Prezentace GTS DDoS ochrany pro setkání českého CSIRT. Komplexní pohled na bezpečnost firem, nejen DDoS útoky a obrany vůči nim. Arbor Networks, 100Gb network
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Prezentace GTS DDoS ochrany pro setkání českého CSIRT. Komplexní pohled na bezpečnost firem, nejen DDoS útoky a obrany vůči nim. Arbor Networks, 100Gb network
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
V informační společnosti je stále důležitější nejen dokázat najít informace a zpracovat je, ale také se chovat takovým způsobem, abychom během tohoto procesu neohrozili ani sebe, ani druhé lidi. Téma bezpečnosti se tak stává základním pilířem informační společnosti a je nezbytné pro život v ní.
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
KeePass Advanced Using of Application with global auto-type. Presentation from online presentation.
Pokročilé využití aplikace KeePass včetně globálního samodoplňování. Prezentace z online přednášky.
Link for online presentation: https://www.michalzobec.cz/zaznam-z-prednasky-keepass-zaklady-pokrocile-vyuziti-a-keepass-enterprise-ctvrtek-14-4-2022-8593
Moje přednáška na odborném vzdělávacím semináři s názvem "Základy kybernetické bezpečnosti pro vedoucí pracovníky", který pořádala česká pobočka AFCEA při příležitosti veletrhu IDET 2015. Jejím cílem bylo seznámit (co nejsrozumitelnější formou) posluchače se základy kybernetické bezpečnosti, včetně její terminologie.
Originál této prezentace, stejně jako další mé příspěvky z různých konferencí, najdete v mém archivu, na adrese http://www.earchiv.cz/i_paper.php3
Martin Dráb
Secit.sk
Přednáška: Implementace systémů HIPS – historie a současnost
Přednáška si klade za cíl podat ucelený přehled o různých technikách používaných při programování systémů HIPS, jejich výhodách a nevýhodách. Nejprve si zadefinujeme, co pro nás v kontextu přednášky spojení „systém HIPS“ znamená. Budeme pokračovat chronologickým výčtem používaných technik a jejich silných a slabých míst. Podíváme se také na rozhraní, která pro implementaci těchto systémů nabízí současné verze Windows. V závěru přednášky se budeme zabývat několika primitivy, která sice nevznikla přímo za účelem ochrany operačního systému, ale v jistých případech je lze k tomuto účelu použít. Přednášku doplní praktické ukázky.
V informační společnosti je stále důležitější nejen dokázat najít informace a zpracovat je, ale také se chovat takovým způsobem, abychom během tohoto procesu neohrozili ani sebe, ani druhé lidi. Téma bezpečnosti se tak stává základním pilířem informační společnosti a je nezbytné pro život v ní.
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
KeePass Advanced Using of Application with global auto-type. Presentation from online presentation.
Pokročilé využití aplikace KeePass včetně globálního samodoplňování. Prezentace z online přednášky.
Link for online presentation: https://www.michalzobec.cz/zaznam-z-prednasky-keepass-zaklady-pokrocile-vyuziti-a-keepass-enterprise-ctvrtek-14-4-2022-8593
Moje přednáška na odborném vzdělávacím semináři s názvem "Základy kybernetické bezpečnosti pro vedoucí pracovníky", který pořádala česká pobočka AFCEA při příležitosti veletrhu IDET 2015. Jejím cílem bylo seznámit (co nejsrozumitelnější formou) posluchače se základy kybernetické bezpečnosti, včetně její terminologie.
Originál této prezentace, stejně jako další mé příspěvky z různých konferencí, najdete v mém archivu, na adrese http://www.earchiv.cz/i_paper.php3
Martin Dráb
Secit.sk
Přednáška: Implementace systémů HIPS – historie a současnost
Přednáška si klade za cíl podat ucelený přehled o různých technikách používaných při programování systémů HIPS, jejich výhodách a nevýhodách. Nejprve si zadefinujeme, co pro nás v kontextu přednášky spojení „systém HIPS“ znamená. Budeme pokračovat chronologickým výčtem používaných technik a jejich silných a slabých míst. Podíváme se také na rozhraní, která pro implementaci těchto systémů nabízí současné verze Windows. V závěru přednášky se budeme zabývat několika primitivy, která sice nevznikla přímo za účelem ochrany operačního systému, ale v jistých případech je lze k tomuto účelu použít. Přednášku doplní praktické ukázky.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
Similar to Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik (20)
2. Otevřená řešení
K dispozici jsou zdrojové kódy software a
určitá míra svobody s nimi nakládat.
• Free/Open source software licence
• GPL, BSD, Apache, MIT, public domain
• Obvykle je software volně šiřitelný.
• Neplést se softwarem „zadarmo“.
Příklady
• GNU/Linux, Apache, PHP
• Mozilla Firefox
2
3. Uzavřená řešení
Kód má pouze výrobce (dodavatel). Celý
„potravní“ řetězec je víceméně závislý na
jednom subjektu.
• Proprietární/„Komerční“ software
• Microsoft Windows, HP-UX, IBM AIX
• Adobe Reader / Flash
• AutoCAD
• Internet Explorer, Opera
3
4. Něco mezi
Kód máme, ale je „nepoužitelný“.
Kód je jen pro někoho.
Kód není celý (nebo je neaktuální).
• IBM Websphere
• Apple Mac OS X
• Microsoft Shared Source
• Nokia Symbian OS, Sun JDK
• Visual Basic
• Mozilla + Flash
• Google Chrome
4
5. Co je to bezpečnost?
Schopnost bránit se útokům
• únik informací
• modifikace dat
• nedostupnost
Není to jednorozměrná veličina.
Je to spíše trvalý proces než stav.
Nelze přesně definovat.
5
6. Kriteria srovnání
Kvalita software
Praxe v reálném světě
Cena
Reálná bezpečnost závisí na velkém
množství faktorů a je velmi těžké stanovit
univerzální smysluplná kriteria.
6
7. Kvalita software – přehled
Záleží především na
• celkovém přístupu
• způsobu vývoje (např. Microsoft SDL)
• množství zúčastněných
• jejich znalostech (např. OWASP) a schopnostech
Výsledek snahy
• množství chyb a jejich závažnost
• rychlost a kvalita reakcí na chyby
7
8. Kvalita software – chyby
Nikdo neumí psát software bez chyb.
Počítání chyb nebo patchů?
• OSVDB Advanced Search
Reakční doba?
Nezávislá analýza kódu
• Coverity Scan, crowdsourcing
Kerckhoffsův princip, Linusův zákon
Možnost backdooru? Důvěryhodnost?
Placení za chyby? Hacking soutěže?
Záruka? Přečtěte si EULA…
8
9. Praxe – skutečný svět
Ekosystém Internetu
• software nelze posuzovat v izolaci
Ekonomika kyberzločinu
• atraktivita cílů, výdělečnost
• Malware (in the wild)
• APT – Advanced Persistent Threats
Šedá ekonomika
• motivace komunity, reciprocita – altruismus
• obchodování s nalezenými slabinami
Penetrační testy
• ukazují především lajdáctví správců
9
10. Cena software – TCO
Pořizovací cena
Cena zabezpečení
Cena údržby, outsourcing
Možnost změny dodavatele
Riziko EOL
U otevřených řešení lze obvykle úroveň
zabezpečení (výši investic) flexibilně
přizpůsobovat potřebám. U proprietárních
častěji situace „ber nebo neber“.
10