím řešeného případu. To přednese ten, jehož záznam zde na wiki byl nejslabší (nedůvěryhodností zdroje či množstvím podnětů do diskuze). Následně se již budeme věnovat zde uvedeným otázkám a komentářům, směr výuky tedy do značné míry budete určovat sami.
---
Případy k přednáškám
27. 2. Kevin Mitnick a jeho sociální inženýrství
1. zdroj: Umění klamu, Kevin Mitnick & William Simon. Gliwice : Helion, 2003
2. zdroj: PŘIBYL, Tomáš. Sociální inženýrství z pohledu útočníka. [online]. [cit. 2013-02-21]. Dostupné z: http://www.ictsecurity.cz/odborne-clanky/socialni-inzenyrstvi-z-pohledu-utocnika.html
3. zdroj (Michaela Hortová): BRECHLEROVÁ, Dagmar. Sociální inženýrství. IT Systems [online]. Brno: CCB s.r.o, 2007, č. 3 [cit. 2013-02-22]. ISSN 1802-002x. Dostupné z: http://www.systemonline.cz/it-security/socialni-inzenyrstvi.htm
- - Jakými způsoby lze zneužít znalost výše něčího přijmu?
- - Proč je nebezpečné, když někdo zjistí číslo účtu? (Zná ho přeci mnoho lidí - všichni, kdo na účet platí, nebo jim je z něj placeno - platby za zboží, výplata...)
- - Společnosti jako Reader's Digest, Blanchporte atp. rozesílají dopisy o výhrách vysokých částek, automobilů atp., kvůli které je však třeba si něco objednat a pak se teprve dotyčný dostane do slosování. Je to také sociální inženýrství (viz bod 6 Vzácná příležitost)?
- - Je sociální inženýrství vždy trestné? Pokud ne, kdy je a kdy není?
4. zdroj (Michal Létal): FREEMAN, Edward H. The Legend and Legacy of Kevin Mitnick. Information security journal [online]. Philadelphia: Taylor and Francis Group LLC, May/Jun2001, Vol. 10, Issue 2 [cit. 2013-02-23]. ISSN 1065898X. Dostupné z: http://web.ebscohost.com/ehost/pdfviewer/pdfviewer?sid=35363c14-8e96-439a-9bac-b6c801e9de92%40sessionmgr10&vid=6&hid=25
- - Zajímavý způsob potrestání (ne)byl správný? (nemohl používat technologie).
- - Nejsou důkazy o tom, že by prodal něco z toho, co získal.
- - Stal se odstrašujícím příkladem, protože byl populární?
5. zdroj (Pavla Minaříková): NIKITINA, Svetlana. Hackers as Tricksters of the Digital Age: Creativity in Hacker Culture. The Journal of Popular Culture [online]. 2012, roč. 45, č. 1 [cit. 2013-02-23]. Dostupné z: http://onlinelibrary.wiley.com/doi/10.1111/j.1540-5931.2011.00915.x/full
- o hackerech vznikají mýty v archetypálních rysech ne nepodobné těm klasickým (což o Mitnickovi jistě platí také)
- Hermes vlastně hacknul Apollonovy posvátné krávy - ukradl je s použitím nestandardní metody (podle jedné verze mýtu dokonce i za pomoci sociálního inženýrství), zametl za sebou stopy a krávy kreativně využil (z jejich vnitřností vyrobil první lyru). Apollon jej přesto později přijal na Olymp (jako se hackeři stávají odborníky na zabezpečení)
6. zdroj (Jozef Tkáčik): MITNICK, Kevin. Protecting Your Data From People Like Me. Wall Street Journal. Eastern Edition. 2011, roč. 258, č. 37, C3. ISSN 00999660. Dostupné z: http://search.proquest.com/docview/883219091
7. zdroj (Karolína Krbcová): GEDDA, Rodney. Hacker Mitnick preaches social engineering awareness. Computerworld: The voice of it management [online]. 2005 [cit. 2013-02-25]. Dostupné z: http://www.computerworld.com.au/article/136508/hacker_mitnick_preaches_social_engineering_awareness/ 9 z 10 lidí by vyměnilo své heslo za Velikonoční čokoládové vajíčko - opravdu?
8. zdroj (Marek Svízela): MITNICK, Kevin a William SIMON. The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers. 1. vyd. New York: John Wiley & Sons, 2005. ISBN 0-7645-6959-7.
9. zdroj (Andrea Prokopová): GOLD, Steve. Social engineering today: psychology, strategies and tricks. Network Security [online]. 2010, Vol. 2010, Is. 11, Pages 11–14. [cit. 2013-02-25]. Dostupné z: http://dx.doi.org/10.1016/S1353-4858(10)70135-5
"10. zdroj (Soňa Príborská): LITTMAN, Johnathan. In the mind of `most wanted' hacker, Kevin Mitnick. "Computerworld". 19960115, roč. 30, č. 3, s. 87-89. ISSN 00104841. "
11. zdroj (Jakub Fryš): BERTI, John. Social engineering: The forgotten risk. Canadian HR reporter [online]. 14 July 2003, roč. 16, č. 13 [cit. 2013-02-26]. ISSN 0838-228x. Dostupné z: http://search.proquest.com/docview/220800795
- (ne)legálnost: falšování (padělání) identifikačních dokladů/průkazů (nespadá pod Tr. z. § 178, §§ 233 - 238, § 245, § 348, § 350)
- (ne)legálnost: průnik do sítě/systému/databáze bez využití či zneužití dat (stále se jedná o podvod dle § 209 Tr. z.?)
- jak odhalit útok a únik dat; jak určit identitu útočníka a jak ho vystopovat, pokud data očividně nezneužil ani se únik jinak veřejně neprojevil např. u konkurenta
- SI v kontextu průmyslové špionáže
6. 3. Stuxnet
1. zdroj (Michaela Hortová): HOUSER, Pavel. Martin Libicki: červ Stuxnet rozhodně nepředstavuje začátek nové éry malware. ITBIZ: Vaše jednička mezi nulami [online]. 2011 [cit. 2013-02-27]. Dostupné z: http://www.itbiz.cz/martin-libicki-cerv-stuxnet-rozhodne-nepredstavuje-zacatek-nove-ery-malware
2. zdroj (Jakub Fryš): BAXTER, Kevin. The Threat Of Cyber-Terrorism. MEED: Middle East Economic Digest [online]. 20 July 2012, roč. 56, č. 29 [cit. 2013-02-28]. ISSN 00477230. Dostupné z: EBSCO Business Source Complete.
- je kyberterorismus vzhledem k náročnosti (finanční, znalostní, personální a časové) novým prostředkem imperialismu 21. století?
- legitimita takovýchto útoků
3. zdroj (Pavla Minaříková): FARWELL, James P. a Rafal ROHOZINSKI. Stuxnet and the Future of Cyber War. Survival [online]. 2011, roč. 53, č. 1, s. 23-40 [cit. 2013-03-01]. ISSN 0039-6338. DOI: 10.1080/00396338.2011.555586. Dostupné z: http://www.tandfonline.com/doi/abs/10.1080/00396338.2011.555586.
4. zdroj (Michal Létal): CHEN, Thomas a Saeed ABU-NIMEH. Lessons from Stuxnet. Computer. 2011, roč. 44, č. 4, s. 91-93. ISSN 00189162. Dostupné z: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5742014
- zaměření Stuxnetu
- cíle Stuxnetu?
13. 3. Drahoušek zákazník – phishing pro Českou spořitelnu v 1Q 2008
1. zdroj (Jakub Fryš):
MIKLÍK, Aleš. Cracker: na podvodné e-maily naletí až dvacet procent příjemců. Lupa.cz [online]. 13.10.2006 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/cracker-na-podvodne-e-maily-naleti-az-dvacet-procent-prijemcu/ (DOPORUČUJI PŘEŘÍST)
MACICH ML., Jiří. Klienti České spořitelny opět terčem útoku. Lupa.cz [online]. 6.1.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/klienti-ceske-sporitelny-opet-tercem-utoku/
HOUSER, Pavel. Další phishing proti České spořitelně. Computerworld [online]. 11.1.2008 [cit. 2013-03-02]. Dostupné z: http://computerworld.cz/securityworld/dalsi-phishing-proti-ceske-sporitelne-46051
MACICH ML., Jiří. Další phishing útočící na klienty České spořitelny. Lupa.cz [online]. 23.2.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/dalsi-phishing-utocici-na-klienty-ceske-sporitelny/
MACICH ML., Jiří. Na klienty České spořitelny opět útočí podvodníci. Lupa.cz [online]. 26.2.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/na-klienty-ceske-sporitelny-opet-utoci-podvodnici/
SLUKA, Jiří. Phishing v Česku: napodruhé lépe. Lupa.cz [online]. 9.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/phishing-v-cesku-napodruhe-lepe/
KUŽNÍK, Jan a Václav NÝVLT. Drahoušci České spořitelny vyhrávají 50 dolarů. Podvodné dopisy opět kolují. Technet.cz [online]. 10.3.2008 [cit. 2013-03-02]. Dostupné z: http://technet.idnes.cz/drahousci-ceske-sporitelny-vyhravaji-50-dolaru-podvodne-dopisy-opet-koluji-16o-/sw_internet.aspx?c=A080310_184512_sw_internet_NYV
MACICH ML., Jiří. Phishing varující před phishingem. Lupa.cz [online]. 12.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/phishing-varujici-pred-phishingem/
MACICH ML., Jiří. A další phishing útoční na klienty České spořitelny. Lupa.cz [online]. 19.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/dalsi-phishing-utocni-na-klienty-ceske-sporitelny/
DOČEKAL, Daniel. Jak se dělá phishing. Lupa.cz [online]. 20.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/jak-se-dela-phishing/ (DOPORUČUJI PŘEŘÍST)
- zkoušel někdo phishing nebo zná někdo takového člověka?
- jaký je nejznámější zahraniční případ?
- jaký známý phishing byl považován za nejúspěšnější v počtu získaných údajů nebo odcizených prostředků?
