Jak bezpieczne są Twoje dane w Internecie?

Transkrypt

1 Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki

2 Plan prezentacji 1. Wstęp 2. Jak bezpieczne są Twoje dane w bazie danych? 1. Dostęp do bazy danych 2. Szyfrowanie bazy danych 3. Systemy mobilne 1. Zagrożenia 2. Jak uchronić się przed atakami? 3. Podstawowe zasady zabezpieczenia własnych aplikacji 4. Bezpieczeństwo danych w aplikacji webowej 1. Sposoby ochrony aplikacji webowych 2. Standardy oceny bezpieczeństwa aplikacji webowych 5. Bezpieczeństwo i ochrona danych w sieci 6. Podsumowanie

3 Jak bezpieczne są Twoje dane w bazie danych? _

4 Dostęp do bazy danych Role w Microsoft SQL Server 2012 Dodawanie użytkownika do grupy sp_addrolemember 'nazwa_grupy', 'nazwa_użytkownika' Usuwanie użytkownika z grupy sp_droprolemember 'nazwa_grupy', 'nazwa_użytkownika' Użytkownik SA zakaz wykorzystywania przez aplikacje! "Dedykowany" użytkownik i zasada least privileges

5 Szyfrowanie bazy danych Szyfrowanie całej bazy danych Transparent Data Encryption (TDE) Database Encryption Key (DEK) Extensible Key Management (EKM) 1. Utworzenie klucza głównego (baza master) 2. Utworzenie certyfikatu chroniącego utworzony wcześniej klucz (baza master) 3. Utworzenie klucza DEK (baza aplikacji) 1. Wybór rodzaju szyfrowania 2. Wskazanie certyfikatu zabezpieczającego 4. Uruchomienie szyfrowania na bazie aplikacji

6 Szyfrowanie bazy danych Szyfrowanie pojedynczych kolumn 1. Utworzenie klucza głównego i certyfikatu, który zabezpiecza klucz (baza aplikacji) 2. Wygenerowanie symetrycznego klucza do szyfrowania/deszyfrowania danych 3. Proces szyfrowania 1. Otwarcie klucza szyfrującego (ad. 2) 2. Wpisywanie danych (EncryptByKey) / odczyt danych (DecryptByKey) 3. Zamknięcie klucza

7 Jak bezpieczne są Twoje dane w systemach mobilnych? _

8 Zagrożenia 1. Wyciek prywatnych i poufnych danych; 2. Możliwość wysyłania "SMS Premium"; 3. Określenie naszej aktualnej pozycji GPS; 4. Usunięcie danych; 5. Wyłudzanie pieniędzy; 6. i wiele innych.

9 Jak uchronić się przed atakami? 1. Korzystanie z telefonu 1. Aktualizowanie wersji oprogramowania telefonu; 2. Stosowanie zabezpieczeń takich jak: 1. Hasło dla ekranu blokady; 2. Przejście w stan uśpienia po określonym czasie; 3. Internet, Wi-Fi, Bluetooth uruchomione tylko wtedy gdy ich potrzebujemy; 4. Unikać ładowania telefonu w miejscach publicznych; 5. Unikać korzystania z publicznej, nie zabezpieczonej sieci Wi-Fi; 6. i wiele innych;

10 Jak uchronić się przed atakami? 1. Aplikacje 1. Pobieranie aplikacji tylko z zaufanego źródła (oficjalny sklep); 2. Posiadanie aplikacji tylko tych których potrzebujemy; 3. Sprawdzenie uprawnień jakie potrzebuje aplikacja; 4. Aktualizacje; 2. Ustawienia przeglądarki internetowej 1. Wyłączenie JavaScriptu, wtyczek, okienek pop-up; 2. Wyłączenie ciasteczek; 3. Wyłączenie opcji zapamiętywania hasła;

11

12 Podstawowe zasady zabezpieczenia własnych aplikacji

13 Podstawowe zasady zabezpieczenia własnych aplikacji 1. Komunikacja z serwerem backendowym; 2. Przechowywanie istotnych danych na urządzeniu 1. Hasła; 2. Dane osobowe; 3. Ochrona przed różnymi rodzajami wstrzyknięć; 4. Szyfrowanie połączenia; 5. Ograniczyć do minimum pobierania wymaganych danych oraz uzyskania uprawnień do aplikacji systemowych;

14 Jak bezpieczne są Twoje dane w aplikacjach internetowych?

15 Sposoby ochrony aplikacji internetowych - bezpieczeństwo kodu

16 Sposoby ochrony aplikacji internetowych zabezpieczenia sieciowe Zabezpieczenia sieciowe oraz Intrusion Prevention System są podstawą do tworzenia bezpieczeństwa architektury sieci. Systemy te działają poprzez analizę ruchu sieciowego za pomocą dwóch metod: Analiza heurystyczna Analiza sygnaturowa

17 Sposoby ochrony aplikacji internetowych odpowiednia kontrola dostępu do danych Kontrola dostępu do danych Błędne założenia twórców aplikacji Rekordy w bazie danych. Ma to swoje zalety, ale również wady.

18 Sposoby ochrony aplikacji internetowych - WAF Służy do zabezpieczenia serwerów aplikacji webowych. Web Application Firewall pozwala zabezpieczyć się przed zagrożeniami Zastosowanie WAF

19 OWASP Czym jest OWASP? ASVS zawiera 4 poziomy weryfikacji aplikacji webowej. Każdy poziom zawiera odpowiednie wymagania Poziom 1 Poziom 2 Poziom 3 Poziom 4

20 OSSTM Metodyka należąca do ISECOM (Institute for Security and Open Methodology) Główne cele określone przez twórców OSSTM mają doprowadzić do stwierdzenia prawdziwości założeń, m.in. : Testy przeprowadzono dokładnie, Założenia testów były zgodne z prawem Wyniki testów są zgodne I powtarzalne Wyniki zawierają wyłącznie fakty, pochodzące z przeprowadzonych badań OSSTM jest podzielona na pięć sekcji opisujących zagadnienia

21 Jak bezpieczne są Twoje dane _ podczas transmisji w sieci Internet?

22 Bezpieczeństwo przesyłanych danych poprzez sieć Internet Ochrona sieci LAN Firewall Rewizja Szyfrowanie Protokoły bezpiecznej transmisji SSL/TLS HTTPS SFTP

23 Ochrona sieci LAN Firewall Zapory filtrujące Translacja adresów sieciowych - NAT Zapory pośredniczące - Proxy Rewizja Prowadzi rejestr operacji wykonywanych przez użytkowników Wykrywanie ataków Śledzenie dostępów do serwerów

24 Szyfrowanie Główne aspekty szyfrowania: Poufność Integralność Niezaprzeczalność Typy szyfrowania Szyfrowanie z kluczem pojedynczym - symetryczne Szyfrowanie z kluczem publicznym - asymetryczne

25 Protokoły bezpiecznej transmisji SSL/TLS Prywatność Autoryzacja Integralność przesyłanych danych HTTPS SFTP WinSCP Total Commander po zainstalowaniu SFTP Plugin OpenSSH

26 Dziękujemy za uwagę _