Bezpečnost otevřených a uzavřených řešení (Martin Mačok)

1,240 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,240
On SlideShare
0
From Embeds
0
Number of Embeds
132
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bezpečnost otevřených a uzavřených řešení (Martin Mačok)

  1. 1. Bezpečnost otevřených a uzavřených řešení Autor: Martin Ma čok (macok@dcit.cz) DCIT, a.s. , http://www.dcit.cz
  2. 2. Otevřená řešení <ul><li>K dispozici jsou zdrojové kódy software a určitá míra svobody s nimi nakládat. </li></ul><ul><ul><li>Free/Open source software licence </li></ul></ul><ul><ul><ul><li>GPL, BSD, Apache, MIT, public domain </li></ul></ul></ul><ul><ul><li>Obvykle je software volně šiřitelný. </li></ul></ul><ul><ul><li>Neplést se softwarem „zadarmo“. </li></ul></ul><ul><li>Příklady </li></ul><ul><ul><li>GNU/Linux, Apache, PHP </li></ul></ul><ul><ul><li>Mozilla Firefox </li></ul></ul>
  3. 3. Uzavřená řešení <ul><li>Kód má pouze výrobce (dodavatel). Celý „potravní“ řetězec je víceméně závislý na jednom subjektu. </li></ul><ul><ul><li>Proprietární/„Komerční“ software </li></ul></ul><ul><ul><li>Microsoft Windows, HP-UX, IBM AIX </li></ul></ul><ul><ul><li>Adobe Reader / Flash </li></ul></ul><ul><ul><li>AutoCAD </li></ul></ul><ul><ul><li>Internet Explorer, Opera </li></ul></ul>
  4. 4. Něco mezi <ul><li>Kód máme, ale je „nepoužitelný“. </li></ul><ul><li>Kód je jen pro někoho. </li></ul><ul><li>Kód není celý (nebo je neaktuální). </li></ul><ul><ul><li>IBM Websphere </li></ul></ul><ul><ul><li>Apple Mac OS X </li></ul></ul><ul><ul><li>Microsoft Shared Source </li></ul></ul><ul><ul><li>Nokia Symbian OS, Sun JDK </li></ul></ul><ul><ul><li>Visual Basic </li></ul></ul><ul><ul><li>Mozilla + Flash </li></ul></ul><ul><ul><li>Google Chrome </li></ul></ul>
  5. 5. Co je to bezpečnost? <ul><li>Schopnost bránit se útokům </li></ul><ul><ul><li>únik informací </li></ul></ul><ul><ul><li>modifikace dat </li></ul></ul><ul><ul><li>nedostupnost </li></ul></ul><ul><li>Není to jednorozměrná veličina. </li></ul><ul><li>Je to spíše trvalý proces než stav. </li></ul><ul><li>Nelze přesně definovat. </li></ul>
  6. 6. Kriteria srovn ání <ul><li>Kvalita software </li></ul><ul><li>Praxe v reálném světě </li></ul><ul><li>Cena </li></ul><ul><li>Reálná bezpečnost závisí na velkém množství faktorů a je velmi těžké stanovit univerzální smysluplná kriteria. </li></ul>
  7. 7. Kvalita software – přehled <ul><li>Záleží především na </li></ul><ul><ul><li>celkovém přístupu </li></ul></ul><ul><ul><li>způsobu vývoje (např. Microsoft SDL) </li></ul></ul><ul><ul><li>množství zúčastněných </li></ul></ul><ul><ul><li>jejich znalostech (např. OWASP) a schopnostech </li></ul></ul><ul><li>Výsledek snahy </li></ul><ul><ul><li>množství chyb a jejich závažnost </li></ul></ul><ul><ul><li>rychlost a kvalita reakcí na chyby </li></ul></ul>
  8. 8. Kvalita software – chyby <ul><li>Nikdo neumí psát software bez chyb. </li></ul><ul><li>Počítání chyb nebo patchů? </li></ul><ul><ul><li>OSVDB Advanced Search </li></ul></ul><ul><li>Reakční doba? </li></ul><ul><li>Nezávislá analýza kódu </li></ul><ul><ul><li>Coverity Scan, crowdsourcing </li></ul></ul><ul><li>Kerckhoffsův princip, Linusův zákon </li></ul><ul><li>Možnost backdooru? Důvěryhodnost? </li></ul><ul><li>Placení za chyby? Hacking soutěže? </li></ul><ul><li>Záruka? Přečtěte si EULA… </li></ul>
  9. 9. Praxe – skutečný svět <ul><li>Ekosystém Internetu </li></ul><ul><ul><li>software nelze posuzovat v izolaci </li></ul></ul><ul><li>Ekonomika kyberzločinu </li></ul><ul><ul><li>atraktivita cílů, výdělečnost </li></ul></ul><ul><ul><li>Malware (in the wild) </li></ul></ul><ul><ul><li>APT – Advanced Persistent Threats </li></ul></ul><ul><li>Šedá ekonomika </li></ul><ul><ul><li>motivace komunity, reciprocita – altruismus </li></ul></ul><ul><ul><li>obchodování s nalezenými slabinami </li></ul></ul><ul><li>Penetrační testy </li></ul><ul><ul><li>ukazují především lajdáctví správců </li></ul></ul>
  10. 10. Cena software – TCO <ul><li>Pořizovací cena </li></ul><ul><li>Cena zabezpečení </li></ul><ul><li>Cena údržby, outsourcing </li></ul><ul><li>Možnost změny dodavatele </li></ul><ul><li>Riziko EOL </li></ul><ul><li>U otevřených řešení lze obvykle úroveň zabezpečení (výši investic) flexibilně přizpůsobovat potřebám. U proprietárních častěji situace „ber nebo neber“. </li></ul>

×