BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje...

36
BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE Borys Łącki 24/25.04.2017

Transcript of BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje...

Page 1: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

BEZPIECZEŃSTWO SERWERÓWAKTUALIZACJE

Borys Łącki24/25.04.2017

Page 2: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

BORYS ŁĄCKI

Od ponad 10 lat wykonując testy penetracyjne, testujemy bezpieczeństwo

i zabezpieczamy zasoby Klientów.

Page 3: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

1) Incydenty komputerowe

2) Aktualizacje oprogramowania serwerowego

3) Oprogramowanie klienckie

4) DEMO: Aplikacje WWW

5) DEMO: Oprogramowanie systemowe

6) Podsumowanie

7) Sesja pytań od uczestników

AGENDA

Page 4: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

● Brak aktualizacji● Brak aktualizacji● Brak aktualizacji

TRZY NAJCZĘSTSZE PROBLEMY

Page 5: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

TEMAT WYKŁADU – AKTUALIZACJE!

Page 6: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

OWASP Top 10

Page 7: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

100 – 120 DNI BEZ AKTUALIZACJI

Page 8: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

APLIKACJE WWW

Page 9: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

0-DAYS?

Page 10: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

BUG BOUNTY – Heartbleed 7.04.2014

Page 11: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

BUG BOUNTY – Heartbleed 7.04.2014

Page 12: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

BUG BOUNTY – Heartbleed 7.04.2014

Page 13: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

FACEBOOK – PÓŁ ROKU

Page 14: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

PANAMA PAPERS

Page 15: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

YAHOO

Page 16: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

NSA LEAK

Page 17: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

GEMIUS

Page 18: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

JAKDOJADE.PL

Page 19: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

POLSKIE BANKI + KNF

Page 20: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

PRZEGLĄDARKI INTERNETOWE WWW

Page 21: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

CZYTNIKI PDF

Page 22: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

SĄSIEDZI I AKTUALIZACJE

Page 23: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

DEMO

Page 24: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

CZAS MA ZNACZENIE!

Page 25: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

Debian

Page 26: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

DEBIAN

Page 27: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

UBUNTU

Page 28: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

WORDPRESS

Page 29: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

SYSTEMATYCZNIE AKTUALIZUJ OPROGRAMOWANIE ;)

DOBRE PRAKTYKI

● Usuwaj zbędne moduły/aplikacje

● Zautomatyzuj zadania

● Zdobywaj wiedzę o błędach bezpieczeństwa

Page 30: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

PERSONAL SOFTWARE INSPECTOR (PSI)

Page 31: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

OPROGRAMOWANIE ANTYWIRUSOWE

Page 32: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

CRON-APT RUN [/etc/cron-apt/config]: Wed Apr 5 04:00:01 CEST 2017CRON-APT SLEEP: 1490, Wed Apr 5 04:24:51 CEST 2017CRON-APT ACTION: 3-downloadCRON-APT LINE: /usr/bin/apt-get -o quiet=1 dist-upgrade -d -y -o APT::Get::Show-Upgraded=trueReading package lists...Building dependency tree...Reading state information...The following packages will be upgraded: curl libcurl3 libcurl3-gnutls3 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.(...)Download complete and in download only mode

CRON-APT

Page 33: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

ZAPAMIĘTAJ!

Page 34: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

http://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.html

https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

https://zaufanatrzeciastrona.pl/post/historia-apokalipsy-windowsow-ktora-byla-tuz-tuz-i-niespodziewanie-zniknela/

http://www.silicon.co.uk/security/trendmicro-blog-security-205197

https://www.theregister.co.uk/2016/04/07/panama_papers_unpatched_wordpress_drupal/

ŹRÓDŁA

http://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.html
https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
https://zaufanatrzeciastrona.pl/post/historia-apokalipsy-windowsow-ktora-byla-tuz-tuz-i-niespodziewanie-zniknela/
http://www.silicon.co.uk/security/trendmicro-blog-security-205197
https://www.theregister.co.uk/2016/04/07/panama_papers_unpatched_wordpress_drupal/
Page 35: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

https://z3s.pl/szkolenia/

Atak i obrona:● Bezpieczeństwo aplikacji WWW● Bezpieczeństwo aplikacji mobilnych

-10%Obowiązuje 10 dni

Hasło: koo6ee

SZKOLENIA - RABAT

https://z3s.pl/szkolenia/
Page 36: BEZPIECZEŃSTWO SERWERÓW AKTUALIZACJE...DOBRE PRAKTYKI Usuwaj zbędne moduły/aplikacje Zautomatyzuj zadania Zdobywaj wiedzę o błędach bezpieczeństwa. PERSONAL SOFTWARE INSPECTOR

Dziękuję za uwagęBorys Łącki

[email protected]

www.arubacloud.pl


Program mineralnego żywienia Activ roślin uprawnycharkop.pl/wp-content/uploads/poradnik-nawozenia-warzywa.pdf · zbędne dla prawidłowego wzrostu i rozwoju roślin są połączone

Program mineralnego żywienia Activ roślin uprawnycharkop.pl/wp-content/uploads/poradnik-nawozenia-warzywa.pdf · zbędne dla prawidłowego wzrostu i rozwoju roślin są połączone

INFORMACJA O STANIE I STRUKTURZE BEZROBOCIA · wymogi zawarte w ustawie o promocji zatrudnienia i instytucjach rynku pracy nie-zbędne do rejestracji jako bezrobotni. Jednocześnie

INFORMACJA O STANIE I STRUKTURZE BEZROBOCIA · wymogi zawarte w ustawie o promocji zatrudnienia i instytucjach rynku pracy nie-zbędne do rejestracji jako bezrobotni. Jednocześnie

SPIS TREŚCI - logopeda.org.pl · Ich nieprawidłowa realizacja może być czynnikiem zakłócającym zrozumiałość wypowiedzi ustnej, a także mieć swoje odbicie w błędach pojawiających

SPIS TREŚCI - logopeda.org.pl · Ich nieprawidłowa realizacja może być czynnikiem zakłócającym zrozumiałość wypowiedzi ustnej, a także mieć swoje odbicie w błędach pojawiających

Kobiety zdobywaj Sejm: 1918-2008-2018…... · Kobiety zdobywaj Sejm: ... coraz mocniejsze. Pi tnujemy g Bo [no, gdy kto [ twierdzi, |e nie mo ... który zaczyna si tworzy w po Bowie

Kobiety zdobywaj Sejm: 1918-2008-2018…... · Kobiety zdobywaj Sejm: ... coraz mocniejsze. Pi tnujemy g Bo [no, gdy kto [ twierdzi, |e nie mo ... który zaczyna si tworzy w po Bowie

WSPÓŁCZESNA WOJNA: ODSŁONY - ce.uw.edu.pl · Uczenie się na błędach, czyli polityka rządu Republiki Federalnej Niemiec wobec fal uchodźców z Bośni i Kosowa Olga Zielińska

WSPÓŁCZESNA WOJNA: ODSŁONY - ce.uw.edu.pl · Uczenie się na błędach, czyli polityka rządu Republiki Federalnej Niemiec wobec fal uchodźców z Bośni i Kosowa Olga Zielińska

Przyjazne witryny WWW. Jak uczynić lepszymi komunikaty o błędach, Pomoc, formularze i inne kluczowe punkty witryny

Przyjazne witryny WWW. Jak uczynić lepszymi komunikaty o błędach, Pomoc, formularze i inne kluczowe punkty witryny

Wspólne cele, wspólne działania, wspólny projekt "Matematyką się baw i zdobywaj świat!"

Wspólne cele, wspólne działania, wspólny projekt "Matematyką się baw i zdobywaj świat!"

NIEPUBLICZNE AGENCJE ZATRUDNIENIA OSÓB … · ucząc się na popełnionych w przeszłości błędach pracują na rzecz wzmocnienia pozytywnych relacji nie ... IV-VII - prezentacja

NIEPUBLICZNE AGENCJE ZATRUDNIENIA OSÓB … · ucząc się na popełnionych w przeszłości błędach pracują na rzecz wzmocnienia pozytywnych relacji nie ... IV-VII - prezentacja

KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ - ksap.gov.plksap.gov.pl/ksap/sites/default/files/publikacje/wyzwania_rozwoju... · zbędne obciążenie finansowe organizacji lub generować

KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ - ksap.gov.plksap.gov.pl/ksap/sites/default/files/publikacje/wyzwania_rozwoju... · zbędne obciążenie finansowe organizacji lub generować

ISSN 2450-2472 Królewska gra dla każdego – zbędne czy ... · programowania. Bez obaw, nauka logicznego myślenia może się okazać sposobem na ciekawe zajęcia w szkole! O tym,

ISSN 2450-2472 Królewska gra dla każdego – zbędne czy ... · programowania. Bez obaw, nauka logicznego myślenia może się okazać sposobem na ciekawe zajęcia w szkole! O tym,

ZDOBYWAJ NAGRODY. - Intel · Wyższe poziomy to więcej korzyści W miarę robienia postępów w programie Intel Technology Provider, od statusu Registered przez poziom Gold do Platinum,

ZDOBYWAJ NAGRODY. - Intel · Wyższe poziomy to więcej korzyści W miarę robienia postępów w programie Intel Technology Provider, od statusu Registered przez poziom Gold do Platinum,

ZDOBYWAJ WIEDZĘ U NAJLEPSZYCH!

ZDOBYWAJ WIEDZĘ U NAJLEPSZYCH!

Z uczniami w Koperniku - Kuratorium Oświaty w Bydgoszczy...uczenie się na błędach rozwija myślenie krytyczne i twórcze. Daje szansę lepszego poznania własnych mocnych stron

Z uczniami w Koperniku - Kuratorium Oświaty w Bydgoszczy...uczenie się na błędach rozwija myślenie krytyczne i twórcze. Daje szansę lepszego poznania własnych mocnych stron

10 listopada 2017 - GUTW · Szwedzi uczą się na błędach i inne historie). W specjalnym bloku blogerów-podróżników udział wezmą: autorka Szwecjobloga Natalia Kołaczek (I

10 listopada 2017 - GUTW · Szwedzi uczą się na błędach i inne historie). W specjalnym bloku blogerów-podróżników udział wezmą: autorka Szwecjobloga Natalia Kołaczek (I

Opracowanie założeń systemu i narzędzi do oceny ...umiejętności, uczenia się na doświadczeniach i błędach swoich i innych osób oraz dostrzegania potrzeby uczenia się przez

Opracowanie założeń systemu i narzędzi do oceny ...umiejętności, uczenia się na doświadczeniach i błędach swoich i innych osób oraz dostrzegania potrzeby uczenia się przez

DOSKONALENIE PROCESU PRZEZBRAJANIA MASZYN … · Zastosowanie metody SMED wyeliminowało zbędne czynności, uzyskano skrócenie czasu przezbrojenia, zmniejszyła się licz- ba przejść

DOSKONALENIE PROCESU PRZEZBRAJANIA MASZYN … · Zastosowanie metody SMED wyeliminowało zbędne czynności, uzyskano skrócenie czasu przezbrojenia, zmniejszyła się licz- ba przejść

Jak spalić zbędne kilogramy? Iskra 4-stopniowy plan utraty ... · Zjechałam na pobocze tak szybko, jak tylko mogłam i zadzwo-niłam pod numer 999. Samochód znajdował się w

Jak spalić zbędne kilogramy? Iskra 4-stopniowy plan utraty ... · Zjechałam na pobocze tak szybko, jak tylko mogłam i zadzwo-niłam pod numer 999. Samochód znajdował się w

Kobiety zdobywaj Sejm: 1918-2008-2018 · zaledwie 1,5%, w 1989 - 13%, co potem jeszcze zmala Bo. Ostatnie wybory znów obni |y By ilo [ pos Banek. Jednak to w Ba [nie dzi [ kobiety

Kobiety zdobywaj Sejm: 1918-2008-2018 · zaledwie 1,5%, w 1989 - 13%, co potem jeszcze zmala Bo. Ostatnie wybory znów obni |y By ilo [ pos Banek. Jednak to w Ba [nie dzi [ kobiety

Polski sektor energetyczny 2050...rynku energii elektrycznej, a nie ciepła, w związku z czym nie-zbędne będzie dostosowanie techniczne zakładów do nowych zasad pracy. 0 2 4 6

Polski sektor energetyczny 2050...rynku energii elektrycznej, a nie ciepła, w związku z czym nie-zbędne będzie dostosowanie techniczne zakładów do nowych zasad pracy. 0 2 4 6

OPĘTANIE I EGZORCYZMY W APOLOGETYCE ... · je on, iż poeci pogańscy nie znali prawdy i tkwili w błędach utwierdzani w nich przez demony. ... gów przyjmując imiona Saturna,

OPĘTANIE I EGZORCYZMY W APOLOGETYCE ... · je on, iż poeci pogańscy nie znali prawdy i tkwili w błędach utwierdzani w nich przez demony. ... gów przyjmując imiona Saturna,