1. Tölvuöryggi 2012: Sókn er besta vörnin Dr. Ýmir Vigfússon, HR

2. Hvernig bætum við upplýsingaöryggi á Íslandi?
Staðan á Íslandi
Hvernig bætum við upplýsingaöryggi á Íslandi?

3. Að bæta upplýsingaöryggi á Íslandi
Hver er staða tölvuöryggis í heiminum í dag?
Hvernig verður staðan eftir 5 ár? Eða 10 ár?
Hvernig finnum við fólk til þess bregðast við þróuninni?

4. Tímarnir breytast Árið 2000 Árið 2012 Fikt, frægð, (völd)
Peningar, njósnir, völd

5. Virði öryggisgalla $60,000 (fyrr í sumar) $100,000-
$60,000 (fyrr í sumar)
$100,000-
$500,000 (áætlað á svörtum markaði)

6. Nóg af æti Fjöldi tilkynntra öryggisgalla
Fjöldi tilkynntra öryggisgalla

7. Nóg af hugbúnaði = Nóg af holum
Hvaðan kemur ætið?
Steve McConnell: Code Complete: A Practical Handbook of Software Construction
Nóg af hugbúnaði = Nóg af holum
Áhersla á nýja virkni
Fídusar skila beinum tekjum, öryggi er fjárfesting
Fáir raunverulega meðvitaðir um öryggi
Stærri og margþættari kóði í vörum í dag
Línulegur vöxtur í SLOC (source lines of code)
Líkur á galla per lína af kóða
Endurnýting algeng
Mun eflaust lítið breytast

8. Sem sagt nóg af öryggisholum
...en hvað er gert við þær?

9. Botnet Tölvur óafvitandi strengdar saman í stórt net DDoS árásir
Dreifð Tölvuský?

10. Botnet Tölvur óafvitandi strengdar saman í stórt net DDoS árásir Spam
Tölvur óafvitandi strengdar saman í stórt net
DDoS árásir
Spam

11. Botnet Tölvur óafvitandi strengdar saman í stórt net DDoS árásir Spam
Clickbots
Þjófnaður

12. Mun umfangsmeiri árásir
Stuxnet ormurinn eyðilagði 20% skilvinda og kælivifta í írönskum kjarnorkuverum árið 2010
Gallar notaðir:
4 x

13. Mun umfangsmeiri árásir
Stór og voldug öfl ráða för
Upplýsingum um RSA SecurID lykla stolið árið 2011
Tölvupóstur sem misnotaði galla. Líklega frá Kína.
Í kjölfarið:
Operation Aurora: Google, Yahoo!, Juniper, Symantec ...

14. Hvernig munu málin þróast?
#1: Virði og umfang árása mun aukast
Ítök glæpasamtaka á netinu vex
Ríkisstjórnir að vakna (og vilja líka vera með)
#2: Fjöldi öryggisveikleika mun aukast
Ekkert sem virðist hægja á þeirri þróun
#3: Áhætta einstaklinga er óljós
Borga slíkar árásir sig upp fyrir vondu kallana?
Hvað skal til bragðs að taka?

15. No silver bullet Galdralausnir „En ef allir nota/kaupa bara x?“
Flestur hugbúnaður og stýrikerfi á svipaðri hillu
Markaðshlutdeild skiptir miklu máli
Vírusvarnir frekar slappar í dag
Stærðfræðilega ómögulegt að greina öll spilliforrit
Uppfærslur koma iðulega á eftir árásum
„En ef maður fer ekki inn á vondar síður?“
XSS árásir, Flash, PDF skjöl, Java, ...

16. Hvað þarftu mikið öryggi?
Að efla öryggi
Öryggi er ekki búðarvara
Eldveggur, vírusvörn, IPS o.s.frv. geta hjálpað en leysa ekki vandann
Öryggi er stanslaust ferli
Sífelld þróun, sífelld þjálfun
Hvað þarftu mikið öryggi?
Hvað má það kosta?
Öryggi
Vinna

17. Að bæta upplýsingaöryggi á Íslandi
Hver er staða tölvuöryggis í heiminum í dag?
Hvernig verður staðan eftir 5 ár? Eða 10 ár?
Hvernig finnum við fólk til þess bregðast við ástandinu?

18. Hvað gera íslensk fyrirtæki í dag?
Stöku kerfisstjórar og forritarar reyna að halda í við öryggisuppfærslur
Einhver ofarlega í fyrirtækinu segir kannski: „Vó, við þurfum svona upplýsingaöryggi!“
Öryggisstefnu skilgreind, stundum fengin ISO27001 vottun
Dýr búnaður keyptur, jafnvel settur í gang!
Og svo hvað?

19. Hvað gera íslensk fyrirtæki í dag?
Fæstir skilja hættuna
Kaupa vírusvörn, en uppfæra ekki t.d. Java
Starfsfólki sagt að fara ekki á vondar síður, en PDF viðhengi sífellt notuð í pósti
Nota flókin lykilorð, en starfsfólk fer inn og út á netið með ferðatölvur og snjallsíma
Hakkarar ráðast alltaf á garðinn þar sem hann er lægstur
Hver fylgist með þessum síbreytilega garði?

20. „Sókn er besta vörnin“ Það þarf fólk sem skilur óvininn
Hvernig verður reynt að brjótast inn?
Hvers vegna verður reynt að brjótast inn?
Hversu líkleg og hættuleg væri sú árás?
Það þarf fólk sem fylgist með örygginu
Hvaða árásarvinkill er stór í dag?
Er erfitt að brjótast inn núna? Alveg viss?
Hvar fáum við svona fólk?

21. Hvar fáum við svona fólk?
Kaupa
Þjálfa
Öryggisúttektir
Öryggi vs. fjármagn
„Offensive Security“
Þjónustuaðili fær borgað fyrir að ná að hakka sig inn
Starfsmenn fá stundum ekki af vita af þessu
Ýmis námskeið og ráðstefnur
Síþjálfun mikilvæg
Eru námskeiðin góð?
Háskólakerfið
Viljum að nemendur útskrifist með frekar djúpa þekkingu á tölvuöryggi

22. „Offensive security“ Strúts-aðferðin Hefðbundnar þjónustur uppfærðar
Reglulegar innbrots- prófanir
Goal-oriented offensive security

23. Hvar fáum við svona fólk?
Kaupa
Þjálfa
Öryggisúttektir
Öryggi vs. fjármagn
„Offensive Security“
Þjónustuaðili fær borgað fyrir að ná að hakka sig inn
Starfsmenn fá stundum ekki af vita af þessu
Ýmis námskeið og ráðstefnur
Síþjálfun mikilvæg
Eru námskeiðin góð?
Háskólakerfið
Viljum að nemendur útskrifist með frekar djúpa þekkingu á tölvuöryggi

24. Tölvuöryggi í háskólanámi
Komandi kynslóð þarf að þekkja hætturnar
Næstu forritarar
Næstu stjórnendur
Sorglega lítil áhersla hingað til
Rétt minnst á tölvuöryggi í nokkrum námskeiðum
HR ákvað að bæta um betur
Árlegt 6 eininga tölvuöryggisnámskeið
Árlegar keppnir í tölvuhakki

25. Stefnan í HR Að skilja öryggishættur ... með því að skilja hakkara
Meiri aðlögunarhæfni
Skemmtilegra
Betri áhættugreining
Siðferðislínan

26. Námskeið í tölvuöryggi
3 vikur á vorin í HR, allan daginn. Opið fyrir alla!
Kafað í flestar tegundir exploita
Hvers vegna er hægt að misnota forrit?
Hvernig skrifar maður exploit?
Hvernig er hægt að laga forritskóða?
Farið yfir netöryggi, staðla, siðfræði, o.s.frv.
Margir sérfræðingar komu að kennslunni
Ótrúlega fær 20 manna hópur útskrifaðist
Skrifuðu meira að segja exploit á lokaprófi!

27. RU Hacking Contest Keppnin 2011 var ótrúlega vinsæl! Tugir þátttakenda
Umfjöllun í öllum fjölmiðlum, t.d.

28. RU Hacking Contest Keppnin 2012 verður á föstudag kl. 21:30
Sal 1 í Háskólabíó á Vísindavökunni
Endilega mætið!

29. Að bæta upplýsingaöryggi á Íslandi
Hver er staða tölvuöryggis í heiminum í dag?
Hvernig verður staðan eftir 5 ár? Eða 10 ár?
Hvernig finnum við fólk til þess bregðast við ástandinu?

30. Sókn er besta vörnin Öryggi er fall af vinnu, ekki búðarvara
Stigmögnun í öryggisheiminum mun halda áfram
Öryggi er fall af vinnu, ekki búðarvara
No silver bullet. Hvað þarftu mikið?
Lykillinn er að skilja óvininn
„Know thyself, know thy enemy“ Sun Tzu
Getum keypt eða þjálfað fólk með þennan skilning!