SlideShare une entreprise Scribd logo

Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik

TUESDAY Business Network
TUESDAY Business Network
Technologie
1  sur  10
Télécharger pour lire hors ligne
Bezpečnost otevřených a uzavřených řešení Autor: Martin Mačok (macok@dcit.cz) DCIT, a.s., http://www.dcit.cz
Otevřená řešení K dispozici jsou zdrojové kódy software a určitá míra svobody s nimi nakládat. • Free/Open source software licence • GPL, BSD, Apache, MIT, public domain • Obvykle je software volně šiřitelný. • Neplést se softwarem „zadarmo“. Příklady • GNU/Linux, Apache, PHP • Mozilla Firefox 2
Uzavřená řešení Kód má pouze výrobce (dodavatel). Celý „potravní“ řetězec je víceméně závislý na jednom subjektu. • Proprietární/„Komerční“ software • Microsoft Windows, HP-UX, IBM AIX • Adobe Reader / Flash • AutoCAD • Internet Explorer, Opera 3
Něco mezi Kód máme, ale je „nepoužitelný“. Kód je jen pro někoho. Kód není celý (nebo je neaktuální). • IBM Websphere • Apple Mac OS X • Microsoft Shared Source • Nokia Symbian OS, Sun JDK • Visual Basic • Mozilla + Flash • Google Chrome 4
Co je to bezpečnost? Schopnost bránit se útokům • únik informací • modifikace dat • nedostupnost Není to jednorozměrná veličina. Je to spíše trvalý proces než stav. Nelze přesně definovat. 5
Kriteria srovnání Kvalita software Praxe v reálném světě Cena Reálná bezpečnost závisí na velkém množství faktorů a je velmi těžké stanovit univerzální smysluplná kriteria. 6
Kvalita software – přehled Záleží především na • celkovém přístupu • způsobu vývoje (např. Microsoft SDL) • množství zúčastněných • jejich znalostech (např. OWASP) a schopnostech Výsledek snahy • množství chyb a jejich závažnost • rychlost a kvalita reakcí na chyby 7
Kvalita software – chyby Nikdo neumí psát software bez chyb. Počítání chyb nebo patchů? • OSVDB Advanced Search Reakční doba? Nezávislá analýza kódu • Coverity Scan, crowdsourcing Kerckhoffsův princip, Linusův zákon Možnost backdooru? Důvěryhodnost? Placení za chyby? Hacking soutěže? Záruka? Přečtěte si EULA… 8
Praxe – skutečný svět Ekosystém Internetu • software nelze posuzovat v izolaci Ekonomika kyberzločinu • atraktivita cílů, výdělečnost • Malware (in the wild) • APT – Advanced Persistent Threats Šedá ekonomika • motivace komunity, reciprocita – altruismus • obchodování s nalezenými slabinami Penetrační testy • ukazují především lajdáctví správců 9
Cena software – TCO Pořizovací cena Cena zabezpečení Cena údržby, outsourcing Možnost změny dodavatele Riziko EOL U otevřených řešení lze obvykle úroveň zabezpečení (výši investic) flexibilně přizpůsobovat potřebám. U proprietárních častěji situace „ber nebo neber“. 10

Recommandé

Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
DCIT, a.s.
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06
Lukáš Vacek
 
DDoS ochrana pro setkání CSIRT.CZ
DDoS ochrana pro setkání CSIRT.CZDDoS ochrana pro setkání CSIRT.CZ
DDoS ochrana pro setkání CSIRT.CZ
Milan Petrásek
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generace
Milan Petrásek
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Security Session
 
Bartunek
BartunekBartunek
Bartunek
TUESDAY Business Network
 
Microsoft Power Point Kasl
Microsoft Power Point KaslMicrosoft Power Point Kasl
Microsoft Power Point Kasl
TUESDAY Business Network
 
Optimalizace daní: jak na ní?
Optimalizace daní: jak na ní?Optimalizace daní: jak na ní?
Optimalizace daní: jak na ní?
TUESDAY Business Network
 

Recommandé

Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
DCIT, a.s.
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06
Lukáš Vacek
 
DDoS ochrana pro setkání CSIRT.CZ
DDoS ochrana pro setkání CSIRT.CZDDoS ochrana pro setkání CSIRT.CZ
DDoS ochrana pro setkání CSIRT.CZ
Milan Petrásek
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generace
Milan Petrásek
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Security Session
 
Bartunek
BartunekBartunek
Bartunek
TUESDAY Business Network
 
Microsoft Power Point Kasl
Microsoft Power Point KaslMicrosoft Power Point Kasl
Microsoft Power Point Kasl
TUESDAY Business Network
 
Optimalizace daní: jak na ní?
Optimalizace daní: jak na ní?Optimalizace daní: jak na ní?
Optimalizace daní: jak na ní?
TUESDAY Business Network
 
Blogeři média
Blogeři médiaBlogeři média
Blogeři média
TUESDAY Business Network
 
Halamka
HalamkaHalamka
Halamka
TUESDAY Business Network
 
Microsoft Power Point Peterka
Microsoft Power Point PeterkaMicrosoft Power Point Peterka
Microsoft Power Point Peterka
TUESDAY Business Network
 
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTíMaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
TUESDAY Business Network
 
Horak
HorakHorak
Horak
TUESDAY Business Network
 
Microsoft Power Point Ivan Pilny
Microsoft Power Point Ivan PilnyMicrosoft Power Point Ivan Pilny
Microsoft Power Point Ivan Pilny
TUESDAY Business Network
 
TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06
Lukáš Vacek
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
MarketingArrowECS_CZ
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04
Lukáš Vacek
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04
Lukáš Vacek
 
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWAREOCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
Alena Zalejská
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnost
CEINVE
 
06 Cvičení.pptx
06 Cvičení.pptx06 Cvičení.pptx
06 Cvičení.pptx
MagdalnaBohuslavov
 
mDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictvímDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictví
Petr Dvorak
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
Michal ZOBEC
 
Smact a průmysl 4.0
Smact a průmysl 4.0Smact a průmysl 4.0
Smact a průmysl 4.0
Jaroslav Smarda
 
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
OKsystem
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictví
Petr Dvorak
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?
Jiří Peterka
 
Odpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnostOdpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnost
chaplin06
 
Implementace systemu HIPS
Implementace systemu HIPSImplementace systemu HIPS
Implementace systemu HIPS
Security Session
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
Kuba Břečka
 

Contenu connexe

En vedette

MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTíMaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
TUESDAY Business Network
 

En vedette (6)

Blogeři média
Blogeři médiaBlogeři média
Blogeři média
 
Halamka
HalamkaHalamka
Halamka
 
Microsoft Power Point Peterka
Microsoft Power Point PeterkaMicrosoft Power Point Peterka
Microsoft Power Point Peterka
 
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTíMaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
MaráK PostprodukčNí Procesy Vhodné Pro Nasazení SíTí
 
Horak
HorakHorak
Horak
 
Microsoft Power Point Ivan Pilny
Microsoft Power Point Ivan PilnyMicrosoft Power Point Ivan Pilny
Microsoft Power Point Ivan Pilny
 

Similaire à Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik

Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
OKsystem
 
Odpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnostOdpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnost
chaplin06
 
Implementace systemu HIPS
Implementace systemu HIPSImplementace systemu HIPS
Implementace systemu HIPS
Security Session
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
Kuba Břečka
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictví
MobileMondayBratislava
 

Similaire à Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik (20)

TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04
 
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWAREOCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnost
 
06 Cvičení.pptx
06 Cvičení.pptx06 Cvičení.pptx
06 Cvičení.pptx
 
mDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictvímDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictví
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
 
Smact a průmysl 4.0
Smact a průmysl 4.0Smact a průmysl 4.0
Smact a průmysl 4.0
 
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictví
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?
 
Odpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnostOdpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnost
 
Implementace systemu HIPS
Implementace systemu HIPSImplementace systemu HIPS
Implementace systemu HIPS
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
 
Vývoj Windows Store aplikací pomocí HTML, CSS a Javascriptu
Vývoj Windows Store aplikací pomocí HTML, CSS a JavascriptuVývoj Windows Store aplikací pomocí HTML, CSS a Javascriptu
Vývoj Windows Store aplikací pomocí HTML, CSS a Javascriptu
 
08 jan muller [režim kompatibility]
08 jan muller [režim kompatibility]08 jan muller [režim kompatibility]
08 jan muller [režim kompatibility]
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictví
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
 

Plus de TUESDAY Business Network

2011 0330 czech open coffee info for developers
2011 0330 czech open coffee info for developers2011 0330 czech open coffee info for developers
2011 0330 czech open coffee info for developers
TUESDAY Business Network
 
Belbinův dotazník odpovědní formulář
Belbinův dotazník odpovědní formulářBelbinův dotazník odpovědní formulář
Belbinův dotazník odpovědní formulář
TUESDAY Business Network
 
Case study: Z malé firmy do velké - Ondřej Tomek
Case study: Z malé firmy do velké - Ondřej TomekCase study: Z malé firmy do velké - Ondřej Tomek
Case study: Z malé firmy do velké - Ondřej Tomek
TUESDAY Business Network
 
A nejlepší jsou fanoušci - Josef Havelka
A nejlepší jsou fanoušci - Josef HavelkaA nejlepší jsou fanoušci - Josef Havelka
A nejlepší jsou fanoušci - Josef Havelka
TUESDAY Business Network
 
Kompetence a rozvoj podnikatelů - Monika Barton
Kompetence a rozvoj podnikatelů - Monika BartonKompetence a rozvoj podnikatelů - Monika Barton
Kompetence a rozvoj podnikatelů - Monika Barton
TUESDAY Business Network
 
Pmd project value_management_sent [režim kompatibility]
Pmd project value_management_sent [režim kompatibility]Pmd project value_management_sent [režim kompatibility]
Pmd project value_management_sent [režim kompatibility]
TUESDAY Business Network
 
Výsledky soutěže Best Project Management 2010
Výsledky soutěže Best Project Management 2010Výsledky soutěže Best Project Management 2010
Výsledky soutěže Best Project Management 2010
TUESDAY Business Network
 
Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...
Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...
Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...
TUESDAY Business Network
 
Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...
Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...
Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...
TUESDAY Business Network
 
Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...
Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...
Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...
TUESDAY Business Network
 
Lessons Learned - od interim managera - Ján Dolejš (PP Partners)
Lessons Learned - od interim managera - Ján Dolejš (PP Partners)Lessons Learned - od interim managera - Ján Dolejš (PP Partners)
Lessons Learned - od interim managera - Ján Dolejš (PP Partners)
TUESDAY Business Network
 

Plus de TUESDAY Business Network (20)

S Androidem do lesa
S Androidem do lesaS Androidem do lesa
S Androidem do lesa
 
2011 0330 czech open coffee info for developers
2011 0330 czech open coffee info for developers2011 0330 czech open coffee info for developers
2011 0330 czech open coffee info for developers
 
Tuesday manual firemniho_clena2011
Tuesday manual firemniho_clena2011Tuesday manual firemniho_clena2011
Tuesday manual firemniho_clena2011
 
Belbinův obrázek
Belbinův obrázekBelbinův obrázek
Belbinův obrázek
 
Belbinův popis rolí
Belbinův popis rolíBelbinův popis rolí
Belbinův popis rolí
 
Belbinův dotazník odpovědní formulář
Belbinův dotazník odpovědní formulářBelbinův dotazník odpovědní formulář
Belbinův dotazník odpovědní formulář
 
Radana Brábníková - myšlenkové mapy
Radana Brábníková - myšlenkové mapyRadana Brábníková - myšlenkové mapy
Radana Brábníková - myšlenkové mapy
 
Case study: Z malé firmy do velké - Ondřej Tomek
Case study: Z malé firmy do velké - Ondřej TomekCase study: Z malé firmy do velké - Ondřej Tomek
Case study: Z malé firmy do velké - Ondřej Tomek
 
Spousta energie - Miroslav Spousta
Spousta energie - Miroslav SpoustaSpousta energie - Miroslav Spousta
Spousta energie - Miroslav Spousta
 
Neuroekonomika - František Koukolík
Neuroekonomika - František KoukolíkNeuroekonomika - František Koukolík
Neuroekonomika - František Koukolík
 
Strategické řízení HR - Iva Bursová
Strategické řízení HR - Iva BursováStrategické řízení HR - Iva Bursová
Strategické řízení HR - Iva Bursová
 
A nejlepší jsou fanoušci - Josef Havelka
A nejlepší jsou fanoušci - Josef HavelkaA nejlepší jsou fanoušci - Josef Havelka
A nejlepší jsou fanoušci - Josef Havelka
 
Kompetence a rozvoj podnikatelů - Monika Barton
Kompetence a rozvoj podnikatelů - Monika BartonKompetence a rozvoj podnikatelů - Monika Barton
Kompetence a rozvoj podnikatelů - Monika Barton
 
Pmd project value_management_sent [režim kompatibility]
Pmd project value_management_sent [režim kompatibility]Pmd project value_management_sent [režim kompatibility]
Pmd project value_management_sent [režim kompatibility]
 
Výsledky soutěže Best Project Management 2010
Výsledky soutěže Best Project Management 2010Výsledky soutěže Best Project Management 2010
Výsledky soutěže Best Project Management 2010
 
Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...
Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...
Projekt v krizi - konkrétní příklady projektů v krizi - Viktor Seige (Raiffei...
 
Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...
Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...
Co to je krize projektu aneb jak vytáhnout projekt z bryndy - Petr Maňas (Kla...
 
Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...
Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...
Praktický kontrolling při realizaci projektů ve stavebnictví - včasnost - Gyu...
 
Lessons Learned - od interim managera - Ján Dolejš (PP Partners)
Lessons Learned - od interim managera - Ján Dolejš (PP Partners)Lessons Learned - od interim managera - Ján Dolejš (PP Partners)
Lessons Learned - od interim managera - Ján Dolejš (PP Partners)
 
Cyrani2
Cyrani2Cyrani2
Cyrani2
 

Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik

  • 1. Bezpečnost otevřených a uzavřených řešení Autor: Martin Mačok (macok@dcit.cz) DCIT, a.s., http://www.dcit.cz
  • 2. Otevřená řešení K dispozici jsou zdrojové kódy software a určitá míra svobody s nimi nakládat. • Free/Open source software licence • GPL, BSD, Apache, MIT, public domain • Obvykle je software volně šiřitelný. • Neplést se softwarem „zadarmo“. Příklady • GNU/Linux, Apache, PHP • Mozilla Firefox 2
  • 3. Uzavřená řešení Kód má pouze výrobce (dodavatel). Celý „potravní“ řetězec je víceméně závislý na jednom subjektu. • Proprietární/„Komerční“ software • Microsoft Windows, HP-UX, IBM AIX • Adobe Reader / Flash • AutoCAD • Internet Explorer, Opera 3
  • 4. Něco mezi Kód máme, ale je „nepoužitelný“. Kód je jen pro někoho. Kód není celý (nebo je neaktuální). • IBM Websphere • Apple Mac OS X • Microsoft Shared Source • Nokia Symbian OS, Sun JDK • Visual Basic • Mozilla + Flash • Google Chrome 4
  • 5. Co je to bezpečnost? Schopnost bránit se útokům • únik informací • modifikace dat • nedostupnost Není to jednorozměrná veličina. Je to spíše trvalý proces než stav. Nelze přesně definovat. 5
  • 6. Kriteria srovnání Kvalita software Praxe v reálném světě Cena Reálná bezpečnost závisí na velkém množství faktorů a je velmi těžké stanovit univerzální smysluplná kriteria. 6
  • 7. Kvalita software – přehled Záleží především na • celkovém přístupu • způsobu vývoje (např. Microsoft SDL) • množství zúčastněných • jejich znalostech (např. OWASP) a schopnostech Výsledek snahy • množství chyb a jejich závažnost • rychlost a kvalita reakcí na chyby 7
  • 8. Kvalita software – chyby Nikdo neumí psát software bez chyb. Počítání chyb nebo patchů? • OSVDB Advanced Search Reakční doba? Nezávislá analýza kódu • Coverity Scan, crowdsourcing Kerckhoffsův princip, Linusův zákon Možnost backdooru? Důvěryhodnost? Placení za chyby? Hacking soutěže? Záruka? Přečtěte si EULA… 8
  • 9. Praxe – skutečný svět Ekosystém Internetu • software nelze posuzovat v izolaci Ekonomika kyberzločinu • atraktivita cílů, výdělečnost • Malware (in the wild) • APT – Advanced Persistent Threats Šedá ekonomika • motivace komunity, reciprocita – altruismus • obchodování s nalezenými slabinami Penetrační testy • ukazují především lajdáctví správců 9
  • 10. Cena software – TCO Pořizovací cena Cena zabezpečení Cena údržby, outsourcing Možnost změny dodavatele Riziko EOL U otevřených řešení lze obvykle úroveň zabezpečení (výši investic) flexibilně přizpůsobovat potřebám. U proprietárních častěji situace „ber nebo neber“. 10