1. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Otevřená bezpečnost
Ondřej Profant
Česká pirátská strana
Cybesecurity 2014
Verze: 8. ˇcervence 2015

2. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Témata
Paradigmata
Lidské zdroje

3. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Bezpečnost je kritická
Bezpečnost je zcela kritická, zároveň však překvapivě
opomíjená.
Ve skutečnosti je totiž opomíjená ve většině procesu realizace
projektu:
návrh,
implementace,
testování.

4. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
I ty největší projekty mají chyby (v kódu). Např. LinkedIn,
Github, Seznam.
Mnohdy znamé. Ať už teoreticky, či prakticky.
(Oprávněná) obhajoba: nedostatek expertů, času, zdrojů

5. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Bezpečnost
Oblíbený úskok:
Security through obscurity
Bezpečné je to, co je bezpečné (dokázané, testované, odladěné).
Nikoliv to, co je skryté.

6. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Otevřenost
OSS projekty tu jsou a jsou minimálně stejně bezpečné jak
jejich proprietární protějšky.
V čem otevřenost pomůže:
Tlak na preciznost.
Širší diskuse.
Lepší integrace dalších otevřených řešení.
V čem neuškodí:
Bezpečnost – pokud chyba existuje, tak si jí útočník najde
(pokud chce opravdu útočit).

7. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Otevřenost
Přínos pro všechny.
Pokud i ostatním „pomůžete“ s bezpečností, bude celé prostředí
stabilnější. Příkladem jsou DDOS.
Ad absurdum: přece byste nechtěli obchodovat v anarchii.

8. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Příklad
Seznam.cz a zasílaní hesel v nešifrované podobě.

9. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Ilustruje většinu zmíněných problémů:
Kód převážně pro UI
Kód doplněn později
Odeslání formuláře se již provedlo bezpečně
Nestandardní řešení (běžné je ověřit přímo v JS, nikoliv na
serveru)

10. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Bug bounty program
Odměna za nalezení chyby.
Využívá například:
Adobe
Apple
Avast
Github
Google

11. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Další modely
Do budoucna je třeba motivovat chytré a schopné lidi, aby
raději spolupracovali, než „bojovali“.
Dobré příklady existují, avšak občas jsou ubíjeny starými
paradigmaty.

12. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Témata Bezpečnost Otevřenost Příklad Modely Závěr
Děkuji za pozornost.
Doplňující otázky?
Copyleft Ondřej Profant, 2014. Všechna práva vyhlazena. Sdílejte, upravujte
a nechte sdílet za stejných podmínek.
Prezentace v úplné formě1 na:
https://www.github.com/kedrigern/prezentace-cs.
Mail: ondrej.profant -at- pirati.cz
1
i se zdrojovými kódy