Datové schránky ante portas

Transkript

1 Datové schránky ante portas

2 tak Nepropadejte panice!

3 Bezpečnost poprvé CSRF/XSRF

4 CSRF/XSRF

5 CSRF/XSRF SCRIPT SRC <script src=" 'Image' Object <script> var mess = new Image(); mess.src = " </script> Např. na YouTube byl zranitelný každý formulář, který jsme testovali

6 CSRF/XSRF IMG SRC <img src=" IFRAME SRC <iframe src="

7 CSRF/XSRF

8 CSRF/XSRF

9 CSFR/XSFR Je to omezeno na HTML? Vůbec ne, lze zneužít MS Word dokument, video formáty, flashe, RSS nebo Atom, XML dokumenty a parsery. Nezáleží na tom, jestli server používá pouze POST nebo i GET.

10 ISDS proti CSRF/XSRF

11 Žádná souběžná připojení

12 Bezpečnost podruhé PHISHING

13 Phishing Prokazujeme se systémovým certifikátem ové notifikace jsou podepsány Notifikační servery mají nastaveno SPF Připravujeme implementaci DNSSEC Všechny zprávy mají vzor v dokumentaci Informace o posledním přihlášení k systému Vzdělávací anti-phishingová hra

14 Filip versus Rhybáři Klikni si..! / datovaschranka.cz / dat0vaschranka.cz/login.html

15 Odstranění rizika phishingu Vzdálený uživatel Internetová kavárna Klientský portál Nastavení ESS Přístupová brána HSS 1. Uživatel jedenkrát vloží přihlašovací údaje. 2. Systém z nich vypočte hash, který uloží. 3. Uživatel obdrží nové přihlašovací údaje. 4. Tyto nelze zvenčí zneužít a mohou být spjaty s IP.

16 Odstranění phishingové pošty Reaguje na skutečnost, že všechny e- mailové notifikace ISDS jsou digitálně podepsány a odchozí server má nastaveno SPF: Odstraní y bez platného podpisu Odstraní y s jinou než definovanou trasou doručení (obálka vs. zpráva)

17 Bezpečnost potřetí KRÁDEŽ RELACE

18 Ukradení relace 2- ověření, vystavení cookie 1 požadavek uživatele 3 otevření relace

19 Ukradení relace 5 obejití přihlášení 2- ověření, vystavení cookie 4 krádež cookie 1 požadavek uživatele 6 krádež relace 3 otevření relace

20 Žádné ukradené relace Vzdálený uživatel CV CV Internetová kavárna Klientský portál CV Nastavení ESS C C Přístupová brána CV CV/CP (hash) HSS CV 1. Cookie je rozděleno na CV a CP. 2. Systém ukládá pouze hash CP. 3. V prohlížečích je pouze CV. 4. Ukradeným cookie se nelze přihlásit.

21 Bezpečnost počtvrté BROWSER

22 Bezpečnost prohlížečů Ukončete všechna připojení k internetu Vždy se přihlašujte z nové instance prohlížeče Nikdy nepoužívejte paralelní práci v panelech Vždy se korektně odhlašujte pomocí tlačítka Odhlásit

23 Autodestrukční tlačítko

24 Autodestrukční tlačítko

25 Bezpečnost popáté CERTIFIKÁT

26 Přihlašování do ISDS Nastavení Autentizace Portál a WS Primární DC Sekundární DC

27 Doporučené připojení k portálu Použití komerčního certifikátu pro přístup Uložení v technickém prostředku Příklad: IronKey Personal S200 HW šifrování AES 256-bitů Kapacita až 16GB Čtení 30MB/s zápis 28MB/s Vzdálená správa Aktivní obrana proti kódům

28 Doporučené připojení ESS/HSS Vzdálená správa úložišť certifikátů Zničení ukradených či ztracených Připojení výlučně k podnikovým PC Virtuální desktop pro vzdálené uživatele

29 Vlastní certifikační autorita DNS/AA nebo DNSSEC C C CV CV a hash CP SOAP/WS 1. Systém pracuje jako certifikační autorita. 2. Klient/server dostávají vlastní certifikát od proxy. 3. HTTP proxy umí dešifrovat/zašifrovat SSL. 4. Ostrý certifikát je odesílán z bezpečného keystore. 5. Server-Cert-Match_Domain kontroluje shodu.

30 Bezpečnost pošesté FORMÁT ZFO

31 Formát datové zprávy

32 Bezpečnost plug-inu Zakázat stahování nepodepsaných ActiveX prvků (doporučeno) Účelem filleru není číst formuláře, ale ukládat zprávy pro institucionální archív

33 Bezpečnost aplikací 3. stran Ověřování uživatelů Systém řízení obsahu Šifrované úložiště příloh Bezpečný přístup Systémový certifikát (keystore) Šifrované úložiště metadat (a ZFO)

34 Bezpečnost posedmé DNS/AA

35 Autoritativní DNS URL URL URL Nejsou akceptovány záznamy z host tabulek URL URL Cache ani DNS nemají AA Má AA Má AA Autoritativní DNS

36 Kontakt Radek Smolík Bezpečnostní architekt