Jak bezpieczne są Twoje dane w Internecie?



Podobne dokumenty
Szczegółowy opis przedmiotu zamówienia:

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Sieciowa instalacja Sekafi 3 SQL

Program szkolenia: Bezpieczny kod - podstawy

11. Autoryzacja użytkowników

Portal Security - ModSec Enterprise

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Bezpieczeństwo usług oraz informacje o certyfikatach

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

OCHRONA PRZED RANSOMWARE

Kancelaria Prawna.WEB - POMOC

DESlock+ szybki start

Sieci bezprzewodowe WiFi

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Kompleksowe Przygotowanie do Egzaminu CISMP

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Integral over IP. Integral over IP. SCHRACK SECONET POLSKA K.Kunecki FIRE ALARM

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

1. Bezpieczne logowanie i przechowywanie hasła

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Projektowanie bezpieczeństwa sieci i serwerów

Sprawozdanie nr 4. Ewa Wojtanowska

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Aplikacja internetowa ebiling

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

SSL (Secure Socket Layer)

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wymagania systemu AudaNet

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

Zapewnienie dostępu do Chmury

Instrukcja instalacji serwera bazy danych Microsoft SQL Server Express 2014

Narzędzia klienta usługi archiwizacji

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

F-Secure Mobile Security for S60

ekopia w Chmurze bezpieczny, zdalny backup danych

proxy.cmkp.edu.pl: Uruchom przeglądarkę 2. Przycisk Menu (po prawej stronie okna), następnie pozycja Ustawienia

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Część I Tworzenie baz danych SQL Server na potrzeby przechowywania danych

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

ZiMSK. Konsola, TELNET, SSH 1

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Rozwiązywanie problemów z DNS i siecią bezprzewodową AR1004g v2

Wymagania techniczne systemu AudaNet/BRE

IIS 7.5 Instalacja certyfikatów pośrednich na serwerze Windows 2008/2012. wersja 1.0

CEPiK 2 dostęp VPN v.1.7

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Instrukcja użytkownika

Wymagania systemowe dla Qlik Sense. Qlik Sense February 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zdalne logowanie do serwerów

Polityka prywatności

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Serwery autentykacji w sieciach komputerowych

Instalacja programu Ozon.

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Dostęp bezprzewodowy do Uczelnianej Sieci Komputerowej Politechniki Poznańskiej Instrukcja dla studentów Politechniki Poznańskiej

INSTRUKCJA UŻYTKOWNIKA usługi ebanknet oraz Bankowości Mobilnej PBS Bank

POLITECHNIKA POZNAŃSKA

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Win Admin Monitor Instrukcja Obsługi

AKADEMIA GÓRNICZO-HUTNICZA Wydział Elektrotechniki, Automatyki, Informatyki i Elektroniki

Instrukcja aktywacji aplikacji Mobile Biznes

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

9. System wykrywania i blokowania włamań ASQ (IPS)

Internetowy serwis Era mail Aplikacja sieci Web

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Aktualizacja dodatku Saba Security Plugin w przeglądarce Firefox 56

Sieci VPN SSL czy IPSec?

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Pomoc dla usługi GMSTHostService. GMSTHostService. Pomoc do programu 1/14

Problematyka bezpieczeństwa usług Web Services. Witold Andrzejewski

Agenda. Quo vadis, security? Artur Maj, Prevenity

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

ASQ: ZALETY SYSTEMU IPS W NETASQ

Pracownia internetowa w szkole podstawowej (edycja jesień 2005)

INSTRUKCJA INSTALACJI SYSTEMU

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP) 2. Rejestracja użytkownika przy użyciu hasła maskowalnego dla klientów

Konfiguracja własnego routera LAN/WLAN

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

System kontroli wersji - wprowadzenie. Rzeszów,2 XII 2010

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Transkrypt:

Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki

Plan prezentacji 1. Wstęp 2. Jak bezpieczne są Twoje dane w bazie danych? 1. Dostęp do bazy danych 2. Szyfrowanie bazy danych 3. Systemy mobilne 1. Zagrożenia 2. Jak uchronić się przed atakami? 3. Podstawowe zasady zabezpieczenia własnych aplikacji 4. Bezpieczeństwo danych w aplikacji webowej 1. Sposoby ochrony aplikacji webowych 2. Standardy oceny bezpieczeństwa aplikacji webowych 5. Bezpieczeństwo i ochrona danych w sieci 6. Podsumowanie

Jak bezpieczne są Twoje dane w bazie danych? _

Dostęp do bazy danych Role w Microsoft SQL Server 2012 Dodawanie użytkownika do grupy sp_addrolemember 'nazwa_grupy', 'nazwa_użytkownika' Usuwanie użytkownika z grupy sp_droprolemember 'nazwa_grupy', 'nazwa_użytkownika' Użytkownik SA zakaz wykorzystywania przez aplikacje! "Dedykowany" użytkownik i zasada least privileges

Szyfrowanie bazy danych Szyfrowanie całej bazy danych Transparent Data Encryption (TDE) Database Encryption Key (DEK) Extensible Key Management (EKM) 1. Utworzenie klucza głównego (baza master) 2. Utworzenie certyfikatu chroniącego utworzony wcześniej klucz (baza master) 3. Utworzenie klucza DEK (baza aplikacji) 1. Wybór rodzaju szyfrowania 2. Wskazanie certyfikatu zabezpieczającego 4. Uruchomienie szyfrowania na bazie aplikacji

Szyfrowanie bazy danych Szyfrowanie pojedynczych kolumn 1. Utworzenie klucza głównego i certyfikatu, który zabezpiecza klucz (baza aplikacji) 2. Wygenerowanie symetrycznego klucza do szyfrowania/deszyfrowania danych 3. Proces szyfrowania 1. Otwarcie klucza szyfrującego (ad. 2) 2. Wpisywanie danych (EncryptByKey) / odczyt danych (DecryptByKey) 3. Zamknięcie klucza

Jak bezpieczne są Twoje dane w systemach mobilnych? _

Zagrożenia 1. Wyciek prywatnych i poufnych danych; 2. Możliwość wysyłania "SMS Premium"; 3. Określenie naszej aktualnej pozycji GPS; 4. Usunięcie danych; 5. Wyłudzanie pieniędzy; 6. i wiele innych.

Jak uchronić się przed atakami? 1. Korzystanie z telefonu 1. Aktualizowanie wersji oprogramowania telefonu; 2. Stosowanie zabezpieczeń takich jak: 1. Hasło dla ekranu blokady; 2. Przejście w stan uśpienia po określonym czasie; 3. Internet, Wi-Fi, Bluetooth uruchomione tylko wtedy gdy ich potrzebujemy; 4. Unikać ładowania telefonu w miejscach publicznych; 5. Unikać korzystania z publicznej, nie zabezpieczonej sieci Wi-Fi; 6. i wiele innych;

Jak uchronić się przed atakami? 1. Aplikacje 1. Pobieranie aplikacji tylko z zaufanego źródła (oficjalny sklep); 2. Posiadanie aplikacji tylko tych których potrzebujemy; 3. Sprawdzenie uprawnień jakie potrzebuje aplikacja; 4. Aktualizacje; 2. Ustawienia przeglądarki internetowej 1. Wyłączenie JavaScriptu, wtyczek, okienek pop-up; 2. Wyłączenie ciasteczek; 3. Wyłączenie opcji zapamiętywania hasła;

Podstawowe zasady zabezpieczenia własnych aplikacji

Podstawowe zasady zabezpieczenia własnych aplikacji 1. Komunikacja z serwerem backendowym; 2. Przechowywanie istotnych danych na urządzeniu 1. Hasła; 2. Dane osobowe; 3. Ochrona przed różnymi rodzajami wstrzyknięć; 4. Szyfrowanie połączenia; 5. Ograniczyć do minimum pobierania wymaganych danych oraz uzyskania uprawnień do aplikacji systemowych;

Jak bezpieczne są Twoje dane w aplikacjach internetowych?

Sposoby ochrony aplikacji internetowych - bezpieczeństwo kodu

Sposoby ochrony aplikacji internetowych zabezpieczenia sieciowe Zabezpieczenia sieciowe oraz Intrusion Prevention System są podstawą do tworzenia bezpieczeństwa architektury sieci. Systemy te działają poprzez analizę ruchu sieciowego za pomocą dwóch metod: Analiza heurystyczna Analiza sygnaturowa

Sposoby ochrony aplikacji internetowych odpowiednia kontrola dostępu do danych Kontrola dostępu do danych Błędne założenia twórców aplikacji Rekordy w bazie danych. Ma to swoje zalety, ale również wady.

Sposoby ochrony aplikacji internetowych - WAF Służy do zabezpieczenia serwerów aplikacji webowych. Web Application Firewall pozwala zabezpieczyć się przed zagrożeniami Zastosowanie WAF

OWASP Czym jest OWASP? ASVS zawiera 4 poziomy weryfikacji aplikacji webowej. Każdy poziom zawiera odpowiednie wymagania Poziom 1 Poziom 2 Poziom 3 Poziom 4

OSSTM Metodyka należąca do ISECOM (Institute for Security and Open Methodology) Główne cele określone przez twórców OSSTM mają doprowadzić do stwierdzenia prawdziwości założeń, m.in. : Testy przeprowadzono dokładnie, Założenia testów były zgodne z prawem Wyniki testów są zgodne I powtarzalne Wyniki zawierają wyłącznie fakty, pochodzące z przeprowadzonych badań OSSTM jest podzielona na pięć sekcji opisujących zagadnienia

Jak bezpieczne są Twoje dane _ podczas transmisji w sieci Internet?

Bezpieczeństwo przesyłanych danych poprzez sieć Internet Ochrona sieci LAN Firewall Rewizja Szyfrowanie Protokoły bezpiecznej transmisji SSL/TLS HTTPS SFTP

Ochrona sieci LAN Firewall Zapory filtrujące Translacja adresów sieciowych - NAT Zapory pośredniczące - Proxy Rewizja Prowadzi rejestr operacji wykonywanych przez użytkowników Wykrywanie ataków Śledzenie dostępów do serwerów

Szyfrowanie Główne aspekty szyfrowania: Poufność Integralność Niezaprzeczalność Typy szyfrowania Szyfrowanie z kluczem pojedynczym - symetryczne Szyfrowanie z kluczem publicznym - asymetryczne

Protokoły bezpiecznej transmisji SSL/TLS Prywatność Autoryzacja Integralność przesyłanych danych HTTPS SFTP WinSCP Total Commander po zainstalowaniu SFTP Plugin OpenSSH

Dziękujemy za uwagę _