Tölvuöryggi 2012: Sókn er besta vörnin Dr. Ýmir Vigfússon, HR

Hvernig bætum við upplýsingaöryggi á Íslandi? Staðan á Íslandi Hvernig bætum við upplýsingaöryggi á Íslandi?

Að bæta upplýsingaöryggi á Íslandi Hver er staða tölvuöryggis í heiminum í dag? Hvernig verður staðan eftir 5 ár? Eða 10 ár? Hvernig finnum við fólk til þess bregðast við þróuninni?

Tímarnir breytast Árið 2000 Árið 2012 Fikt, frægð, (völd) Peningar, njósnir, völd

Virði öryggisgalla $60,000 (fyrr í sumar) $100,000- http://www.theinquirer.net/inquirer/news/2158127/google-hands-usd60-chrome-exploit-windows http://www.h-online.com/security/news/item/Speculations-over-the-price-of-exploits-on-the-black-market-1190998.html $60,000 (fyrr í sumar) $100,000- $500,000 (áætlað á svörtum markaði)

Nóg af æti Fjöldi tilkynntra öryggisgalla http://betanews.com/newswire/2012/03/22/ibm-x-force-report-2011-shows-progress-against-security-threats-but-attackers-adapt/ Fjöldi tilkynntra öryggisgalla

Nóg af hugbúnaði = Nóg af holum Hvaðan kemur ætið? Steve McConnell: Code Complete: A Practical Handbook of Software Construction Nóg af hugbúnaði = Nóg af holum Áhersla á nýja virkni Fídusar skila beinum tekjum, öryggi er fjárfesting Fáir raunverulega meðvitaðir um öryggi Stærri og margþættari kóði í vörum í dag Línulegur vöxtur í SLOC (source lines of code) Líkur á galla per lína af kóða Endurnýting algeng Mun eflaust lítið breytast

Sem sagt nóg af öryggisholum ...en hvað er gert við þær?

Botnet Tölvur óafvitandi strengdar saman í stórt net DDoS árásir Dreifð Tölvuský?

Botnet Tölvur óafvitandi strengdar saman í stórt net DDoS árásir Spam http://www.guardian.co.uk/technology/blog/2010/feb/25/microsoft-waledac-botnet-beheaded Tölvur óafvitandi strengdar saman í stórt net DDoS árásir Spam

Botnet Tölvur óafvitandi strengdar saman í stórt net DDoS árásir Spam Clickbots Þjófnaður

Mun umfangsmeiri árásir http://www.codeproject.com/Articles/246545/Stuxnet-Malware-Analysis-Paper Stuxnet ormurinn eyðilagði 20% skilvinda og kælivifta í írönskum kjarnorkuverum árið 2010 Gallar notaðir: 4 x

Mun umfangsmeiri árásir http://www.zdnetasia.com/china-linked-to-new-breaches-tied-to-rsa-62300614.htm Stór og voldug öfl ráða för Upplýsingum um RSA SecurID lykla stolið árið 2011 Tölvupóstur sem misnotaði galla. Líklega frá Kína. Í kjölfarið: Operation Aurora: Google, Yahoo!, Juniper, Symantec ...

Hvernig munu málin þróast? #1: Virði og umfang árása mun aukast Ítök glæpasamtaka á netinu vex Ríkisstjórnir að vakna (og vilja líka vera með) #2: Fjöldi öryggisveikleika mun aukast Ekkert sem virðist hægja á þeirri þróun #3: Áhætta einstaklinga er óljós Borga slíkar árásir sig upp fyrir vondu kallana? Hvað skal til bragðs að taka?

No silver bullet Galdralausnir „En ef allir nota/kaupa bara x?“ Flestur hugbúnaður og stýrikerfi á svipaðri hillu Markaðshlutdeild skiptir miklu máli Vírusvarnir frekar slappar í dag Stærðfræðilega ómögulegt að greina öll spilliforrit Uppfærslur koma iðulega á eftir árásum „En ef maður fer ekki inn á vondar síður?“ XSS árásir, Flash, PDF skjöl, Java, ...

Hvað þarftu mikið öryggi? Að efla öryggi Öryggi er ekki búðarvara Eldveggur, vírusvörn, IPS o.s.frv. geta hjálpað en leysa ekki vandann Öryggi er stanslaust ferli Sífelld þróun, sífelld þjálfun Hvað þarftu mikið öryggi? Hvað má það kosta? Öryggi Vinna

Að bæta upplýsingaöryggi á Íslandi Hver er staða tölvuöryggis í heiminum í dag? Hvernig verður staðan eftir 5 ár? Eða 10 ár? Hvernig finnum við fólk til þess bregðast við ástandinu?

Hvað gera íslensk fyrirtæki í dag? Stöku kerfisstjórar og forritarar reyna að halda í við öryggisuppfærslur Einhver ofarlega í fyrirtækinu segir kannski: „Vó, við þurfum svona upplýsingaöryggi!“ Öryggisstefnu skilgreind, stundum fengin ISO27001 vottun Dýr búnaður keyptur, jafnvel settur í gang! Og svo hvað?

Hvað gera íslensk fyrirtæki í dag? Fæstir skilja hættuna Kaupa vírusvörn, en uppfæra ekki t.d. Java Starfsfólki sagt að fara ekki á vondar síður, en PDF viðhengi sífellt notuð í pósti Nota flókin lykilorð, en starfsfólk fer inn og út á netið með ferðatölvur og snjallsíma Hakkarar ráðast alltaf á garðinn þar sem hann er lægstur Hver fylgist með þessum síbreytilega garði?

„Sókn er besta vörnin“ Það þarf fólk sem skilur óvininn Hvernig verður reynt að brjótast inn? Hvers vegna verður reynt að brjótast inn? Hversu líkleg og hættuleg væri sú árás? Það þarf fólk sem fylgist með örygginu Hvaða árásarvinkill er stór í dag? Er erfitt að brjótast inn núna? Alveg viss? Hvar fáum við svona fólk?

Hvar fáum við svona fólk? Kaupa Þjálfa Öryggisúttektir Öryggi vs. fjármagn „Offensive Security“ Þjónustuaðili fær borgað fyrir að ná að hakka sig inn Starfsmenn fá stundum ekki af vita af þessu Ýmis námskeið og ráðstefnur Síþjálfun mikilvæg Eru námskeiðin góð? Háskólakerfið Viljum að nemendur útskrifist með frekar djúpa þekkingu á tölvuöryggi

„Offensive security“ Strúts-aðferðin Hefðbundnar þjónustur uppfærðar Reglulegar innbrots- prófanir Goal-oriented offensive security

Hvar fáum við svona fólk? Kaupa Þjálfa Öryggisúttektir Öryggi vs. fjármagn „Offensive Security“ Þjónustuaðili fær borgað fyrir að ná að hakka sig inn Starfsmenn fá stundum ekki af vita af þessu Ýmis námskeið og ráðstefnur Síþjálfun mikilvæg Eru námskeiðin góð? Háskólakerfið Viljum að nemendur útskrifist með frekar djúpa þekkingu á tölvuöryggi

Tölvuöryggi í háskólanámi Komandi kynslóð þarf að þekkja hætturnar Næstu forritarar Næstu stjórnendur Sorglega lítil áhersla hingað til Rétt minnst á tölvuöryggi í nokkrum námskeiðum HR ákvað að bæta um betur Árlegt 6 eininga tölvuöryggisnámskeið Árlegar keppnir í tölvuhakki

Stefnan í HR Að skilja öryggishættur ... með því að skilja hakkara Meiri aðlögunarhæfni Skemmtilegra Betri áhættugreining Siðferðislínan

Námskeið í tölvuöryggi 3 vikur á vorin í HR, allan daginn. Opið fyrir alla! Kafað í flestar tegundir exploita Hvers vegna er hægt að misnota forrit? Hvernig skrifar maður exploit? Hvernig er hægt að laga forritskóða? Farið yfir netöryggi, staðla, siðfræði, o.s.frv. Margir sérfræðingar komu að kennslunni Ótrúlega fær 20 manna hópur útskrifaðist Skrifuðu meira að segja exploit á lokaprófi!

RU Hacking Contest Keppnin 2011 var ótrúlega vinsæl! Tugir þátttakenda Umfjöllun í öllum fjölmiðlum, t.d. http://www.mbl.is/frettir/innlent/2011/10/31/keppt_i_tolvuhakki/

RU Hacking Contest Keppnin 2012 verður á föstudag kl. 21:30 Sal 1 í Háskólabíó á Vísindavökunni Endilega mætið!

Að bæta upplýsingaöryggi á Íslandi Hver er staða tölvuöryggis í heiminum í dag? Hvernig verður staðan eftir 5 ár? Eða 10 ár? Hvernig finnum við fólk til þess bregðast við ástandinu?

Sókn er besta vörnin Öryggi er fall af vinnu, ekki búðarvara Stigmögnun í öryggisheiminum mun halda áfram Öryggi er fall af vinnu, ekki búðarvara No silver bullet. Hvað þarftu mikið? Lykillinn er að skilja óvininn „Know thyself, know thy enemy“ Sun Tzu Getum keypt eða þjálfað fólk með þennan skilning!