May 28 th 29 th 2014 28. 29. května 2014

15 th International Conference 15. ročník mezinárodní konference P R A G U E P R A H A MODERN AND PRACTICAL APPROACHES TO SECURITY BEZPEČNOST MODERNĚ A PRAKTICKY May 28 th 29 th 2014 28. 29. května 2014 New Town Hall / Novoměstská radnice Under the auspices of / Záštita Ing. Zdeněk Adamec Deputy Minister of Agriculture náměstek ministra zemědělství pro ekonomiku a informační technologie Ing. Jaroslav Šmíd Deputy Director of the National Security Authority náměstek ředitele Národního bezpečnostního úřadu

DEAR MADAM, DEAR SIR, I have, again, the pleasure to offer you the opportunity to meet the top experts in information technology and information systems risk management both from the Czech Republic and abroad at the now traditional IS2 Conference. The theme for the fifteenth annual conference is Modern and Practical Approaches to Security. The conference will be held at the New Town Hall in Prague on the 28 th 29 th May, 2014. For DSM Magazine and its subscribers and readers the annual conference is one of the top events of the year for ICT and information security management. During the two-day conference you will have the opportunity to meet experts in both ICT and information security. We will certainly not be leaving out the traditional evening reception at the end of the first day. We trust that the interesting programme in the pleasant surroundings of the New Town Hall will give you an ideal opportunity for both a formal and informal exchange of information with your colleagues from ICT. We look forward to seeing you at the conference. Yours Ing. Mgr. et Mgr. Zdeněk Říha, Ph.D. On behalf of the IS2 Programme Committee Daniela Vágnerová On behalf of the IS2 Organizing Committee

PROGRAMME COMMITTEE / PROGRAMOVÝ VÝBOR Lukáš Klášterský, Česká pojišťovna Václav Matyáš, MU Brno and DSM Jan Mikulecký, Česká pošta Eva Racková, DSM Zdeněk Říha, MU Brno (chairman) Marcel Zanechal, Slovak Telecom and DSM VÁŽENÁ PANÍ, VÁŽENÝ PANE, máme to potěšení Vám letos znovu nabídnout možnost setkání se špičkovými odborníky na informační technologie a řízení rizik informačních systémů z České republiky i ze zahraničí na tradiční konferenci IS2. Tématem letošního, již patnáctého, ročníku je Bezpečnost moderně a prakticky. Konference se bude konat v prostorách Novoměstské radnice v Praze ve dnech 28. 29. května 2014. Pro časopis DSM i odbornou obec jeho předplatitelů a čtenářů je tato pravidelná květnová konference jedním z vrcholu celoroční práce v oblasti ICT a řízení informační bezpečnosti. V průběhu dvou dnů konference budete mít možnost se setkat jak s experty v oblasti řízení ICT, tak v oblasti informační bezpečnosti. Chybět samozřejmě nebude ani tradiční večerní setkání na závěr prvního dne konference. Věříme, že zajímavý program v příjemném prostředí Novoměstské radnice bude pro Vás příležitostí k formální i neformální výměně informací s kolegy z oboru ICT. Na setkání s Vámi se těší Ing. Mgr. et Mgr. Zdeněk Říha, Ph.D. za programový výbor IS2 Daniela Vágnerová za organizační výbor IS2

PROGRAMME Wednesday, May 28 th 2014 8:00 9:00 Registration, coffee Good morning partner 9:00 9:30 Opening Ceremony 9:30 10:15 Data protection at Europol Jan Ellermann... responsible for data protection at Europol 10:15 11:00 The data protection reforms in the EU - an opportunity and a challenge Igor Němec... former National Audit Office Minister and the current President of the Office for Personal Data Protection 11:00 11:30 Coffee break 11:30 12:15 Digital Laundry An analysis of online currencies, and their use in cybercrime Raj Samani... will digital currencies change our world? 12:15 13:30 Lunch 13:30 14:15 Unstructured Data Analysis Marek Zeman... a new perspective on processing security logs during the analysis of frauds 14:15 15:00 Czechoslovakia: Anti-virus superpower? Petr Odehnal... the founder of AVG 15:00 15:30 Coffee break 15:30 16:30 BYOD Jakub Geršl... expert on Security for New Mobile Products Jan Mikulecký... Cyber Security Specialist 16:30 18:00 Panel Discussion: BYOD Chaired by: Lukáš Klášterský 19:00 22:00 Reception Buffet 4

2 0 1 4 P R A G U E P R A H A PROGRAM Středa 28. května 2014 8:00 9:00 Registrace, káva Partner dobrého rána 9:00 9:30 Slavnostní zahájení 9:30 10:15 Ochrana dat v Europolu Jan Ellermann... zodpovědný za ochranu osobních údajů v Europolu 10:15 11:00 Reforma ochrany dat v EU šance i výzva Igor Němec... bývalý ministr státní kontroly a dnes předseda ÚOOÚ 11:00 11:30 Káva 11:30 12:15 Digitální prádelna Analýza on-line měn a jejich využití v počítačové kriminalitě Raj Samani... změní digitální měny náš svět? 12:15 13:30 Oběd 13:30 14:15 Analýza neštruktúrovaných údajov Marek Zeman... nový pohľad na spracovanie bezpečnostných logov pri analýze podvodného konania 14:15 15:00 Československo: Antivirová velmoc? Petr Odehnal... zakladatel AVG 15:00 15:30 Káva 15:30 16:30 BYOD Jakub Geršl... odborník na bezpečnost nových mobilních produktů Jan Mikulecký... specialista na kybernetickou bezpečnost 16:30 18:00 Panelová diskuse: BYOD moderátor: Lukáš Klášterský 19:00 22:00 Recepce 5

PROGRAMME Thursday, May 29 th 2014 8:00 9:00 Registration, coffee Good morning partner 9:00 9:15 Opening Adress 9:15 9:50 Security architecture for the remote storage of passwords and keys Martin Hanzal, Petr Švenda... How to protect your cloud data from NSA? 9:50 10:25 BYOD 2 wearables: what do they give to and take from companies? Jan Andraščík, Petra Fritzová... Mobile Security Specialists 10:25 11:00 Malware in the mobile Róbert Lipovský... you never know exactly what you are carrying... 11:00 11:30 Coffee break 11:30 12:15 Mobile phone security Kyrre Sletsjøe... expert in the decryption of mobile communications 12:15 13:15 Round table discussion: Cybersecurity Chaired by: Jan Mikulecký 13:15 14:30 Lunch 14:30 15:05 The security threats and vulnerabilities of mobile internet banking Jan Sechovec... a live demo of the vulnerabilities of internet banking 15:05 15:50 HTTP/2.0 security issues Danilo Gligoroski... leading cryptologist and co-author of the Norwegian-Czech BMW hash function design 15:50 16:15 Lottery Draw, Closing Ceremony 6

2 0 1 4 P R A G U E P R A H A PROGRAM Čtvrtek 29. května 2014 8:00 9:00 Registrace, káva Partner dobrého rána 9:00 9:15 Zahájení druhého dne 9:15 9:50 Bezpečné vzdálené úložiště klíčů Martin Hanzal, Petr Švenda... Jak ochránit svá data v cloudu před NSA? 9:50 10:25 BYOD 2 wearables: Co společnostem přináší a co jim berou Jan Andraščík, Petra Fritzová... specialisté na mobilní bezpečnost 10:25 11:00 Škodlivý kód vo vrecku Róbert Lipovský... ani nevíte, co nosíte... 11:00 11:30 Káva 11:30 12:15 Bezpečnost mobilních telefonů Kyrre Sletsjøe... expert na dešifrování mobilních komunikací 12:15 13:15 Kulatý stůl: Kyberbezpečnost moderátor: Jan Mikulecký 13:15 14:30 Oběd 14:30 15:05 Bezpečnostní hrozby a zranitelnosti mobilního internetového bankovnictví Jan Sechovec... živá ukázka slabin internetového bankovnictví 15:05 15:50 Bezpečnostní aspekty HTTP/2.0 Danilo Gligoroski... špičkový kryptolog a spoluautor norsko-českého návrhu hašovací funkce BMW 15:50 16:15 Vylosování soutěže tombola, slavnostní zakončení 7

JAN ELLERMANN Jan Ellermann works as a Senior Specialist in Europol s Data Protection Office. He joined Europol in late 2007 after starting his professional career as a research assistant and lawyer in Germany, later serving his country as a Public Prosecutor. Jan holds a doctoral degree in law connected to Europol and the FBI. He provides operational data protection related guidance across the organisation. DATA PROTECTION AT EUROPOL The European Union launched its own European Cybercrime Centre (EC3) at the beginning of 2013. A related feasibility study carried out for the European Commission reveals that, next to operational considerations, strong data protection safeguards constitute one of the main factors for having the centre hosted at the European Police Office (Europol). Data protection and the fight against cybercrime do not generally constitute a contradiction. On the contrary, due protection of information relating to identified or identifiable natural persons is a prerequisite for preventing identity theft and other forms of cybercrime. The talk I would like to give will illustrate the solid data protection regime at Europol. Prominent features in this regard are independent data protection supervision, Europol s secure information exchange capabilities, data protection compliant outreach to the private sector and most importantly clearly defined purpose specifications for processing operations upon personal data in Europol s databases. The aims of preventing and combating cybercrime are balanced against the goal of safeguarding the freedom of individuals. In fact, they go hand in hand: at Europol, it is recognised that the data protection rules in place are essential for the success of operations. High data protection standards lead to a high quality of data which itself is a precondition for high quality crime analysis. IGOR NĚMEC Dr. Igor Němec studied numerical mathematics at the Faculty of Mathematics and Physics at Charles University in Prague. He started his career as an analyst and later worked on software development. He was elected to the Chamber of Deputies of the former ČSSR. This started his long-term political career. He became a minister in several governments; from 1996 to1997 he led the Office for the State Information System. After that he returned to politics and in 2002 was Mayor of the City of Prague for a short period of time. He has been the President of the Office for Personal Data Protection since 2005, and is currently in his second term of office. He is married with four children. THE DATA PROTECTION REFORMS IN THE EU AN OPPORTUNITY AND A CHALLENGE The protection of personal data in the EU is currently undergoing a revision that should become a model throughout the world. This will be the most significant change over the last twenty years. Dr. Němec will present the main cornerstones of the revision, explain what it will bring and what it will mean for individuals, companies, organizations and privacy regulatory bodies. Both documents (the General Directive on data protection and police and judicial cooperation in criminal matters regulations) were approved by a vote in the European Parliament by 12 March 2014. This was another tangible step towards the final approval of both documents. The speaker will also share his opinion about when the revised documents will come into force. 8

2 0 1 4 P R A G U E P R A H A JAN ELLERMANN Jan Ellermann pracuje jako senior specialista v úřadu pro ochranu dat Europolu. V Europolu začal pracovat koncem roku 2007 po zahájení své profesní kariéry jako výzkumný asistent a právník v Německu, později pracoval jako státní zástupce. Jan má doktorát v oboru práva souvisejícího s Europolem a FBI. Poskytuje provozní pokyny týkající se ochrany dat v rámci celé organizace. OCHRANA DAT V EUROPOLU Evropská unie zahájila činnost svého Evropského střediska počítačové kriminality (EC3), na začátku roku 2013. Odpovídající studie proveditelnosti realizovaná pro Evropskou komisi ukazuje, že vedle provozních záležitostí mluví pro umístění při Europolu hlavně silné záruky ochrany údajů. Ochrana osobních údajů a boj proti počítačové kriminalitě obecně nepředstavují rozpor. Naopak, patřičná ochrana údajů o identifikovaných nebo identifikovatelných fyzických osobách je předpokladem pro prevenci krádeží identit a jiných forem počítačové kriminality. Příspěvek bude ilustrovat striktní režim ochrany údajů v Europolu. Význačné rysy v tomto ohledu jsou nezávislý dohled nad ochranou dat, schopnosti bezpečné výměny informací v Europolu, odpovídající ochrana dat i v soukromého sektoru a co je nejdůležitější, jasně definované specifikace účelu při zpracování osobních údajů v databázích Europolu. Cíle prevence a boje s počítačovou trestnou činností jsou v rovnováze s cílem zajištění svobody jednotlivců. Ve skutečnosti jdou tyto cíle ruku v ruce. V Europolu se uznává, že pravidla na ochranu dat jsou nezbytné pro úspěch operací. Vysoké standardy ochrany dat vedou k vysoké kvalitě dat, která je sama o sobě předpokladem pro vysoce kvalitní analýzu kriminality. IGOR NĚMEC RNDr. Igor Němec vystudoval numerickou matematiku na Matematicko-fyzikální fakultě Univerzity Karlovy v Praze. Svoji kariéru začal jako analytik, později se věnoval vývoji softwaru. V roce 1990 byl zvolen poslancem Federálního shromáždění tehdejší ČSSR. Tím nastoupil dlouholetou politickou dráhu. Stal se ministrem v několika vládách, v letech 1996-1997 řídil Úřad pro státní informační systém, pak se vrátil do politiky a v roce 2002 nakrátko okusil práci primátora hlavního města Prahy. Od roku 2005 je předsedou Úřadu pro ochranu osobních údajů a v současnosti vykonává své druhé funkční období. Je ženatý a má čtyři děti. REFORMA OCHRANY DAT V EU ŠANCE I VÝZVA Ochrana osobních údajů v EU nyní prochází reformou, která má ambici stát se vzorem i v globálním měřítku. Jde o největší modernizaci za posledních téměř dvacet let. RNDr. Němec představí základní prvky reformy, vysvětlí, které významné novinky přinese a co konkrétně budou znamenat pro jednotlivce, firmy, instituce, ale také pro činnost orgánů dozoru pro ochranu dat. Dne 12. března 2014 prošly oba základní reformní dokumenty (obecné nařízení o ochraně údajů, směrnice o policejní a justiční spolupráci v trestních věcech) plenárním hlasováním v Evropském parlamentu. Tím byl učiněn další hmatatelný krok ke konečnému schválení obou reformních předpisů. Přednášející se také podělí o názor, kdy reforma vstoupí v platnost. 9

RAJ SAMANI Raj Samani is currently working as the VP, Chief Technical Officer for McAfee EMEA, having previously worked as the Chief Information Security Officer for large public sector organizations in the UK. He volunteers as the Cloud Security Alliance EMEA Strategy Advisor and is on the advisory councils for Infosecurity Europe and Infosecurity Magazine. In addition, Raj was previously the Vice President for Communications at the ISSA UK Chapter, having presided over the Chapter Communications Programme in 2008 and 2009. He has had numerous security papers published and appeared on television (ITV and More4). As well as providing assistance in the 2006 RSA Wireless Security Survey and being part of the consultation committee for the RIPA Bill (Part 3), Raj is also the author of the upcoming book Applied Cyber Security and the Smart Grid. DIGITAL LAUNDRY AN ANALYSIS OF ONLINE CURRENCIES, AND THEIR USE IN CYBERCRIME Recent actions by law enforcement agencies and the charges brought forward by prosecutors add weight to the theory that digital currencies are a popular service for criminals to launder money. Before its operations were closed, the Liberty Reserve digital currency service was used to launder US$6 billion, a sum that constituted the largest international money laundering prosecution. According to the U.S. Department of Justice, digital currencies provide an ideal money laundering instrument because they facilitate international payments without the transmittal services of traditional financial institutions. Considering this stark assessment, there is no doubt that digital currencies facilitate money laundering and the rise of cybercrime. The recent McAfee white paper, Cybercrime Exposed: Cybercrime as a Service, revealed the accessibility of tools and services that support cybercrime, and the report clearly shows such services rely on the ability of the customer to pay using digital currencies. The growth of such services and a safer (or perceived safer) means to pay will only enhance this ecosystem The proliferation of digital currencies fuels the proliferation of tools and services necessary for cybercrime. This, in turn, helps fuel the growth in cybercrime and other forms of digital disruption. Furthermore, the challenges facing such currencies go beyond their propensity for use within money laundering, and include targeted attacks on financial exchanges, and malware developed to target digital wallets. In addition to our focus on virtual currencies in cybercrime, there appears to be evidence of their use in traditional physical crime. A recent case to extort US$1 million in Bitcoin provides an example; other reports suggest that virtual currencies are the preferred method of payment for the release of kidnap victims. This demonstrates that although we can argue about the level of anonymity within virtual currencies, for some criminals cash is no longer king. MAREK ZEMAN Marek Zeman has over 13 years of experience in IT security. He also works on introducing new technologies into the banking environment. In IT security, he focuses on database security, behavioural metrics, and the analysis, evaluation and correlation of non-structured data. He also raises security awareness by giving lectures. Marek holds the CRISC certificate. Currently, he is studying externally at Comenius University in Bratislava. UNSTRUCTURED DATA ANALYSIS This presentation describes the sources of logs and their processing in a financial organization. It examines these logs in detail; specifically, how they are collected and stored for further processing. The presentation includes an analysis of the need for new sources of logs in order to improve fraud investigations and also explains new aspects of log processing; the necessity to merge IT logs with non-it logs (the real estate register, commercial register, company proxy, etc.) as well as the mining of non-structured data (social networks, emails, etc.). Examples of successful uses of this new approach to analysing logs are provided. Finally, the presentation discusses the possible future development of log systems and the use of IT solutions for business monitoring and the investigation of financial fraud. 10

2 0 1 4 P R A G U E P R A H A RAJ SAMANI Raj Samani v současné době zastává pozici viceprezidenta a technického ředitele pro McAfee EMEA. Dříve pracoval jako Chief Information Security Officer ve velkých organizacích veřejného sektoru ve Velké Británii. Působí dále jako poradce EMEA pro Cloud Security Alliance strategie, v poradních radách pro Infosecurity Europe a Infosecurity Magazine. Kromě toho byl Raj dříve viceprezidentem pro komunikaci v ISSA UK, kde předsedal Ceně pro Chapter communications programme v letech 2008 a 2009. Publikoval řadu bezpečnostních studií a vystupoval rovněž v televizních pořadech (ITV a More4). Poskytoval poradenské služby v RSA Security Survey Wireless 2006 a byl členem konzultačního výboru pro Ripa zákon (část 3). Raj je autorem připravované knihy Applied Cyber Security and the Smart Grid. DIGITÁLNÍ PRÁDELNA ANALÝZA ON-LINE MĚN A JEJICH VYUŽITÍ V POČÍTAČOVÉ KRIMINALITĚ Nedávné akce orgánů činných v trestním řízení a obvinění vznesená jejich zástupci přikládá důraz teorii, že digitální měny jsou populární službou pro zločince sloužící praní špinavých peněz. Dříve než bylo ukončeno její provozování, digitální měna Liberty Reserve byla použita k praní 6 miliard amerických dolarů, což je suma, která představuje největší mezinárodně stíhanou pračku špinavých peněz. Podle amerického ministerstva spravedlnosti digitální měny poskytují ideální nástroj pro praní peněz, protože usnadňují mezinárodní platby bez využití služeb tradičních finančních institucí. Vzhledem k tomuto strohému hodnocení není pochyb o tom, že digitální měny usnadní praní špinavých peněz a vzestup počítačové trestné činnosti. Nedávno vydaný materiál společnosti McAfee Cybercrime Exposed: Cybercrime as a Service odhalil dostupnost nástrojů a služeb, které podporují různé typy počítačové trestné činnosti, a zpráva jasně ukazuje, že tyto služby se spoléhají na schopnost zákazníka platit pomocí digitálních měn. Růst těchto služeb a rostoucí bezpečnost plateb (nebo spíše vnímání bezpečnosti) pouze zvyšuje zájem o tento ecosystém. Šíření digitálních měn podněcuje rozvoj nástrojů a služeb nezbytných pro počítačovou kriminalitu. To zase podporuje růst počítačové kriminality a dalších forem digitálních hrozeb. Výzvy, kterým čelí digitální měny, přesahují rámec jejich využitelnosti pro praní špinavých peněz, cílené útoky na finančních burzách a malware vyvinutý s cílem zaútočit na digitální peněženky. Navíc kromě zaměření virtuálních měn na počítačovou trestnou činnost se ukazují i důkazy o jejich použití v tradičním fyzickém zločinu. Nedávný případ únosce požadujícího 1 milionu dolarů v Bitcoin či další 4 podobné zprávy naznačují, že virtuální měny jsou preferovaným způsobem platby za propuštění unesených. To ukazuje, že i když se můžeme pouze dohadovat o míře anonymity při užití virtuálních měn, někteří zločinci již hotovost nepovažují za krále. MAREK ZEMAN Marek Zeman pracuje viac ako 13 rokov v oblasti IT bezpečnosti a zameriava sa na uvádzanie nových technológii do bankového prostredia. V oblasti IT bezpečnosti je orientovaný na: databázovú bezpečnosť, behaviorálne metriky, analýza a vyhodnocovanie a korelácia neštruktúrovaných dát a zvyšovanie bezpečnostného povedomia prednáškovou činnosťou. V ostatných rokoch získal certifikát CRISC. V súčasnosti externe študuje v rámci postgraduálneho štúdia na Univerzite Komenského. ANALÝZA NEŠTRUKTÚROVANÝCH ÚDAJOV Prezentácia popisuje zdroje logov a ich spracovanie vo finančnej organizácii. Podrobne sa venuje logom, ktoré sú zbierané a ukladané centrálne pre ďalšie spracovanie údajov. Rozoberá potrebu nových zdrojov pre ďalšiu analýzu logov pre pokrytie potrieb, ktoré vznikajú pri vyšetrovaní podvodov. Vysvetľujú sa nové rozmery práce s logmi: potreba spájania IT logov so zdrojmi mimo IT (kataster, obchodný register, proxy server spoločnosti, atď.) a potreba analýzy údajov (data mining) nad neštruktúrovanými dátami. Na konci prezentácie budú predstavené príklady, pri ktorých sa nový prístup k analýze logov dal úspešne využiť. Záver bude venovaný budúcemu rozvoju riešenia, zapojeniu riešenia na monitorovanie bezpečnostných udalostí (SIEM Security Incident and Event Monitoring) a riešenia na vyšetrovanie finančných podvodov. 11

BYOD JAN MIKULECKÝ Jan Mikulecký is the Chief Security Officer at Česká pošta, o.z. ICT Služby. Previously, he worked as a Manager in Security & Privacy Consulting at Deloitte Czech Republic. Jan is an expert for information security management, ISMS, BCM, security audit and penetration testing. He has significant experience in defining security requirements for systems storing sensitive information and can provide quality assurance for security aspects of systems development and delivery. At Deloitte, Jan managed security projects in the Czech and Slovak Republics, Belarus, Russia, Kazakhstan, China and Vietnam. Before he came to Deloitte, Jan worked for 12 years at Risk Analysis Consultants as security advisor and project manager. Jan earned a Doctorate in Systems Engineering from the Czech Technical University in Prague. He holds the CISM, CGEIT and CRISC certificates and also served as a member of the ISACA CISM Test Enhancement Committee. Jan has written many security articles for the media and has also presented at security conferences. He is also a member of the IS2 Programme Committee. JAKUB GERŠL Jakub Geršl works as a Product Manager, Mobility Products and Propositions at Vodafone Czech Republic, where he is in charge of developing new services for corporate ICT clients. He has worked in various areas of marketing for more than six years; for example, he was responsible for bringing mobile Internet to the Czech market, for 3G campaigns and, most recently, he is responsible for products related to the security of networks and mobile devices. DANILO GLIGOROSKI Danilo Gligoroski is a professor of Information Security and Cryptography at the Department of Telematics, at the Norwegian University of Science and Technology Trondheim, Norway. He received his Ph.D. at the Ss. Cyril and Methodius University of Skopje in 1997 in the field of Computer Science. His research interests are Cryptography, Computer Security, Discrete Algorithms, Information Theory and Coding. HTTP/2.0 SECURITY ISSUES HTTP/2.0 is the latest work in progress of the IETF to improve the old HTTP/1.1 protocol. The intention is to have a faster protocol that is more secure and uses fewer resources than HTTP/1.1. The final draft is scheduled for autumn 2014. For information security specialists and managers, it is very important to know that currently there is a hot debate as to whether HTTP/2.0 should have mandatory TLS encryption for all traffic. The proponents of this idea claim that obviously all trivial attacks listening in on unencrypted web traffic will be gone forever and that the general security will be significantly increased. On the other hand, the opponents also have several arguments: 1. Will the insistence on the mandatory use of TLS be a factor for a lack of a widespread adaptation of the new protocol; 2. The current design of TLS allows a widespread abuse of the man-in-the-middle attack by government organizations that can force (or trick) the Certificate Authorities to give them information about their root certificates; 3. The sudden switch to all HTTPS web traffic will be an instant intervention in the market of digital certificates and will drive the prices of digital certificates significantly higher than they currently are. In this talk, I will discuss all the benefits, challenges and concerns about the information security issues of the upcoming HTTP/2.0 protocol. 12

2 0 1 4 P R A G U E P R A H A BYOD JAN MIKULECKÝ Ing. Jan Mikulecký, Ph.D, CISM, CGEIT, CRISC pracuje jako bezpečnostní manažer odštěpného závodu ICT Služby, Česká pošta. Dříve působil v Deloitte ČR jako manažer v oddělení Security & Privacy Consulting (2011-2013). Je expert na řízení informační bezpečnosti, zavádění ISMS, BCM, bezpečnostní audit a penetrační testování. Má velké zkušenosti s definováním bezpečnostních požadavků na systémy zpracovávající citlivé obchodní a bankovní informace. Je schopen zajistit řízení kvality v oblasti bezpečnosti při vývoji a dodávce informačních systémů. Řídil bezpečnostní projekty v Česku, na Slovensku, v Bělorusku, Rusku, Kazachstánu, Číně a ve Vietnamu. Před nástupem do Deloitte (2011) pracoval 12 let ve společnosti Risk Analysis Consultants jako poradce pro informační bezpečnost a vedoucí projektu. Honza získal doktorský titul Ph.D. ze systémového inženýrství na ČVUT. Je držitelem certifikací CISM, CGEIT, CRISC. Po 3 roky byl členem mezinárodní komise pro tvorbu testů CISM ISACA CISM Test Enhancement Committee. Mnohokrát publikoval v bezpečnostních periodikách a prezentoval na konferencích. Je členem programového výboru IS2. JAKUB GERŠL Jakub Geršl pracuje jako Product Manager, Mobility Products and Propositions ve Vodafone Czech Republic. Ve společnosti má na starosti vývoj nových služeb pro firemní klientelu z celé ICT oblasti. Více než 6 let působí na různých pozicích v oblasti marketingu a v minulosti byl například zodpovědný za uvedení Internetu v mobilu na český trh, 3G kampaň a nejnověji je pak zodpovědný za produkty související s bezpečností sítí a mobilních zařízení. DANILO GLIGOROSKI Danilo Gligoroski, Ph.D. je profesorem informační bezpečnosti a kryptografie na Katedře telematiky Norské univerzity věd a technologií v Trondheimu. Získal Ph.D. v informatice na Univerzitě sv. Cyrila a Metoděje ve Skopje v roce 1997. Jeho oblastmi výzkumu jsou kryptografie, počítačová bezpečnost, diskrétní algoritmy, teorie informace a kódování. BEZPEČNOSTNÍ ASPEKTY HTTP/2.0 HTTP/2.0 je posledním výsledkem IETF v úsilí o vylepšení starého protokolu HTTP/1.1. Cílem tohoto úsilí je získat protokol rychlejší, bezpečnější a vyžadující menší zdroje než protokol HTTP/1.1. Finální verze je očekávána na podzim 2014. Pro specialisty na informační bezpečnost a manažery je velmi důležité vědět o vášnivých diskuzích ohledně povinného nastavení šifrování protokoly TLS pro veškerý provoz přes HTTP/2.0. Podporovatelé tohoto nápadu tvrdí, že pochopitelně všechny jednoduché útoky s odposlechem nešifrované webové komunikace budou minulostí a celková bezpečnost se podstatně zvýší. Na druhé straně ale mají oponenti několik protiargumentů: 1. Požadavek na povinné užití TLS bude znamenat pomalejší přechod na HTTP/2.0; 2. Současná podoba TLS umožňuje rozsáhlé užití útoků typu man-in-the-middle vládními organizacemi, které budou nutit (nebo svádět) certifikační autority ke sdílení kontroly nad kořenovými certifikáty; 3. Náhlý přechod na provoz přes HTTPS bude trvalým ovlivněním trhu s digitálními certifikáty a povede ke zvýšení ceny certifikátů. Ve svém příspěvku představím výhody, výzvy a obavy ohledně očekávaného protokolu HTTP/2.0. 13

PETR ODEHNAL Petr Odehnal started working on analyzing viruses on a daily basis in 1992 while still at Cybex, which he also co-founded. From 1993 to 1995, he co-authored, along with Petr Zahradníček, an antivirus engine which later became part of AVG version 5.0. He and this same sidekick wrote a book entitled A Practical Self-defense Against Viruses, published by Grada in 1996. He started working as the Head of the VirusLab at Grisoft (a.k.a. AVG Technologies) in 1995 and since 2010 he has been enjoying a (not so) well-deserved rest. CZECHOSLOVAKIA: ANTI-VIRUS SUPERPOWER? It s kind of an anomaly that three of the world s top antivirus companies come from Czechoslovakia and their main offices are still operating in Prague, Brno and Bratislava. Let s have a look at how these companies, which started out in garages, became international, employing hundreds of employees, serving tens of millions of users and being valued at billions of Crowns. MARTIN HANZAL Martin Hanzal is a graduate of major computer technology and informatics from the Faculty of Electrical Engineering and Communication, Brno University of Technology. He is the founder of SODATSW spol. s r.o., which is involved in the development and implementation of SW means for reducing the threats originated from internal attacks to information systems. As part of his activity at SODATSW spol. s r.o. Martin held the post of development and implementation director, strategic development director and at the moment he works as the company s chief technology officer. He has managed the group which created the patent solution for data protection against appropriation by authorized users and which implemented the certifications for the security of development pursuant to CC EAL4 of products which monitor the activities of information system users, aimed at clearly documenting executed activities and assigning the responsibility for their execution to a specific person. The author has practical experience with the data protection of an organization with an extensive organizational structure of thousands of employees as well as with medium and small sized companies and individuals. He is a member of the NATO Industrial Advisory Group for Cyber Defence at NATO Headquarters since 2011. PETR ŠVENDA Petr Švenda is a security researcher and lecturer at Masaryk University in Brno, in the Czech Republic. His area of interests covers the design of authentication and key establishment protocols for distributed environments, such as remote secure storage with multiple users or wireless sensor networks. He also analyses the security of cryptographic smart cards, designs and develops applications for secure hardware and is interested in the field of secure programming. He has worked and consulted for academic, commercial and public sector organizations in the Czech Republic and abroad. SECURITY ARCHITECTURE FOR THE REMOTE STORAGE OF PASSWORDS AND KEYS This presentation analyzes the issue of the secure storage of passwords and cryptographic keys in programs and web services used as an electronic key case (KeePass, RealPass, LastPass, Mozilla Sync ). An overview of the basic principles and limitations is provided together with some real world attacks which were successfully executed against these services in the recent past. The design principles of new open security architecture for the more secure storage of sensitive information are also presented, as are practical experiences of design and development cooperation between academic institutions and commercial companies. 14

2 0 1 4 P R A G U E P R A H A PETR ODEHNAL Petr Odehnal se počítačovým virům začal systematičtěji věnovat v roce 1992, ještě v rámci firmy Cybex, jejímž byl spoluzakladatelem. V letech 1993-1995 psal spolu s Petrem Zahradníčkem antivirový engine, který se později stal základem verze AVG 5.0. Se stejným spoluautorem napsal v roce 1996 pro nakladatelství Grada knížečku Praktická sebeobrana proti virům. Od roku 1995 fungoval jako šéf virové laboratoře Grisoftu (později AVG Technologies), odkud v roce 2010 odešel na (ne)zasloužený odpočinek. ČESKOSLOVENSKO: ANTIVIROVÁ VELMOC? To, že tři ze současných světových top antivirů pocházejí z bývalého Československa a dodnes mají hlavní sídlo svého vývoje v Praze (Brně, Bratislavě), je taková docela zvláštní anomálie. Pojďme se podívat na jejich začátky a zamyslet se nad tím, jak se z tuzemských garážových firmiček staly nadnárodní společnosti se stovkami zaměstnanců, desítkami milionů uživatelů, jejichž hodnotu můžeme počítat v miliardách korun. MARTIN HANZAL Martin Hanzal je absolventem oboru výpočetní technika a informatika na fakultě elektrotechniky a informatiky VUT BRNO. Autor je zakladatelem společnosti SODATSW spol. s r.o., která se zabývá vývojem a implementací SW prostředků pro zvyšování ochrany vnitrofiremních dat a informací, čímž snižuje dopady hrozeb pramenících z vnitřních a vnějších útoků na informační systémy. V rámci svého působení ve firmě SODATSW Martin zastával pozice ředitele vývoje a implementace, ředitele strategického rozvoje a v současnosti ve společnosti pracuje jako technologický ředitel. Během svého působení vedl skupinu vytvářející patentované řešení na ochranu dat před odcizením oprávněnými uživateli a zavádění certifikací bezpečnosti vývoje dle CC EAL4 produktů pro sledování činností uživatelů informačního systému. Autor má praktické zkušenosti s problematikou ochrany dat a informací z organizací s rozsáhlou organizační strukturou s tisícovkami pracovníků, ale taky ze středně velkých organizací až po rodinné firmy a jednotlivce. Od roku 2011 je členem poradní skupiny NATO Industrial Advisory Group pro oblast Cyber Defence v rámci vedení NATO. PETR ŠVENDA RNDr. Petr Švenda, Ph.D. působí jako odborný asistent na Masarykově univerzitě, věnuje se výzkumu v oblasti návrhu autentizačních protokolů a protokolů pro výměnu klíčů pro distribuované architektury s větším množstvím komunikujících stran či uživatelů, např. bezdrátové senzorové sítě nebo vzdálené úložiště citlivých informací. Zabývá se praktickou bezpečností kryptografických čipových karet včetně tvorby bezpečných aplikací na této platformě. Zkoumá možnosti využití evolučních algoritmů pro analýzu kryptografických primitiv. Věnuje se problematice bezpečného programování s využitím nástrojů pro statickou a dynamickou analýzu kódu. Podílel se na konzultacích a vývoji pro akademické, státní i průmyslové organizace v ČR i zahraničí. BEZPEČNÉ VZDÁLENÉ ÚLOŽIŠTĚ KLÍČŮ Příspěvek analyzuje problematiku ukládání hesel a kryptografických klíčů v programech a webových službách sloužícím jako elektronické klíčenky (KeePass, RealPass, LastPass, Mozilla Sync ). Poskytuje přehled základních přístupů včetně praktických příkladů útoků, které byly v nedávné minulosti vůči jednotlivým službám úspěšně vedeny. Článek popisuje principy nové, otevřené bezpečnostní architektury určené pro tento účel. Shrnuje také praktické zkušenosti z více než dvouletého společného návrhu a vývoje bezpečností architektury mezi akademickou institucí a komerční firmou. 15

JAN ANDRAŠČÍK Jan Andraščík is a consultant in the Security & Privacy team of Deloitte Czech Republic s ICT Consulting function. During his career, he has been a part of several advisory projects in information security as well as several information security audits across Europe and Asia. He specialises in technical security, particularly of operating systems, databases, computer networks and applications. Currently, he is concerned with the security of mobile platforms and mobile applications. He successfully passed the CISA and CISM international certification exams of the ISACA organisation, where he also acts as a member of the Student and Academic Sub-Committee. PETRA FRITZOVÁ Petra Fritzová works as a consultant in the Security & Privacy team of Deloitte Czech Republic s ICT consulting department. She focuses on information systems and mobile device security. Her specialisation is in analysing the logical and physical security of corporate assets and the assessment of IT security compliance with the ISO 27002 standard. She has extensive experience with security and IT audits, including the security analysis of operating systems, databases, networks and processes. She has taken part in the design of the security requirements for IT systems and mobile applications. She has also worked on risk analysis and risk management design projects. BYOD 2 WEARABLES: WHAT DO THEY GIVE TO AND TAKE FROM COMPANIES? The world is becoming smarter. Our consumer society likes smart trends and always expects new types of smart devices. There is no more evident innovation than in the rapidly evolving field of wearable technology. What it provides and what it takes away should be of interest not only to potential users but also to the companies to which the technology will be brought. Our paper tries to find an answer to this question. It briefly introduces the current wearable devices and their possible usage. Further, it speculates on their possible use in the corporate environment and the provision of an adequate level of security for saving and processing corporate data. As well as the mobile devices owned by end users, wearable devices also bring risks that have to be faced. RÓBERT LIPOVSKÝ Róbert Lipovský is a malware researcher in ESET s Security Research Laboratory in Bratislava, working for ESET since 2007. He is responsible for malware intelligence and research, in which he focuses on rootkit techniques, Android malware and other areas. He has given presentations at several security conferences, including EICAR, CARO, and Virus Bulletin. He holds a Master s Degree in Computer Science from the Slovak University of Technology in Bratislava. When not bound to a keyboard, he enjoys sports and playing guitar. MALWARE IN THE MOBILE The rising popularity of smartphones among users has led to the gradually increasing interest of malware writers. Furthermore, the associated risks are amplified by the low user awareness of mobile threats. In our presentation, we introduce the different categories of mobile malware especially for Android that we have been dealing with and also focus our attention on mobile malware related to bank fraud. We will compare the techniques employed by Android malware with those commonly used by traditional malware on other platforms and mention the most common infection vectors. Aside from malware, we will cover some recent software vulnerabilities which have a significant impact on user security. Lastly, we will mention other, non- -malware threats that pose a risk to the users of mobile devices. 16

2 0 1 4 P R A G U E P R A H A JAN ANDRAŠČÍK Jan Andraščík je konzultantem týmu Security & Privacy oddělení ICT poradenství Deloitte Česká republika. Během své kariéry byl součástí několika poradenských projektů v informační bezpečnosti, stejně jako několika auditů informační bezpečnosti napříč Evropou a Asií. Specializuje se na technickou bezpečnost zejména operačních systémů, databází, počítačových sítí a aplikací. Aktuálně se zabývá bezpečností mobilních platforem a mobilních aplikací. Úspěšně složil mezinárodní certifikační zkoušky CISA a CISM organizace ISACA, kde zároveň působí jako člen Student and Academic Sub-Committee. PETRA FRITZOVÁ Petra Fritzová pracuje jako konzultant v týmu Security & Privacy oddělení ICT poradenství Deloitte Česká republika. Zaměřuje se na bezpečnost informačních systémů a mobilních zařízení. Specializuje se na analýzu logické a fyzické bezpečnosti korporátních aktiv a na posuzování souladu bezpečnosti IT s normou ISO 27002. Má bohaté zkušenosti s bezpečnostními a IT audity zahrnujícími bezpečnostní analýzu operačních systémů, databází, sítí a procesů. Podílela se na návrhu bezpečnostních požadavků pro IT systémy a mobilní aplikace. Pracovala též na projektech analýzy rizik a návrhu krizového managementu. BYOD 2 WEARABLES: CO SPOLEČNOSTEM PŘINÁŠÍ A CO JIM BEROU Svět se stává chytřejším. Naše konzumní společnost má ráda chytré trendy a neustále očekává nové typy chytrých zařízení. Nikde není v dnešní době inovace více evidentní než v rychle se rozvíjející oblasti wearable technologií. Co přináší a co berou tyto technologie je otázka, která by měla zajímat nejen potenciální uživatele, ale i společnosti, do kterých se tyto technologie budou přinášet. Náš příspěvek se na tuto otázku snaží nalézt odpověď. Stručně představuje aktuálně existující wearable zařízení a možnosti jejich aktuálního využití. Následně uvažuje možnosti využití v korporátním prostředí a zajištění jejich dostatečné úrovně bezpečnosti pro ukládání a zpracování korporátních dat. Stejně jako nyní mobilní zařízení ve vlastnictví koncových uživatelů přináší wearable zařízení hrozby, jimž je nutné čelit. RÓBERT LIPOVSKÝ Róbert Lipovský je analytik infiltrácií v malwarovom laboratóriu spoločnosti ESET. Zaoberá sa výskumom počítačových hrozieb a analýzou malwarových trendov. Prednášal na mnohých bezpečnostných konferenciách, ako napríklad EICAR, CARO či Virus Bulletin. Vyštudoval aplikovanú informatiku na Fakulte elektrotechniky a informatiky Slovenskej technickej univerzity v Bratislave. Keď práve nesedí pri klávesnici, rád športuje alebo hrá na gitare. ŠKODLIVÝ KÓD VO VRECKU Vzhľadom na popularitu a rozšírenie múdrych telefónov sa pozornosť útočníkov čoraz viac upriamuje na počítače, ktoré nosíme vo vrecku. Riziko zvyšuje nízke povedomie o mobilných hrozbách. V prezentácii predstavíme jednotlivé kategórie škodlivého kódu, s ktorými sa na mobilných platformách (najmä na platforme Android) stretávame a tiež si posvietime na mobilný malware, ktorý súvisí s online bankovníctvom. Porovnáme techniky využívané Android malwarom s tými, ktoré sú zaužívané na ostatných platformách a spomenieme najčastejšie spôsoby infekcie. Okrem samotného malwaru opíšeme niektoré nedávne významné softwarové zraniteľnosti a ich reálny vplyv na bezpečnosť používateľov, ako aj iné druhy hrozieb, ktoré predstavujú riziká na mobilných zariadeniach. 17

KYRRE SLETSJØE After finishing his education in Norway, the US and Germany, Dr. Kyrre Sletsjøe worked for the Norwegian government. Working both on the technical and the operational side, he specialized in issues such as cryptographic and computer exploitation, the mass surveillance of civilian communication infrastructure, the localisation of High Value Targets, information on hostile weapon systems, issues related to counter proliferation and counter terrorism, as well as designing systems for the large scale evaluation of collected information. During his time with the Norwegian government, he lead and participated in a number of efforts in developing and acquiring new technology to support current and future missions. He has worked both at headquarter level and been deployed in combat zones and other areas of interest. In 2008, he retired from government service and founded CEPIA Technologies s.r.o. in the Czech Republic, a company specializing in cryptographic exploitation, communication intelligence, information security and custom technologies for special forces and HUMINT operatives. MOBILE PHONE SECURITY What is possible, what is not, and what you need to fear. With the introduction of smartphones, the field of mobile phone security suddenly grew to unimaginable complexity. The interaction between traditional transmission security, a fully capable operating system and a vast amount of user selectable applications is very complex and difficult to evaluate completely. For even the more capable users it is very hard to know if some piece of software exists on your phone that will itself be exploitable or have security implications for the standard communication security functions. Even today, traditional off-air interception, active or passive, is a major source of information for both government and non-government players. In light of the many possibilities to intercept information from mobile phones, it is hard to see how mobile phone communication can ever be safe. Although no sensible person should ever discuss sensitive information over any sort of mobile phone, one can only assume that sensitive information also in the future will exist on poorly secured communication infrastructure, simply due to the great convenience such communication solutions offer. The question is then, is it possible to achieve close to a reasonable level of mobile phone security? With disciplined usage, careful choice of technology and a willingness to accept less functionality, the answer is most probably, yes. This presentation will discuss what types of interception is possible today, how you can protect yourself and your organisation, and what telcos and regulators should do to limit the problem. JAN SECHOVEC Jan Sechovec is an Innovations and APIEconomy evangelist at Česká spořitelna. During his more than 15 years of international experience in IT he has held various positions in the Czech Army and NATO. His experience ranges from the design and operations of large data networks to the development of mobile applications and innovations in IT. THE SECURITY THREATS AND VULNERABILITIES OF MOBILE INTERNET BANKING The vast majority of banks offer their clients an alternative channel to access services through mobile internet banking. Protecting such applications against all types of attacks should be commonplace. What is the real situation though? Is the feeling of security only an illusion? We will show during a live demonstration the real problems with the security of a selected mobile application and suggest a possible solution for making the application more secure. 18

2 0 1 4 P R A G U E P R A H A KYRRE SLETSJØE Kyrre Sletsjøe po ukončení vzdělání v Norsku, USA a Německu, pokračoval v práci pro norskou vládu. Pracoval po technické i provozní stránce na problémech typu využití kryptografie a počítačů, masový dohled nad civilní komunikační infrastrukturou, lokalizace cílů vysoké hodnoty, informace o nepřátelských zbraňových systémech, problematice boje proti šíření jaderných zbraní a boje proti terorismu, jakož i projektování systémů pro hodnocení shromažďovaných informací ve velkém měřítku. Během práce pro norskou vládu vedl a podílel se na řadě projektů pro rozvoj a získávání nových technologií na podporu stávajících a budoucích úkolů. Pracoval jak na úrovni ústředí, tak v bojových zónách a řadě dalších zajímavých míst. V roce 2008 odešel ze státní služby a založil společnost CEPIA Technologies s.r.o. v ČR, firmu specializující se na využití kryptografie, komunikační inteligence, informační bezpečnosti a vlastní technologie pro speciální síly a operace HUMINT. BEZPEČNOST MOBILNÍCH TELEFONŮ Co je možné, co není, a čeho se máme bát. Se zavedením smartphonů se oblast bezpečnosti mobilních telefonů najednou rozrostla do nepředstavitelné složitosti. Interakce mezi tradičním zabezpečením přenosu, plnohodnotným operačním systémem a obrovským množstvím volitelných uživatelských aplikací jsou velmi složité a je obtížné je zcela posoudit. I pro zdatné uživatele je velmi obtížné zjistit, zda existuje na vašem telefonu nějaký software, který je sám o sobě zneužitelný nebo může mít bezpečnostní důsledky pro standardní zabezpečení komunikace. Tradiční off-air odposlech, aktivní nebo pasivní, je stále hlavním zdrojem informací pro vládní i nevládní subjekty. Schopnost získat přístup k informacím bez nutnosti kooperativního přístupu k infrastruktuře, nebo zanechání stop činí off-air odposlech je favoritem skupiny schopných hráčů. S ohledem na mnoho možností, jak zachytit informace z mobilních telefonů, je těžké zajistit, aby komunikace mobilního telefonu byla stále v bezpečí. Ačkoli žádný rozumný člověk by neměl diskutovat citlivé informací přes jakýkoliv druh mobilního telefonu, lze předpokládat že i v budoucnu budou citlivé informace existovat na špatně zabezpečené komunikační infrastruktuře, prostě kvůli velkému pohodlí, které tyto komunikační řešení nabízejí. Otázkou je tedy, zda je možné dosáhnout přiměřené úroveň bezpečnosti mobilních telefonů. Při disciplinovaném používání, pečlivém výběru technologie a ochotě přijmout méně funkcí, je odpověď pravděpodobně ano. Prezentace diskutuje, jaké druhy odposlechu jsou dnes možné, jak můžeme chránit sebe a svou organizaci, a co by měly telekomunikační společnosti a regulační orgány udělat, aby tento problém limitovaly. JAN SECHOVEC Jan Sechovec je Innovations a APIEconomy evangelist v České spořitelně. Během své více než patnáctileté mezinárodní praxe v IT zastával různé pozice v Armádě České republiky a v NATO. Jeho zkušenosti sahají od designování a provozu rozsáhlých datových sítí až po vývoj mobilních aplikací a inovace v IT. BEZPEČNOSTNÍ HROZBY A ZRANITELNOSTI MOBILNÍHO INTERNETOVÉHO BANKOVNICTVÍ Naprostá většina bank dnes poskytuje svým klientům alternativní kanál pro přístup ke službám prostřednictvím mobilního internetového bankovnictví. Samozřejmostí by mělo být ochránění takové aplikace proti útokům nejrůznějšího druhu. Jaká je však realita? Je pocit bezpečí pouze iluze? Formou dema poukážeme na reálné problémy se zabezpečením vybrané mobilní aplikace a seznámíme s možným řešením, jak takovou aplikaci udělat bezpečnější. 19

REGISTRATION FEES / KONFERENČNÍ POPLATKY The registration fee includes conference materials, the conference ticket, coffee breaks, lunches and an evening reception party on the first day. Poplatek zahrnuje kompletní účastnické materiály, vstup na konferenci, občerstvení, obědy a večerní raut první den. You can find the conference fees, starting from EUR 320 (including VAT), at www.tate/is2 Ceny konferenčních poplatků od 6.330 Kč (bez dph) naleznete na www.tate.cz/is2 PAYMENT DETAILS / DETAILY PLACENÍ You can pay via bank transfer. We will issue your attendance confirmation and your invoice after your application has been registered. All fees are due at least one day before the beginning of the conference. Cash payment on the first conference day is possible only if agreed with the organizers in advance. Platit můžete bankovním převodem nebo zálohovou fakturou. Po obdržení platby na náš účet Vám vystavíme daňový doklad a zašleme potvrzení účasti. Abychom Vám mohli zajistit účast, všechny poplatky musí být uhrazeny na účet organizátora nejpozději jeden den před konáním konference. Platba v den začátku konference je možná pouze po předchozí dohodě v hotovosti. CANCELLATION POLICY / STORNOVACÍ PODMÍNKY For cancellation before April 25, 2014, we will charge you a CZK 1 000 processing fee. For cancellations after this date, you will be liable for 50 % of the conference fee. For cancellations within one week before the conference, payments will be required in full. Replacements are possible without any additional fee. Do 25. dubna 2014 je při zrušení účtován manipulační poplatek 1 000 Kč. Po tomto datu je stornovací poplatek 50 % konferenčního poplatku. Jeden týden před konáním konference je to 100 %. Kdykoliv máte možnost nahradit svoji účast jinou osobou bez dalšího poplatku. 20