Embed Size (px)
Citation preview
Víte,Víte,že nevíte,že nevíte,že já vím,že já vím,že nevíte?že nevíte?
Michal ŠpačekMichal Špaček
http://j.mp/volekunda
Původně jsem chtěl udělat dvě verze této přednášky a dát vám navýběr. Jenže po jednom listopadovém víkendu roku 2014 se úroveň vyjadřování trochu změnila.
A tak jsem se rozhodl, že se nebudu zbytčeně krotit.
Säkra znamená švédsky bezpečný a já zrovna pár příbehů z bezpečnosti chtěl vyprávět. Náhoda? Na dalších slajdech si ukážeme pár příkladů z domova i ze světa, ale pojďme začít třemi příklady ze soutěže WebTop100.
https://secure.flickr.com/photos/12176869@N00/4560586060/
Web jedné pojišťovny obsahoval chybu SQL Injection. Byla objevena během půl hodiny, umožňovala vyždímat data z prezentačního webu, údaje adminů, telefonní čísla a emaily klientů apod. Po nahlášení byla velmi rychle opravena, ale ten týden mezi nalezením a nahlášením pojišťovna nevěděla, že zrovna tudy jim utíkají data.
Chyba SQL Injection byla objevena i na webu, který prodává zájezdy. Umožňovala získat informace a hesla zákazníků i operátorů, další chyba umožnovala úplný přístup do administrace. Od objevení po nahlášení utekl asi měsíc, během kterého firma nevěděla, že takovou možnost web nabízí a že jsme na ni během hodnocení přišli. Stačilo takové chyby na webu nemít a mohli soutěž WebTop100 klidně vyhrát.
Web jedné banky jsem hodnotil poprvé již v roce 2011 a už tenkrát jsem našel problém, kvůli kterému je možné posílat e-mail (nejlépe phishing a spam) komukoliv ze serverů banky. Mizera si nemůže přát více. V roce 2013 banka neunesla moje oprávněné nulové hodnocení, vysrali se na řešení a tak v roce 2014 měli zase za nula, smůla co? Jasně, slyším vás, nějaká pitomá soutěž, o chybě nikdo neví, žádnej stres.
Žádnej stres, no jo, jenže když minulý rok @AP napsal tohle, tak už to trochu stres vyvolalo.
Dow Jones index se sice propadl jen o pár procent, ale absolutních číslech to bylo „jen“ pár miliard dolarů. Někdo se totiž nějakým způsobem dostal k přihlašovacím údajům účtu @AP a tweetnul tuto falešnou zprávu a trh zareagoval.
Password1
Mimochodem, nepoužívejte všude stejné heslo, pro každý web nebo službu nebo účet mějte heslo jiné, unikátní. Hesla si nepamatujte, pište si je do password manageru. Ten použijte i pro generování hesel, nevymýšlejte je hlavou. Používejte ověřování mobilem při přihlašování kamkoliv, třeba i do Twitteru. Koukněte na moji přednášku o heslech.
Podobným příkladem je eBay, v březnu 2014 měli bezpečnostní problém, nevšimli si ho pár měsíců a v květnu museli uživatelům resetovat hesla. Za tu dobu jim spadla cena akcií o 15 %. Tady se ale nedá dokázat vliv úniku dat tak jednoduše.
http://www.unicreditbank.cz/cz/vyhledavani.html?searchhttp://www.unicreditbank.cz/cz/vyhledavani.html?search[][]==
Ještě jeden příklad, tentokrát z domácích luhů a hájů. V roce 2011 jsem na konferenci WebTop100 ukazoval jeden drobný problém na webu jedné nejmenované banky.
O dva roky později jim někdo (já ne) změnil titulní stránku webu. Taky asi něco nevěděli :-)
Zato správci sociálních sítí ví až moc dobře. Moje odemčený auto je suprově zabezpečený, protože ho nikdo nečornul. Řekněte správcům socmedia, ať raději neodpovídají na to, čemu nerozumí. My víme, že neví, ale ať se raději někoho zeptají. Tohle je fakt trapný.
Není nad to, když vám napíše někdo, kdo tomu rozumí. Sice se dozvíte, že to mají udělané trochu na prd, ale aspoň se to dozvíte se vším všudy. Hesla by neměla být uložená zašifrovaná, protože je dokáže dešifrovat kdokoliv, kdo má klíč. Třeba mizera. Nebo bývalý kolega. Hesla by měl znát pouze uživatel, ne někdo, kdo je dokáže rozšifrovat. A vlastní algoritmy? Uff, kdepak, to není správný přístup.
až se něco stane
Prosím, nečekejte, až se něco stane a neříkejte, že budete bezpečnost řešit až potom. Na příkladech jste viděli, že se pořád něco děje, jen vy o tom nevíte. Vypadáte hloupě.
https://secure.flickr.com/photos/70323761@N00/5061426504/
To raději řekněte, že o tom prd víte a že na bezpečnost…
Tak snad už víte
@spazef0rze
