Sieci bezprzewodowe otwierają nowe możliwości dla wszystkich użytkowników i odgrywają coraz większą rolę w naszym życiu. Najpopularniejszy protokół sieci WLAN -- 802.11 -- zmienia całkowicie sposób postrzegania tradycyjnych sieci lokalnych.
Sieci bezprzewodowe stanowią poważne wyzwanie zarówno dla użytkowników, jak i administratorów. Brak zabezpieczeń fizycznych, dostęp do darmowych narzędzi, które można wykorzystać do przeprowadzenia ataku, a także możliwość monitorowania ruchu sieciowego bez ryzyka wykrycia przez administratora sprawiają, że sieci bezprzewodowe stanowią łatwy cel ataku dla hakerów. Oznacza to konieczność dokładnego zabezpieczenia każdego elementu sieci w celu zapewnienia ochrony danych.
W niniejszej książce znajdują się podstawowe informacje na temat bezpieczeństwa sieci bezprzewodowych. Poznasz sposób działania sieci w standardzie 802.11 oraz ich słabe punkty. Bardzo ważną kwestią jest zrozumienie typowych metod włamań oraz najważniejszych zagrożeń związanych z wdrażaniem sieci bezprzewodowych.
Książka "802.11. Bezpieczeństwo" zawiera praktyczne rozwiązania dla wszystkich podstawowych komponentów sieci bezprzewodowych. Książka prezentuje też najlepsze aplikacje do zabezpieczania różnych systemów operacyjnych, omówiono użytkowanie sieci bezprzewodowych pod kontrolą Linuksa, FreeBSD, Mac OS X i Windows
W książce omawiane są również bardziej zaawansowane tematy, takie jak:
* zabezpieczanie punktów dostępowych,
* bezpieczeństwo bramy,
* konfigurowanie zabezpieczeń dla stacji roboczych Linux, OpenBSD, FreeBSD, Mac OS X i Windows,
* monitorowanie SNMP,
* ataki DoS i próby ataków socjotechnicznych,
* konfiguracja sieci VPN i protokołu 802.1x służącego do uwierzytelniania i autoryzacji użytkowników.
Książka "802.11. Bezpieczeństwo" jest przeznaczona dla wszystkich osób zajmujących się wdrażaniem sieci bezprzewodowych. Prezentuje teorię oraz praktyczne przykłady pozwalające zabezpieczyć zarówno sieć, jak i cenne dane.
Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.
PLNOG14: DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem ...PROIDEA
Przemek Jaroszewski - CERT Polska
Language: Polish
DNS jest protokołem dającym bardzo szerokie możliwości monitorowania złośliwego oprogramowania oraz aktywnej walki z nim - począwszy od algorytmów i heurystyk wykrywania podejrzanych domen po DNS blackholing. Mechanizmy są tym skuteczniejsze, im więcej podmiotów jest w nie zaangażowane, nie tylko na poziomie zbierania i dystrybucji informacji, ale także znoszenia zagrożeń. W niniejszej prezentacji chcemy zaproponować kilka projektów, które dzięki współpracy ISP pozwoliłyby na podniesienie skuteczności ochrony użytkowników przed złośliwym oprogramowaniem na nowy poziom.
Zarejestruj się na kolejną edycję PLNOG już dziś: krakow.plnog.pl
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna ŻmudaPROIDEA
YouTube: https://www.youtube.com/watch?v=H5tz0Tv7Mys&list=PLnKL6-WWWE_WNYmP_P5x2SfzJ7jeJNzfp&index=29
Katarzyna Żmuda
Language: Polish
Jak pracować z kodem, który zastaliśmy? Jak nie dać się pokusie dopisania kolejnego IF-a, skoro przez tyle lat wszyscy dopisywali i przecież działało? Jak z kolei nie ulec chęci napisania wszystkiego od nowa?
Podczas prezentacji pokażę problemy, na które natykamy się podczas pracy z legacy code oraz sposoby na to, aby praca ta stawała się coraz łatwiejsza i przyjemniejsza.
Przykłady kodu będą napisane w C#.
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam ObszyńskiPROIDEA
The document discusses recent developments in DNS, including DNS cookies, DNSSEC, and DANE for SMIME authentication. It describes how DNS cookies provide weak authentication for queries and responses to help mitigate DDoS attacks. It outlines how DNSSEC and the DANE protocol enable SMIME authentication via DNS resource records. The document also summarizes evolving DNS amplification attacks and methods to mitigate them, such as limiting queries from misbehaving clients and blacklisting open recursive resolvers.
Sieci bezprzewodowe otwierają nowe możliwości dla wszystkich użytkowników i odgrywają coraz większą rolę w naszym życiu. Najpopularniejszy protokół sieci WLAN -- 802.11 -- zmienia całkowicie sposób postrzegania tradycyjnych sieci lokalnych.
Sieci bezprzewodowe stanowią poważne wyzwanie zarówno dla użytkowników, jak i administratorów. Brak zabezpieczeń fizycznych, dostęp do darmowych narzędzi, które można wykorzystać do przeprowadzenia ataku, a także możliwość monitorowania ruchu sieciowego bez ryzyka wykrycia przez administratora sprawiają, że sieci bezprzewodowe stanowią łatwy cel ataku dla hakerów. Oznacza to konieczność dokładnego zabezpieczenia każdego elementu sieci w celu zapewnienia ochrony danych.
W niniejszej książce znajdują się podstawowe informacje na temat bezpieczeństwa sieci bezprzewodowych. Poznasz sposób działania sieci w standardzie 802.11 oraz ich słabe punkty. Bardzo ważną kwestią jest zrozumienie typowych metod włamań oraz najważniejszych zagrożeń związanych z wdrażaniem sieci bezprzewodowych.
Książka "802.11. Bezpieczeństwo" zawiera praktyczne rozwiązania dla wszystkich podstawowych komponentów sieci bezprzewodowych. Książka prezentuje też najlepsze aplikacje do zabezpieczania różnych systemów operacyjnych, omówiono użytkowanie sieci bezprzewodowych pod kontrolą Linuksa, FreeBSD, Mac OS X i Windows
W książce omawiane są również bardziej zaawansowane tematy, takie jak:
* zabezpieczanie punktów dostępowych,
* bezpieczeństwo bramy,
* konfigurowanie zabezpieczeń dla stacji roboczych Linux, OpenBSD, FreeBSD, Mac OS X i Windows,
* monitorowanie SNMP,
* ataki DoS i próby ataków socjotechnicznych,
* konfiguracja sieci VPN i protokołu 802.1x służącego do uwierzytelniania i autoryzacji użytkowników.
Książka "802.11. Bezpieczeństwo" jest przeznaczona dla wszystkich osób zajmujących się wdrażaniem sieci bezprzewodowych. Prezentuje teorię oraz praktyczne przykłady pozwalające zabezpieczyć zarówno sieć, jak i cenne dane.
Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.
PLNOG14: DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem ...PROIDEA
Przemek Jaroszewski - CERT Polska
Language: Polish
DNS jest protokołem dającym bardzo szerokie możliwości monitorowania złośliwego oprogramowania oraz aktywnej walki z nim - począwszy od algorytmów i heurystyk wykrywania podejrzanych domen po DNS blackholing. Mechanizmy są tym skuteczniejsze, im więcej podmiotów jest w nie zaangażowane, nie tylko na poziomie zbierania i dystrybucji informacji, ale także znoszenia zagrożeń. W niniejszej prezentacji chcemy zaproponować kilka projektów, które dzięki współpracy ISP pozwoliłyby na podniesienie skuteczności ochrony użytkowników przed złośliwym oprogramowaniem na nowy poziom.
Zarejestruj się na kolejną edycję PLNOG już dziś: krakow.plnog.pl
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna ŻmudaPROIDEA
YouTube: https://www.youtube.com/watch?v=H5tz0Tv7Mys&list=PLnKL6-WWWE_WNYmP_P5x2SfzJ7jeJNzfp&index=29
Katarzyna Żmuda
Language: Polish
Jak pracować z kodem, który zastaliśmy? Jak nie dać się pokusie dopisania kolejnego IF-a, skoro przez tyle lat wszyscy dopisywali i przecież działało? Jak z kolei nie ulec chęci napisania wszystkiego od nowa?
Podczas prezentacji pokażę problemy, na które natykamy się podczas pracy z legacy code oraz sposoby na to, aby praca ta stawała się coraz łatwiejsza i przyjemniejsza.
Przykłady kodu będą napisane w C#.
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam ObszyńskiPROIDEA
The document discusses recent developments in DNS, including DNS cookies, DNSSEC, and DANE for SMIME authentication. It describes how DNS cookies provide weak authentication for queries and responses to help mitigate DDoS attacks. It outlines how DNSSEC and the DANE protocol enable SMIME authentication via DNS resource records. The document also summarizes evolving DNS amplification attacks and methods to mitigate them, such as limiting queries from misbehaving clients and blacklisting open recursive resolvers.
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz OlejarkaPROIDEA
Mateusz Olejarka
Language: Polish
Procesy biznesowe w aplikacjach WWW stanowią interesujący cel dla potencjalnego intruza. Są to kluczowe miejsca aplikacji - te, które tworzą wartość zarówno dla samego użytkownika, jak i właściciela aplikacji. W trakcie prezentacji spojrzymy na szereg przykładowych procesów z perspektywy atakującego. Zastanowimy się wspólnie, gdzie w danym procesie szukać zysku jako atakujący oraz jakie przypadki testowe warto sprawdzić. Omówimy co było nie tak z implementacją, jak ją naprawić oraz czego unikać w przyszłości.
Testowanie zabezpieczeń logiki biznesowej różni się od szukania technicznych podatności. Wymaga mniej wiedzy technicznej i lepszego zrozumienia założeń biznesowych. Prezentacja ma charakter warsztatowy i jest ukierunkowana na interakcję z uczestnikami. Prowadzący przedstawia założenia odnośnie danego procesu oraz jego kroki, pozostawiając publiczności wymyślanie w jaki sposób go zaatakować.
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile networkPROIDEA
Orange Polska presented their two-stage implementation of IPv6 in mobile networks. Their solution uses CLAT, PLAT, and DNS64 to provide a single path for IPv4 and IPv6 traffic. They discussed the IPv6 architecture, transition technologies, and statistics on IPv6 usage. Orange Polska also presented ongoing research on improving DNS64, PLAT, and developing combo NAT boxes. The presentation concluded with a demonstration of IPv6 tethering capabilities.
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
Borys Łącki - LogicalTrust
Language: Polish
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...PROIDEA
Sebastian Łaciak
Language: English
JavaScript isn’t longer language used only by secondary school students. It is powerful tool to build next generation web application. You can use TDD, integration test, simple IDEs, static code analysis, object oriented design and well known patterns. Can't believe it? See you in new JS reality.
PLNOG 13: Krystian Baniak: Value Added Services PlatformPROIDEA
Krystian Baniak is a Senior Security Consultant with over 14 years of industry experience from both telco and enterprise domains. Having started his professional career as a software developer, he continued as network engineer, penetration testing specialist and security auditor. Today he is a senior consultant and security solutions architect. Krystian Baniak professional experience has been acquired on numerous international engagements.
From educational standpoint, Krystian Baniak has a PhD in telecommunication, MSc in information system security and received certifications from ISC2, F5 and Cisco.
Topic of Presentation: Value Added Services Platform
Language: Polish
Abstract: Value Added Platform as a tool for service provider’s infrastructure monetization. Practical presentation of Infradata VAS platform solution architecture with a demo of the Content Injection and Parental Control services.
JDD2014: JEE'ish development without hassle - Jakub MarchwickiPROIDEA
This happens in every community: You don’t need Rails, to build a web application in Ruby. You don’t need templating engine for PHP - PHP is a templating language! We over engineer and over engineer, again and again.
Same happens in Java. Hibernate + EJB + JSF is not the only blessed stack for development of web application… one can argue it’s the worst. Same with Spring; no longer lighweight, no so robust - still powerful but not necessary the easiest. So what are the options for an average Java developer?
In this talk I’ll walk through multiple options, for modern Java web development: easy, quick, flexible and still state of an art. Starting for just obvious unknowns like embedded jetty, though micro pure-webframeworks, smaller and bigger swiss army knifes, which try to promise both: cover most of the application stack, still keeping things robust.
JDD2014: What you won't read in books about implementing REST services - Jak...PROIDEA
The document discusses RESTful API design and security best practices. It covers REST constraints like being stateless and cacheable. It also discusses topics like POST vs PUT, filtering queries, API documentation, handling exceptions, authentication, and preventing vulnerabilities like SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF), and XML external entities (XXE).
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...PROIDEA
If you ever looked at compiler’s AST’s, module dependencies and call graphs you’ve long realized that all the stuff we write is actually easily representable as a graph.
Some years ago I had the idea to pull the essence of Java Projects into the graph to have some fun. Nowadays there are several tools which help me do that and
I can wield the power of Ascii-Art to query these interesting structures.
Join me for a peek into the JDK that you might not have ever done before. I’ll also show some OSS tools that help you with quickly getting started gaining insights.
I’ll talk about some cool applications that use this approach to gain insights that they were not easily able to otherwise.
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data CenterPROIDEA
Ethernet VPN (EVPN) is a new standards-based protocol that interconnects Layer 2 domains over a shared IP/MPLS network. It improves on previous protocols like VPLS by supporting features like all-active multi-homing and control plane learning of MAC addresses. EVPN is ideally suited for datacenter interconnectivity but can also be used in other cases beyond just data centers. Major networking vendors support EVPN as shown by their participation in the relevant IETF working group.
4Developers 2015: Varnish tips & tricks - Piotr PasichPROIDEA
Piotr Pasish
Language: Polish
Phil Karlton twierdzi, że są tylko dwie trudne rzeczy w programowaniu - nazewnictwo oraz inwalidacja cache. Można śmiało powiedzieć, że nie tylko inwalidacja, ale cache sam w sobie. Jak prawie wszystko w programowaniu, tak i Varnish został stworzony, by rozwiązywać najczęstsze problemy - tym razem związane z chwilowym przechowywaniem danych oraz dostarczaniem ich użytkownikowi w jak najkrótszym czasie.
Prezentacja obejmuje przedstawienie najpopularniejszych problemów oraz metod ich rozwiązywania z Varnish oraz przegląd zaawansowanych możliwości narzędzia - zarządzanie cachem, praca z API, security, a nawet streamingiem danych przez http.
Small-scale farmers in sub-Saharan Africa achieve less than 30% of potential yields due to deficiencies in technology, capital markets, infrastructure, and property rights. Improving small holder agriculture productivity is a high development priority, especially in Africa. For small-scale farmers to benefit from development, gaps must be addressed in factors influencing their low productivity.
Perennial possibilities for increasing food and ecosystem securitySIANI
This document discusses the potential benefits of perennial grain crops compared to annual crops. Model systems show that perennial grasslands harvested for over 75 years have higher soil carbon and nitrogen levels compared to annual wheat fields. Studies also show reductions in soil carbon stocks and aggregate stability when native grasslands are converted to annual cropland. Perennial crops could help address agriculture's impacts on biodiversity and ecosystems by diversifying crop rotations and reducing inputs. They also have potential for higher yields under certain conditions. Breeding programs are working to develop perennial versions of crops like sorghum, wheat and sunflowers to help increase food security while improving soil health and mitigating climate change. However, fully developing perennial grain crops suitable for
Summary report, presentations and exercises from SIANI/FAO Workshop:
“Discover new Opportunities with the Ex-Ante Carbon Balance Tool”
7-8 December 2011, Stockholm
Main workshop objectives:
Presenting the tool and spreading its usage
Assessing the needs/demand related to CC mitigation for further development of the tool
Building partnerships
The Ex-Act tool:
The tool is a multi-functional software. Ex-Act has the capability to perform, amongst others, Carbon Footprint Analysis, illustrating which agricultural and forestry activities are CO2 emitters or Carbon sinks.
The results can be used to measure and manage environmental impact and for communication purposes.
This document discusses climate-smart agriculture which aims to increase food security, adaptation to climate change, and reduce greenhouse gas emissions. It notes that agriculture contributes significantly to emissions but can also be part of the solution. Key points made include that climate-smart practices already exist but more investment is needed, smallholders require support to transition, and available financing is insufficient. Agriculture mitigation is not just about soils but also vegetation, and emission reductions per unit of food produced will make a major contribution. Monitoring does not need to measure everything but focus on strategic levels and proxies to help implement policies. Links between agriculture, forests, and REDD+ are also discussed.
Åtgärder för att hantera undernäring kräver samordnade insatser: Investeringa...SIANI
Magdalena Streijffert förklarade hur Fairtrade hjälper odlare och anställda i världens utvecklingsländer att kopplas upp till en internationell marknad där de ges en möjlighet till ökad försäljning med en rättvis prissättning genom att sätta produktkriterier som t.ex. krav på lönenivå och ett garanterat minimipris. Fairtrade jobbar med kooperativ och småbönder i 70 länder. I Sverige ökade försäljningen av Fairtrade produkter med 28 % under 2012 vilket gör Sverige till ett av länder i världen där det konsumeras mest Fairtrade/capita. Läs mer på www.siani.se
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
opis kolorowych zespolow cybersecurity z naciskiem na purple team
rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz OlejarkaPROIDEA
Mateusz Olejarka
Language: Polish
Procesy biznesowe w aplikacjach WWW stanowią interesujący cel dla potencjalnego intruza. Są to kluczowe miejsca aplikacji - te, które tworzą wartość zarówno dla samego użytkownika, jak i właściciela aplikacji. W trakcie prezentacji spojrzymy na szereg przykładowych procesów z perspektywy atakującego. Zastanowimy się wspólnie, gdzie w danym procesie szukać zysku jako atakujący oraz jakie przypadki testowe warto sprawdzić. Omówimy co było nie tak z implementacją, jak ją naprawić oraz czego unikać w przyszłości.
Testowanie zabezpieczeń logiki biznesowej różni się od szukania technicznych podatności. Wymaga mniej wiedzy technicznej i lepszego zrozumienia założeń biznesowych. Prezentacja ma charakter warsztatowy i jest ukierunkowana na interakcję z uczestnikami. Prowadzący przedstawia założenia odnośnie danego procesu oraz jego kroki, pozostawiając publiczności wymyślanie w jaki sposób go zaatakować.
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile networkPROIDEA
Orange Polska presented their two-stage implementation of IPv6 in mobile networks. Their solution uses CLAT, PLAT, and DNS64 to provide a single path for IPv4 and IPv6 traffic. They discussed the IPv6 architecture, transition technologies, and statistics on IPv6 usage. Orange Polska also presented ongoing research on improving DNS64, PLAT, and developing combo NAT boxes. The presentation concluded with a demonstration of IPv6 tethering capabilities.
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
Borys Łącki - LogicalTrust
Language: Polish
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...PROIDEA
Sebastian Łaciak
Language: English
JavaScript isn’t longer language used only by secondary school students. It is powerful tool to build next generation web application. You can use TDD, integration test, simple IDEs, static code analysis, object oriented design and well known patterns. Can't believe it? See you in new JS reality.
PLNOG 13: Krystian Baniak: Value Added Services PlatformPROIDEA
Krystian Baniak is a Senior Security Consultant with over 14 years of industry experience from both telco and enterprise domains. Having started his professional career as a software developer, he continued as network engineer, penetration testing specialist and security auditor. Today he is a senior consultant and security solutions architect. Krystian Baniak professional experience has been acquired on numerous international engagements.
From educational standpoint, Krystian Baniak has a PhD in telecommunication, MSc in information system security and received certifications from ISC2, F5 and Cisco.
Topic of Presentation: Value Added Services Platform
Language: Polish
Abstract: Value Added Platform as a tool for service provider’s infrastructure monetization. Practical presentation of Infradata VAS platform solution architecture with a demo of the Content Injection and Parental Control services.
JDD2014: JEE'ish development without hassle - Jakub MarchwickiPROIDEA
This happens in every community: You don’t need Rails, to build a web application in Ruby. You don’t need templating engine for PHP - PHP is a templating language! We over engineer and over engineer, again and again.
Same happens in Java. Hibernate + EJB + JSF is not the only blessed stack for development of web application… one can argue it’s the worst. Same with Spring; no longer lighweight, no so robust - still powerful but not necessary the easiest. So what are the options for an average Java developer?
In this talk I’ll walk through multiple options, for modern Java web development: easy, quick, flexible and still state of an art. Starting for just obvious unknowns like embedded jetty, though micro pure-webframeworks, smaller and bigger swiss army knifes, which try to promise both: cover most of the application stack, still keeping things robust.
JDD2014: What you won't read in books about implementing REST services - Jak...PROIDEA
The document discusses RESTful API design and security best practices. It covers REST constraints like being stateless and cacheable. It also discusses topics like POST vs PUT, filtering queries, API documentation, handling exceptions, authentication, and preventing vulnerabilities like SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF), and XML external entities (XXE).
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...PROIDEA
If you ever looked at compiler’s AST’s, module dependencies and call graphs you’ve long realized that all the stuff we write is actually easily representable as a graph.
Some years ago I had the idea to pull the essence of Java Projects into the graph to have some fun. Nowadays there are several tools which help me do that and
I can wield the power of Ascii-Art to query these interesting structures.
Join me for a peek into the JDK that you might not have ever done before. I’ll also show some OSS tools that help you with quickly getting started gaining insights.
I’ll talk about some cool applications that use this approach to gain insights that they were not easily able to otherwise.
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data CenterPROIDEA
Ethernet VPN (EVPN) is a new standards-based protocol that interconnects Layer 2 domains over a shared IP/MPLS network. It improves on previous protocols like VPLS by supporting features like all-active multi-homing and control plane learning of MAC addresses. EVPN is ideally suited for datacenter interconnectivity but can also be used in other cases beyond just data centers. Major networking vendors support EVPN as shown by their participation in the relevant IETF working group.
4Developers 2015: Varnish tips & tricks - Piotr PasichPROIDEA
Piotr Pasish
Language: Polish
Phil Karlton twierdzi, że są tylko dwie trudne rzeczy w programowaniu - nazewnictwo oraz inwalidacja cache. Można śmiało powiedzieć, że nie tylko inwalidacja, ale cache sam w sobie. Jak prawie wszystko w programowaniu, tak i Varnish został stworzony, by rozwiązywać najczęstsze problemy - tym razem związane z chwilowym przechowywaniem danych oraz dostarczaniem ich użytkownikowi w jak najkrótszym czasie.
Prezentacja obejmuje przedstawienie najpopularniejszych problemów oraz metod ich rozwiązywania z Varnish oraz przegląd zaawansowanych możliwości narzędzia - zarządzanie cachem, praca z API, security, a nawet streamingiem danych przez http.
Small-scale farmers in sub-Saharan Africa achieve less than 30% of potential yields due to deficiencies in technology, capital markets, infrastructure, and property rights. Improving small holder agriculture productivity is a high development priority, especially in Africa. For small-scale farmers to benefit from development, gaps must be addressed in factors influencing their low productivity.
Perennial possibilities for increasing food and ecosystem securitySIANI
This document discusses the potential benefits of perennial grain crops compared to annual crops. Model systems show that perennial grasslands harvested for over 75 years have higher soil carbon and nitrogen levels compared to annual wheat fields. Studies also show reductions in soil carbon stocks and aggregate stability when native grasslands are converted to annual cropland. Perennial crops could help address agriculture's impacts on biodiversity and ecosystems by diversifying crop rotations and reducing inputs. They also have potential for higher yields under certain conditions. Breeding programs are working to develop perennial versions of crops like sorghum, wheat and sunflowers to help increase food security while improving soil health and mitigating climate change. However, fully developing perennial grain crops suitable for
Summary report, presentations and exercises from SIANI/FAO Workshop:
“Discover new Opportunities with the Ex-Ante Carbon Balance Tool”
7-8 December 2011, Stockholm
Main workshop objectives:
Presenting the tool and spreading its usage
Assessing the needs/demand related to CC mitigation for further development of the tool
Building partnerships
The Ex-Act tool:
The tool is a multi-functional software. Ex-Act has the capability to perform, amongst others, Carbon Footprint Analysis, illustrating which agricultural and forestry activities are CO2 emitters or Carbon sinks.
The results can be used to measure and manage environmental impact and for communication purposes.
This document discusses climate-smart agriculture which aims to increase food security, adaptation to climate change, and reduce greenhouse gas emissions. It notes that agriculture contributes significantly to emissions but can also be part of the solution. Key points made include that climate-smart practices already exist but more investment is needed, smallholders require support to transition, and available financing is insufficient. Agriculture mitigation is not just about soils but also vegetation, and emission reductions per unit of food produced will make a major contribution. Monitoring does not need to measure everything but focus on strategic levels and proxies to help implement policies. Links between agriculture, forests, and REDD+ are also discussed.
Åtgärder för att hantera undernäring kräver samordnade insatser: Investeringa...SIANI
Magdalena Streijffert förklarade hur Fairtrade hjälper odlare och anställda i världens utvecklingsländer att kopplas upp till en internationell marknad där de ges en möjlighet till ökad försäljning med en rättvis prissättning genom att sätta produktkriterier som t.ex. krav på lönenivå och ett garanterat minimipris. Fairtrade jobbar med kooperativ och småbönder i 70 länder. I Sverige ökade försäljningen av Fairtrade produkter med 28 % under 2012 vilket gör Sverige till ett av länder i världen där det konsumeras mest Fairtrade/capita. Läs mer på www.siani.se
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
opis kolorowych zespolow cybersecurity z naciskiem na purple team
rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming
Wszystkie najważniejsze zagadnienia związane z bezpieczeństwem sieci
* Opracowanie i wdrożenie polityki bezpieczeństwa w korporacyjnych systemach informatycznych
* Ochrona aplikacji i serwerów przed atakami z sieci
* Testowanie bezpieczeństwa systemów i interpretacja wyników badań
W czasach gdy dane kluczowe dla każdej firmy i organizacji są przechowywane w bazach danych na serwerach sieciowych, bezpieczeństwo systemów informatycznych jest sprawą niezwykle istotną. W wielu firmach pokutuje pogląd, że atak może nastąpić jedynie z zewnątrz -- takie firmy posiadają zwykle doskonałe zabezpieczenia w postaci firewalli, skutecznie odstraszające potencjalnych włamywaczy. Jednakże ochrona danych to nie tylko zabezpieczenie ich przed atakiem z sieci -- to także odpowiednia polityka postępowania wewnątrz firmy. Wielu spośród najgłośniejszych ataków hakerskich dokonano z wewnątrz korporacyjnej sieci. Dlatego też o wiele ważniejsza od urządzeń jest świadomość użytkowników sieci. Dopiero ona, w połączeniu z odpowiednim sprzętem i oprogramowaniem, gwarantuje bezpieczeństwo systemu informatycznego.
"Bezpieczeństwo sieci. Biblia" to książka szczegółowo wyjaśniająca wszystkie kwestie związane z zabezpieczaniem firmowych sieci przed intruzami. Opisuje zasady i zalecane praktyki zabezpieczania sieci, przedstawia różne środki bezpieczeństwa przeznaczone dla różnych systemów oraz uczy, jak identyfikować zagrożenia i reagować na nie. Dzięki zawartym w niej wiadomościom będziesz w stanie oszacować poziom bezpieczeństwa sieci i wybrać najlepsze mechanizmy jej zabezpieczenia.
* Strategia zarządzania bezpieczeństwem systemu informatycznego
* Mechanizmy kontroli dostępu
* Zabezpieczanie systemów operacyjnych i aplikacji
* Bezpieczeństwo systemów Windows, Linux i Unix
* Rodzaje ataków
* Ochrona serwerów WWW i serwerów pocztowych
* Bezpieczeństwo protokołów sieciowych
* Kryptografia i steganografia
* Wykrywanie ataków i reagowanie na nie
* Ocena jakości zabezpieczeń systemów informatycznych
Informacja jest dziś najcenniejszym towarem.Naucz się ją ochraniać.
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy j...The Software House
Monika Sadlok - Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna praktyka?
www.tsh.io
Dlaczego miły, uprzejmy i towarzyski pracownik stanowi jedno z największych zagrożeń bezpieczeństwa każdej firmy czy organizacji? Ponieważ to jego pozytywne cechy charakteru wykorzystywane są przez osoby próbujące uzyskać dostęp do chronionych informacji w sposób nieuprawniony. Czy zatem testy bezpieczeństwa powinny uwzględniać metodologię inżynierii społecznej? Z pewnością tak. O tym będzie moja prezentacja.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Prezentacja z konferencji ISSA InfoTRAMS Holistic Application Security
Od kilku lat na świecie jest promowane podejście polegające na wpisaniu bezpieczeństwa w cały cykl rozwojowy oprogramowania. W polskiej praktyce, nadal kwestie związane z bezpieczeństwem najczęściej poruszane są na dopiero na końcu projektu, tuż przed wdrożeniem gdy wykonywane są testy bezpieczeństwa. Bardzo często takie podejście skutkuje znacznymi kosztami usuwania błędów i sporym "zamieszaniem" w projekcie, ale o tym firma przekonuje się dopiero "za 5 dwunasta", po wykonaniu testów bezpieczeństwa. Z reguły, usuwanie podatności na tym etapie projektu polega na "gaszeniu pożarów" i przyklejaniu kolejnych łatek zamiast wprowadzenia systemowych zmian. W rezultacie, w dalszym cyklu życia, po wprowadzeniu zmian funkcjonalnych wypływają nowe przypadki wystąpienia starych błędów.
Jak to zmienić? Czy zastosowanie podstawowych zasad tworzenia bezpiecznego oprogramowania jest faktycznie takie skomplikowane jak by mogło się wydawać?
W trakcie prezentacji zostaną przedstawione metodyki wprowadzania bezpieczeństwa do całego cyklu rozwojowego oprogramowania (na przykładzie OWASP SAMM), również z uwzględnieniem sytuacji, gdy stworzenie aplikacji zlecane jest dla firmy zewnętrznej. Krótko omówiona zostanie skuteczność i potencjalne problemy tych metodyk w naszych, polskich realiach. Przedstawione zostanie także kilka prostych sposobów, które zdaniem autora pozwolą na skuteczniejsze osiągnięcie zamierzonego efektu - czyli aplikacji nieobarczonej podatnościami.
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
Jednym z problemów przed którym staje manager bezpieczeństwa lub kierownik projektu, który chce sprawdzić bezpieczeństwo systemu informatycznego to właściwy dobór zakresu testów bezpieczeństwa. Z jednej strony test zbyt ogólny może nie wykryć wielu istotnych słabości, z drugiej strony – dogłębne testy i analizy bezpieczeństwa nie mają ekonomicznego uzasadnienia dla każdego systemu i aplikacji eksploatowanej w firmie. Czas specjalistów, zarówno zewnętrznych jak i wewnętrznych, kosztuje i jest ograniczony, natomiast czas potencjalnych intruzów – nie. Tym bardziej istotne jest optymalne wykorzystanie czasu i budżetu przeznaczonego na testy bezpieczeństwa.
Celem prezentacji jest zachęcenie do dyskusji nad tym jak właściwie dobrać zakres testów bezpieczeństwa.
Prezentacja z konferencji SEMAFOR 2013, 5-6 marca 2013
Bezpieczeństwo aplikacji czy musi być aż tak źleSecuRing
Prezentacja z konferencji SECURE 2012 (Warszawa, 22-24.10.2012)
Aplikacje to prawdziwa pięta achillesowa współczesnych systemów IT. Zarówno własne doświadczenia jak i dostępne opracowania wskazują, że w większości aplikacji, niezależnie od stosowanej technologii, można znaleźć poważne podatności. Na domiar złego – zewnętrzne zabezpieczenia (firewalle, IPS, WAF, itp.) mają ograniczoną skuteczność dla ochrony aplikacji. Ciągle, najlepszą metodą radzenia sobie z ewentualnymi podatnościami w eksploatowanych aplikacjach jest unikanie ryzyka, czyli wytwarzanie, bądź zamawianie oprogramowania, które nie posiada istotnych błędów bezpieczeństwa. Ale czy jest to możliwe w praktyce?
Agenda:
- Wprowadzenie do problemu
- Kilka ciekawych przykładów
- Krótko o nowych źródłach ryzyka (AJAX, HTML5, aplikacje mobilne, NFC, ...)
- Przyczyny powstawania podatności we współczesnych aplikacjach.
- Jak postępować w trakcie tworzenia lub zamawiania aplikacji, żeby ograniczyć możliwość powstania istotnych błędów?
W szczególności krótko zostaną zaprezentowane ogólnodostępne narzędzia i dokumenty OWASP pomagające zbudować bezpieczne aplikacje (np.: ASVS - Application Security Verification Standard, OpenSAMM - Security Assurance Maturity Model, OWASP Cheat Sheets).
Usuń luki w zabezpieczeniach programów i systemów operacyjnych
* Poznaj przyczyny powstawania luk
* Naucz się sposobów włamań do systemów
* Podejmij odpowiednie środki zapobiegawcze
Niemal co tydzień dowiadujemy się o nowych "łatach" usuwających luki w zabezpieczeniach systemów operacyjnych i programów. Niestety -- często, zanim łata zostanie rozpowszechniona i zainstalowana na komputerach, ktoś wykorzysta "dziurę" w systemie i włamie się do niego. Cóż więc zrobić, aby zabezpieczyć swoje dane przez atakiem hakera? Jak znaleźć słabe punkty zabezpieczeń i usunąć je? W jaki sposób zaimplementować odpowiednie zabezpieczenia w tworzonym przez siebie oprogramowaniu?
Książka "The Shellcoder’s handbook. Edycja polska" zawiera odpowiedzi na wszystkie te pytania. Książka będąca efektem pracy zespołu złożonego ze specjalistów w zakresie bezpieczeństwa systemów komputerowych, analityków i hakerów przedstawia sposoby wykrywania słabych punktów oprogramowania tworzonego w języku C i sprawdzenia możliwości ich wykorzystania. Opisuje luki w istniejących systemach i programach oraz sposoby ich zabezpieczenia. Zawarte w niej wiadomości pozwolą na tworzenie własnych systemów wykrywania błędów i pomogą ustalić, czy błędy te stanowią potencjalne zagrożenie.
* Podstawowe metody włamań do różnych systemów operacyjnych
* Techniki przepełniania stosu, wykorzystywania kodu powłoki i błędów łańcuchów formatujących
* Kontrola słabych punktów programów metodami wstrzykiwania kodu i fuzzingu
* Kontrola kodu źródłowego programów
* Klasy błędów
* Sposoby śledzenia słabych punktów
* Analiza kodu binarnego
* Tworzenie eksploitów
* Ataki na systemy zarządzania bazami danych
Nie dopuść do tego, aby Twoje programy padły ofiarą ataku hakera.
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Tatar, Mediarecovery
1.
2.
3. O czym dziś opowiem ?
Skład prezentacji: 7 slajdów
Treść:
Parę słów o nas.
Kilka zdań o mnie.
Coś o SOC.
4. Kim jesteśmy i co robimy?
Od 16 lat na rynku.
Lokalizacja: Katowice, Warszawa.
30 specjalistów w tym 10 inżynierów Computer Forensic,
zatrudnieni biegli sądowi i audytorzy EnCE, CISA, CIA i CISSP.
Największe istniejące laboratorium informatyki śledczej w
Polsce, od 2005 roku ponad 5000 ekspertyz.
Kancelaria tajna oraz Poświadczenie Bezpieczeństwa
Przemysłowego II stopnia.
Akademia Informatyki Śledczej
Dostawca rozwiązań najważniejszych producentów
oprogramowania i sprzętu związanego z bezpieczeństwem i
informatyką śledczą.
Producent narzędzi do kasowania danych i kopiowania
danych (seria Mediaeraser i Mediaimager).
Ceryfikacja ISO/IEC 27001:2013.
5. Bezpieczeństwo to zawsze kwestia równowagi
Większość organizacji nie potrafi jej znaleźć
Prewencja
Remediacja
Detekcja
6. Zaawansowane Ataki (APT) są Inne
Przyspieszyć czas
reakcji2Zminimalizować
czas bezczynności1
CZAS
Identyfikacja Ataku Response
Rozpoznanie/
przygotowanie
Początek
ataku
Zdobycie
informacji
Podwyższanie
uprawnień/
działania wewnętrzne
1 CELOWE
SPECYFICZNY CEL
NIEZNANE
POWOLI I CICHO
2 3INTERAKTYWNIE
Z OBECNOŚCIĄ LUDZI
Bezczynność Czas reakcji
8. SOC Manager
Analityk 2 linia
Analityk –
technologia/
narzędzia
Analityk 1 linia
Analityk – zagrożenia na
świecie (np. OSINT)
Zespół reakcji na incydenty - przykład
9. Architektura SOC
RSA
ECAT
RSA Security Operations
Management
Hosty
Zarządzanie
incydentami
Zarządzanie
naruszeniami
SOC
Program Mgmt.
Zarządzanie
ryzykiem
Podatności
CMDB/Zasoby
Identyfikacja
danych/DLP
Systemy
zarządzania
uprawnieniam
i tożsamość
ŹRÓDŁA
KONTEKSTOWE
BIT9
EnCase
RSA Security Analytics
(logi, pakiety, netflow)
FireEye
Firewall IPS AVIDS
ZDARZENIA
inne
10. Sztuka wojny uczy nas aby nie polegać na prawdopodobieństwie
czy wróg się pojawi, ale na własnej gotowości do jego przyjęcia.
Sun Zi (Sun Tzu)
(544-496 p.n.e.)