1 dr inż. Jerzy Krawiec Zastępca Prezesa Polskiego Komitetu Normalizacyjnego ds. Informatyzacji i Logistyki ( ) Koordynator Projektu w ramach Programu Operacyjnego Innowacyjna Gospodarka 2007 ‑ 2013, Priorytet VII – Społeczeństwa Informacyjne, budowa elektronicznej administracji Współinicjator procesu informatyzacji PKN od 1998 r. Członek: Rady Informatyzacji przy MSWiA (I, II i III kadencji), Stowarzyszenia na rzecz Atestacji i Standaryzacji Oprogramowania (SASO), Stowarzyszenia na rzecz upowszechniania komputerowych systemów inżynierskich (ProCAx). Autor ponad 40 publikacji naukowych i popularno-naukowych Posiada certyfikaty: Information Security Manager, Information Security Auditor (ISO/IEC 27001) oraz Audytor wiodący Systemu Zarządzania Usługami IT (ISO/IEC 20000). Jako audytor przeprowadził 23 audyty (18 zewnętrznych i 5 wewnętrznych) Systemu Zarządzania Bezpieczeństwem Informacji Posiada doświadczenie w programowaniu w językach: Pascal, Delphi, VBA, PL/SQL, PHP oraz Java. Specjalizuje się w prowadzeniu badań dotyczących cyberbezpieczeństwa, analizach podatności aplikacji webowych oraz opracowaniu zasad bezpiecznego programowania Politechnika Warszawska – Wydział Inżynierii Produkcji Instytut Organizacji Systemów Produkcyjnych – Zakład Systemów Informatycznych
Programowanie obiektowe
Informatyków już nie ma Oprogramowanie: Programista Analityk Architekt Tester Infrastruktura: Analityk Administrator Inżynier wdrożeniowy Specjaliści przyszłości: Architekt rozwiązań Business Intelligence Specjalista ds. wdrożeń rozwiązań beacon Inżynier ds. rozwiązań Speech Analytics
4 Czynniki najsilniej stymulujące rozwój emocjonalny i intelektualny młodzieży: gra na instrumentach programowanie
Zbiór zasad określających, kiedy ciąg symboli tworzy program komputerowy oraz jakie obliczenia opisuje Proces projektowania, tworzenia, testowania i utrzymywania kodu źródłowego programów komputerowych lub urządzeń mikroprocesorowych (mikrokontrolery) Programowanie 5
Osoba programująca komputery – koder Praca programisty obejmuje: Analizę wymagań systemowych Specyfikację aplikacji Architekturę systemu informatycznego Programowanie Kompilację oprogramowania Testowanie oprogramowania Dokumentację programu Integrację Opiekę serwisową oprogramowania Programista 6
7 Ranking języków programowania Styczeń 2016Nazwa językaUdziałZmiana 1Java21,465%+5,94% 2C16,036%-0,67% 3C++6,914%+0,21% 4C#4,707%+0,34% 5Python3,854%+1,24% 6PHP2,706%-1,08% 7Visual Basic.NET2,582%+1,51% 8JavaScript2,565%-0,71% 9Assembly language2,095%+0,92% 10Ruby2,047%+0,92% 11Perl1,841%-0,42% 12Delphi/Object Pascal1,786%+0,95% 13Visual Basic1,684%+0,61% 14Swift1,363%+0,62% 15MATLAB1,228%-0,16% 16Pascal1,194%+0,52% 17Groovy1,182%+1,07% 18Objective-C1,074%-5,88% 19R1,054%+0,01% 20PL/SQL1,016%-1,00%
8
Linie kodu programu [mln] 9
Cyberbezpieczeństwo dr inż. Jerzy Krawiec
Mariner 1, zniszczenie – zboczenie z kursu, Błąd: nie przeniesiono znaku „-” do aplikacji sterującej Komputer ZSSR pokazał start 5 rakiet USA (1983), Błąd: zła interpretacja odbicia słonecznego na chmurach Ariane 5, zniszczenie - zboczenie z kursu, Błąd: software z Ariane 4 (5x wolniejsza) NORAD, wykrył atak 2020 rakiet ZSSR, Błąd: przesłanie przypadkowych bitów A-380, Program CAD-CATIA, krótkie kable, 5 mld EUR Błąd: wersja 4 (Fortran Unix), wersja 5 (C++ WINDOWS) Airbus SPAINAIR, katastrofa, 154 osoby, złe ustawienie klap podczas startu, Błąd: trojan wprowadzony podczas obsługi serwisowej 2012 – 70% komunikatów podsłuchiwanych w sieci SSL, wypływ kluczy prywatnych oraz haseł użytkowników ; Błąd programisty: Podatność „Heartbleed” Nieobliczalne oprogramowanie
2001 Ataki typu DoS – unieruchomiono 10/13 DNS 2007 Technologia Anycast – unieruchomiono 3/6 DNS 2007 Atak na Estonię – 2 tygodnie oblężenia 2010 Elektrownie atomowa w Iranie, próba przejęcia procesów przemysłowych SCADA – Stuxnet (CVE ) 2014 Zablokowano 150 portali ukraińskich, strony NATO, amerykańskie agencje bezpieczeństwa 2014/2015 Kradzież danych wrażliwych 1,1 mln osób, atak na 22,1 mln użytkowników (USA) 2015 Złamanie zabezpieczeń wyrzutni rakiet Patriot (Turcja/Syria) Sytuacje kryzysowe
komputerów w Polsce każdego dnia jest zainfekowanych oprogramowaniem złośliwym
14 każde oprogramowanie, a także środki przetwarzania informacji są w mniejszym lub większym stopniu podatne na kod złośliwy (wirus, robak, trojan, wabbit, backdoor, rootkit, exploit, keylogger, dialer, spyware) Oprogramowanie złośliwe (Malware)
Bezpieczeństwo informacji Bezpieczeństwo informacji Autentyczność Rozliczalność NiezaprzeczalnośćNiezawodność Dostępność Integralność Poufność Bezpieczeństwo informacji
Ogólny model bezpieczeństwa informacji Legenda: P – podatność B – zabezpieczenie R – ryzyko RR – ryzyko szczątkowe Z – zagrożenia ZASOBY R RR R P P P P P Z ZZ Z Z R B B B B Ogólny model bezpieczeństwa informacji
17 System Zarządzania Bezpieczeństwem Informacji (ISO/IEC 27001) model ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia ochrony aktywów informacyjnych w celu osiągnięcia celów biznesowych, bazujący na szacowaniu ryzyka i poziomów akceptacji ryzyka
Najgorsze hasła footballshadow password master 12345monkeymichael letmeinsuperman qwertyabc mustangbatman baseballaccesstrustno1 dragon
Czas łamania hasła metodą siłową 19 Długość hasłaTylko małe litery+ Wielkie litery+ Cyfry i znaki specjalne 610 min10 h18 dni 74 h23 dni4 lata 84 dni3 lata463 lata 94 miesiące178 lat lat
Znaczniki biometryczne Znacznik biometrycznyFARFRR Odcisk palca1%0,1% Skanowanie tęczówki i siatkówki oka0,0001%0,2% Wzorce naczyń krwionośnych dłoni0,00008%0,01% Geometria dłoni lub twarzy2%/1%0,1%/10% Analiza głosu2%10%