Bezpieczeństwo danych i usług w Internecie na przykładzie...
Transcript of Bezpieczeństwo danych i usług w Internecie na przykładzie...
Bezpieczeństwo danych i usług w Internecie Bezpieczeństwo danych i usług w Internecie
na przykładzie technologii ena przykładzie technologii e--sklepówsklepów
Gerard FrankowskiGerard Frankowski
ZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSS
Wielkopolska KonferencjaWielkopolska Konferencja
„Bezpieczny Internet”„Bezpieczny Internet”
PoznaPoznańń, , 2299.10..10.20082008
2
AgendaUsługi internetowe w szkoleUsługi internetowe w szkole
Przykłady, twórcy, zastosowania Przykłady, twórcy, zastosowania
Korzyści i zagrożeniaKorzyści i zagrożenia
Bezpieczeństwo eBezpieczeństwo e--usługusług
Sklepy internetowe Sklepy internetowe –– badania Zespołu Bezpieczeństwa PCSSbadania Zespołu Bezpieczeństwa PCSS
Czy zagrożenia eCzy zagrożenia e--usług dla szkół są inne?usług dla szkół są inne?
Podstawy niektórych typów ataków na ePodstawy niektórych typów ataków na e--usługiusługi
Pierwsza pomoc w zabezpieczeniu ePierwsza pomoc w zabezpieczeniu e--usługusług
Świadomość użytkownika i profesjonalistyŚwiadomość użytkownika i profesjonalisty
PPodsumowanie, pytania, dyskusjaodsumowanie, pytania, dyskusja
3
Usługi internetowe w szkole
4
Cel prezentacjiPomoc w promocji informatyzacji szkółPomoc w promocji informatyzacji szkół
Czy usługi elektroniczne w szkołach mają sens?Czy usługi elektroniczne w szkołach mają sens?
Jakie mogą być problemy z ich bezpieczeństwem?Jakie mogą być problemy z ich bezpieczeństwem?
Opinia specjalistów: czy i jak uczyć o Opinia specjalistów: czy i jak uczyć o bezpieczeństwie IT? bezpieczeństwie IT?
Dla kogo jest ta prezentacja?Dla kogo jest ta prezentacja?
Dyrektor placówki oświatowejDyrektor placówki oświatowej
Nauczyciel informatyki / twórca programu nauczaniaNauczyciel informatyki / twórca programu nauczania
5
Przypadek uŜycia (1)Szkoła Podstawowa nr 7 w SkierniewicachSzkoła Podstawowa nr 7 w Skierniewicach
Cytaty i zdjęcie za: Cytaty i zdjęcie za: http://sp7.http://sp7.skierniewiceskierniewice..plpl//inforinfor..htmhtm
„W 1994 roku otrzymaliśmy starego peceta 486, który „W 1994 roku otrzymaliśmy starego peceta 486, który zaczął pełnić funkcję maszyny do pisania”zaczął pełnić funkcję maszyny do pisania”
„Zakupiono nowy komputer do gabinetu, utworzono „Zakupiono nowy komputer do gabinetu, utworzono między nimi sieć. Pierwszym zakupionym programem był między nimi sieć. Pierwszym zakupionym programem był SEKRETARIAT 2000”. SEKRETARIAT 2000”.
„Pojawiły się więc kolejno: PLAN LEKCJI 2000, OCENY „Pojawiły się więc kolejno: PLAN LEKCJI 2000, OCENY OKRESOWE, STATYSTYKA SEMESTRALNA, a następnie OKRESOWE, STATYSTYKA SEMESTRALNA, a następnie PLAN DYŻURÓW I KSIĘGA ZASTĘPSTW.”PLAN DYŻURÓW I KSIĘGA ZASTĘPSTW.”
„Wzajemna kompatybilność w/w programów ułatwiła i „Wzajemna kompatybilność w/w programów ułatwiła i zmodernizowała pracę dyrektora, sekretariatu i zmodernizowała pracę dyrektora, sekretariatu i nauczycieli.”nauczycieli.”
6
Przypadek uŜycia (2)„Zakupiliśmy następne programy: PŁACE 2000, KADRY. „Zakupiliśmy następne programy: PŁACE 2000, KADRY. (...) Dalszy ciąg informatyzacji naszej placówki to: (...) Dalszy ciąg informatyzacji naszej placówki to: założenie sieci łączącej gabinet dyrektora szkoły, założenie sieci łączącej gabinet dyrektora szkoły, sekretariat, pokój nauczycielski i bibliotekę”sekretariat, pokój nauczycielski i bibliotekę”
„Jest rok 2007. Mamy pełną sieć informatyczną w całej „Jest rok 2007. Mamy pełną sieć informatyczną w całej szkole. Komputery nie tylko w gabinecie i sekretariacie, szkole. Komputery nie tylko w gabinecie i sekretariacie, ale w każdej klasie. Pracujemy w oparciu o wszystkie ale w każdej klasie. Pracujemy w oparciu o wszystkie potrzebne programy w szkole. Przykładem niech będzie potrzebne programy w szkole. Przykładem niech będzie chociażby Dziennik lekcyjny [NAZWA], który oprócz chociażby Dziennik lekcyjny [NAZWA], który oprócz zupełnie nowej jakości dokumentowania przebiegu zupełnie nowej jakości dokumentowania przebiegu nauczania umożliwia rodzicom wgląd w proces nauczania nauczania umożliwia rodzicom wgląd w proces nauczania i wychowania własnych dzieci korzystając z Internetu!”i wychowania własnych dzieci korzystając z Internetu!”
7
Przykłady e-usług dla szkółElektroniczny dziennik klasowyElektroniczny dziennik klasowy
Zarządzanie planem zajęćZarządzanie planem zajęć
Serwis informacyjny szkoły i przyległych Serwis informacyjny szkoły i przyległych organizacji (np. stowarzyszenie wychowanków)organizacji (np. stowarzyszenie wychowanków)
Informator dla szkół Informator dla szkół –– oferta edukacyjna (kina, oferta edukacyjna (kina, muzea, wycieczki)muzea, wycieczki)
Zakup podręczników i pomocy naukowych Zakup podręczników i pomocy naukowych przez Internetprzez Internet
Zdalna nauka dla osób chorych lub Zdalna nauka dla osób chorych lub niepełnosprawnychniepełnosprawnych
Nabór Nabór
8
Kto tworzy usługi?Dostawca zewnętrznyDostawca zewnętrzny
To jego rolą jest tworzenie usługTo jego rolą jest tworzenie usług
Minusem może być koszt zakupu oprogramowaniaMinusem może być koszt zakupu oprogramowania
Jak stwierdzić, czy usługa jest bezpieczna?Jak stwierdzić, czy usługa jest bezpieczna?
SzkołaSzkoła
Najprostsze usługi, wykonywane rękoma Najprostsze usługi, wykonywane rękoma nauczycieli/rodziców nauczycieli/rodziców –– wolontariuszy wolontariuszy
Strona WWW szkoły, kółka zainteresowańStrona WWW szkoły, kółka zainteresowań
Takie usługi także mogą rodzić niebezpieczeństwo!Takie usługi także mogą rodzić niebezpieczeństwo!
9
Specyfika usług internetowychUżytkownicy usługiUżytkownicy usługi
Nie tylko osoby z wiedzą technicznąNie tylko osoby z wiedzą techniczną
Nacisk na użyteczność usługi, prosty Nacisk na użyteczność usługi, prosty interfejs itd.interfejs itd.
Charakter przetwarzanych danychCharakter przetwarzanych danych
Dane uwierzytelniające, osobowe (np. Dane uwierzytelniające, osobowe (np. adres)adres)
Usługi komercyjne: historia działań (np. Usługi komercyjne: historia działań (np. zakupów), numery kart kredytowychzakupów), numery kart kredytowych
Usługi dla szkoły: np. informacje o ocenach Usługi dla szkoły: np. informacje o ocenach ucznia, frekwencji, uwagach...ucznia, frekwencji, uwagach...
10
Korzyści z nowoczesnych usług WWWPodążanie za postępem technologicznymPodążanie za postępem technologicznym
Problem: pokonanie oporu przed zmianamiProblem: pokonanie oporu przed zmianami
Ułatwienie dostępu do informacji różnym Ułatwienie dostępu do informacji różnym grupom użytkownikówgrupom użytkowników
Szybszy dostęp do danychSzybszy dostęp do danych
Generowanie raportów, statystykGenerowanie raportów, statystyk
Optymalizacja pracyOptymalizacja pracy
Problem: kwestia przepisów prawnych (korzystanie Problem: kwestia przepisów prawnych (korzystanie z usługi powinno być przyspieszeniem pracy, a nie jej z usługi powinno być przyspieszeniem pracy, a nie jej dodatkowym elementem)dodatkowym elementem)
11
Ogólne zagroŜenia usług WWWAtaki na Ataki na komercyjne komercyjne serweryserwery sieciowesieciowe
Szpiegostwo przemysSzpiegostwo przemysłłoweowe
Szkodzenie konkurencjiSzkodzenie konkurencji
Ataki na Ataki na serwery i serwery i komputery ukomputery użżytkownikytkownikóóww
Przejmowanie maszynPrzejmowanie maszyn
KradzieKradzieżż mocy obliczeniowej mocy obliczeniowej
KradzieKradzieżż danych osobowych i todanych osobowych i tożżsamosamośścici
RozsyRozsyłłanie anie spamuspamu
SzantaSzantażż
Organizowanie Organizowanie botnetbotnetóóww –– ataki ataki DDoSDDoS itd.itd.
12
Jak sytuacja wygląda w praktyce?Badania podatności stron WWW na atakiBadania podatności stron WWW na ataki
Grafika: http://webappsec.org
13
Niektóre problemy związane z bezpieczeństwem usług
Inwestycja w bezpieczeństwo nie przynosi Inwestycja w bezpieczeństwo nie przynosi natychmiastowych, namacalnych korzyścinatychmiastowych, namacalnych korzyści
Za to istnieją koszty (często spore)Za to istnieją koszty (często spore)
Skąd nabywca usługi może wiedzieć, czy Skąd nabywca usługi może wiedzieć, czy jest ona bezpieczna?jest ona bezpieczna?
Specyfika szkółSpecyfika szkół
Kwestie budżetoweKwestie budżetowe
Rodzaj przetwarzanych danychRodzaj przetwarzanych danych
14
Czym róŜni się e-dziennik od e-sklepu?
15
Bezpieczeństwo e-sklepówRaport Zespołu Bezpieczeństwa PCSSRaport Zespołu Bezpieczeństwa PCSS
„Bezpieczeństwo sklepów internetowych” „Bezpieczeństwo sklepów internetowych” –– styczeń 2008styczeń 2008
Badanie obsługi sesji internetowych w eBadanie obsługi sesji internetowych w e--sklepachsklepach
MetodykaMetodyka
50 losowo wybranych sklep50 losowo wybranych sklepóów internetowychw internetowych
7 test7 testóów przeprowadzanych dla kaw przeprowadzanych dla każżdego sklepudego sklepu
WybWybóór niezaler niezależżny odny od: : Platformy Platformy serwerowejserwerowej
Serwera internetowegoSerwera internetowego
WielkoWielkośści i asortymentu sklepuci i asortymentu sklepu
16
Sesja internetowaProtokProtokół ół HTTP jest bezstanowyHTTP jest bezstanowy
Rozróżnianie tożsamości użytkowników jest kluczowe dla Rozróżnianie tożsamości użytkowników jest kluczowe dla korzystania z ekorzystania z e--usługusług
Sesja internetowaSesja internetowaWyrWyróóżżniany przez niany przez sessionsession IDID zbizbióór informacji o por informacji o połąłączeniuczeniu
Po stronie serwera Po stronie serwera –– plik sesji lub baza danychplik sesji lub baza danych
Po stronie klienta Po stronie klienta –– ciasteczka (ciasteczka (cookiescookies))
17
Przeprowadzone testyTest 1 Test 1 –– niedozwolone znaki w nazwie ciasteczkaniedozwolone znaki w nazwie ciasteczka
Test 2 Test 2 –– próba wymuszenia błędu zapisu pliku sesjipróba wymuszenia błędu zapisu pliku sesji
Test 3 Test 3 –– odpowiedni czas życia ciasteczkaodpowiedni czas życia ciasteczka
Test 4 Test 4 –– odpowiedni czas życia sesjiodpowiedni czas życia sesji
Test 5 Test 5 –– możliwość wymuszenia identyfikatora sesjimożliwość wymuszenia identyfikatora sesji
Test 6 Test 6 –– powiązanie identyfikatora sesji z adresem IPpowiązanie identyfikatora sesji z adresem IP
Test 7 Test 7 –– stosowanie atrybutu stosowanie atrybutu httponlyhttponly
18
Rezultaty
Test 5
Test 2
Test 3 Test 4
Test 1
Test 6 Test 7 Kolor czerwony i pochodne –niebezpiecznie
Kolor zielony –bezpiecznie
19
Omówienie wynikówAtaki na sesje nie są spektakularne, ale pozwalają na Ataki na sesje nie są spektakularne, ale pozwalają na wyrządzenie wielu szkódwyrządzenie wielu szkód
Poprawa większości wyników wymagałaby niewielkiego Poprawa większości wyników wymagałaby niewielkiego nakładu pracy podczas implementacji usługinakładu pracy podczas implementacji usługi
Niektóre rezultaty można znacznie polepszyć, minimalnie Niektóre rezultaty można znacznie polepszyć, minimalnie zmieniając konfigurację serwera WWW, na którym zmieniając konfigurację serwera WWW, na którym uruchomiono usługęuruchomiono usługę
Usługi związane z przepływem danych osobowych oraz Usługi związane z przepływem danych osobowych oraz informacji o zainteresowaniach, statusie majątkowym informacji o zainteresowaniach, statusie majątkowym itd. powinny być lepiej zabezpieczoneitd. powinny być lepiej zabezpieczone
20
Co wspólnego ma e-dziennik z e-sklepem?Dziennik elektroniczny także musi rozróżniać Dziennik elektroniczny także musi rozróżniać
użytkowników!użytkowników!
Różne grupy użytkowników z odmiennymi uprawnieniami:Różne grupy użytkowników z odmiennymi uprawnieniami:AdministratorAdministrator
DyrektorDyrektor
NauczycielNauczyciel
RodzicRodzic
UczeńUczeń
Bardzo dobra ilustracja tzw. zasady minimalnych Bardzo dobra ilustracja tzw. zasady minimalnych przywilejówprzywilejów
Każdy ma dostęp jedynie do tego, czego bezwzględnie Każdy ma dostęp jedynie do tego, czego bezwzględnie potrzebujepotrzebuje
21
Przykład ataku na e-dziennik (1)EE--dziennik dopuszcza identyfikatory sesji wskazane dziennik dopuszcza identyfikatory sesji wskazane przez użytkownikaprzez użytkownika
Napastnik przesyła do nauczycieli fałszywe eNapastnik przesyła do nauczycieli fałszywe e--mailemaile::
Wystąpił błąd w naszym wirtualnym dzienniku. Proszę Wystąpił błąd w naszym wirtualnym dzienniku. Proszę ZalogujZaloguj sięsię i sprawdź, czy nie straciłeś tabel z ocenami. i sprawdź, czy nie straciłeś tabel z ocenami. Dzięki!Dzięki!
Pod Pod linkiem linkiem kryje się adres podobny do poniższego: kryje się adres podobny do poniższego: http://http://szkolaszkola..plpl//edziennikedziennik//loginlogin/</<scriptscript>>documentdocument..cookiecookie==””sessionidsessionid==abcdabcd””;</;</scriptscript>>
Kliknięcie linku Kliknięcie linku przez nauczyciela spowoduje, że przez nauczyciela spowoduje, że nawiąże on sesję o identyfikatorze nawiąże on sesję o identyfikatorze abcdabcd
22
Przykład ataku na e-dziennik (2)Napastnik po wysłaniu maili regularnie próbuje Napastnik po wysłaniu maili regularnie próbuje połączyć się z usługą, legitymując się identyfikatorem połączyć się z usługą, legitymując się identyfikatorem sesji sesji abcdabcd
Jeżeli napastnik trafi na taką sesję, serwer nie Jeżeli napastnik trafi na taką sesję, serwer nie odróżni jego działań od aktywności odróżni jego działań od aktywności zalogowanegozalogowanegonauczycielanauczyciela
Napastnik może przejąć tożsamość nauczyciela i np. Napastnik może przejąć tożsamość nauczyciela i np. przejrzeć lub zmienić oceny jego uczniówprzejrzeć lub zmienić oceny jego uczniów
23
Ataki na sesje - obronaOdpowiedzialny: administratorOdpowiedzialny: administrator
Odpowiednia konfiguracja serwera WWW / .NETOdpowiednia konfiguracja serwera WWW / .NETUnikanie wyUnikanie wyśświetlania informacji o bwietlania informacji o błęłędachdachużytkownikowiużytkownikowi
Odpowiedzialny: projektant/programistaOdpowiedzialny: projektant/programistaBezpieczna konfiguracja sesjiBezpieczna konfiguracja sesji
Czas Czas żżycia ciasteczka oraz sesjiycia ciasteczka oraz sesji
Atrybuty Atrybuty securesecure, , httponlyhttponly
Wymuszanie wartości Wymuszanie wartości sessionsession ID ID po stronie serwerapo stronie serwera
24
Czy istnieją nastoletni hakerzy?Garść cytatów...Garść cytatów...
„17„17--letni mieszkaniecletni mieszkaniec podlubelskiejpodlubelskiej miejscowości włamał się wczoraj miejscowości włamał się wczoraj wieczorem na serwer KWP w Lublinie.” (wieczorem na serwer KWP w Lublinie.” (www.mlublin.plwww.mlublin.pl))
„Śląscy policjanci zatrzymali dwóch 16„Śląscy policjanci zatrzymali dwóch 16--latkówlatków, którzy za pomocą , którzy za pomocą stworzonego przez siebie programu komputerowego reklamowali na stworzonego przez siebie programu komputerowego reklamowali na Naszej Klasie płatny portal do pobierania plików.” Naszej Klasie płatny portal do pobierania plików.” ((www.newsy.bober.duu.plwww.newsy.bober.duu.pl))
„Osiemnastoletni Nowozelandczyk podejrzewany jest o przewodzenie„Osiemnastoletni Nowozelandczyk podejrzewany jest o przewodzeniemiędzynarodowej grupie przestępczej utrzymującej ogromną sieć międzynarodowej grupie przestępczej utrzymującej ogromną sieć komputerówkomputerów zombiezombie.” (.” (di.com.pldi.com.pl))
„Policja zatrzymała 15„Policja zatrzymała 15--letniegoletniego hakerahakera z Tomaszowa Mazowieckiego z Tomaszowa Mazowieckiego (Łódzkie), który włamał się do portalu internetowego przedsiębio(Łódzkie), który włamał się do portalu internetowego przedsiębiorcy z rcy z Pomorza.” (Pomorza.” (www.hacking.plwww.hacking.pl))
„14„14--latek, który przy pomocy urządzenia własnej konstrukcji wykolejalatek, który przy pomocy urządzenia własnej konstrukcji wykolejał ł w Łodzi tramwaje, trafi na trzy miesiące do schroniska dla nielew Łodzi tramwaje, trafi na trzy miesiące do schroniska dla nieletnich.” tnich.” ((www.radio.koszalin.plwww.radio.koszalin.pl) )
25
Inne wybrane zagroŜenia
26
Szkolny serwer WWWSerwer WWW w szkole?
Hosting strony WWW szkoły
Udostępnianie innych usług WWW
Aplikacje intranetowe
Należy pamiętać o atakach z wewnątrz sieci
Narzędzia testujące – Dinis Cruz, OWASP
ANSA – Asp.Net Security Analyser
ANBS – Asp.Net Baseline Security – v. 0.55
Każdy administrator może sam przetestować swój serwer
Istnieją także narzędzia dla darmowych serwerów WWW
27
28
Ataki Information DisclosureNaraNarażżone sone sąą źźle skonfigurowane serweryle skonfigurowane serwery
UsUsłługi ujawniajugi ujawniająą szczegszczegóółłowe informacje o bowe informacje o błęłędach, dach, wersje wersje stosowanego stosowanego oprogramowania, oprogramowania, śściecieżżkiki do plików, do plików, fragmenty kodu źródłowego stronyfragmenty kodu źródłowego strony
Informacje te mogInformacje te mogąą bybyćć przydatne w planowaniu dalszych przydatne w planowaniu dalszych atakatakóóww
Zagrożona bezpośrednio usługa i serwer, ale w Zagrożona bezpośrednio usługa i serwer, ale w dalszej kolejności dalszej kolejności –– inni użytkownicyinni użytkownicy
Zabezpieczenie ze strony administratoraZabezpieczenie ze strony administratora
WyWyłąłączenie raportowania bczenie raportowania błęłęddóów na stronach WWWw na stronach WWW
Zapis informacji o bZapis informacji o błęłędach do pliku logudach do pliku logu
29
Ataki Remote Code ExecutionAtak polega na możliwości wykonania przez Atak polega na możliwości wykonania przez użytkownika kodu strony WWW, który wykonuje użytkownika kodu strony WWW, który wykonuje polecenia systemu operacyjnegopolecenia systemu operacyjnego
Zabezpieczenie ze strony twórcy usługiZabezpieczenie ze strony twórcy usługi
Unikanie funkcji, które umożliwiają wykonanie poleceń Unikanie funkcji, które umożliwiają wykonanie poleceń systemowych (np. systemowych (np. execexec() w PHP)() w PHP)
Zabezpieczenie ze strony administratoraZabezpieczenie ze strony administratora
Jeżeli użytkownik może wysłać plik na serwer WWW (np. Jeżeli użytkownik może wysłać plik na serwer WWW (np. w założeniu ze swoim zdjęciem czy życiorysem), należy:w założeniu ze swoim zdjęciem czy życiorysem), należy:
Jak najstaranniej sprawdzić rozszerzenie i zawartość plikuJak najstaranniej sprawdzić rozszerzenie i zawartość pliku
Uniemożliwić bezpośrednie odwołanie się do pliku przez adres Uniemożliwić bezpośrednie odwołanie się do pliku przez adres URLURL
30
Ochrona serwera WWWOdpowiednia konfiguracja systemu operacyjnegoOdpowiednia konfiguracja systemu operacyjnego
Obniżone uprawnienia dla serwera WWWObniżone uprawnienia dla serwera WWWRestrykcje dostRestrykcje dostęępu do uspu do usłług WMIug WMI oraz WSHoraz WSHLogowanie zdarzeńLogowanie zdarzeń
Bezpieczna konfiguracja serwera WWWBezpieczna konfiguracja serwera WWWOchrona przed atakami Ochrona przed atakami Information DisclosureInformation Disclosure
Pliki konfiguracyjne ASP.NETPliki konfiguracyjne ASP.NETWeb.Web.configconfig, , MachineMachine..configconfigOgraniczenie uprawnień aplikacji Ograniczenie uprawnień aplikacji webowych webowych (do poziomu (do poziomu mediummedium))
Podobne zasady dla darmowych serwerów WWWPodobne zasady dla darmowych serwerów WWWRóżnią się tylko środki realizacjiRóżnią się tylko środki realizacji
31
Serwer baz danychDlaczego serwer baz danych?Dlaczego serwer baz danych?
Wsparcie dla serwera WWW lub innych aplikacjiWsparcie dla serwera WWW lub innych aplikacji
NarzNarzęędzia, materiadzia, materiałłyyNarzNarzęędzia konfiguracyjne SQL dzia konfiguracyjne SQL Server Server 20052005
SQL SQL Server Best Practices AnalyserServer Best Practices Analyserhttp://http://wwwwww..microsoftmicrosoft..comcom//polandpoland/technet//technet/articlearticle/art0056_01./art0056_01.mspxmspx
http://http://blogsblogs..msdnmsdn..comcom//sqlremsqlrem
Skrypty Skrypty GustaGustavvo Duarteo Duartehttp://http://duartesduartes..orgorg//gustavogustavo//articlesarticles//LockLock--DownDown--SQLSQL--ServerServer--2005.2005.aspxaspx
Dla darmowych systemów baz danych również istnieją Dla darmowych systemów baz danych również istnieją poradniki i narzędzia testująceporadniki i narzędzia testujące
SQL Server 2005
32
Ochrona serwera baz danychOchrona na wyższych poziomachOchrona na wyższych poziomach
Sieć, Sieć, firewallfirewall, IDS/IPS, ..., IDS/IPS, ...
System operacyjnySystem operacyjny
Unikanie Unikanie Mixed Mode AuthenticationMixed Mode Authentication
Ochrona na poziomie bazy danychOchrona na poziomie bazy danychRestrykcje Restrykcje dostdostęępowepowe do do wbudowanych wbudowanych baz baz mastermaster ii msdbmsdb
Minimalizacja dostępu do procedur składowanychMinimalizacja dostępu do procedur składowanych
Logowanie zdarzeLogowanie zdarzeńń
OOsobna grupa usobna grupa użżytkownikytkownikóóww--administratoradministratoróów SQLw SQL
Wykorzystanie schematWykorzystanie schematóów i rw i róóll
ZastrzeZastrzeżżenie dostenie dostęępu do pu do metadanychmetadanych
33
Co wszyscy powinni wiedzieć o e-usługach?
34
Informatyka w szkole a bezpieczeństwo ITKorzystanie z nowoczesnych usług staje się Korzystanie z nowoczesnych usług staje się
wszechobecne wszechobecne
Czy każdy musi być specjalistą od zabezpieczeń?Czy każdy musi być specjalistą od zabezpieczeń?Czy każdy kierowca wie, jak działa silnik?Czy każdy kierowca wie, jak działa silnik?
Czy każdy kierowca musi mieć prawo jazdy?Czy każdy kierowca musi mieć prawo jazdy?
Grupa podstawowa i zaawansowanaGrupa podstawowa i zaawansowana
Bezpieczne korzystanie z eBezpieczne korzystanie z e--usługusługUczeń powinien umieć korzystać z elektronicznego dziennika, aby Uczeń powinien umieć korzystać z elektronicznego dziennika, aby sprawdzić swoje ocenysprawdzić swoje oceny
Podstawy bezpiecznego tworzenia ePodstawy bezpiecznego tworzenia e--usług (dla chętnych)usług (dla chętnych)Profesjonalista musi (kiedyś) wiedzieć, że dziennik elektronicznProfesjonalista musi (kiedyś) wiedzieć, że dziennik elektroniczny y ma mieć możliwość gradacji uprawnieńma mieć możliwość gradacji uprawnień
35
Nauka bezpieczeństwa IT dla uŜytkownikaOgólne zasady zabezpieczeńOgólne zasady zabezpieczeń
Jak rozpoznać usługę, która oferuje szyfrowanie Jak rozpoznać usługę, która oferuje szyfrowanie dostępnych danych?dostępnych danych?
Aktualny system i oprogramowanieAktualny system i oprogramowanie
Która przeglądarka jest bezpieczniejsza?Która przeglądarka jest bezpieczniejsza?
Tajemnicze linki od nieznajomych...Tajemnicze linki od nieznajomych...
Co to jest silne hasło i jak je zapamiętać?Co to jest silne hasło i jak je zapamiętać?
Czy naprawdę muszę kliknąć Czy naprawdę muszę kliknąć WylogujWyloguj??
......
36
Nauka bezpieczeństwa IT dla przyszłego profesjonalisty
Fundamentalne zasady bezpieczeństwa ITFundamentalne zasady bezpieczeństwa ITZasada dogłębnej ochrony (Zasada dogłębnej ochrony (security insecurity in--depthdepth))
Zasada minimalnych przywilejów (Zasada minimalnych przywilejów (minimum minimum privileges privileges principleprinciple))
Przyszły programistaPrzyszły programistaDlaczego dane wejściowe są Dlaczego dane wejściowe są niezaufaneniezaufane??
Jak można je filtrować (zasady)?Jak można je filtrować (zasady)?
Przyszły administratorPrzyszły administratorRola bezpiecznej konfiguracji sieci i systemówRola bezpiecznej konfiguracji sieci i systemów
Źródła wiedzy i drogi dalszego postępowaniaŹródła wiedzy i drogi dalszego postępowania
37
Podsumowanie
38
Co warto zapamiętać?Usługi internetowe ułatwiają życie, ale niosą ze Usługi internetowe ułatwiają życie, ale niosą ze sobą określone zagrożeniasobą określone zagrożenia
SzczegSzczegóólnie zagrolnie zagrożżone sone sąą ususłługi zwiugi zwiąązane z przepzane z przepłływem ywem m.in. m.in. danych osobowychdanych osobowych (jak e(jak e--dziennik)dziennik)
Zagrożenia usług wykorzystywanych przez szkołę są takie Zagrożenia usług wykorzystywanych przez szkołę są takie same, jak dla esame, jak dla e--sklepów czy bankowości internetowejsklepów czy bankowości internetowej
Zabezpieczenie usług zależy od wielu czynnikówZabezpieczenie usług zależy od wielu czynników
Producent / dostawca usługi musi wytworzyć bezpieczny Producent / dostawca usługi musi wytworzyć bezpieczny produktprodukt
Administrator systemu musi odpowiednio skonfigurować Administrator systemu musi odpowiednio skonfigurować usługę (podobnie, jak serwer i sieć)usługę (podobnie, jak serwer i sieć)
Użytkownik musi wiedzieć, jak korzystać z usługiUżytkownik musi wiedzieć, jak korzystać z usługi
39
Więcej informacji (przykłady)Raport ZespoRaport Zespołłu Bezpieczeu Bezpieczeńństwa PCSS nt. bezpieczstwa PCSS nt. bezpieczeńeństwa estwa e--sklepsklepóóww
http://http://securitysecurity..psncpsnc..plpl//reportsreports//sklepysklepy__internetoweinternetowe__cookiescookies..pdfpdf
Interklasa Interklasa –– Polski Portal EdukacyjnyPolski Portal Edukacyjny
http://www.interklasa.plhttp://www.interklasa.pl
NabNabór ór –– systemowa obsługa rekrutacji do placówek oświatowychsystemowa obsługa rekrutacji do placówek oświatowych
http://nabor.poznan.pcss.plhttp://nabor.poznan.pcss.pl
Wybrane polskie i zagraniczne portale poświęcone bezpieczeństwu Wybrane polskie i zagraniczne portale poświęcone bezpieczeństwu ITIT
http://ipsec.plhttp://ipsec.pl
http://hacking.plhttp://hacking.pl
http://securityfocus.comhttp://securityfocus.com
http://secunia.comhttp://secunia.com (wykryte błędy w oprogramowaniu)(wykryte błędy w oprogramowaniu)
The Open Web Application Security ProjectThe Open Web Application Security Project
http://http://wwwwww..owaspowasp..orgorg
40
Informacje kontaktowe Autor prezentacjiAutor prezentacji
gerardgerard..frankowskifrankowski@@manman..poznanpoznan..plpl
Centrum Innowacji MicrosoftCentrum Innowacji Microsoft
http://http://micmic..psncpsnc..plpl
micmic@@manman..poznanpoznan..plpl
PCSSPCSS
http://http://wwwwww..pcsspcss..plpl
ZespZespóółł BezpieczeBezpieczeńństwa PCSSstwa PCSS
http://http://securitysecurity..psncpsnc..plpl
securitysecurity@@manman..poznanpoznan..plpl
41
Pytania i dyskusja
DziDzięękujkujęę za uwagza uwagęę!!