“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)Ondřej Machulda
Záznam přednášky: https://www.webexpo.cz/praha2016/prednaska/funkcni-testovani-chybejici-vrchol-pyramidy/
Automatické testování nejsou zdaleka jenom unit-testy - ty sice tvoří základ takzvané testovací pyramidy, ta by ale neměla zůstat nedostavěná. Přednáška o tom, kdy a jak se během vývoje věnovat také vyšší vrstvě testů - funkčnímu testování alias testům uživatelského rozhraní (end-to-end testům). A naopak v jakých situacích by to byla asi zbytečná práce.
Také popíši, jak vypadá náš rutinní proces psaní funkčních Selenium testů v Jobs.cz a ukáži několik nástrojů převážně (ale nejenom) pro PHP, které můžete při vytváření a spouštění funkčních testů v praxi využít a které vám celou práci mohou usnadnit.
It's a new Windows based application for visually impaired person..!
This application will provides only, mail services for blinds and there's no voice duplications allowed during the user login.
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)Ondřej Machulda
Záznam přednášky: https://www.webexpo.cz/praha2016/prednaska/funkcni-testovani-chybejici-vrchol-pyramidy/
Automatické testování nejsou zdaleka jenom unit-testy - ty sice tvoří základ takzvané testovací pyramidy, ta by ale neměla zůstat nedostavěná. Přednáška o tom, kdy a jak se během vývoje věnovat také vyšší vrstvě testů - funkčnímu testování alias testům uživatelského rozhraní (end-to-end testům). A naopak v jakých situacích by to byla asi zbytečná práce.
Také popíši, jak vypadá náš rutinní proces psaní funkčních Selenium testů v Jobs.cz a ukáži několik nástrojů převážně (ale nejenom) pro PHP, které můžete při vytváření a spouštění funkčních testů v praxi využít a které vám celou práci mohou usnadnit.
It's a new Windows based application for visually impaired person..!
This application will provides only, mail services for blinds and there's no voice duplications allowed during the user login.
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
4 hádanky budoucnosti e-mail marketinguTaste Medio
Jan Baštýř na konferenci E-mail Restart 2019.
4 hádanky budoucnosti e-mail marketingu, které vám již dnes pomohou nastavit směr vašeho e-mailingového Restartu, aneb... kde končí Data a začínají Big Data a jak z nich díky Machine Learningu a AI vytěžit maximum.
Materiál k přednášce na semináři „Využití digitalizace ve veřejné správě“, zkráceně DigiVill, realizovaného v Programu INTERREG V-A Rakousko-Česká republika
V informační společnosti je stále důležitější nejen dokázat najít informace a zpracovat je, ale také se chovat takovým způsobem, abychom během tohoto procesu neohrozili ani sebe, ani druhé lidi. Téma bezpečnosti se tak stává základním pilířem informační společnosti a je nezbytné pro život v ní.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
5 tragických pochybeni v Cyber bezpečnostiJiří Napravnik
Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.
IoT - mýty, pověry, co to je, co to není a co je nutné vědět dřív, než vás napadne, že byste se do tohoto oboru pustili. K tomu pár tipů na HW platformy, na software a na komunikační kanály.
Jiří Štěpán: Personalizace digitální komunikaceKISK FF MU
Rozvoj cloudových technologií a strojového učení v posledních letech umožnil relativně snadné a levné uložení obrovskéh množství dat o návštěvnících webu. To co bylo dříve výsadou pouze vlád a největších koprporací může využívat středně velký eshop. Webová analytika se tak posunula od statistik návštěvnosti k detailnímu pohledu na jednotlivé uživatele. Tato data je možné dále zpracovávat a využívat k personalizaci prakticky veškeré digitální komunikace. V přednášce se podíváme na to co je dnes možné a kam se vývoj ubírá. Lehce se dotkneme i etických otázek, které s tímto oborem souvisí.
[Slajdy k přednášce předmětu Blok expertů.]
Czech Banks are Under Attack, Clients Lose Money.Petr Dvorak
On September 24, 2018, the clients of three major Czech banks received a major hit by a mobile malware and have money from their bank accounts stolen. What happened with the QRecorder malware? (updated version)
Innovations on Banking - Digital Banking Security in the Age of Open BankingPetr Dvorak
With PSD2, 3rd party providers are given an access to bank accounts and even have an ability to initiate payments. As a result, banks need to revise their approach to digital channel security and invest in new categories of security solutions. During the talk, we will present an overview of existing security components for digital banking that will help you harden your system security and comply with SCA under PSD2.
More Related Content
Similar to New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
4 hádanky budoucnosti e-mail marketinguTaste Medio
Jan Baštýř na konferenci E-mail Restart 2019.
4 hádanky budoucnosti e-mail marketingu, které vám již dnes pomohou nastavit směr vašeho e-mailingového Restartu, aneb... kde končí Data a začínají Big Data a jak z nich díky Machine Learningu a AI vytěžit maximum.
Materiál k přednášce na semináři „Využití digitalizace ve veřejné správě“, zkráceně DigiVill, realizovaného v Programu INTERREG V-A Rakousko-Česká republika
V informační společnosti je stále důležitější nejen dokázat najít informace a zpracovat je, ale také se chovat takovým způsobem, abychom během tohoto procesu neohrozili ani sebe, ani druhé lidi. Téma bezpečnosti se tak stává základním pilířem informační společnosti a je nezbytné pro život v ní.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
5 tragických pochybeni v Cyber bezpečnostiJiří Napravnik
Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.
IoT - mýty, pověry, co to je, co to není a co je nutné vědět dřív, než vás napadne, že byste se do tohoto oboru pustili. K tomu pár tipů na HW platformy, na software a na komunikační kanály.
Jiří Štěpán: Personalizace digitální komunikaceKISK FF MU
Rozvoj cloudových technologií a strojového učení v posledních letech umožnil relativně snadné a levné uložení obrovskéh množství dat o návštěvnících webu. To co bylo dříve výsadou pouze vlád a největších koprporací může využívat středně velký eshop. Webová analytika se tak posunula od statistik návštěvnosti k detailnímu pohledu na jednotlivé uživatele. Tato data je možné dále zpracovávat a využívat k personalizaci prakticky veškeré digitální komunikace. V přednášce se podíváme na to co je dnes možné a kam se vývoj ubírá. Lehce se dotkneme i etických otázek, které s tímto oborem souvisí.
[Slajdy k přednášce předmětu Blok expertů.]
Czech Banks are Under Attack, Clients Lose Money.Petr Dvorak
On September 24, 2018, the clients of three major Czech banks received a major hit by a mobile malware and have money from their bank accounts stolen. What happened with the QRecorder malware? (updated version)
Innovations on Banking - Digital Banking Security in the Age of Open BankingPetr Dvorak
With PSD2, 3rd party providers are given an access to bank accounts and even have an ability to initiate payments. As a result, banks need to revise their approach to digital channel security and invest in new categories of security solutions. During the talk, we will present an overview of existing security components for digital banking that will help you harden your system security and comply with SCA under PSD2.
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
What problems do you need to deal with when designing an app for multiple banks? How do you solve a security of such apps? And how about a user interface design and application structure? What technologies are under the hood? And what does Zingly bring to you?
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Záznam webináře: https://www.youtube.com/watch?v=Fh-cOjgpT3Q
U nás je otevřené bankovní API novinkou. Ale jak je to ve světě? Kde už otevřená bankovní API dávno fungují a jak vypadají? Dozvíte se v dalším bleskovém webináři...
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=RKgbUgIl6kE
PSD2 a otevřená bankovní API začala být žhavým tématem. Jaké jsou nejčastější informační šumy a které nesprávné interpretace toho, co se děje, ještě uslyšíte? Dozvíte se v tomto bleskovém webináři.
Představení Zingly API Serveru a popis integracePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=u6c-fYGAMQc
PSD2 a veřejné bankovní API? Banka této legislativě může vyhovět během pár dní s téměř nulovými náklady pomocí open-source Zingly API Serveru. Jak Zingly API Server funguje a jak složité je ho nasadit? Dozvíte se v tomto webináři.
Lime - PowerAuth 2.0 and mobile QRToken introductionPetr Dvorak
PowerAuth 2.0 is an open-source solution for authentication, end-to-end encryption and secure storage for mobile banking. QRToken is a mobile token built on top of the PowerAuth 2.0 cryptography protocol.
Lime - Push notifications. The big way.Petr Dvorak
How to properly implement mobile push notifications and how to scale them big? What technologies and infrastructure is needed? Check out these slides from #mDevTalk by Avast, Etnetera and Ackee to find out.
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...Petr Dvorak
Videozáznam webináře je dostupný zde: https://www.youtube.com/watch?v=ASQl8fMYAP8
Proč banky nezkrachují poté, co vystaví otevřená bankovní API? Jaký bude mít dopad legislativa PSD2 na fungování současných bankovních kanálů? Jaký je obchodní model a kdo je cílová skupina aplikace Zingly? Proč by si měl uživatel instalovat multi-banking aplikaci?
Co musí banka udělat pro zapojení do Zingly?Petr Dvorak
Záznam webináře je k dispozici zde: https://www.youtube.com/watch?v=3v02Zd_W0PM
Co musí banka udělat pro to, aby se mohla zapojit do multi-bankingu Zingly? Ukážeme, že to není tak složité, a že náklady na nasazení potřebné infrastruktury nepřesahují několik jednotek dní práce.
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Petr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=dwkjgkJBz6I
Proč je Zingly bezpečnější, než klasické mobilní či internetové bankovnictví? Co je to PowerAuth 2.0 a jak funguje pod pokličkou? Dozvíte se, včetně kryptografických detailů, které jste snad ani vědět nechtěli...
Zingly is a multi-banking app for European banking - think of it as a Venmo for the Europe. An easy to use mobile app makes payments simpler than ever before, regardless of a bank you have.
Zingly uses a super secure open-source PowerAuth 2.0 protocol for authentication and transaction signing, so that user money is extra safe.
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?Petr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro chytrá zařízení. Umožňuje totiž, aby tyto aplikace lépe porozumněly situaci, ve které se nachází jejich uživatel, a podle toho jednaly. Aplikace tak mohou zobrazovat kontextově relevantní obsah a aktivně na něj uživatele upozornit jakmile se ocitne v místě, kde to dává největší smysl. Přímočaré využití tak iBeacon nachází například v “proximity marketingu” nebo při sběru cenných dat o pohybu zákazníků v rámci prodejny, či třeba jen v automatizaci a zrychlení činností, které si aplikace může dovodit z okolního kontextu.
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?Petr Dvorak
Ukážu vám, co je to iBeacon a jak jej vaše společnost může využít pro různé účely, ať se jedná o propagaci značky nebo o zjednodušení života vašich klientů.
Dozvíte se například:
- Co je to iBeacon a jak funguje
- Jak je iBeacon podporován na straně mobilních zařízení
- Jaké existují alternativy k iBeacon
- Případové studie použití iBeacon ze zahraničí
- Jak můžete s iBeacon bez nutnosti vysokých nákladů začít vy
Podíl chytrých mobilních telefonů v ČR v první polovině roku 2015 byl necelých 45%, rozdělení platforem pro jednotlivé operátory vyznívá jasně - Android vede s drtivými 81,6% následovaný iOS s 11,2% a Windows Phone s 5,5%.
Virtual beacons are a budget friendly alternative to physical beacons, such as iBeacon or Eddystone beacons. They work using the location services on mobile or wearable devices - virtual beacon is tied to a GPS coordinate with given range, which is less accurate than with physical beacons (approx. 200m).
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro iOS. Umožňuje totiž to, aby mobilní aplikace lépe rozumněly kontextu, ve kterém se nachází jejich uživatel. Aplikace tak mohou zobrazovat více relevantní obsah nebo urychlit akce, které v dané situaci dávají největší smysl. Na přednášce si ukážeme, jak se s technologií iBeacon programuje na platformě iOS, podíváme se na vychytávky v Estimote SDK pro iOS, a představíme si platformu Lime pro rychlou tvorbu context-aware aplikací.
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro iOS. Umožňuje totiž to, aby mobilní aplikace lépe rozumněly kontextu, ve kterém se nachází jejich uživatel.
Aplikace tak mohou zobrazovat kontextově relevantní obsah nebo urychlit akce, které v dané situaci dávají největší smysl. Na přednášce si ukážeme, jak se s technologií iBeacon programuje na platformě iOS, podíváme se na vychytávky v Estimote SDK pro iOS, a představíme si platformu Lime pro rychlou tvorbu context-aware aplikací.
3. Uživatelé mají často
problém formulovat,
čeho se vlastně bojí.
• Nálepka, kterou nikdo normální
moc nechápe.
Co se všechno může pokazit?
Jakou to má pravděpodobnost?
Kolik to stojí?
• Řeší hrozby a jejich dopady.
• Občas “byznys se strachem”.
Obavy uživatelů nemusí odpovídat
reálným bezpečnostním hrozbám,
přesto se musí řešit.
5. • Marketingová nálepka označující
trend.
Jako Cloud Computing, Big Data, …
• Není definice, rozšiřuje a zpřesňuje
se význam.
• Esence: “Čipy ve všem kolem nás”.
• Komponentizace, standardizace,
výkon a cena.
6.
7. • Marketingová nálepka označující
trend.
• Není definice, rozšiřuje a zpřesňuje
se význam.
• Esence: “Čipy ve všem kolem nás”.
• Komponentizace, standardizace,
výkon a cena.
Nové zařízení je “stavebnice komponent”
8.
9.
10. Díky standardizaci na úrovni základních
technologií (“čipy”) je možná inovace
na úrovni zařízení.
http://unreasonablemen.net/tag/simon-wardley/
12. • Fakt: Nikdo neví co to je.
• Premisa “Více digitalizace, více
hrozeb”.
http://aktualne.centrum.cz/finance/penize/clanek.phtml?id=800191
http://www.youtube.com/watch?v=tEzXIYu2gII
• Aplikace již vznikají, není na co čekat.
• Spousta prohlášení, málo struktury.
13. “ beyond traditional computing devices to make
Your security concerns will have to expand
sure all networked objects are regularly
updated and that you employ secure
passwords.
Dlouhá a složitá hesla na brýle nebo chytré
hodinky? To zní pohodlně…
http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-the-internet-of-things-offers-handygadget-control-yet-could-unlock-more-than-we-expect
14. “ things, here in the U.S. that is, would be
The only way we could ever secure these
to pass some sort of national regulatory law.
Chtěl jsem vám vypnout pacemaker, ale
teď když tu je ten nový zákon …
http://blog.kaspersky.com/securing-the-internet-of-things/
15. * DLP = Data Loss Prevention
** BYOD = Bring Your Own Device
S tím nelze nesouhlasit - nikdo nechce
ztrácet data, více faktorů je fajn…
“ increasing demand for DLP* and two-factor
… other key trends for the year ahead include
authentication and a move from BYOD** to
CYOD – choose your own device – and the
associated security issues.
Přenést liability na klienty
a zaměstnance?
http://techday.com/it-brief/news/internet-of-things-will-become-the-internet-of-vulnerabilities/174484/
16. Guy Kawasaki @GuyKawasaki
His #1 lesson from Steve Jobs
“ Experts are clueless…
Dosavadní rady jsou z kategorie “větší,
lepší stejnota”.
http://www.slideshare.net/GKawasaki/lessons-of-steve-jobs
19. Různé bezpečnostní priority.
Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
24. Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
26. “ já, identifikací pomocí až tří faktorů: něco vím,
Při “autentizaci” dokážu to, že já jsem opravdu
něco mám, něco jsem…
http://en.wikipedia.org/wiki/Authentication
27. Tradiční obrázek (username/heslo + autentizační SMS)
již díky malware na OS mobilních telefonů a crossplatform útokům nefunguje.
28. Nějak postiženy jsou dnes již snad
všechny České banky. A ano - někde
opravdu zmizely peníze z účtů…
“
Pozor na novou formu hackerských útoků.
Dnes vás chceme upozornit na jeden obzvlášť
vykutálený typ hackerského útoku na klienty
bank, který se šíří Evropou a bohužel se
nevyhnul ani českým bankám.
http://www.airbank.cz/cs/vse-o-air-bank/novinky/pozor-na-novou-formu-hackerskych-utoku/
29. Je s tím ale více problémů. Jak třeba zadám heslo či
přepíšu SMS na brýlých? PIN možná takto:
www.youtube.com/watch?v=9naxeHGIaRY
35. Podobně jako při pracovním pohovoru odmítneme
příchozí hovor, nebudeme nosit v některých
situacích brýle. Etické normy a pravidla kolem
používání telefonu také někdy musely vzniknout.
“Glasshole” ⇨ Etiketa, společenská pravidla, …
37. Na infografice nejsou vidět neprůhledné
státní tendery, které při budování této
budoucnosti nevyhnutelně proběhnou.
http://www.libelium.com/libelium-smart-world-infographic-smart-cities-internet-of-things/
38. Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
39. 2014
Problémy související s “bezpečností internetu
věcí” je nutné řešit již dnes. Vznikají první
prototypové aplikace a brzy budou existovat
oficiální řešení. Spolu s tím se objeví nové
hrozby, které bude nutné řešit technicky, eticky,
legislativně, … Abychom to dokázali, je nutné
strukturovat - začněme jednoduše:
Jsou dva internety věcí.