Vulnerabilities - Zranitelnosti

Podobné dokumenty
Analýza zranitelností databází. Michal Lukanič, Database Specialist

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Exploitace zranitelností. Obsah

Prezentace CRMplus. Téma: CRMplus jako nástroj pro kontrolu a vyhodnocení rozpracovanosti dílů na zakázkách

Hospodářská informatika

Provedení penetračních testů pen-cypherfix2016

OCTAVE ÚVOD DO METODIKY OCTAVE

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

PENETRAČNÍ TESTY CYBER SECURITY

Daniela Lišková Solution Specialist Windows Client.

ŠKOLENÍ PROGRAMOVACÍHO JAZYKA JAVA JAVA - ZÁKLADY

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Odbor informatiky a provozu informačních technologií

Expresní analýza PLM. jako efektivní start implementace PLM.

Portál podpory. Michal Vokáč Minerva Česká republika, a.s. Service Desk

Microsoft Windows Server System

Institut elektronických aplikací, s.r.o. Stránka 1 z 7. AVEPOP - Automatický Výdej a Evidence Pracovních a Ochranných Prostředků

Bezpečné chování v síti WEBnet. Ing. Aleš Padrta Ph.D.

Role forenzní analýzy

Analýza slabin zveřejněných v roce 2011

Digitalizace dokumentů bez problémů Xerox ScanFlow Store & WorkCentre 74xx

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Ing. Jiří Fejfar, Ph.D. Geo-informační systémy

ezkouška požadavky na IT

Implementace systému ISMS

Workshop DSP Jan Medek, DiS. Data Agentura INFOPHARM s.r.o.

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

1.1 Zátěžové testování

Jak být online a ušetřit? Ing. Ondřej Helar

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Elektronizace správních řízení a jejich příprava na základní registry

Technická dokumentace

RIZIKA IMPLEMENTACE SKORKOVSKÝ. Přednášející : ESF MU 1/209

Cross-Site Scripting (XSS)

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 9

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

Programování a implementace Microsoft SQL Server 2014 databází

Zabezpečení proti SQL injection

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Národní elektronický nástroj. Metodika při připojování individuálních elektronických nástrojů (včetně elektronických tržišť veřejné správy) k NEN

MST - sběr dat pomocí mobilních terminálů on-line/off-line

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

Připravte se na konjunkturu se systémem řízení údržby SGM. SGM moderní nástroj pro řízení údržby nejen výrobních zařízení

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Úvod - Podniková informační bezpečnost PS1-2

3 Inženýrství systémů založených na počítačích (Computer-based System Engineering)

Zpráva o zhotoveném plnění

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Boříme zdi klienta Lotus Notes 8. Jan Krejcárek DIGI TRADE

3 Inženýrství systémů založených na počítačích (Computer-based System Engineering)

Disaster recovery as a service od společnosti GAPP System

Zabezpečení proti SQL injection

Možnosti využití dat RÚIAN poskytovaných VDP pomocí webových služeb

Program Technické podpory SODATSW spol. s r.o.

Národní registr nemocí z povolání (NRNP)

1 Webový server, instalace PHP a MySQL 13

Elektronická evidence tržeb. Produkční prostředí Přístupové a provozní informace

SECOMEA - Jednoduché a bezpečné připojení ke vzdáleným zařízením přes internet

Sjednocení dohledových systémů a CMDB

Vývoj Internetových Aplikací

Nástrahy kybeprostoru

Kapitola 1 První kroky v tvorbě miniaplikací 11

Databázové systémy. Doc.Ing.Miloš Koch,CSc.

1.05 Informační systémy a technologie

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Databáze II. 1. přednáška. Helena Palovská

Bezpečnostní politika společnosti synlab czech s.r.o.

Pravidla užívání počítačové sítě VŠB-TU Ostrava

Obsah. Rozdíly mezi systémy Joomla 1.0 a Systém Joomla coby jednička online komunity...16 Shrnutí...16

Zkušenosti s realizací penetračních testů

Bezepečnost IS v organizaci

- kvalitní dokumentace k SW je vyžadovaným STANDARDEM. vzájemná provázanost SW (IS) ve velkých společnostech. aktuální přehledná srozumitelná

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

Bezpečnost ve vývoji webových aplikací

Architektura a koncepce OS OS a HW (archos_hw) Architektura a koncepce OS Jádro OS (archos_kernel) Architektura a koncepce OS Typy OS (archos_typy)

HelpDesk. Co je HelpDesk? Komu je aplikace určena? Co vám přinese?

INTERNÍ TECHNICKÝ STANDARD ITS

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

HelpDesk. Co je HelpDesk? Komu je aplikace určena? Co vám přinese?

HelpDesk. Uživatelská příručka verze 1.7. duben Dodavatel: MÚZO Praha s.r.o. Politických vězňů Praha 1

Informační bezpečnost. Dana Pochmanová, Boris Šimák

EPLAN Electric P8 2.7 s databázemi na SQL serveru

INOVACE PŘEDMĚTŮ ICT. MODUL 11: PROGRAMOVÁNÍ WEBOVÝCH APLIKLACÍ Metodika

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Aplikační standard - Dokumentace ICT Standardy MPSV MPSV

Databáza znalostí pro Orange

7. SEO Nástroje pro analýzu úspěšnosti. Web pro kodéry (Petr Kosnar, ČVUT, FJFI, KFE, PINF 2008)

Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

Kritická infrastruktura státu bitevní pole kybernetické obrany (i útoku)

Důvěryhodná výpočetní základna -DVZ

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

mobile device management. Martin Hnízdil Michal Vávra

Transkript:

Vulnerabilities - Zranitelnosti Seznámení, technické základy a typy zranitelností Aleš Padrta CESNET, z. s. p. o. 21. 5. 2009 1

Definice zranitelnosti Druhy zranitelností Obsah Životní cyklus zranitelnosti Informace o zranitelnostech Informační zdroje Identifikace Vyhodnocení závažnosti Zranitelnosti a CSIRT Technické detaily vybraných zranitelností Shrnutí 21. 5. 2009 2

Definice zranitelnosti Slabé místo = zneužitelné pro narušení bezpečnosti Chyba systému Zneužití funkcionality Neznalost uživatele Role v bezpečnosti Nedílná součást útoku Nutná podmínka Ne postačující Omezené zneužití 21. 5. 2009 3

Definice zranitelnosti Vazby z hlediska analýzy rizik 21. 5. 2009 4

Nevhodný návrh Druhy zranitelností Chyba při návrhu, změna podmínek (technický pokrok) Nesnadné odstranění, širší spolupráce Nevhodná implementace Chyby v programování (SW) Chyby ve výrobě (HW, firmware) Odstraňuje dodavatel Nevhodné používání Administrátoři (konfigurace) Uživatelé (běžné používání) Nutnost kvalifikovaných pracovníků 21. 5. 2009 5

Životní cyklus Vznik Zpravidla nechtěně skryté Některé nikdy neobjeveny Objevení (discovery) Úzká skupina omezený přístup k informacím Informační výhoda Zveřejnění (disclosure) Objevitelem Při masivnějším zneužívání Všeobecná informovanost 21. 5. 2009 6

SW firmy Zveřejňování zranitelností Špatná strategie Umožňuje zneužití Nezaujatý pohled Bezpečnost založená na tajemství Velmi křehká Vyrovnání informační nevýhody Všichni mají stejné informace Možnost správně analyzovat rizika Nutí výrobce k nápravě 21. 5. 2009 7

Životní cyklus Vznik exploitu Způsob jak zranitelnost využít Vznik záplaty (patch) Způsob jak zranitelnost odstranit Maximální dostupnost informací Instalace záplaty Eliminace zranitelnosti na daném systému (!) 21. 5. 2009 8

Konkrétní zranitelnosti Lokální CSIRT Dodavatel systému Specializovaný server Odborné články Zobecněný pohled Bezpečnostní doporučení Pravidelné sledování Informační zdroje Zjištění zveřejněných zranitelnosti RSS kanály 21. 5. 2009 9

Informační zdroje http://www.securityfocus.com http://www.isc.sans.org http://www.securiteam.com http://www.schneier.com http://www.root.cz 21. 5. 2009 10

Identifikace zranitelnosti Vysoké množství zranitelností Mnoho různých systémů Často rozsáhlé Sbírání informací o konkrétní zranitelnosti Různé zdroje Vyhledávání jedinečný identifikátor CVE = Common Vulnerabilities and Exposures Všeobecně akceptovaný identifikátor Od roku 1999 The MITRE Corporation 21. 5. 2009 11

Identifikace zranitelnosti Identifikace podle CVE Identikátor CVE např. CVE-2008-1447 Krátký popis (co a jak postihuje) Vybrané odkazy (upřesnění zranitelnosti) Status (kandidát / zapsaná položka) Datum přidělení identifikátoru Katalog zranitelností http://cve.mitre.org/cve/index.html http://www.securiteam.com/cves/ http://www.securityfocus.com/vulnerabilities 21. 5. 2009 12

Vyhodnocení závažnosti Možné dopady přijatá opatření CVSS = Common Vulnerability Scoring System NIST (National Institute of Standards and Technology) Standard pro stanovení závažnosti Vyhodnocení Standardní postup Závažnost 0 10 (vyšší = problémovější) Databáze (s identifikátorem CVE) http://nvd.nist.gov/nvd.cfm Základní odhad závažnosti 21. 5. 2009 13

Šíření informací Zranitelnosti a CSIRT Zkušenější zákazník Nesleduje problematiku Upozornění ví co je třeba udělat Webová stránka / Mailing list Zabezpečeno SSL / Digitální podpis Obsah zprávy Referenční číslo Cílová skupina Typ zprávy Popis zranitelnosti Důsledky Test přítomnosti Řešení Následky řešení 21. 5. 2009 14

Zranitelnosti a CSIRT Vysvětlování informací Nesprávné zpracování informace Zákazník nerozumí odbornému textu Zákazník špatně vyhodnotí důsledky Předzpracování informace Co to znamená Co přesně je třeba udělat Instalovat tuto záplatu, Změnit takto konfiguraci Spolupráce s dalšími útvary IT HelpDesk 21. 5. 2009 15

Vlastní výzkum Zranitelnosti a CSIRT Lepší porozumění problému Možnost vlastního (dočasného) řešení Méně častá služba Spolupráce s ostatními CSIRT Případně dodavatelem systému Urychlení řešení Návrh trvalého řešení Využití dalších standardů CAIF, AVDL, WAS, EISPP 21. 5. 2009 16

Buffer overflow Chyba programátora Technické detaily Neoddělená data a kód aplikace Možnost přepsat obsah paměti Změna návratové adresy funkce Způsobeno Špatné indexování či přístup do pole Nevhodné použití strnpcy nebo dokonce strcpy... Obrana NX (No execute) pro určité oblasti paměti Náhodné umístění zásobníku a hromady Ochrana kritických dat proti přepsání 21. 5. 2009 17

Technické detaily SQL injections SQL manipulation ' OR 1=1 -- Code injection Function call injection (zneužití TSQL) '; shutdown with no wait; -- Buffer Overflow Ohlídání vstupního řetězce 21. 5. 2009 18

Shrnutí Zranitelnost Slabé místo Druhy zranitelností Návrh / Implementace / Používání Životní cyklus Práce s informacemi o zranitelnostech CVE, CVSS CSIRT a zranitelnosti Technické detaily vybraných zranitelností 21. 5. 2009 19

Dotazy??? 21. 5. 2009 20

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář