VSEBINA PREDAVANJA

1. Predstavitev KOC RIS  (Živa Gorup Reichmann)

2. Predstavitev največjih tveganj spletnih aplikacij - OWASP TOP 10 (Jure Škofič)

OWASP TOP 10 je preprost in jasen kuharski recept za razumevanje desetih največjih tveganj, ki so jim danes izpostavljene prav vse spletne aplikacije. Od leta 2004 ga, z izjemnim občutkom za razumevanje največjih groženj, najnevarnejših napadov in najpogostejših ranljivosti ter tveganj, sestavljajo nekateri svetovni mojstri aplikacijske varnosti. V lanskem letu so se tudi v Sloveniji zgodili uspešni in medijsko odmevni napadi na vladne, bančne in druge spletne sisteme. Med napadi je bilo precej takih, ki so izrabljali najosnovnejše varnostne napake spletnih aplikacij, ki se v naprednih računalniških sistemih nikakor ne bi smele več dogajati, saj so seznamu OWASP TOP 10 že od vsega začetka.
OWASP TOP 10 je zapoved za prav vsakega, ki se bo kadarkoli in kakorkoli ukvarjal z razvojem in varnostjo spletnih aplikacij, od bank, velikih trgovcev, zavarovalnic, finančnih posrednikov, upraviteljev e-storitev, razvijalcev programske opreme ter vseh, ki se zavedate, da ste lahko morebitna tarča spletnih vdorov.

Več o temi:
- OWASP TOP 10 Project: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
- OWASP Slovenija: https://www.owasp.org/index.php/Slovenia
- MonitorPro: Najbolj tveganih 10: http://www.monitorpro.si/41651/praksa/najbolj-tveganih-10/

O predavatelju

Z aplikacijsko varnostjo se ukvarjam že slabih pet let, v njej uživam in od “Bondovskega” razgovora za službo pri Acrosu več nisem pogledal nazaj. Navdušuje me vse, kar govori z ničlami in enicami, z veseljem pa napišem tudi kakšno vrstico C-ja.

3. Zlivanje vgrajene, mobilne in spletne (ne)varnosti 
Blended world of embedded, web and mobile (in)security  (Tadej Vodopivec) 

Kratek sprehod od ročnega postopka izdelave paštete, preko industrijske revolucije do mobilnih nadzornih konzol in interneta stvari bom zlorabil za razlago pojma modeliranja groženj (angl. threat modeling). Pokazal bom, kako si z modeliranjem groženj pomagamo do boljše varnostne zasnove sistemov, in kako lahko na osnovi modela groženj preizkusimo, kako trdna je v resnici varnost izdelka. Ob tem bomo spoznali tudi presenetljivo dejstvo, da problemi varnosti podatkov in informacij obstajajo že brez informacijske in komunikacijske tehnologije. Vmes bom pokazal tudi kak praktičen primer varnostne zasnove in preizkusa.

O predavatelju

Nekoč sem bil administrator sistemov. Ko so se ti omrežili, sem postal še administrator omrežij. Ni dosti manjkalo, da bi postal še programer, a v tistem trenutku so se omrežile tudi banke, ki jih vedno poskuša nekdo oropati (ali pa vsaj izčrpati), in razmere so me vodile v to, da sem postal varnostnik. Ime mi je Tadej Vodopivec, delam pa kot dežurni paranojik, pardon, vodja informacijske varnosti, v podjetju ComTrade.

Organizatorji

KOC RIS - "Kompetenčni center za uvajanje najboljših praks v razvojne procese na področju informacijskih sistemov" povezuje podjetja, ki imajo interes za razvoj in izmenjava znanja, ki ki je ključno za povečanju konkurenčnosti podjetij in panoge.

KOC RIS je nastal v okviru projekta, ki je bil izbran na javnem razpisu za sofinanciranje vzpostavitve in delovanja kompetenčnih centrov za razvoj kadrov za obdobje od 2010 do 2013, Javnega sklada RS za razvoj kadrov in štipendije ter sofinanciran v letih 2011 in 2012 s strani Evropskega socialnega sklada.
Člani konzorcija želimo z delom nadaljevati tudi po zaključku sofinanciranja ter skozi povezovanje z ostalimi podjetji, posamezniki ter formalnimi in neformalnimi združenji odpirati pot do različnih znanj.

OWASP (Open Web Application Security Project, http://www.owasp.org) je odprta, globalna, brezplačna in neprofitna skupnost, ki se posveča dvigovanju varnostnega nivoja programske opreme. Poslanstvo OWASP je seznanjanje in osveščanje javnosti o pomembnosti aplikacijske varnosti in primernih načinih zavarovanja. Posameznikom in organizacijam želimo omogočiti, da glede dejanskih varnostnih tveganj programske opreme sprejemajo informirane odločitve.

Skupnosti OWASP se lahko pridruži kdorkoli. Vsa gradiva so dostopna z uporabo brezplačne licence.