5 tragických pochybeni v Cyber bezpečnostiJiří Napravnik
Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.
It's time to change the basics of Cyber SecurityJiří Napravnik
Take a look also at the Three Laws of ICT Security.
It's time to change the basics of Cyber Security. SW is an exact discipline,
where is possible everything clearly describe, programme and test.
5 tragických pochybeni v Cyber bezpečnostiJiří Napravnik
Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.
It's time to change the basics of Cyber SecurityJiří Napravnik
Take a look also at the Three Laws of ICT Security.
It's time to change the basics of Cyber Security. SW is an exact discipline,
where is possible everything clearly describe, programme and test.
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Marek Kocan
Přednáška o možnostech monitoringu a analýzách sítí pomocí technologií značky Flowmon, kterou jsem měl na Snídani se zákazníky IBM a GC System 17. května 2017
Příspěvek pro 5. ročník konference Svět IT Security 2009 (s podtitulem „Vytvořme si bezpečnou budoucnost“) konané 6.10.2009 v rámci akce INVEX FORUM 2009. Představení řešení zabezpečení dokumentů Oracle Information Rights Management (IRM), a to včetně praktické ukázky z pohledu koncového uživatele prostřednictvím aplikace Oracle IRM Desktop.
Data Restart: Analýza 50 000 produktů konkurenceJan Mayer
Shrnutí ve třech bodech:
1. Analýzy prováděné "jen tak" nikam nevedou
2. Sežeňte si krtka
http://www.datanaruby.cz/krecci-krtci-data-dataweps/
3. Používejte datové zbraně
Abyste byli před konkurencí, musíte používat silnější nástroje. Nebojte se regulárních výrazů, OpenRefine a import.io.
4. Rozhlédněte se
Vaše data jsou jen pár zrnek v písečné duně.
IoT - mýty, pověry, co to je, co to není a co je nutné vědět dřív, než vás napadne, že byste se do tohoto oboru pustili. K tomu pár tipů na HW platformy, na software a na komunikační kanály.
Bezpečnost aplikací se stává jednou z klíčových obav bezpečnostních manažerů a získává výsadní místo v kontextu celkové ICT bezpečnosti. Společnost Corpus Solutions uspořádala seminář na téma Moderní principy aplikační bezpečnosti, kde byly diskutovány některé ožehavé otázky - Jak aplikační bezpečnost pomáhá chránit business? Dokáže bezpečnost aplikací generovat business přínosy a ušetřit finanční zdroje? Proč byste se měli zabývat aplikační bezpečností a jaké jsou současné standardy?
V rámci semináře byl představen komplexní pohled na tuto problematiku včetně technických nástrojů, které pomáhají posunout aplikační bezpečnost na kvalitativně novou úroveň. Obsah semináře můžete prostřednictvím prezentace shlédnout I vy.
Materiál k přednášce na semináři „Využití digitalizace ve veřejné správě“, zkráceně DigiVill, realizovaného v Programu INTERREG V-A Rakousko-Česká republika
API a microservices se často setkávají a ne vždy se hodí pro tvorbu rozhraní microservice použít REST. V této přednášce se podíváme na některé méně tradiční formy přístupu k API, jako třeba event sourcing nebo m-n komunikace a ukážeme si zajímavé možnosti, které nám tyto formy přinášejí. A jak už to ve správném obludáriu musí být, některé exempláře budou opravdu strašidelné.
Příspěvek pro odborný seminár Správa a zabezpečenie dokumentov konaný 27.10.2009. Představení řešení zabezpečení dokumentů Oracle Information Rights Management (IRM).
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Marek Kocan
Přednáška o možnostech monitoringu a analýzách sítí pomocí technologií značky Flowmon, kterou jsem měl na Snídani se zákazníky IBM a GC System 17. května 2017
Příspěvek pro 5. ročník konference Svět IT Security 2009 (s podtitulem „Vytvořme si bezpečnou budoucnost“) konané 6.10.2009 v rámci akce INVEX FORUM 2009. Představení řešení zabezpečení dokumentů Oracle Information Rights Management (IRM), a to včetně praktické ukázky z pohledu koncového uživatele prostřednictvím aplikace Oracle IRM Desktop.
Data Restart: Analýza 50 000 produktů konkurenceJan Mayer
Shrnutí ve třech bodech:
1. Analýzy prováděné "jen tak" nikam nevedou
2. Sežeňte si krtka
http://www.datanaruby.cz/krecci-krtci-data-dataweps/
3. Používejte datové zbraně
Abyste byli před konkurencí, musíte používat silnější nástroje. Nebojte se regulárních výrazů, OpenRefine a import.io.
4. Rozhlédněte se
Vaše data jsou jen pár zrnek v písečné duně.
IoT - mýty, pověry, co to je, co to není a co je nutné vědět dřív, než vás napadne, že byste se do tohoto oboru pustili. K tomu pár tipů na HW platformy, na software a na komunikační kanály.
Bezpečnost aplikací se stává jednou z klíčových obav bezpečnostních manažerů a získává výsadní místo v kontextu celkové ICT bezpečnosti. Společnost Corpus Solutions uspořádala seminář na téma Moderní principy aplikační bezpečnosti, kde byly diskutovány některé ožehavé otázky - Jak aplikační bezpečnost pomáhá chránit business? Dokáže bezpečnost aplikací generovat business přínosy a ušetřit finanční zdroje? Proč byste se měli zabývat aplikační bezpečností a jaké jsou současné standardy?
V rámci semináře byl představen komplexní pohled na tuto problematiku včetně technických nástrojů, které pomáhají posunout aplikační bezpečnost na kvalitativně novou úroveň. Obsah semináře můžete prostřednictvím prezentace shlédnout I vy.
Materiál k přednášce na semináři „Využití digitalizace ve veřejné správě“, zkráceně DigiVill, realizovaného v Programu INTERREG V-A Rakousko-Česká republika
API a microservices se často setkávají a ne vždy se hodí pro tvorbu rozhraní microservice použít REST. V této přednášce se podíváme na některé méně tradiční formy přístupu k API, jako třeba event sourcing nebo m-n komunikace a ukážeme si zajímavé možnosti, které nám tyto formy přinášejí. A jak už to ve správném obludáriu musí být, některé exempláře budou opravdu strašidelné.
Příspěvek pro odborný seminár Správa a zabezpečenie dokumentov konaný 27.10.2009. Představení řešení zabezpečení dokumentů Oracle Information Rights Management (IRM).
Similar to Problémy ICT a zkušenosti z jiných oborů (20)
Software companies and Corporate social responsibility (CSR) Jiří Napravnik
The manufacturers of toys, cars, food, etc. are responsible for their products. It is commonplace.
Software companies are not responsible for their products.
Programming is an exact discipline, where can be all procedures clearly defined, programmed and tested
Users (politicians, CEOs, journalists, lawyers, etc.) tolerate the idea that is impossible create better operating systems and applications, without errors and backdoors.
In an SW environment totally lacking critical look at the work of programmers, testers, analysts.
1. napravnik.jiri@salamandr.cz
Je čas změnit základyJe čas změnit základy
Cyber SecurityCyber Security
Tvorba SW je exaktní obor,
kde je možné vše jasně popsat,
naprogramovat a kontrolovat
4. napravnik.jiri@salamandr.cz
Rozdíl mezi světem ITRozdíl mezi světem IT
a ostatnímia ostatními
obory lidské činnostiobory lidské činnosti
➔ Zabezpečení na železnici – více jak 130 let
➔ Bezpečnost leteckého provozu - cca 100 let
➔ Cyber security - 15- 20 let
5. napravnik.jiri@salamandr.cz
Rozdíl mezi světem ITRozdíl mezi světem IT
a ostatnímia ostatními
obory lidské činnostiobory lidské činnosti
I v jiných oborech byla řešení, která byla postupně
překonána.
8. napravnik.jiri@salamandr.cz
Hlavní překážka řešení problémuHlavní překážka řešení problému
Cyber bezpečnostiCyber bezpečnosti
IT „odborníci“ říkají :
➔ Jinak to nejde udělat
➔ Současné řešení je jediné možné
Vždy existuje nějaké řešení !!
10. napravnik.jiri@salamandr.cz
Pravidla v zabezpečovací technicePravidla v zabezpečovací technice
Stará mechanická návěstidla byla ovládána drátem
Když se drát přetrhl, tak návěstidlo „spadlo“
do polohy „STŮJ“
Již v době parních
lokomotiv byly
budovány a
zdokonalovány
fail-safe systémy
11. napravnik.jiri@salamandr.cz
Pravidla v zabezpečovací technicePravidla v zabezpečovací technice
Světelná návěstidla
Když praskne žárovka v zeleném světle, tak se rozsvítí
žluté světlo
Když praskne žárovka ve žlutém světle, tak se rozsvítí
červené světlo
Když praskne žárovka v červeném světle, tak se
automaticky rozsvítí červené světlo na předcházejícím
návěstidle
12. napravnik.jiri@salamandr.cz
Pravidla v zabezpečovací technicePravidla v zabezpečovací technice
Historie a součastnost
Venkovní zabezpečovací zařízení se zdokonaluje
od roku 1870 do současnosti. (vynález hradlového
závěru firmou Siemens und Halske )
Venkovní zabezpečovací zařízení bylo a je
navrhováno jako fail-safe systém. Tedy v poruše
musí nastat bezpečnější stav. (červená na
návěstidle, stažení závor, atd.)
!!! Počítače dnešních dispečerů používají
běžné operační systémy !!!
14. napravnik.jiri@salamandr.cz
Falešné šrouby a další falešné dílyFalešné šrouby a další falešné díly
● 8. září 1989 havárie charterového
letu č. 394. Letounu Convair CV-
580 společnosti Partnair odpadla
svislá ocasní plocha
● Použity necertifikované šrouby pro
připevnění svislé ocasní plochy
● Pomohlo zpřísnění nákupu a
evidence náhradních dílů pro
letadla
15. napravnik.jiri@salamandr.cz
Falešné šrouby a další falešné dílyFalešné šrouby a další falešné díly
Odhalení falešných a nekvalitních
dílů vyvolalo mnoho změn ve
sledování dílů od výrobce až do
konkrétního letadla
● Norma EN9100 / 9120
● Dokumenty
– FAA-2006-25877
– FAA FAR 21.305
● PMA ( Parts Manufacturer
Approval)
16. napravnik.jiri@salamandr.cz
Dreamliner 777 & baterieDreamliner 777 & baterie
● Nový letoun Boeing 777
Dreamliner měl problém s
palubními bateriemi
● V lednu '14 byl zakázán provoz
těchto letounů
● Provoz byl opět povolen v dubnu
'14 po odstranění problémů s
palubními bateriemi
18. napravnik.jiri@salamandr.cz
Koňské maso v jídle / Průmyslová sůlKoňské maso v jídle / Průmyslová sůl
● Testy v Česku potvrdily přítomnost
nedeklarovaného koňského masa v
masových kuličkách a hovězích burgerech
● Firmy zapletené v Polsku do solné aféry
prodávaly technickou sůl označenou jako
jedlou velkovýrobcům uzenin,
zpracovatelům ryb, mlékárnám a
pekárnám. Z těchto výroben se mohla
dostat do obchodů v celém Polsku i v
zahraničí.
19. napravnik.jiri@salamandr.cz
Kontrola potravinKontrola potravin
● Kontroluje se kvalita výrobku.
Jeho chemická a biologická
nezávadnost pro lidské tělo.
● Kontroluje se skutečný obsah s
uvedenými informacemi.
– Koňské maso nebylo závadné,
ale v masových kuličkách
nemělo být
21. napravnik.jiri@salamandr.cz
Koňské maso x Cyber bezpečnostKoňské maso x Cyber bezpečnost
Operační systém byl vytvářen bez požadavků na
bezpečnost
Na stránce http://www.eeggs.com je seznam
aplikací, které programátoři ukryli v operačních
systémech nebo dalších programech
----------
Podobná situace jako v případě koňského
masa v jídle, ale v tomto případě se žádná aféra
nekonala.
22. napravnik.jiri@salamandr.cz
Bezpečnost v prostředí ITBezpečnost v prostředí IT
Operační systém byl vytvářen bez požadavků
na bezpečnost
Původně základ pro „chytrý“ psací stroj,
účetnictví a skladovou evidenci
23. napravnik.jiri@salamandr.cz
Rozpor mezi letadly a ITRozpor mezi letadly a IT
● Do operačního systému je možné propašovat
cizí „součástku“, cizí spustitelný soubor
● V operačním systému je možné upravit nebo
pozměnit originální „součástku“, tedy program
nebo knihovnu.
● Neexistuje spolehlivá evidence a kontrola jako v
letectví.
24. napravnik.jiri@salamandr.cz
Rozpor mezi letadly a ITRozpor mezi letadly a IT
● Anitiviry, anitimalware vyhledávají známé viry
nebo podezřelé chování
Toto řešení nestačí !!
● Důkaz viry Stuxnet, Regin, DarkHotel, atd. a
mnoho dalších každý den
25. napravnik.jiri@salamandr.cz
Příčiny problémů v prostředí ITPříčiny problémů v prostředí IT
● PR a obchod byly rychlejší než technici
● Tlak na svobodu používání
● Rychlý rozvoj, kde přání běžných uživatelů bylo
důležitější než kvalita a pořádek
26. napravnik.jiri@salamandr.cz
Příčiny problémů v prostředí ITPříčiny problémů v prostředí IT
● Antiviry hledají známé problémy
● Standardy a normy neřeší základy oboru
● Stále se říká, že největší problém jsou uživatelé
28. napravnik.jiri@salamandr.cz
Co když je problém u tvůrců ??Co když je problém u tvůrců ??
● Tvorba SW je exaktní obor, ve kterém je možné
vše jasně popsat
● V případě SW není potřeba respektovat přírodní
zákony
● Chyby v SW jsou způsobeny lidskou chybou
29. napravnik.jiri@salamandr.cz
Co s tím ??Co s tím ??
● Základ pokroku - Změna je možná !!
● Další krok – Chceme změnu !!
● Inspirace v jiných oborech – letectví, automobily
● Bezpečnost musí být základ řešení, nikoliv
pouze komerční nadstavba
30. napravnik.jiri@salamandr.cz
ŘešeníŘešení
● Kontrola integrity programů a knihoven
● Kontrola neporušenosti jednotlivých souborů
operačního systému a programů
● Kontrola na základě veřejně známých algoritmů
● Použití veřejně známých a vyzkoušených postupů
● Služba Internetu, která zajistí ověření parametrů
● Vypadá to složitě, ale řešení je jednoduché jako síť
serverů DNS
33. napravnik.jiri@salamandr.cz
ŘešeníŘešení
První krok – definice pravidelPrvní krok – definice pravidel
Pravidlo č. 1Pravidlo č. 1
Kontrolní parametry souboru musí být vždy stejnéKontrolní parametry souboru musí být vždy stejné
Pravidlo č. 2Pravidlo č. 2
Sítě musí umožnit ověření kontrolních parametrůSítě musí umožnit ověření kontrolních parametrů
Pravidlo č. 3Pravidlo č. 3
Operační systém musí umožnit kontrolu parametrůOperační systém musí umožnit kontrolu parametrů
další naleznete na adrese : http://rule.salamandr.czdalší naleznete na adrese : http://rule.salamandr.cz
34. napravnik.jiri@salamandr.cz
ŘešeníŘešení
Druhý krok – nová služba InternetuDruhý krok – nová služba Internetu
Tři pravidla definují základ. Realizace byTři pravidla definují základ. Realizace by
byla v podobě nové služby sítě Internetbyla v podobě nové služby sítě Internet
Jedná se o službu podobnou systémuJedná se o službu podobnou systému
DNS. Tedy místo kam může zapisovatDNS. Tedy místo kam může zapisovat
pouze oprávněný autor SW a pouze čístpouze oprávněný autor SW a pouze číst
mohou všichni uživatelé Internetu.mohou všichni uživatelé Internetu.
Technicky se jedná o ověřené a fungujícíTechnicky se jedná o ověřené a fungující
řešenířešení
35. napravnik.jiri@salamandr.cz
Řešení ICT bezpečnostiŘešení ICT bezpečnosti
Inspiraci je možné nalézt v prostředí letadelInspiraci je možné nalézt v prostředí letadel
Použití algoritmů umožňuje spolehlivě hlídat a ověřovatPoužití algoritmů umožňuje spolehlivě hlídat a ověřovat
neporušenost a integritu jednotlivých souborůneporušenost a integritu jednotlivých souborů
Nová služba sítě Internet zajistí spolehlivé ověřováníNová služba sítě Internet zajistí spolehlivé ověřování
parametrů jednotlivých souborůparametrů jednotlivých souborů
Vytvoření spolehlivých základů ICT bezpečnostiVytvoření spolehlivých základů ICT bezpečnosti
36. napravnik.jiri@salamandr.cz
Podívejte se také na :Podívejte se také na :
Tři pravidla Cyber bezpečnostiTři pravidla Cyber bezpečnosti
Jiří Nápravník
napravnik.jiri@salamandr.cz
http://rule.salamandr.cz
Je čas změnit základyJe čas změnit základy
Cyber bezpečnostiCyber bezpečnosti