May 28th – 29th 2014 28. – 29. května 2014

May 28th – 29th 2014 28. – 29. května 2014

Main conference organizers / Hlavní pořadatel konference
TATE International, s.r.o.,
DSM magazine publisher – data security management
vydavatel časopisu DSM
Address / Adresa
DSM – data security management
TATE International, s.r.o.
Hořejší nábřeží 21
150 00 Praha 5
Platinum partner / Platinový partner
15. ročník mezinárodní
konference
P R A G U E
P R A H A
In co-operation with / Ve spolupráci
15th International
Conference
MODERN
AND PRACTICAL
APPROACHES
TO SECURITY
tel.: +420 257 920 319–20
fax: +420 257 313 695
e-mail: [email protected]
www.tate.cz
BEZPEČNOST
MODERNĚ
A PRAKTICKY
www.tate.cz/is2
Special partners / Speciální partneři
New Town Hall / Novoměstská radnice
May 28th – 29th 2014
28. – 29. května 2014
Under the auspices of / Záštit a
Ing. Zdeněk Adamec
Deputy Minister of Agriculture
náměstek ministra zemědělství
pro ekonomiku a informační technologie
Ing. Jaroslav Šmíd
Deputy Director
of the National Security Authority
náměstek ředitele
Národního bezpečnostního úřadu
2 0 1 4 P R A G U E
P R A H A
D EAR M ADAM, D EAR S IR,
I have, again, the pleasure to offer you the opportunity to meet the top experts in information technology and information systems risk management both from the Czech Republic and abroad at the now
traditional IS2 Conference. The theme for the fifteenth annual conference is “Modern and Practical
Approaches to Security”. The conference will be held at the New Town Hall in Prague on the 28th–29th
May, 2014.
For DSM Magazine and its subscribers and readers the annual conference is one of the top events of
the year for ICT and information security management. During the two-day conference you will have
the opportunity to meet experts in both ICT and information security. We will certainly not be leaving
out the traditional evening reception at the end of the first day.
We trust that the interesting programme in the pleasant surroundings of the New Town Hall will give
you an ideal opportunity for both a formal and informal exchange of information with your colleagues
from ICT.
We look forward to seeing you at the conference.
Yours
Ing. Mgr. et Mgr. Zdeněk Říha, Ph.D.
On behalf of the IS2
Programme Committee
Daniela Vágnerová
On behalf of the IS2
Organizing Committee
The New Town Hall was reopened to the public in June 1995 after
a reconstruction lasting over twenty years. The construction of the
New Town Hall, one of eighteen national cultural monuments in
Prague, was begun shortly after the founding of Prague’s New Town
in l348, when Charles IV was pursuing a grand-scale town-planning
programme in accordance with his conception of the future of the
Holy Roman Empire, which was to expand eastwards with Prague
as the capital. In 1419 the New Town Hall became the stage for the
first armed clash between the Catholics and Ultraquists, marking the
beginning of the Hussite Revolution. A procession, led by the Hussite
preacher Jan Želivský and Jan Žižka, came to a halt in front of the
Town Hall and demanded the release of followers who had been
imprisoned there. When answered with stones, the crowd forced its
way inside and hurled the burgomaster, two councillors and several
burghers from the windows onto the lances and halberds of the
Hussites below. Those who survived the initial fall were executed.
The most prominent part of the Town Hall is the tower. It is 70
metres high, and was built in such a way as to have a view reaching
to the City walIs. 212 steps lead up to the tower galIery. The columned entrance hall can be seen through the
glass part of the now walled-up carriage entrance, which is by the admissions desk. This hall is the largest preserved space for non-religious purposes built in Bohemia in the High Gothic period. It was later rebuilt in the
baroque style. In the centre of the south wall there is a wooden baroque altar. In the Great Hall, fragments of
mannerisitic murals from the sixteenth century have been preserved. The Borough Council of Prague 2, under
whose charge the most recent restoration took place, is keen to use the building for cultural and social events
which keep in line with its historic significance.
Novoměstská radnice je jednou z osmnácti národních kulturních památek v Praze. Její historie začíná brzy po založení Nového Města pražského Karlem IV. roku 1348. V průběhu staletí se stala Novoměstská
radnice svědkem mnoha dějinných událostí – v pramenech je uváděna
již v roce 1377. V roce 1419 se zde odehrála první pražská defenestrace – dav pod vedením Jana Želivského a Jana Žižky svrhl z oken
purkmistra, dva konšely a několik měšťanů a zahájil tak husitskou
revoluci. Ke druhé pražské defenestraci došlo na Novoměstské radnici
v roce 1483 za náboženských a politických nepokojů v pražských
městech, které přerostly v povstání a politický převrat. V roce 1518,
kdy se Novoměstská radnice stala sídlem šestipanského úřadu, došlo
k výrazné architektonické úpravě budovy; v roce 1559 vyhořela
a její přestavba trvala až do roku 1561. V roce 1609 se zde sešli protestantští stavové, aby přiměli Rudolfa II. vydat Majestát zaručující
náboženské svobody. V roce 1784, po sloučení pražských měst pod
působnost jednoho magistrátu, se radnice stala sídlem trestního soudu
a po roce 1859 zakoupilo radnici Presidium zemského soudu. Poslání
radnice se během staletí měnilo. Z původně správního střediska
Nového Města se radnice stala sídlem soudu a prostory byly využívány jako vězení. Dominantou Novoměstské
radnice je radniční věž, byla založena 1451, vysoká je 70 metrů a na její vrchol vede 212 schodů. Má šest podlaží. Přízemí věže sloužilo jako věznice. V prvním patře je umístěna gotická, později barokně upravená kaple
Nanebevzetí Panny Marie a svatého Václava. Kaple sloužila také jako poslední útočiště odsouzeným na smrt.
Před celkovou rekonstrukcí, která začala v 70. letech minulého století, radnice sloužila (ve velmi zdevastovaném
stavu) jako pracoviště dopravního inspektorátu. Celková rekonstrukce Novoměstské radnice probíhala v letech
1975-1995. Přibližně do konce června 2007 probíhala rekonstrukce fasády na jižním křídle (směrem do Karlova
náměstí) a směrem do nádvoří.
P ROGRAMME C OMMITTEE / P ROGRAMOVÝ VÝBOR
Lukáš Klášterský, Česká pojišťovna
Václav Matyáš, MU Brno and DSM
Jan Mikulecký, Česká pošta
Eva Racková, DSM
Zdeněk Říha, MU Brno (chairman)
Marcel Zanechal, Slovak Telecom and DSM
V ÁŽENÁ PANÍ, V ÁŽENÝ PANE,
máme to potěšení Vám letos znovu nabídnout možnost setkání se špičkovými odborníky na informační technologie
a řízení rizik informačních systémů z České republiky i ze zahraničí na tradiční konferenci IS2. Tématem letošního,
již patnáctého, ročníku je „Bezpečnost moderně a prakticky“. Konference se bude konat v prostorách Novoměstské
radnice v Praze ve dnech 28. – 29. května 2014.
Pro časopis DSM i odbornou obec jeho předplatitelů a čtenářů je tato pravidelná květnová konference jedním
z vrcholu celoroční práce v oblasti ICT a řízení informační bezpečnosti. V průběhu dvou dnů konference budete
mít možnost se setkat jak s experty v oblasti řízení ICT, tak v oblasti informační bezpečnosti. Chybět samozřejmě
nebude ani tradiční večerní setkání na závěr prvního dne konference.
Věříme, že zajímavý program v příjemném prostředí Novoměstské radnice bude pro Vás příležitostí k formální
i neformální výměně informací s kolegy z oboru ICT.
Na setkání s Vámi se těší
Ing. Mgr. et Mgr. Zdeněk Říha, Ph.D.
za programový výbor IS2
Daniela Vágnerová
za organizační výbor IS2
PROGRAMME
Wednesday, May 28th 2014
8:00 – 9:00
Registration, coffee
9:00 – 9:30
Opening Ceremony
9:30 – 10:15
Good morning partner
Data protection at Europol
Jan Ellermann
... responsible for data protection at Europol
10:15 – 11:00
The data protection reforms in the EU - an opportunity and a challenge
Igor Němec
... former National Audit Office Minister and the current President of the Office for Personal Data Protection
11:00 – 11:30
Coffee break
11:30 – 12:15
Digital Laundry – An analysis of online currencies,
and their use in cybercrime
Raj Samani
... will digital currencies change our world?
12:15 – 13:30
Lunch
13:30 – 14:15
Unstructured Data Analysis
Marek Zeman
... a new perspective on processing security logs during the analysis of frauds
14:15 – 15:00
Czechoslovakia: Anti-virus superpower?
Petr Odehnal
... the founder of AVG
15:00 – 15:30
Coffee break
15:30 – 16:30
BYOD
Jakub Geršl ... expert on Security for New Mobile Products
Jan Mikulecký ... Cyber Security Specialist
16:30 – 18:00
Panel Discussion: BYOD
Chaired by: Lukáš Klášterský
19:00 – 22:00
4
Reception Buffet
2 0 1 4 P R A G U E
P R A H A
PROGRAM
Středa 28. května 2014
8:00 – 9:00
Registrace, káva
9:00 – 9:30
Slavnostní zahájení
9:30 – 10:15
Partner dobrého rána
Ochrana dat v Europolu
Jan Ellermann
... zodpovědný za ochranu osobních údajů v Europolu
10:15 – 11:00
Reforma ochrany dat v EU – šance i výzva
Igor Němec
... bývalý ministr státní kontroly a dnes předseda ÚOOÚ
11:00 – 11:30
Káva
11:30 – 12:15
Digitální prádelna – Analýza on-line měn a jejich využití
v počítačové kriminalitě
Raj Samani
... změní digitální měny náš svět?
12:15 – 13:30
Oběd
13:30 – 14:15
Analýza neštruktúrovaných údajov
Marek Zeman
... nový pohľad na spracovanie bezpečnostných logov pri analýze podvodného konania
14:15 – 15:00
Československo: Antivirová velmoc?
Petr Odehnal
... zakladatel AVG
15:00 – 15:30
Káva
15:30 – 16:30
BYOD
Jakub Geršl ... odborník na bezpečnost nových mobilních produktů
Jan Mikulecký ... specialista na kybernetickou bezpečnost
16:30 – 18:00
Panelová diskuse: BYOD
moderátor: Lukáš Klášterský
19:00 – 22:00
Recepce
5
PROGRAMME
Thursday, May 29th 2014
8:00 – 9:00
Registration, coffee
9:00 – 9:15
Opening Adress
9:15 – 9:50
Security architecture for the remote storage of passwords and keys
Good morning partner
Martin Hanzal, Petr Švenda
... How to protect your cloud data from NSA?
9:50 – 10:25
BYOD2 – wearables: what do they give to and take from companies?
Jan Andraščík, Petra Fritzová
... Mobile Security Specialists
10:25 – 11:00
Malware in the mobile
Róbert Lipovský
... you never know exactly what you are carrying....
11:00 – 11:30
Coffee break
11:30 – 12:15
Mobile phone security
Kyrre Sletsjøe
... expert in the decryption of mobile communications
12:15 – 13:15
Round table discussion: Cybersecurity
Chaired by: Jan Mikulecký
13:15 – 14:30
Lunch
14:30 – 15:05
The security threats and vulnerabilities of mobile internet banking
Jan Sechovec
... a live demo of the vulnerabilities of internet banking
15:05 – 15:50
HTTP/2.0 security issues
Danilo Gligoroski
... leading cryptologist and co-author of the Norwegian-Czech BMW hash function design
15:50 – 16:15
6
Lottery Draw, Closing Ceremony
2 0 1 4 P R A G U E
P R A H A
PROGRAM
Čtvrtek 29. května 2014
8:00 – 9:00
Registrace, káva
9:00 – 9:15
Zahájení druhého dne
9:15 – 9:50
Bezpečné vzdálené úložiště klíčů
Partner dobrého rána
Martin Hanzal, Petr Švenda
... Jak ochránit svá data v cloudu před NSA?
9:50 – 10:25
BYOD2 – wearables: Co společnostem přináší a co jim berou
Jan Andraščík, Petra Fritzová
... specialisté na mobilní bezpečnost
10:25 – 11:00
Škodlivý kód vo vrecku
Róbert Lipovský
... ani nevíte, co nosíte...
11:00 – 11:30
Káva
11:30 – 12:15
Bezpečnost mobilních telefonů
Kyrre Sletsjøe
... expert na dešifrování mobilních komunikací
12:15 – 13:15
Kulatý stůl: Kyberbezpečnost
moderátor: Jan Mikulecký
13:15 – 14:30
Oběd
14:30 – 15:05
Bezpečnostní hrozby a zranitelnosti mobilního internetového bankovnictví
Jan Sechovec
... živá ukázka slabin internetového bankovnictví
15:05 – 15:50
Bezpečnostní aspekty HTTP/2.0
Danilo Gligoroski
... špičkový kryptolog a spoluautor norsko-českého návrhu hašovací funkce BMW
15:50 – 16:15
Vylosování soutěže – tombola, slavnostní zakončení
7
JAN ELLERMANN
Jan Ellermann works as a Senior Specialist in Europol’s Data Protection Office. He joined
Europol in late 2007 after starting his professional career as a research assistant and lawyer
in Germany, later serving his country as a Public Prosecutor. Jan holds a doctoral degree
in law connected to Europol and the FBI. He provides operational data protection related
guidance across the organisation.
DATA PROTECTION AT EUROPOL
The European Union launched its own European Cybercrime Centre (EC3) at the beginning of 2013. A related
feasibility study carried out for the European Commission reveals that, next to operational considerations, strong
data protection safeguards constitute one of the main factors for having the centre hosted at the European Police
Office (Europol). Data protection and the fight against cybercrime do not generally constitute a contradiction.
On the contrary, due protection of information relating to identified or identifiable natural persons is a prerequisite for preventing identity theft and other forms of cybercrime. The talk I would like to give will illustrate
the solid data protection regime at Europol. Prominent features in this regard are independent data protection
supervision, Europol’s secure information exchange capabilities, data protection compliant outreach to the
private sector and – most importantly – clearly defined purpose specifications for processing operations upon
personal data in Europol’s databases. The aims of preventing and combating cybercrime are balanced against
the goal of safeguarding the freedom of individuals. In fact, they go hand in hand: at Europol, it is recognised
that the data protection rules in place are essential for the success of operations. High data protection standards
lead to a high quality of data which itself is a precondition for high quality crime analysis.
IGOR NĚMEC
Dr. Igor Němec studied numerical mathematics at the Faculty of Mathematics and Physics
at Charles University in Prague. He started his career as an analyst and later worked on
software development. He was elected to the Chamber of Deputies of the former ČSSR. This
started his long-term political career. He became a minister in several governments; from
1996 to1997 he led the Office for the State Information System. After that he returned to
politics and in 2002 was Mayor of the City of Prague for a short period of time. He has
been the President of the Office for Personal Data Protection since 2005, and is currently
in his second term of office. He is married with four children.
THE DATA PROTECTION REFORMS IN THE EU
– AN OPPORTUNITY AND A CHALLENGE
The protection of personal data in the EU is currently undergoing a revision that should become a model throughout the world. This will be the most significant change over the last twenty years. Dr. Němec will present the
main cornerstones of the revision, explain what it will bring and what it will mean for individuals, companies,
organizations and privacy regulatory bodies. Both documents (the General Directive on data protection and police and judicial cooperation in criminal matters regulations) were approved by a vote in the European Parliament
by 12 March 2014. This was another tangible step towards the final approval of both documents. The speaker
will also share his opinion about when the revised documents will come into force.
8
2 0 1 4 P R A G U E
P R A H A
JAN ELLERMANN
Jan Ellermann pracuje jako senior specialista v úřadu pro ochranu dat Europolu. V Europolu začal pracovat koncem roku 2007 po zahájení své profesní kariéry jako výzkumný asistent a právník v Německu, později pracoval
jako státní zástupce. Jan má doktorát v oboru práva souvisejícího s Europolem a FBI. Poskytuje provozní pokyny
týkající se ochrany dat v rámci celé organizace.
OCHRANA DAT V EUROPOLU
Evropská unie zahájila činnost svého Evropského střediska počítačové kriminality (EC3), na začátku roku
2013. Odpovídající studie proveditelnosti realizovaná pro Evropskou komisi ukazuje, že vedle provozních
záležitostí mluví pro umístění při Europolu hlavně silné záruky ochrany údajů. Ochrana osobních údajů
a boj proti počítačové kriminalitě obecně nepředstavují rozpor. Naopak, patřičná ochrana údajů o identifikovaných nebo identifikovatelných fyzických osobách je předpokladem pro prevenci krádeží identit
a jiných forem počítačové kriminality. Příspěvek bude ilustrovat striktní režim ochrany údajů v Europolu.
Význačné rysy v tomto ohledu jsou nezávislý dohled nad ochranou dat, schopnosti bezpečné výměny
informací v Europolu, odpovídající ochrana dat i v soukromého sektoru a – co je nejdůležitější, jasně
definované specifikace účelu při zpracování osobních údajů v databázích Europolu. Cíle prevence a boje
s počítačovou trestnou činností jsou v rovnováze s cílem zajištění svobody jednotlivců. Ve skutečnosti jdou
tyto cíle ruku v ruce. V Europolu se uznává, že pravidla na ochranu dat jsou nezbytné pro úspěch operací.
Vysoké standardy ochrany dat vedou k vysoké kvalitě dat, která je sama o sobě předpokladem pro vysoce
kvalitní analýzu kriminality.
IGOR NĚMEC
RNDr. Igor Němec vystudoval numerickou matematiku na Matematicko-fyzikální fakultě Univerzity Karlovy
v Praze. Svoji kariéru začal jako analytik, později se věnoval vývoji softwaru. V roce 1990 byl zvolen poslancem
Federálního shromáždění tehdejší ČSSR. Tím nastoupil dlouholetou politickou dráhu. Stal se ministrem v několika vládách, v letech 1996-1997 řídil Úřad pro státní informační systém, pak se vrátil do politiky a v roce 2002
nakrátko okusil práci primátora hlavního města Prahy. Od roku 2005 je předsedou Úřadu pro ochranu osobních
údajů a v současnosti vykonává své druhé funkční období. Je ženatý a má čtyři děti.
REFORMA OCHRANY DAT V EU – ŠANCE I VÝZVA
Ochrana osobních údajů v EU nyní prochází reformou, která má ambici stát se vzorem i v globálním měřítku.
Jde o největší modernizaci za posledních téměř dvacet let. RNDr. Němec představí základní prvky reformy,
vysvětlí, které významné novinky přinese a co konkrétně budou znamenat pro jednotlivce, firmy, instituce, ale
také pro činnost orgánů dozoru pro ochranu dat. Dne 12. března 2014 prošly oba základní reformní dokumenty (obecné nařízení o ochraně údajů, směrnice o policejní a justiční spolupráci v trestních věcech) plenárním
hlasováním v Evropském parlamentu. Tím byl učiněn další hmatatelný krok ke konečnému schválení obou
reformních předpisů. Přednášející se také podělí o názor, kdy reforma vstoupí v platnost.
9
RAJ SAMANI
Raj Samani is currently working as the VP, Chief Technical Officer for McAfee EMEA,
having previously worked as the Chief Information Security Officer for large public sector
organizations in the UK. He volunteers as the Cloud Security Alliance EMEA Strategy Advisor
and is on the advisory councils for Infosecurity Europe and Infosecurity Magazine. In addition,
Raj was previously the Vice President for Communications at the ISSA UK Chapter, having
presided over the Chapter Communications Programme in 2008 and 2009. He has had
numerous security papers published and appeared on television (ITV and More4). As well as
providing assistance in the 2006 RSA Wireless Security Survey and being part of the consultation committee for
the RIPA Bill (Part 3), Raj is also the author of the upcoming book “Applied Cyber Security and the Smart Grid”.
DIGITAL LAUNDRY – AN ANALYSIS OF ONLINE CURRENCIES,
AND THEIR USE IN CYBERCRIME
Recent actions by law enforcement agencies and the charges brought forward by prosecutors add weight to the
theory that digital currencies are a popular service for criminals to launder money. Before its operations were
closed, the Liberty Reserve digital currency service was used to launder US$6 billion, a sum that constituted
the largest international money laundering prosecution. According to the U.S. Department of Justice, “digital
currencies provide an ideal money laundering instrument because they facilitate international payments without
the transmittal services of traditional financial institutions”. Considering this stark assessment, there is no doubt
that digital currencies facilitate money laundering and the rise of cybercrime. The recent McAfee white paper,
Cybercrime Exposed: Cybercrime as a Service, revealed the accessibility of tools and services that support
cybercrime, and the report clearly shows such services rely on the ability of the customer to pay using digital
currencies. The growth of such services and a safer (or perceived safer) means to pay will only enhance this
ecosystem The proliferation of digital currencies fuels the proliferation of tools and services necessary for cybercrime. This, in turn, helps fuel the growth in cybercrime and other forms of digital disruption. Furthermore,
the challenges facing such currencies go beyond their propensity for use within money laundering, and include
targeted attacks on financial exchanges, and malware developed to target digital wallets. In addition to our focus
on virtual currencies in cybercrime, there appears to be evidence of their use in “traditional” physical crime.
A recent case to extort US$1 million in Bitcoin provides an example; other reports suggest that virtual currencies
are the preferred method of payment for the release of kidnap victims. This demonstrates that although we can
argue about the level of anonymity within virtual currencies, for some criminals cash is no longer king.
MAREK ZEMAN
Marek Zeman has over 13 years of experience in IT security. He also works on introducing
new technologies into the banking environment. In IT security, he focuses on database
security, behavioural metrics, and the analysis, evaluation and correlation of non-structured
data. He also raises security awareness by giving lectures. Marek holds the CRISC certificate. Currently, he is studying externally at Comenius University in Bratislava.
UNSTRUCTURED DATA ANALYSIS
This presentation describes the sources of logs and their processing in a financial organization. It examines
these logs in detail; specifically, how they are collected and stored for further processing. The presentation
includes an analysis of the need for new sources of logs in order to improve fraud investigations and also
explains new aspects of log processing; the necessity to merge IT logs with non-IT logs (the real estate
register, commercial register, company proxy, etc.) as well as the mining of non-structured data (social
networks, emails, etc.). Examples of successful uses of this new approach to analysing logs are provided.
Finally, the presentation discusses the possible future development of log systems and the use of IT solutions for business monitoring and the investigation of financial fraud.
10
2 0 1 4 P R A G U E
P R A H A
RAJ SAMANI
Raj Samani v současné době zastává pozici viceprezidenta a technického ředitele pro McAfee EMEA. Dříve
pracoval jako Chief Information Security Officer ve velkých organizacích veřejného sektoru ve Velké Británii.
Působí dále jako poradce EMEA pro Cloud Security Alliance strategie, v poradních radách pro Infosecurity
Europe a Infosecurity Magazine. Kromě toho byl Raj dříve viceprezidentem pro komunikaci v ISSA UK, kde
předsedal Ceně pro Chapter communications programme v letech 2008 a 2009. Publikoval řadu bezpečnostních
studií a vystupoval rovněž v televizních pořadech (ITV a More4). Poskytoval poradenské služby v RSA Security
Survey Wireless 2006 a byl členem konzultačního výboru pro Ripa zákon (část 3). Raj je autorem připravované
knihy „Applied Cyber Security and the Smart Grid“.
DIGITÁLNÍ PRÁDELNA – ANALÝZA ON-LINE MĚN
A JEJICH VYUŽITÍ V POČÍTAČOVÉ KRIMINALITĚ
Nedávné akce orgánů činných v trestním řízení a obvinění vznesená jejich zástupci přikládá důraz teorii, že
digitální měny jsou populární službou pro zločince sloužící praní špinavých peněz. Dříve než bylo ukončeno její
provozování, digitální měna Liberty Reserve byla použita k praní 6 miliard amerických dolarů, což je suma, která
představuje největší mezinárodně stíhanou pračku špinavých peněz. Podle amerického ministerstva spravedlnosti
„digitální měny poskytují ideální nástroj pro praní peněz, protože usnadňují mezinárodní platby bez využití služeb
tradičních finančních institucí.“ Vzhledem k tomuto strohému hodnocení není pochyb o tom, že digitální měny
usnadní praní špinavých peněz a vzestup počítačové trestné činnosti. Nedávno vydaný materiál společnosti McAfee
Cybercrime Exposed: Cybercrime as a Service odhalil dostupnost nástrojů a služeb, které podporují různé typy počítačové trestné činnosti, a zpráva jasně ukazuje, že tyto služby se spoléhají na schopnost zákazníka platit pomocí
digitálních měn. Růst těchto služeb a rostoucí bezpečnost plateb (nebo spíše vnímání bezpečnosti) pouze zvyšuje
zájem o tento ecosystém. Šíření digitálních měn podněcuje rozvoj nástrojů a služeb nezbytných pro počítačovou
kriminalitu. To zase podporuje růst počítačové kriminality a dalších forem digitálních hrozeb. Výzvy, kterým čelí
digitální měny, přesahují rámec jejich využitelnosti pro praní špinavých peněz, cílené útoky na finančních burzách
a malware vyvinutý s cílem zaútočit na digitální peněženky. Navíc kromě zaměření virtuálních měn na počítačovou trestnou činnost se ukazují i důkazy o jejich použití v „tradičním“ fyzickém zločinu. Nedávný případ únosce
požadujícího 1 milionu dolarů v Bitcoin či další 4 podobné zprávy naznačují, že virtuální měny jsou preferovaným
způsobem platby za propuštění unesených. To ukazuje, že i když se můžeme pouze dohadovat o míře anonymity
při užití virtuálních měn, někteří zločinci již hotovost nepovažují za krále.
MAREK ZEMAN
Marek Zeman pracuje viac ako 13 rokov v oblasti IT bezpečnosti a zameriava sa na uvádzanie nových technológii do bankového prostredia. V oblasti IT bezpečnosti je orientovaný na: databázovú bezpečnosť, behaviorálne
metriky, analýza a vyhodnocovanie a korelácia neštruktúrovaných dát a zvyšovanie bezpečnostného povedomia
prednáškovou činnosťou. V ostatných rokoch získal certifikát CRISC. V súčasnosti externe študuje v rámci postgraduálneho štúdia na Univerzite Komenského.
ANALÝZA NEŠTRUKTÚROVANÝCH ÚDAJOV
Prezentácia popisuje zdroje logov a ich spracovanie vo finančnej organizácii. Podrobne sa venuje logom, ktoré
sú zbierané a ukladané centrálne pre ďalšie spracovanie údajov. Rozoberá potrebu nových zdrojov pre ďalšiu
analýzu logov pre pokrytie potrieb, ktoré vznikajú pri vyšetrovaní podvodov. Vysvetľujú sa nové rozmery
práce s logmi: potreba spájania IT logov so zdrojmi mimo IT (kataster, obchodný register, proxy server spoločnosti, atď.) a potreba analýzy údajov (data mining) nad neštruktúrovanými dátami. Na konci prezentácie budú
predstavené príklady, pri ktorých sa nový prístup k analýze logov dal úspešne využiť. Záver bude venovaný
budúcemu rozvoju riešenia, zapojeniu riešenia na monitorovanie bezpečnostných udalostí (SIEM – Security
Incident and Event Monitoring) a riešenia na vyšetrovanie finančných podvodov.
11
BYOD
JAN MIKULECKÝ
Jan Mikulecký is the Chief Security Officer at Česká pošta, o.z. ICT Služby. Previously, he
worked as a Manager in Security & Privacy Consulting at Deloitte Czech Republic. Jan is an expert for information security management, ISMS, BCM, security audit and penetration testing.
He has significant experience in defining security requirements for systems storing sensitive
information and can provide quality assurance for security aspects of systems development and
delivery. At Deloitte, Jan managed security projects in the Czech and Slovak Republics, Belarus,
Russia, Kazakhstan, China and Vietnam. Before he came to Deloitte, Jan worked for 12 years
at Risk Analysis Consultants as security advisor and project manager. Jan earned a Doctorate in Systems Engineering
from the Czech Technical University in Prague. He holds the CISM, CGEIT and CRISC certificates and also served
as a member of the ISACA CISM Test Enhancement Committee. Jan has written many security articles for the media
and has also presented at security conferences. He is also a member of the IS2 Programme Committee.
JAKUB GERŠL
Jakub Geršl works as a Product Manager, Mobility Products and Propositions at Vodafone
Czech Republic, where he is in charge of developing new services for corporate ICT clients.
He has worked in various areas of marketing for more than six years; for example, he was
responsible for bringing mobile Internet to the Czech market, for 3G campaigns and, most
recently, he is responsible for products related to the security of networks and mobile devices.
DANILO GLIGOROSKI
Danilo Gligoroski is a professor of Information Security and Cryptography at the
Department of Telematics, at the Norwegian University of Science and Technology –
Trondheim, Norway. He received his Ph.D. at the Ss. Cyril and Methodius University of
Skopje in 1997 in the field of Computer Science. His research interests are Cryptography,
Computer Security, Discrete Algorithms, Information Theory and Coding.
HTTP/2.0 SECURITY ISSUES
HTTP/2.0 is the latest work in progress of the IETF to improve the old HTTP/1.1 protocol. The intention is to
have a faster protocol that is more secure and uses fewer resources than HTTP/1.1. The final draft is scheduled
for autumn 2014. For information security specialists and managers, it is very important to know that currently
there is a hot debate as to whether HTTP/2.0 should have mandatory TLS encryption for all traffic. The proponents of this idea claim that obviously all trivial attacks listening in on unencrypted web traffic will be gone
forever and that the general security will be significantly increased. On the other hand, the opponents also have
several arguments: 1. Will the insistence on the mandatory use of TLS be a factor for a lack of a widespread adaptation of the new protocol; 2. The current design of TLS allows a widespread abuse of the man-in-the-middle
attack by government organizations that can force (or trick) the Certificate Authorities to give them information
about their root certificates; 3. The sudden switch to all HTTPS web traffic will be an instant intervention in
the market of digital certificates and will drive the prices of digital certificates significantly higher than they
currently are. In this talk, I will discuss all the benefits, challenges and concerns about the information security
issues of the upcoming HTTP/2.0 protocol.
12
2 0 1 4 P R A G U E
P R A H A
BYOD
JAN MIKULECKÝ
Ing. Jan Mikulecký, Ph.D, CISM, CGEIT, CRISC pracuje jako bezpečnostní manažer odštěpného závodu ICT
Služby, Česká pošta. Dříve působil v Deloitte ČR jako manažer v oddělení Security & Privacy Consulting (20112013). Je expert na řízení informační bezpečnosti, zavádění ISMS, BCM, bezpečnostní audit a penetrační
testování. Má velké zkušenosti s definováním bezpečnostních požadavků na systémy zpracovávající citlivé
obchodní a bankovní informace. Je schopen zajistit řízení kvality v oblasti bezpečnosti při vývoji a dodávce
informačních systémů. Řídil bezpečnostní projekty v Česku, na Slovensku, v Bělorusku, Rusku, Kazachstánu,
Číně a ve Vietnamu. Před nástupem do Deloitte (2011) pracoval 12 let ve společnosti Risk Analysis Consultants
jako poradce pro informační bezpečnost a vedoucí projektu. Honza získal doktorský titul Ph.D. ze systémového
inženýrství na ČVUT. Je držitelem certifikací CISM, CGEIT, CRISC. Po 3 roky byl členem mezinárodní komise
pro tvorbu testů CISM – ISACA CISM Test Enhancement Committee. Mnohokrát publikoval v bezpečnostních
periodikách a prezentoval na konferencích. Je členem programového výboru IS2.
JAKUB GERŠL
Jakub Geršl pracuje jako Product Manager, Mobility Products and Propositions ve Vodafone Czech Republic.
Ve společnosti má na starosti vývoj nových služeb pro firemní klientelu z celé ICT oblasti. Více než 6 let
působí na různých pozicích v oblasti marketingu a v minulosti byl například zodpovědný za uvedení Internetu
v mobilu na český trh, 3G kampaň a nejnověji je pak zodpovědný za produkty související s bezpečností sítí
a mobilních zařízení.
DANILO GLIGOROSKI
Danilo Gligoroski, Ph.D. je profesorem informační bezpečnosti a kryptografie na Katedře telematiky Norské
univerzity věd a technologií v Trondheimu. Získal Ph.D. v informatice na Univerzitě sv. Cyrila a Metoděje
ve Skopje v roce 1997. Jeho oblastmi výzkumu jsou kryptografie, počítačová bezpečnost, diskrétní algoritmy,
teorie informace a kódování.
BEZPEČNOSTNÍ ASPEKTY HTTP/2.0
HTTP/2.0 je posledním výsledkem IETF v úsilí o vylepšení starého protokolu HTTP/1.1. Cílem tohoto úsilí
je získat protokol rychlejší, bezpečnější a vyžadující menší zdroje než protokol HTTP/1.1. Finální verze
je očekávána na podzim 2014. Pro specialisty na informační bezpečnost a manažery je velmi důležité vědět o vášnivých diskuzích ohledně povinného nastavení šifrování protokoly TLS pro veškerý provoz přes
HTTP/2.0. Podporovatelé tohoto nápadu tvrdí, že pochopitelně všechny jednoduché útoky s odposlechem
nešifrované webové komunikace budou minulostí a celková bezpečnost se podstatně zvýší. Na druhé straně
ale mají oponenti několik protiargumentů: 1. Požadavek na povinné užití TLS bude znamenat pomalejší
přechod na HTTP/2.0; 2. Současná podoba TLS umožňuje rozsáhlé užití útoků typu „man-in-the-middle“
vládními organizacemi, které budou nutit (nebo svádět) certifikační autority ke sdílení kontroly nad kořenovými certifikáty; 3. Náhlý přechod na provoz přes HTTPS bude trvalým ovlivněním trhu s digitálními
certifikáty a povede ke zvýšení ceny certifikátů. Ve svém příspěvku představím výhody, výzvy a obavy
ohledně očekávaného protokolu HTTP/2.0.
13
PETR ODEHNAL
Petr Odehnal started working on analyzing viruses on a daily basis in 1992 while still at
Cybex, which he also co-founded. From 1993 to 1995, he co-authored, along with Petr
Zahradníček, an antivirus engine which later became part of AVG version 5.0. He and this
same sidekick wrote a book entitled “A Practical Self-defense Against Viruses”, published
by Grada in 1996. He started working as the Head of the VirusLab at Grisoft (a.k.a. AVG
Technologies) in 1995 and since 2010 he has been enjoying a (not so) well-deserved rest.
CZECHOSLOVAKIA: ANTI-VIRUS SUPERPOWER?
It’s kind of an anomaly that three of the world’s top antivirus companies come from Czechoslovakia and their
main offices are still operating in Prague, Brno and Bratislava. Let’s have a look at how these companies, which
started out in garages, became international, employing hundreds of employees, serving tens of millions of users
and being valued at billions of Crowns.
MARTIN HANZAL
Martin Hanzal is a graduate of major computer technology and informatics from the Faculty
of Electrical Engineering and Communication, Brno University of Technology. He is the
founder of SODATSW spol. s r.o., which is involved in the development and implementation of SW means for reducing the threats originated from internal attacks to information
systems. As part of his activity at SODATSW spol. s r.o. Martin held the post of development
and implementation director, strategic development director and at the moment he works as
the company’s chief technology officer. He has managed the group which created the patent
solution for data protection against appropriation by authorized users and which implemented the certifications
for the security of development pursuant to CC EAL4 of products which monitor the activities of information
system users, aimed at clearly documenting executed activities and assigning the responsibility for their
execution to a specific person. The author has practical experience with the data protection of an organization
with an extensive organizational structure of thousands of employees as well as with medium and small sized
companies and individuals. He is a member of the NATO Industrial Advisory Group for Cyber Defence at NATO
Headquarters since 2011.
PETR ŠVENDA
Petr Švenda is a security researcher and lecturer at Masaryk University in Brno, in the
Czech Republic. His area of interests covers the design of authentication and key establishment protocols for distributed environments, such as remote secure storage with
multiple users or wireless sensor networks. He also analyses the security of cryptographic
smart cards, designs and develops applications for secure hardware and is interested in the
field of secure programming. He has worked and consulted for academic, commercial and
public sector organizations in the Czech Republic and abroad.
SECURITY ARCHITECTURE FOR THE REMOTE STORAGE
OF PASSWORDS AND KEYS
This presentation analyzes the issue of the secure storage of passwords and cryptographic keys in programs and
web services used as an electronic “key case” (KeePass, RealPass, LastPass, Mozilla Sync…). An overview of
the basic principles and limitations is provided together with some real world attacks which were successfully
executed against these services in the recent past. The design principles of new open security architecture for
the more secure storage of sensitive information are also presented, as are practical experiences of design and
development cooperation between academic institutions and commercial companies.
14
2 0 1 4 P R A G U E
P R A H A
PETR ODEHNAL
Petr Odehnal se počítačovým virům začal systematičtěji věnovat v roce 1992, ještě v rámci firmy Cybex,
jejímž byl spoluzakladatelem. V letech 1993-1995 psal spolu s Petrem Zahradníčkem antivirový engine,
který se později stal základem verze AVG 5.0. Se stejným spoluautorem napsal v roce 1996 pro nakladatelství Grada knížečku „Praktická sebeobrana proti virům“. Od roku 1995 fungoval jako šéf virové
laboratoře Grisoftu (později AVG Technologies), odkud v roce 2010 odešel na (ne)zasloužený odpočinek.
ČESKOSLOVENSKO: ANTIVIROVÁ VELMOC?
To, že tři ze současných světových top antivirů pocházejí z bývalého Československa a dodnes mají hlavní sídlo
svého vývoje v Praze (Brně, Bratislavě), je taková docela zvláštní anomálie. Pojďme se podívat na jejich začátky
a zamyslet se nad tím, jak se z tuzemských „garážových firmiček“ staly nadnárodní společnosti se stovkami
zaměstnanců, desítkami milionů uživatelů, jejichž hodnotu můžeme počítat v miliardách korun.
MARTIN HANZAL
Martin Hanzal je absolventem oboru výpočetní technika a informatika na fakultě elektrotechniky a informatiky
VUT BRNO. Autor je zakladatelem společnosti SODATSW spol. s r.o., která se zabývá vývojem a implementací
SW prostředků pro zvyšování ochrany vnitrofiremních dat a informací, čímž snižuje dopady hrozeb pramenících
z vnitřních a vnějších útoků na informační systémy. V rámci svého působení ve firmě SODATSW Martin zastával pozice ředitele vývoje a implementace, ředitele strategického rozvoje a v současnosti ve společnosti pracuje
jako technologický ředitel. Během svého působení vedl skupinu vytvářející patentované řešení na ochranu dat
před odcizením oprávněnými uživateli a zavádění certifikací bezpečnosti vývoje dle CC EAL4 produktů pro
sledování činností uživatelů informačního systému. Autor má praktické zkušenosti s problematikou ochrany dat
a informací z organizací s rozsáhlou organizační strukturou s tisícovkami pracovníků, ale taky ze středně velkých
organizací až po rodinné firmy a jednotlivce. Od roku 2011 je členem poradní skupiny NATO Industrial Advisory
Group pro oblast Cyber Defence v rámci vedení NATO.
PETR ŠVENDA
RNDr. Petr Švenda, Ph.D. působí jako odborný asistent na Masarykově univerzitě, věnuje se výzkumu v oblasti návrhu autentizačních protokolů a protokolů pro výměnu klíčů pro distribuované architektury s větším
množstvím komunikujících stran či uživatelů, např. bezdrátové senzorové sítě nebo vzdálené úložiště citlivých
informací. Zabývá se praktickou bezpečností kryptografických čipových karet včetně tvorby bezpečných aplikací
na této platformě. Zkoumá možnosti využití evolučních algoritmů pro analýzu kryptografických primitiv. Věnuje
se problematice bezpečného programování s využitím nástrojů pro statickou a dynamickou analýzu kódu. Podílel
se na konzultacích a vývoji pro akademické, státní i průmyslové organizace v ČR i zahraničí.
BEZPEČNÉ VZDÁLENÉ ÚLOŽIŠTĚ KLÍČŮ
Příspěvek analyzuje problematiku ukládání hesel a kryptografických klíčů v programech a webových službách
sloužícím jako elektronické „klíčenky“ (KeePass, RealPass, LastPass, Mozilla Sync…). Poskytuje přehled základních přístupů včetně praktických příkladů útoků, které byly v nedávné minulosti vůči jednotlivým službám
úspěšně vedeny. Článek popisuje principy nové, otevřené bezpečnostní architektury určené pro tento účel.
Shrnuje také praktické zkušenosti z více než dvouletého společného návrhu a vývoje bezpečností architektury
mezi akademickou institucí a komerční firmou.
15
JAN ANDRAŠČÍK
Jan Andraščík is a consultant in the Security & Privacy team of Deloitte Czech Republic’s
ICT Consulting function. During his career, he has been a part of several advisory projects
in information security as well as several information security audits across Europe and
Asia. He specialises in technical security, particularly of operating systems, databases, computer networks and applications. Currently, he is concerned with the security of mobile
platforms and mobile applications. He successfully passed the CISA and CISM international
certification exams of the ISACA organisation, where he also acts as a member of the
Student and Academic Sub-Committee.
PETRA FRITZOVÁ
Petra Fritzová works as a consultant in the Security & Privacy team of Deloitte Czech
Republic’s ICT consulting department. She focuses on information systems and mobile
device security. Her specialisation is in analysing the logical and physical security of corporate assets and the assessment of IT security compliance with the ISO 27002 standard.
She has extensive experience with security and IT audits, including the security analysis of
operating systems, databases, networks and processes. She has taken part in the design of
the security requirements for IT systems and mobile applications. She has also worked on
risk analysis and risk management design projects.
BYOD2 – WEARABLES: WHAT DO THEY GIVE TO
AND TAKE FROM COMPANIES?
The world is becoming smarter. Our consumer society likes “smart” trends and always expects new types of
“smart” devices. There is no more evident innovation than in the rapidly evolving field of wearable technology.
What it provides and what it takes away should be of interest not only to potential users but also to the companies to which the technology will be brought. Our paper tries to find an answer to this question. It briefly
introduces the current wearable devices and their possible usage. Further, it speculates on their possible use in
the corporate environment and the provision of an adequate level of security for saving and processing corporate
data. As well as the mobile devices owned by end users, wearable devices also bring risks that have to be faced.
RÓBERT LIPOVSKÝ
Róbert Lipovský is a malware researcher in ESET’s Security Research Laboratory in Bratislava,
working for ESET since 2007. He is responsible for malware intelligence and research, in
which he focuses on rootkit techniques, Android malware and other areas. He has given
presentations at several security conferences, including EICAR, CARO, and Virus Bulletin. He
holds a Master’s Degree in Computer Science from the Slovak University of Technology in
Bratislava. When not bound to a keyboard, he enjoys sports and playing guitar.
MALWARE IN THE MOBILE
The rising popularity of smartphones among users has led to the gradually increasing interest of malware
writers. Furthermore, the associated risks are amplified by the low user awareness of mobile threats. In our
presentation, we introduce the different categories of mobile malware – especially for Android – that we have
been dealing with and also focus our attention on mobile malware related to bank fraud. We will compare
the techniques employed by Android malware with those commonly used by ‘traditional’ malware on other
platforms and mention the most common infection vectors. Aside from malware, we will cover some recent
software vulnerabilities which have a significant impact on user security. Lastly, we will mention other, ‘non-malware’ threats that pose a risk to the users of mobile devices.
16
2 0 1 4 P R A G U E
P R A H A
JAN ANDRAŠČÍK
Jan Andraščík je konzultantem týmu Security & Privacy oddělení ICT poradenství Deloitte Česká republika.
Během své kariéry byl součástí několika poradenských projektů v informační bezpečnosti, stejně jako několika
auditů informační bezpečnosti napříč Evropou a Asií. Specializuje se na technickou bezpečnost zejména operačních systémů, databází, počítačových sítí a aplikací. Aktuálně se zabývá bezpečností mobilních platforem
a mobilních aplikací. Úspěšně složil mezinárodní certifikační zkoušky CISA a CISM organizace ISACA, kde
zároveň působí jako člen Student and Academic Sub-Committee.
PETRA FRITZOVÁ
Petra Fritzová pracuje jako konzultant v týmu Security & Privacy oddělení ICT poradenství Deloitte Česká
republika. Zaměřuje se na bezpečnost informačních systémů a mobilních zařízení. Specializuje se na analýzu
logické a fyzické bezpečnosti korporátních aktiv a na posuzování souladu bezpečnosti IT s normou ISO 27002.
Má bohaté zkušenosti s bezpečnostními a IT audity zahrnujícími bezpečnostní analýzu operačních systémů,
databází, sítí a procesů. Podílela se na návrhu bezpečnostních požadavků pro IT systémy a mobilní aplikace.
Pracovala též na projektech analýzy rizik a návrhu krizového managementu.
BYOD2 – WEARABLES: CO SPOLEČNOSTEM PŘINÁŠÍ
A CO JIM BEROU
Svět se stává chytřejším. Naše konzumní společnost má ráda „chytré“ trendy a neustále očekává nové typy
„chytrých“ zařízení. Nikde není v dnešní době inovace více evidentní než v rychle se rozvíjející oblasti wearable
technologií. Co přináší a co berou tyto technologie je otázka, která by měla zajímat nejen potenciální uživatele,
ale i společnosti, do kterých se tyto technologie budou přinášet. Náš příspěvek se na tuto otázku snaží nalézt odpověď. Stručně představuje aktuálně existující wearable zařízení a možnosti jejich aktuálního využití. Následně
uvažuje možnosti využití v korporátním prostředí a zajištění jejich dostatečné úrovně bezpečnosti pro ukládání
a zpracování korporátních dat. Stejně jako nyní mobilní zařízení ve vlastnictví koncových uživatelů přináší
wearable zařízení hrozby, jimž je nutné čelit.
RÓBERT LIPOVSKÝ
Róbert Lipovský je analytik infiltrácií v malwarovom laboratóriu spoločnosti ESET. Zaoberá sa výskumom
počítačových hrozieb a analýzou malwarových trendov. Prednášal na mnohých bezpečnostných konferenciách, ako napríklad EICAR, CARO či Virus Bulletin. Vyštudoval aplikovanú informatiku na Fakulte
elektrotechniky a informatiky Slovenskej technickej univerzity v Bratislave. Keď práve nesedí pri klávesnici, rád športuje alebo hrá na gitare.
ŠKODLIVÝ KÓD VO VRECKU
Vzhľadom na popularitu a rozšírenie „múdrych telefónov“ sa pozornosť útočníkov čoraz viac upriamuje na počítače, ktoré nosíme vo vrecku. Riziko zvyšuje nízke povedomie o mobilných hrozbách. V prezentácii predstavíme
jednotlivé kategórie škodlivého kódu, s ktorými sa na mobilných platformách (najmä na platforme Android)
stretávame a tiež si posvietime na mobilný malware, ktorý súvisí s online bankovníctvom. Porovnáme techniky
využívané Android malwarom s tými, ktoré sú zaužívané na ostatných platformách a spomenieme najčastejšie
spôsoby infekcie. Okrem samotného malwaru opíšeme niektoré nedávne významné softwarové zraniteľnosti
a ich reálny vplyv na bezpečnosť používateľov, ako aj iné druhy hrozieb, ktoré predstavujú riziká na mobilných
zariadeniach.
17
KYRRE SLETSJØE
After finishing his education in Norway, the US and Germany, Dr. Kyrre Sletsjøe worked
for the Norwegian government. Working both on the technical and the operational side, he
specialized in issues such as cryptographic and computer exploitation, the mass surveillance
of civilian communication infrastructure, the localisation of High Value Targets, information
on hostile weapon systems, issues related to counter proliferation and counter terrorism,
as well as designing systems for the large scale evaluation of collected information. During
his time with the Norwegian government, he lead and participated in a number of efforts
in developing and acquiring new technology to support current and future missions. He has worked both at
headquarter level and been deployed in combat zones and other areas of interest. In 2008, he retired from
government service and founded CEPIA Technologies s.r.o. in the Czech Republic, a company specializing
in cryptographic exploitation, communication intelligence, information security and custom technologies for
special forces and HUMINT operatives.
MOBILE PHONE SECURITY
What is possible, what is not, and what you need to fear. With the introduction of smartphones, the field
of mobile phone security suddenly grew to unimaginable complexity. The interaction between traditional
transmission security, a fully capable operating system and a vast amount of user selectable applications is very
complex and difficult to evaluate completely. For even the more capable users it is very hard to know if some piece
of software exists on your phone that will itself be exploitable or have security implications for the standard
communication security functions. Even today, traditional off-air interception, active or passive, is a major source
of information for both government and non-government players. In light of the many possibilities to intercept
information from mobile phones, it is hard to see how mobile phone communication can ever be safe. Although
no sensible person should ever discuss sensitive information over any sort of mobile phone, one can only assume
that sensitive information also in the future will exist on poorly secured communication infrastructure, simply
due to the great convenience such communication solutions offer. The question is then, is it possible to achieve
close to a reasonable level of mobile phone security? With disciplined usage, careful choice of technology and
a willingness to accept less functionality, the answer is most probably, yes. This presentation will discuss what
types of interception is possible today, how you can protect yourself and your organisation, and what telcos and
regulators should do to limit the problem.
JAN SECHOVEC
Jan Sechovec is an Innovations and APIEconomy evangelist at Česká spořitelna. During his
more than 15 years of international experience in IT he has held various positions in the
Czech Army and NATO. His experience ranges from the design and operations of large data
networks to the development of mobile applications and innovations in IT.
THE SECURITY THREATS AND VULNERABILITIES
OF MOBILE INTERNET BANKING
The vast majority of banks offer their clients an alternative channel to access services through mobile internet
banking. Protecting such applications against all types of attacks should be commonplace. What is the real
situation though? Is the feeling of security only an illusion? We will show during a live demonstration the
real problems with the security of a selected mobile application and suggest a possible solution for making the
application more secure.
18
2 0 1 4 P R A G U E
P R A H A
KYRRE SLETSJØE
Kyrre Sletsjøe po ukončení vzdělání v Norsku, USA a Německu, pokračoval v práci pro norskou vládu.
Pracoval po technické i provozní stránce na problémech typu využití kryptografie a počítačů, masový dohled
nad civilní komunikační infrastrukturou, lokalizace cílů vysoké hodnoty, informace o nepřátelských zbraňových systémech, problematice boje proti šíření jaderných zbraní a boje proti terorismu, jakož i projektování
systémů pro hodnocení shromažďovaných informací ve velkém měřítku. Během práce pro norskou vládu vedl
a podílel se na řadě projektů pro rozvoj a získávání nových technologií na podporu stávajících a budoucích
úkolů. Pracoval jak na úrovni ústředí, tak v bojových zónách a řadě dalších zajímavých míst. V roce 2008
odešel ze státní služby a založil společnost CEPIA Technologies s.r.o. v ČR, firmu specializující se na využití
kryptografie, komunikační inteligence, informační bezpečnosti a vlastní technologie pro speciální síly a operace HUMINT.
BEZPEČNOST MOBILNÍCH TELEFONŮ
Co je možné, co není, a čeho se máme bát. Se zavedením smartphonů se oblast bezpečnosti mobilních
telefonů najednou rozrostla do nepředstavitelné složitosti. Interakce mezi tradičním zabezpečením přenosu, plnohodnotným operačním systémem a obrovským množstvím volitelných uživatelských aplikací jsou
velmi složité a je obtížné je zcela posoudit. I pro zdatné uživatele je velmi obtížné zjistit, zda existuje
na vašem telefonu nějaký software, který je sám o sobě zneužitelný nebo může mít bezpečnostní důsledky
pro standardní zabezpečení komunikace. Tradiční off-air odposlech, aktivní nebo pasivní, je stále hlavním
zdrojem informací pro vládní i nevládní subjekty. Schopnost získat přístup k informacím bez nutnosti
kooperativního přístupu k infrastruktuře, nebo zanechání stop činí off-air odposlech je favoritem skupiny
schopných hráčů. S ohledem na mnoho možností, jak zachytit informace z mobilních telefonů, je těžké
zajistit, aby komunikace mobilního telefonu byla stále v bezpečí. Ačkoli žádný rozumný člověk by neměl
diskutovat citlivé informací přes jakýkoliv druh mobilního telefonu, lze předpokládat že i v budoucnu budou citlivé informace existovat na špatně zabezpečené komunikační infrastruktuře, prostě kvůli velkému
pohodlí, které tyto komunikační řešení nabízejí. Otázkou je tedy, zda je možné dosáhnout přiměřené úroveň bezpečnosti mobilních telefonů. Při disciplinovaném používání, pečlivém výběru technologie a ochotě
přijmout méně funkcí, je odpověď pravděpodobně ano. Prezentace diskutuje, jaké druhy odposlechu jsou
dnes možné, jak můžeme chránit sebe a svou organizaci, a co by měly telekomunikační společnosti a regulační orgány udělat, aby tento problém limitovaly.
JAN SECHOVEC
Jan Sechovec je Innovations a APIEconomy evangelist v České spořitelně. Během své více než patnáctileté
mezinárodní praxe v IT zastával různé pozice v Armádě České republiky a v NATO. Jeho zkušenosti sahají od
designování a provozu rozsáhlých datových sítí až po vývoj mobilních aplikací a inovace v IT.
BEZPEČNOSTNÍ HROZBY A ZRANITELNOSTI
MOBILNÍHO INTERNETOVÉHO BANKOVNICTVÍ
Naprostá většina bank dnes poskytuje svým klientům alternativní kanál pro přístup ke službám prostřednictvím
mobilního internetového bankovnictví. Samozřejmostí by mělo být ochránění takové aplikace proti útokům
nejrůznějšího druhu. Jaká je však realita? Je pocit bezpečí pouze iluze? Formou dema poukážeme na reálné
problémy se zabezpečením vybrané mobilní aplikace a seznámíme s možným řešením, jak takovou aplikaci
udělat bezpečnější.
19
R EGISTRATION F EES / K ONFERENČNÍ POPLATKY
The registration fee includes conference materials, the conference ticket, coffee breaks, lunches and an evening
reception party on the first day.
Poplatek zahrnuje kompletní účastnické materiály, vstup na konferenci, občerstvení, obědy a večerní raut první den.
You can find the conference fees, starting
from EUR 320 (including VAT),
at www.tate/is2
Ceny konferenčních poplatků
od 6.330 Kč (bez dph)
naleznete na www.tate.cz/is2
PAYMENT DETAILS / DETAILY PLACENÍ
You can pay via bank transfer. We will issue your attendance confirmation and your invoice after your application
has been registered. All fees are due at least one day before the beginning of the conference. Cash payment on
the first conference day is possible only if agreed with the organizers in advance.
Platit můžete bankovním převodem nebo zálohovou fakturou. Po obdržení platby na náš účet Vám vystavíme daňový doklad a zašleme potvrzení účasti. Abychom Vám mohli zajistit účast, všechny poplatky musí být uhrazeny
na účet organizátora nejpozději jeden den před konáním konference. Platba v den začátku konference je možná
pouze po předchozí dohodě v hotovosti.
CANCELLATION POLICY / STORNOVACÍ PODMÍNKY
For cancellation before April 25, 2014, we will charge you a CZK 1 000 processing fee. For cancellations after
this date, you will be liable for 50 % of the conference fee. For cancellations within one week before the conference, payments will be required in full. Replacements are possible without any additional fee.
Do 25. dubna 2014 je při zrušení účtován manipulační poplatek 1 000 Kč. Po tomto datu je stornovací poplatek
50 % konferenčního poplatku. Jeden týden před konáním konference je to 100 %. Kdykoliv máte možnost nahradit svoji účast jinou osobou bez dalšího poplatku.
20
2 0 1 4 P R A G U E
P R A H A
CONFERENCE VENUE / MÍSTO KONÁNÍ
New Town Hall, Karlovo square 1/23, Prague 2
 tram stop: Lazarská, Vodičkova, tram No. 3, 9, 14, 24
or tram stop: Karlovo náměstí, tram No. 3, 4, 6, 10, 16, 18, 22, 24
 subway: A route – Můstek, B route – Karlovo náměstí, C route – Muzeum
Novoměstská radnice, Karlovo náměstí 1/23, Praha 2 (hlavní vchod z ulice Vodičkova)
 zastávka tramvaje: Lazarská, Vodičkova, tramvaj č. 3, 9, 14, 24
nebo zastávka tramvaje: Karlovo náměstí, tramvaj č. 3, 4, 6, 10, 16, 18, 22, 24
 metro trasa A – stanice Můstek, B – stanice Karlovo náměstí, C – stanice Muzeum
www.nrpraha.cz
Loc: 50°04'41.98"N, 14°25'16.09"E
PARKING / PARKOVÁNÍ
Parking – You may park next to the New Town Hall or along Karlovo square, however the car park capacity is limited.
Možnost parkování – vedle Novoměstské radnice nebo podél parku Karlovo náměstí, Praha 2. Kapacita parkoviště je omezena.
21
HOTEL BOOKINGS / REZERVACE UBYTOVÁNÍ
We can arrange reservations for participants from May 27th to May 29th 2014 for a special rate. Should you
be interested, please contact Mrs. Katerina Pochova (Senator Travel), phone number +420 234 726 145,
e-mail: [email protected]. Please quote the purpose of the stay: accommodation during the IS2
conference.
Pro účastníky konference můžeme rezervovat od 27. května do 29. května 2014 ubytování za speciální cenu.
V případě zájmu kontaktujte, prosím, paní Kateřinu Pochovou (Senator Travel) na tel. čísle +420 234 726 145,
e-mail: [email protected]. Uveďte účel – ubytování na konferenci IS2.
HOTELS / HOTELY
Our hotels are located 5 – 10 mins walk from the New Town Hall.
Vzdálenost hotelů od Novoměstské radnice je 5-10 min. pěšky.
Hotel BERÁNEK*** – Bělehradská 110, Praha 2
room price / cena za pokoj EUR 68 / 1 925 Kč
www.hotelberanek.com
Hotel IBIS Wenceslas square*** – Kateřinská 36, Praha 2
room price / cena za pokoj EUR 76 / 2 150 Kč
www.accorhotels.com/gb/hotel-3195-ibis-praha-wenceslas-square/index.shtml
Hotel PÁV Best Western *** – Křemencova 13, Praha 1
room price / cena za pokoj EUR 86 / 2 430 Kč
www.hotel-pav.cz
22
2 0 1 4 P R A G U E
P R A H A
D EAR M ADAM, D EAR S IR,
I have, again, the pleasure to offer you the opportunity to meet the top experts in information technology and information systems risk management both from the Czech Republic and abroad at the now
traditional IS2 Conference. The theme for the fifteenth annual conference is “Modern and Practical
Approaches to Security”. The conference will be held at the New Town Hall in Prague on the 28th–29th
May, 2014.
For DSM Magazine and its subscribers and readers the annual conference is one of the top events of
the year for ICT and information security management. During the two-day conference you will have
the opportunity to meet experts in both ICT and information security. We will certainly not be leaving
out the traditional evening reception at the end of the first day.
We trust that the interesting programme in the pleasant surroundings of the New Town Hall will give
you an ideal opportunity for both a formal and informal exchange of information with your colleagues
from ICT.
We look forward to seeing you at the conference.
Yours
Ing. Mgr. et Mgr. Zdeněk Říha, Ph.D.
On behalf of the IS2
Programme Committee
Daniela Vágnerová
On behalf of the IS2
Organizing Committee
The New Town Hall was reopened to the public in June 1995 after
a reconstruction lasting over twenty years. The construction of the
New Town Hall, one of eighteen national cultural monuments in
Prague, was begun shortly after the founding of Prague’s New Town
in l348, when Charles IV was pursuing a grand-scale town-planning
programme in accordance with his conception of the future of the
Holy Roman Empire, which was to expand eastwards with Prague
as the capital. In 1419 the New Town Hall became the stage for the
first armed clash between the Catholics and Ultraquists, marking the
beginning of the Hussite Revolution. A procession, led by the Hussite
preacher Jan Želivský and Jan Žižka, came to a halt in front of the
Town Hall and demanded the release of followers who had been
imprisoned there. When answered with stones, the crowd forced its
way inside and hurled the burgomaster, two councillors and several
burghers from the windows onto the lances and halberds of the
Hussites below. Those who survived the initial fall were executed.
The most prominent part of the Town Hall is the tower. It is 70
metres high, and was built in such a way as to have a view reaching
to the City walIs. 212 steps lead up to the tower galIery. The columned entrance hall can be seen through the
glass part of the now walled-up carriage entrance, which is by the admissions desk. This hall is the largest preserved space for non-religious purposes built in Bohemia in the High Gothic period. It was later rebuilt in the
baroque style. In the centre of the south wall there is a wooden baroque altar. In the Great Hall, fragments of
mannerisitic murals from the sixteenth century have been preserved. The Borough Council of Prague 2, under
whose charge the most recent restoration took place, is keen to use the building for cultural and social events
which keep in line with its historic significance.
Novoměstská radnice je jednou z osmnácti národních kulturních památek v Praze. Její historie začíná brzy po založení Nového Města pražského Karlem IV. roku 1348. V průběhu staletí se stala Novoměstská
radnice svědkem mnoha dějinných událostí – v pramenech je uváděna
již v roce 1377. V roce 1419 se zde odehrála první pražská defenestrace – dav pod vedením Jana Želivského a Jana Žižky svrhl z oken
purkmistra, dva konšely a několik měšťanů a zahájil tak husitskou
revoluci. Ke druhé pražské defenestraci došlo na Novoměstské radnici
v roce 1483 za náboženských a politických nepokojů v pražských
městech, které přerostly v povstání a politický převrat. V roce 1518,
kdy se Novoměstská radnice stala sídlem šestipanského úřadu, došlo
k výrazné architektonické úpravě budovy; v roce 1559 vyhořela
a její přestavba trvala až do roku 1561. V roce 1609 se zde sešli protestantští stavové, aby přiměli Rudolfa II. vydat Majestát zaručující
náboženské svobody. V roce 1784, po sloučení pražských měst pod
působnost jednoho magistrátu, se radnice stala sídlem trestního soudu
a po roce 1859 zakoupilo radnici Presidium zemského soudu. Poslání
radnice se během staletí měnilo. Z původně správního střediska
Nového Města se radnice stala sídlem soudu a prostory byly využívány jako vězení. Dominantou Novoměstské
radnice je radniční věž, byla založena 1451, vysoká je 70 metrů a na její vrchol vede 212 schodů. Má šest podlaží. Přízemí věže sloužilo jako věznice. V prvním patře je umístěna gotická, později barokně upravená kaple
Nanebevzetí Panny Marie a svatého Václava. Kaple sloužila také jako poslední útočiště odsouzeným na smrt.
Před celkovou rekonstrukcí, která začala v 70. letech minulého století, radnice sloužila (ve velmi zdevastovaném
stavu) jako pracoviště dopravního inspektorátu. Celková rekonstrukce Novoměstské radnice probíhala v letech
1975-1995. Přibližně do konce června 2007 probíhala rekonstrukce fasády na jižním křídle (směrem do Karlova
náměstí) a směrem do nádvoří.
Main conference organizers / Hlavní pořadatel konference
TATE International, s.r.o.,
DSM magazine publisher – data security management
vydavatel časopisu DSM
Address / Adresa
DSM – data security management
TATE International, s.r.o.
Hořejší nábřeží 21
150 00 Praha 5
Platinum partner / Platinový partner
15. ročník mezinárodní
konference
P R A G U E
P R A H A
In co-operation with / Ve spolupráci
15th International
Conference
MODERN
AND PRACTICAL
APPROACHES
TO SECURITY
tel.: +420 257 920 319–20
fax: +420 257 313 695
e-mail: [email protected]
www.tate.cz
BEZPEČNOST
MODERNĚ
A PRAKTICKY
www.tate.cz/is2
Special partners / Speciální partneři
New Town Hall / Novoměstská radnice
May 28th – 29th 2014
28. – 29. května 2014
Under the auspices of / Záštit a
Ing. Zdeněk Adamec
Deputy Minister of Agriculture
náměstek ministra zemědělství
pro ekonomiku a informační technologie
Ing. Jaroslav Šmíd
Deputy Director
of the National Security Authority
náměstek ředitele
Národního bezpečnostního úřadu