JA administrator i reszta świata. Whoami – Maksymilian Michalski „BEZPIECZNIK” Straż Miejska Warszawa Bezpieczeństwo Systemów i Informacji >30 systemów.

Slides:



Advertisements
Podobne prezentacje
Wykonała : Natalia wielgos
Advertisements

PTH Technika sp. z o.o. z siedzibą w Gliwicach
Bezpieczeństwo informatyczne Informatyka śledcza
Nowe zasady dotyczące kont użytkowników systemu VTLS/VIRTUA.
Bezpieczeństwo aplikacji WWW
„Moje i oboWWWiązki” Natalia Gałka II f
Zabezpieczenia w programie MS Access
Język SQL – zapytania zagnieżdżone (podzapytania)
Internet jako źródło informacji dla pacjenta na temat schorzeń i leków
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Bibliotekarz – odkrywca. Agenda Proces tworzenia informacji Indeksy wyszukiwawcze Budowa rekordu w Promaxie Zapytania.
REGULAMIN PRACOWNI KOMPUTEROWEJ
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Michał Szczepański Patryk Banasiak
KS-OMNIPHARM.
Bezpieczeństwo rodzinne w Windows 8
JAK ZAPARKOWAĆ SIĘ ABY BYŁO DOBRZE ;)
Wypadek drogowy Pierwsza pomoc.
Wypożyczalnia NARZĘDZI
JAK ROZPOCZĄĆ PRACĘ Z KOMPUTEREM ???.
Wspólnie odkrywamy cyfrowy świat!
KOMENDA MIEJSKA POLICJI W SŁUPSKU
Maciej Kujawiński i Daniel Krystyniak, klasa 2G
LICENCJE OPROGRAMOWANIA
Bezpieczeństwo w sieci
Instrukcja USOS Ankiety wersja by Marek Opacki.
System Centralnej Ewidencji Kierowców i Pojazdów
„Bezpieczeństwo w Internecie”
Co to elektronika? Elektronika – dziedzina techniki i nauki zajmująca się obwodami elektrycznymi zawierającymi, obok elementów elektronicznych biernych,
WYNIKI ANONIMOWEJ ANKIETY „BEZPIECZEŃSTWO W SIECI”
O internecie.
GoldenSubmarine | Mobile Marketing. Mobilność rozwija się w niezwykle szybkim tempie, z dnia na dzień dostarczając nowych rozwiązań. Świat mobilności.
mgr Justyna Dziubak - Sobiechowska
Duch klasy Jak motywować uczniów do nauki?
XML Publisher Przedmiot i zakres szkolenia Przedmiot i zakres szkolenia Przeznaczenie XML Publisher Przeznaczenie XML Publisher Definiowanie Definiowanie.
OCENIANIE KSZTAŁTUJĄCE OK
Archiwizacja bazy danych
Bezpieczeństwo w sieci
Treści multimedialne - kodowanie, przetwarzanie, prezentacja Odtwarzanie treści multimedialnych Andrzej Majkowski 1 informatyka +
ANKIETA 1. Czy segregujecie odpady? 2. Czym są elektrośmieci? 3. Czy stanowią one zagrożenie dla środowiska i dlaczego? 4. Co należy zrobić ze zużytym.
Dlaczego warto wybrać HIKVISION?
Zasady korzystania z Internetu
Przejdź do wybranych partii Przeszukaj całą bazę po wybranych hasłach.
Sposoby zdalnego sterowania pulpitem
Projektowanie obiektowe. Przykład: Punktem wyjścia w obiektowym tworzeniu systemu informacyjnego jest zawsze pewien model biznesowy. Przykład: Diagram.
KODEKS 2.0 TECHNIKI INFORMACYJNO KOMUNIKACYJNE. KOMUNIKACJA Z RODZICAMI I UCZNIAMI ZA POMOCĄ TELEFONU KOMÓRKOWEGO I POCZTY ELEKTRONICZNEJ.
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Uczymy się z TIK Umiejętnie korzystamy z poczty elektronicznej, Kontaktujemy się z nauczycielami drogą mailową, Wykorzystujemy program Paint i tworzymy.
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
E-Learning. Co to jest e-learning? E-learning jest to metoda nauczania na odległość z wykorzystaniem technologii komputerowych i Internetu. Pozwala na.
AKTUALIZATOR LMN Instrukcja aktualizacji warstw Zespół Zadaniowy ds. Leśnej Mapy Numerycznej w LP Część 1. Instalacja i konfiguracja programu.
Internet Zagrożenia związane z Internetem Autor: Damian Urbańczyk.
NA DROŻEJĄCE UBEZPIECZENIA!
„MOJE ŻYCIE – MÓJ WYBÓR”
Internet to nie tylko gry !!!
Bezpieczeństwo w sieci
Wady i zalety pracy w chmurze
Spotkanie ze Słowem Mk 8, Z Ewangelii według świętego Marka:
Kurs Access.
Dzień Bezpiecznego Internetu
Grzegorz Chodak Wykład
PODSTAWOWE ZARZĄDZANIE KOMPUTERAMI Z SYSTEMEM WINDOWS
PROGRAMY DO KONTROLI RODZICIELSKIEJ
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Operacje na ciągach znaków
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Zapis prezentacji:

JA administrator i reszta świata

Whoami – Maksymilian Michalski „BEZPIECZNIK” Straż Miejska Warszawa Bezpieczeństwo Systemów i Informacji >30 systemów >1300 urządzeń >1000 użytkowników >20 lokalizacji MSW Bezpieczeństwo Systemów i Informacji Powszechny Elektroniczny System Ewidencji Ludności, Centralna Ewidencja Pojazdów i Kierowców Administrator Systemów CEPiK – ponad użytkowników ETS – ponad 500 użytkowników (Polska, Świat) „2nd FACE” Audyty Kontrole Testy Penetracyjne i socjotechnika (w tym NLP) „odzyskiwanie” systemów

Administra tor i reszta SAMO DOBRO !? Administrator Świadomy Administrator Administrator „domyślny” JAdmininstrator SAMO ZŁO ?!

Administrat or Świadomy Wie dla z kim i dla kogo pracuje Wie czym administruje i wykonuje to świadomie Potrafi współpracować z użytkownikami Chce i potrafi współpracować z „bezpiecznikami” Pracuje nad doskonaleniem warsztatu Potrafi ocenić wartość systemu i danych które przetwarza Wie gdzie są słabe miejsca i je obserwuje Audyt, kontrola - potrafi użyć je do własnych celów W przypadku znalezienia podatności dokona jej analizy i dopiero będzie coś z tym robić  Od czasu do czasu eksperymentuje  Spróbuj zaatakować użytkowników  Spróbować zaatakować dostawców  Atakuj elementy systemów, które są od niego niezależne  Poszukaj podatności niezależnych od niego  Drugi raz nie trać czasu na ten sam sposób

Administrator Robi co do niego należy, nie mniej nie więcej lub robi co mu karzą Wykonuje wszystko zgodnie ze sztuką Brakuje mu wyobraźni Wie gdzie są słabe miejsca, ale nic z tym nie dopóki mu nie zostanie to nakazane Audyt jest normalna rzeczą, oby nic nie wykazał będzie praca do wykonania  Będą tylko sprawdzone rozwiązania, najczęściej mają one opisane wszystkie „+” i „– ”.  Jeżeli nie dostał zlecenia to nie wykonał danej czynności, sprawdź wersje oprogramowania.  Użyj nazw stosowanych w organizacji – to prawdopodobnie hasło.  Jedno hasło może być kluczem do wszystkiego

Administrator „Domyślny” Tylko ustawienia domyślne są najlepsze. Ktoś wymyślił za mnie rozwiązanie więc musi działać. Skoro ustawienia domyślne się nie sprawdzają to system jest kiepski. Audyt nie jest do niczego potrzebny przecież wszystko powinno chodzić i być bezpieczne.  Domyślne hasła  standardowe przypadłości urządzeń i aplikacji  Proste skanowanie odpowie na większość pytań

JAdmnistrator Tylko on się zna - inni to „głupcy”. Tylko jego pomysły są dobre - inni to „głupcy”. System jest JEGO – inni to „głupcy”. użytkownik jest szkodnikiem psuje system nie potrafi docenić dzieła administratora. Audyt jest wrogiem ponieważ może wprowadzić zamęt do „ustalonego porządku” po za tym wykonują go „głupcy”. Podatność nie istnieje do czasu aż ktoś mu udowodni jej skuteczność - i tak powie że to nie jego „wina” zawinił jakiś „głupiec”.  EGO, wszystko czym się nie pochwalił jest do wykorzystania.  Wykorzystaj te same podatności, które zostały wcześniej wykryte a ich nie uznał, warto zapoznać się z wynikami wcześniejszych audytów.  „głupcy” z chęcią pomogą oni muszą przecież jakoś korzystać z systemu System jest ZABLOKOWANY – NIE JEST ZABEZPIECZONY

SCHEMAT Im więcej osób myśli nad zabezpieczeniami tym jest ich większa skuteczność i mniejsza szansa na powtarzalność KAŻDY MA SWÓJ SCHEMAT PRACY I POSTĘPOWANIA GRUPA OSÓB, KTÓRA PRACUJE STALE W TYM SAMYM SKŁADZIE TEŻ DOJDZIE DO SCHEMATU

STATYSTYKI (źródła własne: 50 podmiotów z sektora MSP i Publicznego) Z roku na rok rośnie świadomość użytkowników, administratorów, osób na stanowiskach kierowniczych. 25% - firm ujawnia krytyczne informacje o sobie 35% - hasła proste 40% - pozostawiono hasła domyślne 60% - niewłaściwie przyznane uprawnienia 80% - przypadków znalezione zostały podatności umożliwiające uzyskanie dostępów do zasobów, bez stosowania zaawansowanych „hack” technik ok. 10% to JAdministratorzy

PYTANIA ??

KONTAKT strazmiejska.waw.pl