---

Případy k přednáškám

27. 2. Kevin Mitnick a jeho sociální inženýrství

1. zdroj: Umění klamu, Kevin Mitnick & William Simon. Gliwice : Helion, 2003

2. zdroj: PŘIBYL, Tomáš. Sociální inženýrství z pohledu útočníka. [online]. [cit. 2013-02-21]. Dostupné z: http://www.ictsecurity.cz/odborne-clanky/socialni-inzenyrstvi-z-pohledu-utocnika.html

3. zdroj (Michaela Hortová): BRECHLEROVÁ, Dagmar. Sociální inženýrství. IT Systems [online]. Brno: CCB s.r.o, 2007, č. 3 [cit. 2013-02-22]. ISSN 1802-002x. Dostupné z: http://www.systemonline.cz/it-security/socialni-inzenyrstvi.htm

• - Jakými způsoby lze zneužít znalost výše něčího přijmu?
• - Proč je nebezpečné, když někdo zjistí číslo účtu? (Zná ho přeci mnoho lidí - všichni, kdo na účet platí, nebo jim je z něj placeno - platby za zboží, výplata...)
• - Společnosti jako Reader's Digest, Blanchporte atp. rozesílají dopisy o výhrách vysokých částek, automobilů atp., kvůli které je však třeba si něco objednat a pak se teprve dotyčný dostane do slosování. Je to také sociální inženýrství (viz bod 6 Vzácná příležitost)?
• - Je sociální inženýrství vždy trestné? Pokud ne, kdy je a kdy není?

4. zdroj (Michal Létal): FREEMAN, Edward H. The Legend and Legacy of Kevin Mitnick. Information security journal [online]. Philadelphia: Taylor and Francis Group LLC, May/Jun2001, Vol. 10, Issue 2 [cit. 2013-02-23]. ISSN 1065898X. Dostupné z: http://web.ebscohost.com/ehost/pdfviewer/pdfviewer?sid=35363c14-8e96-439a-9bac-b6c801e9de92%40sessionmgr10&vid=6&hid=25

• - Zajímavý způsob potrestání (ne)byl správný? (nemohl používat technologie).
• - Nejsou důkazy o tom, že by  prodal něco z toho, co získal.
• - Stal se odstrašujícím příkladem, protože byl populární?

5. zdroj (Pavla Minaříková): NIKITINA, Svetlana. Hackers as Tricksters of the Digital Age: Creativity in Hacker Culture. The Journal of Popular Culture [online]. 2012, roč. 45, č. 1 [cit. 2013-02-23]. Dostupné z: http://onlinelibrary.wiley.com/doi/10.1111/j.1540-5931.2011.00915.x/full

• o hackerech vznikají mýty v archetypálních rysech ne nepodobné těm klasickým (což o Mitnickovi jistě platí také)
• Hermes vlastně hacknul Apollonovy posvátné krávy - ukradl je s použitím nestandardní metody (podle jedné verze mýtu dokonce i za pomoci sociálního inženýrství), zametl za sebou stopy a krávy kreativně využil (z jejich vnitřností vyrobil první lyru). Apollon jej přesto později přijal na Olymp (jako se hackeři stávají odborníky na zabezpečení)

6. zdroj (Jozef Tkáčik): MITNICK, Kevin. Protecting Your Data From People Like Me. Wall Street Journal. Eastern Edition. 2011, roč. 258, č. 37, C3. ISSN 00999660. Dostupné z: http://search.proquest.com/docview/883219091

• Jak by jste reagovali na situaci, kdy se vám někdo do telefonu představil jako policie? odmítli by jste nahlásit své osobní údaje?

7. zdroj (Karolína Krbcová): GEDDA, Rodney. Hacker Mitnick preaches social engineering awareness. Computerworld: The voice of it management [online]. 2005 [cit. 2013-02-25]. Dostupné z: http://www.computerworld.com.au/article/136508/hacker_mitnick_preaches_social_engineering_awareness/

• - 9 z 10 lidí by vyměnilo své heslo za Velikonoční čokoládové vajíčko - opravdu?

8. zdroj (Marek Svízela): Services. MITNICK SECUROTY CONSULTING. Mitnick Security Consulting [online]. 2004 [cit. 2013-02-26]. Dostupné z: http://mitnicksecurity.com/services.php

9. zdroj (Andrea Prokopová): GOLD, Steve. Social engineering today: psychology, strategies and tricks. Network Security [online]. 2010, Vol. 2010, Is. 11, Pages 11–14. [cit. 2013-02-25]. Dostupné z: http://dx.doi.org/10.1016/S1353-4858(10)70135-5

• Jaká je možnost informovat veřejnost aby nepodléhali SI?
• Nové technologie = nové techniky. Ty staré jsou ale stále účinné.
• DEFCON a systém pro rozpoznání SI (integrace bezpečnostní a datové vrstvy).

"10. zdroj (Soňa Príborská): LITTMAN, Johnathan. In the mind of `most wanted' hacker, Kevin Mitnick. "Computerworld". 19960115, roč. 30, č. 3, s. 87-89. ISSN 00104841. "

11. zdroj (Jakub Fryš): BERTI, John. Social engineering: The forgotten risk. Canadian HR reporter [online]. 14 July 2003, roč. 16, č. 13 [cit. 2013-02-26]. ISSN 0838-228x. Dostupné z: http://search.proquest.com/docview/220800795

• (ne)legálnost: falšování (padělání) identifikačních dokladů/průkazů (nespadá pod Tr. z. § 178, §§ 233 - 238, § 245, § 348, § 350)
• (ne)legálnost: průnik do sítě/systému/databáze bez využití či zneužití dat (stále se jedná o podvod dle § 209 Tr. z.?)
• jak odhalit útok a únik dat; jak určit identitu útočníka a jak ho vystopovat, pokud data očividně nezneužil ani se únik jinak veřejně neprojevil např. u konkurenta
• SI v kontextu průmyslové špionáže

"12. zdroj (Petr Pospíchal): KUNEŠ, Jakub. Co je sociální inženýrství?. Dvojklik.cz: Magazín o lidech a technologiích [online]. 28. 5. 2012 17:24 [cit. 2013-03-06]. Dostupné z: http://www.dvojklik.cz/31-co-je-socialni-inzenyrstvi "

6. 3. Stuxnet

1. zdroj (Michaela Hortová): HOUSER, Pavel. Martin Libicki: červ Stuxnet rozhodně nepředstavuje začátek nové éry malware. ITBIZ: Vaše jednička mezi nulami [online]. 2011 [cit. 2013-02-27]. Dostupné z: http://www.itbiz.cz/martin-libicki-cerv-stuxnet-rozhodne-nepredstavuje-zacatek-nove-ery-malware

• Je reálné riziko, že by Stuxnet (či něco podobného) mohl způsobit výbuch jaderné elektrárny?
• Je tedy Stuxnet "začátek nové éry malware" nebo jen další běžný červ, za jehož úspěch může pouze náhoda?
• Je znám nějaký závažný případ napadení Stuxnetem v ČR?

2. zdroj (Jakub Fryš): BAXTER, Kevin. The Threat Of Cyber-Terrorism. MEED: Middle East Economic Digest [online]. 20 July 2012, roč. 56, č. 29 [cit. 2013-02-28]. ISSN 00477230. Dostupné z: EBSCO Business Source Complete.

• je kyberterorismus vzhledem k náročnosti (finanční, znalostní, personální a časové) novým prostředkem imperialismu 21. století?
• legitimita takovýchto útoků

3. zdroj (Pavla Minaříková): FARWELL, James P. a Rafal ROHOZINSKI. Stuxnet and the Future of Cyber War. Survival [online]. 2011, roč. 53, č. 1, s. 23-40 [cit. 2013-03-01]. ISSN 0039-6338. DOI: 10.1080/00396338.2011.555586. Dostupné z: http://www.tandfonline.com/doi/abs/10.1080/00396338.2011.555586.

• for cyber war, the future is now - takže by to všichni měli začít řešit.
• specifika kybernetických zbraní - kdo je zodpovědný (cyber-crime communtity), jak se s tím zákoně vypořádat? fyzická lokace útočníka je použitými technikami (obzvlášť u distribuovaných útoků) značně ztížena.
• když jsou zbraně podle US Air Force definovány jako devices designed to kill, injure, or disable people or to damage or destroy property - jak to klasifikovat v případě kybernetického útoku? prý záleží na konkrétních okolnostech (řízení letadla/finanční infrastruktura - jak určit závažnost škody?)

4. zdroj (Michal Létal): CHEN, Thomas a Saeed ABU-NIMEH. Lessons from Stuxnet. Computer. 2011, roč. 44, č. 4, s. 91-93. ISSN 00189162. Dostupné z: http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5742014

• zaměření Stuxnetu
• cíle Stuxnetu?

5. zdroj (Karolína Krbcová): FINNIE, Scot. Stuxnet Was a Wake-up Call, But Don't Fall Back Asleep. Computerworld [online]. 2012, roč. 46, č. 12, 60 - 60 [cit. 2013-03-04]. ISSN 00104841. Dostupné z: http://web.ebscohost.com/ehost/pdfviewer/pdfviewer?sid=7a8b4abe-9585-431e-a213-ba199444c8be%40sessionmgr4&vid=1&hid=27#

• nejsme připraveni na to, abychom se bránili kyber-špionáži a sabotáži
• A version of Stuxnet is now available for

download on the Internet - k čemu?

6. zdroj (Jozef Tkáčik): Stuxnet: rumours increase, infections spread. Network security. 2010, roč. 2010, č. 10, s. 1. ISSN 13534858. Dostupné z : http://www.sciencedirect.com/science/article/pii/S1353485810701215

• Při vyšetřovaní případu byly v Iranu zatčené určité osoby. Na veřejnost se ale nedostali informace o kolik osob šlo a ani jejich národnost
• Do vývoje Stuxnetu bylo investováno mnoho času a peněz. Je to nereálné, aby do něj investoval pouze 1 investor, nebo aby to byl zájem pouze pár lidí

7. zdroj (Andrea Prokopová): CLAYTON, Mark. Obama ordered Stuxnet cyberattack, reports say. Did it leave US vulnerable? The Christian Science Monitor [online]. Jun 1, 2012, 11 p. ISSN 08827729. Dostupné z : http://search.proquest.com/docview/1018109959?accountid=142864

• Zásah proti obohacováni paliva v Iránu (riziko pomsty?).
• Bezpečnostní politika USA: do jaké míry mohou útoky na ostatní země ohrozit bezpečnost USA?
• Hrozba kybernetické války.

8. zdroj (Soňa Príborská): CLAYTON, Mark. A year of stuxnet: Why is the new cyberweapon's warning being ignored? The Christian Science Monitor [online]. Sep 26, 2011. ISSN 08827729. Dostupný z: http://search.proquest.com/docview/894137316?accountid=16531"

• stuxnet pomohl upozornit na chabé zabezpečení klíčových míst industriálních infrastruktur
• polovina ze společností, které nalezly ve své infrastruktuře Stuxnet nijak nereagovala (další opatření etc), jen necelých dvacet procent si nechaly udělat kyberbezpečnostní audit
• spousta firem považuje výdaje na kyberbezpečnost za zbytečné, protože negenerují žádný zisk

9. Zdroj (Martin Horák): DENNING, Dorothy E. Stuxnet: What Has Changed?. Future Internet [online]. 2012, s. 16 [cit. 2013-03-05]. ISSN 1999-5903. DOI: 10.3390/ fi 4 0 3 0 672. Dostupné z: http://faculty.nps.edu/dedennin/publications/Stuxnet%20-%20What%20Has%20Changed%20-%20Future%20Internet%20-%20final.pdf

• ovlivní Stuxnet budoucnost?

• kybernetické zbraně místo zbraní konvenčních? mezinárodní úroveň, kyberterorismus

• možné využití hacktivisty nebo kyberzločinci?

• Stuxnet a vliv na kyber obranu?

10. Zdroj (Marek Svízela): Staxnet worm. LANDESMAN, Mary. About. com [online]. 2013 [cit. 2013-03-05]. Dostupné z: http://antivirus.about.com/od/virusdescriptions/p/Stuxnet-Worm.htm

11. Zdroj (Petr Pospíchal): GREENE, T., 2013. Stuxnet was Attacking Iran's Nuke Program a Year Earlier than Thought. Network World (Online), Feb 26 ProQuest Central; ProQuest Hospital Collection; ProQuest Science Journals; ProQuest Technology Collection. ISSN 08877661.

• Proč se na to nedošlo dřív?
• Viry se běžně zkouší od lehčích verzí a postupně se vydávají vylepšenější, když se na to nepřijde?
• Jak si ideálně hlídat informace tak, aby je nějaký zaměstnanec nezneužil?

12. zdroj (Anna Pangrácová): MITCHELL, ROBERT L. The new rules of Cyberwar. (Cover story). Computerworld [online]. 2012, roč. 46, č. 20, s. 18-23 [cit. 2013-03-05]. ISSN 00104841. Dostupné z: http://web.ebscohost.com/ehost/pdfviewer/pdfviewer?sid=4e6b2fa8-d1aa-4a7e-9371-1f322884b457%40sessionmgr113&vid=1&hid=122

13. 3. Drahoušek zákazník – phishing pro Českou spořitelnu v 1Q 2008

1. zdroj (Jakub Fryš):
MIKLÍK, Aleš. Cracker: na podvodné e-maily naletí až dvacet procent příjemců. Lupa.cz [online]. 13.10.2006 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/cracker-na-podvodne-e-maily-naleti-az-dvacet-procent-prijemcu/ (DOPORUČUJI PŘEŘÍST)
MACICH ML., Jiří. Klienti České spořitelny opět terčem útoku. Lupa.cz [online]. 6.1.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/klienti-ceske-sporitelny-opet-tercem-utoku/
HOUSER, Pavel. Další phishing proti České spořitelně. Computerworld [online]. 11.1.2008 [cit. 2013-03-02]. Dostupné z: http://computerworld.cz/securityworld/dalsi-phishing-proti-ceske-sporitelne-46051
MACICH ML., Jiří. Další phishing útočící na klienty České spořitelny. Lupa.cz [online]. 23.2.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/dalsi-phishing-utocici-na-klienty-ceske-sporitelny/
MACICH ML., Jiří. Na klienty České spořitelny opět útočí podvodníci. Lupa.cz [online]. 26.2.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/na-klienty-ceske-sporitelny-opet-utoci-podvodnici/
SLUKA, Jiří. Phishing v Česku: napodruhé lépe. Lupa.cz [online]. 9.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/phishing-v-cesku-napodruhe-lepe/
KUŽNÍK, Jan a Václav NÝVLT. Drahoušci České spořitelny vyhrávají 50 dolarů. Podvodné dopisy opět kolují. Technet.cz [online]. 10.3.2008 [cit. 2013-03-02]. Dostupné z: http://technet.idnes.cz/drahousci-ceske-sporitelny-vyhravaji-50-dolaru-podvodne-dopisy-opet-koluji-16o-/sw_internet.aspx?c=A080310_184512_sw_internet_NYV
MACICH ML., Jiří. Phishing varující před phishingem. Lupa.cz [online]. 12.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/phishing-varujici-pred-phishingem/
MACICH ML., Jiří. A další phishing útoční na klienty České spořitelny. Lupa.cz [online]. 19.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/dalsi-phishing-utocni-na-klienty-ceske-sporitelny/
DOČEKAL, Daniel. Jak se dělá phishing. Lupa.cz [online]. 20.3.2008 [cit. 2012-12-20]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/jak-se-dela-phishing/ (DOPORUČUJI PŘEŘÍST)

• zkoušel někdo phishing nebo zná někdo takového člověka?
• jaký je nejznámější zahraniční případ?
• jaký známý phishing byl považován za nejúspěšnější v počtu získaných údajů nebo odcizených prostředků?

2. zdroj (Michaela Hortová): POLZER, Jan. Česká spořitelna a phishing: Kdy už to skončí?. Maxiorel [online]. 2008 [cit. 2013-03-04]. Dostupné z: http://www.maxiorel.cz/ceska-sporitelna-phishing-kdy-uz-skonci
Phishing: drahoušci České spořitelny. In: INeBe - Informační (ne)Bezpečí. [online]. 2012 [cit. 2013-03-08]. Dostupné z: http://www.inebe.eu/page/drahousci-ceske-sporitelny

• Původní mail "Drahoušek Zákazník" byl psán očividně špatnou češtinou a obsahoval i anglické výrazy (viz můj druhý zdroj). Co vedlo poškozené k tomu, aby na něco takového vůbec reagovali, když jde ke všemu o českou banku?

3. zdroj (Andrea Prokopová) DOČEKAL, Daniel. Jak se dělá phishing. Lupa.cz [online]. 20.3.2008 [cit. 2013-3-5]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/jak-se-dela-phishing/ )

• Do jaké míry je v současné době zajištěna bezpečnost internetového bankovnictví?
• Roste s využíváním on-line bankovnictví i množství útoků?
• Základní pravidlo: banka neposílá maily související s transakcemi a penězi!

3. zdroj (Karolína Krbcová): CHVÁTAL, Dalibor Z. Phishing a rhybaření: Chytněte si českou bankovní rybičku. Měšec [online]. 2008 [cit. 2013-03-11]. Dostupné z: http://www.mesec.cz/clanky/phishing-a-rhybareni-chytnete-si-ceskou-rybicku/

20. 3. Autorské právo a pornografie na internetu

„Osvětové akce“ BSA

Kolik je pornografie na internetu?

27. 3. Náboženské sekty

Vesmírní lidé

Heaven's Gate a internet

3. 4. Děti jako specifičtí uživatelé

Kybergrooming a případ Hovorka

Star War Kid

10. 4. Anonymous

17. 4. Digitální podpis v ČR

24. 4. Saferinternet CZ