Ve spolupráci s E15 se v úterý 15. září uskutečnila konference na téma Investiční strategie M&A a Private Equity, na které přednášel i advokát SAMAKu Mgr. Ondřej Nejedlý.
This document discusses the effects of global warming and climate change through the perspective of plants and animals. It describes how forests are being converted to deserts due to rising temperatures. It questions when the extreme heat will stop and wonders how long these conditions will last for the earth in the future. The document conveys the distress caused by the changing climate and burning of the earth through the voices of nature.
Ve spolupráci s E15 se v úterý 15. září uskutečnila konference na téma Investiční strategie M&A a Private Equity, na které přednášel i advokát SAMAKu Mgr. Ondřej Nejedlý.
This document discusses the effects of global warming and climate change through the perspective of plants and animals. It describes how forests are being converted to deserts due to rising temperatures. It questions when the extreme heat will stop and wonders how long these conditions will last for the earth in the future. The document conveys the distress caused by the changing climate and burning of the earth through the voices of nature.
„Keď z niečoho urobíš hru, ešte len potom to spoznáš.“ j.A. Komenský
Spoznávajme aj s našimi najmenšími deťmi svet cez ich najobľúbenejšiu činnosť a to je hra :)
The document discusses the history and culture of Glasgow, Scotland. The University of Glasgow was founded in 1650 and educated notable figures like Adam Smith, who graduated at age 16 and is known for his work on capitalism. The document also mentions photos from the author's mother's office with views of Glasgow City Chambers and describes Glaswegians as respectful and serious people.
Prezentace Art of cocktails zabývající se postavením barmana v 21. století. Koktejly, bary, historie, postupy a návody k přípravě jednotlivých koktejlů. Moderní trendy a poučky jimiž by se měli profesionální barmani řídit.
Combinatorics - Possible Solutions for given variables2IIM
To find the number of pairs of positive integer values of two variables, a and b such that one is greater than the other, under the given constraints/equation.
Možnosti RIA technológii a ich bezpečnostné aspekty. Vývoj pomocou Flash Builderu, Visual Studia, Intellij Idei. Prednáška prednesená na konferencii Europen.cz v Želive.
Softvérové riešenie macroscop s videoanalýzou obrazu patrí medzi najlešie riešenia pre stredné a veľké kamerové systémy. Udalosti sa dajú veľmi rýchlo a efektívne vyhľadať v archíve systému.
The New Distrowatch – Bachelor's thesis (SK)Jakub Žitný
This project hopes to bring new way to distribute information about vari- ous operating systems – especially multifarious Linux distributions but also other open-source systems. There are so many of them it is not easy to get to know or try out each one. The output of this work is design and imple- mentation of web application which displays information about operating systems on well designed pages. These information come from automatic procedures scanning the inside of operating systems and the Internet. Be- sides displaying information, the website gives a chance for visitors to try out specific operating systems right in their browser. This project is inspired by ideas behind distrowatch.com – a popular website providing updates and rankings of Linux distributions.
„Keď z niečoho urobíš hru, ešte len potom to spoznáš.“ j.A. Komenský
Spoznávajme aj s našimi najmenšími deťmi svet cez ich najobľúbenejšiu činnosť a to je hra :)
The document discusses the history and culture of Glasgow, Scotland. The University of Glasgow was founded in 1650 and educated notable figures like Adam Smith, who graduated at age 16 and is known for his work on capitalism. The document also mentions photos from the author's mother's office with views of Glasgow City Chambers and describes Glaswegians as respectful and serious people.
Prezentace Art of cocktails zabývající se postavením barmana v 21. století. Koktejly, bary, historie, postupy a návody k přípravě jednotlivých koktejlů. Moderní trendy a poučky jimiž by se měli profesionální barmani řídit.
Combinatorics - Possible Solutions for given variables2IIM
To find the number of pairs of positive integer values of two variables, a and b such that one is greater than the other, under the given constraints/equation.
Možnosti RIA technológii a ich bezpečnostné aspekty. Vývoj pomocou Flash Builderu, Visual Studia, Intellij Idei. Prednáška prednesená na konferencii Europen.cz v Želive.
Softvérové riešenie macroscop s videoanalýzou obrazu patrí medzi najlešie riešenia pre stredné a veľké kamerové systémy. Udalosti sa dajú veľmi rýchlo a efektívne vyhľadať v archíve systému.
The New Distrowatch – Bachelor's thesis (SK)Jakub Žitný
This project hopes to bring new way to distribute information about vari- ous operating systems – especially multifarious Linux distributions but also other open-source systems. There are so many of them it is not easy to get to know or try out each one. The output of this work is design and imple- mentation of web application which displays information about operating systems on well designed pages. These information come from automatic procedures scanning the inside of operating systems and the Internet. Be- sides displaying information, the website gives a chance for visitors to try out specific operating systems right in their browser. This project is inspired by ideas behind distrowatch.com – a popular website providing updates and rankings of Linux distributions.
Auditing security of Oracle DB (Karel Miko)DCIT, a.s.
The document discusses auditing security of Oracle databases. It divides the audit into four technical phases:
1) Auditing the operating system level, including checking permissions on the Oracle home directory and verifying the OS account used for Oracle has appropriate privileges.
2) Auditing the Oracle RDBMS level, including validating the Oracle version and installed patches.
3) Auditing Oracle database instances, including verifying database options and privileges granted to users and roles.
4) Auditing related processes, such as the Oracle listener and associated configuration files.
The document discusses various attack vectors against internet banking systems and possible countermeasures. The most common attacks are credential stealing through phishing and malware, man-in-the-middle attacks, and attacks utilizing trojan horses installed on users' computers. While banks aim to protect their servers, the user's computer and network are more vulnerable. No single technology provides complete protection, as hackers adapt to new defenses. Detection of fraud after the fact also remains important.
1. Bezpečnosť mobilných
aplikácií
ISACA Slovensko - ABIT 2011
Martin Zajíček, CISA, CRISC
zajicek@dcit-consulting.sk
DCIT Consulting
http://www.dcit-consulting.sk
2. Prehľad prednášky
1. Intro do problematiky
2. Základná architektúra/princíp mobilnej
aplikácie
3. Okruhy slabín
4. Potenciálne problémové oblasti
5. Stručné resumé bezpečnej aplikácie
2 http://www.dcit-consulting.sk
3. 1. Intro do problematiky
Čo považujeme za mobilnú aplikáciu?
• samostatná aplikácia bežiaca na mobilnom (SMART)
telefóne
História mobilných aplikácií..
• v minulosti sa vyskytovali a vyvíjali aplikácie takmer
výhradne v JAVA-e – spravidla išlo o primitívne
aplikácie s nie veľmi „cool“ vzhľadom
• rozkvet mobilných aplikácii nastal až po štarte iPhone
platformy spoločne s App Store
• iPhone spoločne s Androidom najpoužívanejšia
platforma
3 http://www.dcit-consulting.sk
4. 1. Intro do problematiky (2)
• mimo iPhone a Androidu sú používané Symbian,
Windows Mobile a ďalšie ako napr. BADU, atď.
• aj naďalej existencia JAVA aplikácií
• z pohľadu bezpečnosti a testovania je potrebné
venovať sa samostatne každej platforme – spravidla
sú vyvíjané inými spoločnosťami alebo skupinami
programátorov!
4 http://www.dcit-consulting.sk
5. 2. Základná architektúra/princíp
• sú používané rôzne prístupy
• spravidla sieťová aplikácia komunikujúca so serverom
(protokol HTTPS + JSON) – výmena dát
• pri zabezpečení sa treba orientovať na bezpečnosť,
ktorá je podobná viac bezpečnosti web služieb (web
services - napr. SOAP) ako web aplikácií
5 http://www.dcit-consulting.sk
6. 3. Okruhy slabín
• podobnosť so štandardnými aplikáciami –
klient/server, vstupy/výstupy
• na strane servera
− verejne prístupná služba HTTPS – prístup nielen pre
mobilné aplikácie
− nefunkčný update manažment, chybná implementácia
SSL, chybná konfigurácia
− špecifický middleware napr. pre podporu JSON a pod. –
väčší potenciálny priestor existenciu slabín
• na strane aplikácie
− ošetrenie vstupov (SQL Injection!)
− session manažment
6 http://www.dcit-consulting.sk
7. 3. Okruhy slabín (2)
• špecifické slabiny
− oblasti, ktoré pri štandardných web aplikáciách sú
podporované natívne internetovým prehliadačom a
službami
• cookies
• chybové stavy
− ukončenie činnosti aplikácie – je potrebné riešiť na strane
servera (time-out + logout) i na strane klienta (odlogovanie
+ zmazanie informácií z pamäte)
7 http://www.dcit-consulting.sk
8. 4. Potenciálne problémové oblasti
• návrat do minulosti
• spoliehanie sa na to, že aplikácia je „nedobytná“ a
dostatočné chránená samotnou platformou– veľmi
častý výskyt jailbreakingu/rootingu
− filesystém – spôsob ukladania užívateľských a
aplikačných dát (sandboxy)
− cachovanie prihlasovacích parametrov a ich zmazanie pri
ukončení práce
• spoliehanie sa na to, že mobilné platformy
nedisponujú hacking nástrojmi
• sieťový prístup prostredníctvom nedôveryhodných
sietí – možnosť odpočutia komunikácie, útoky MITM
8 http://www.dcit-consulting.sk
9. 4. Potenciálne problémové oblasti (2)
• výskyt malwaru (najmä Android) – asistencia
užívateľa
• častý výskyt mladých vývojárov bez dostatočného
bezpečnostného backround-u
• spôsob distribúcie a aktualizácie aplikácie
• spôsob aktivácie aplikácie (odporúča sa)
• výskyt SW, kopírujúceho funkcionalitu pôvodného
SW, ktorý býva častokrát viac „cool“
9 http://www.dcit-consulting.sk
10. 5. Stručné resumé bezpečnej
aplikácie
Je potrebné venovať pozornosť
• serverovej časti aplikácie
• klientskej časti aplikácie
• možnostiam prelomenia ochrany na úrovni OS,
odpočúvania, či zmeny komunikácie
• distribúcii SW
• každej platforme samostatne
Nezabúdať na možnosť a schopnosť zabezpečenia
infraštruktúry po posledný firewall – za ním je
prostredie mimo kontroly...
10 http://www.dcit-consulting.sk