INFOSEK 2017
INFOSEK 2007 - Nova Gorica
Slovensko
English
22. - 23. 11. 2007
Preberite kaj menijo udeleženci prejšnjih konferenc.

Spoznavanje in druženje skupaj s pridobivanjem novih znanj in informacij je res najboljši način za odpiranje novih priložnosti.

Uroš Bogataj, Megalith info & media

PREDAVATELJI NA KONFERENCI INFOSEK 2010

KEYNOTE PREDAVANJE:

Nataša Pirc Musar, Informacijska pooblaščenka

Nataša Pirc MusarVplivi modernih tehnologij na zasebnost posameznika v odnosu delavec delodajalec
Kadar govorimo o varstvu osebnih podatkov in zasebnosti je očitno, da pravni sistem zaostaja za tehnološkim razvojem. Obstaja več področij, ki jasno kažejo, da se veljavna zakonodaja le s težavo spopada s trenutnimi trendi v razvoju informacijsko-komunikacijske tehnologije (IKT). Med najbolj opazna področja spada najnovejši razvoj interneta in internetnih storitev, kot so storitve spleta 2.0, med katerimi sta trenutno zelo priljubljeni spletni strani za ustvarjanje socialne mreže, Facebook in MySpace. Spletne grožnje zasebnosti in varstvu osebnih podatkov so vse bolj vidne v okviru povečanega prizadevanja spremljati in sestavljati uporabniške profile, ki se lahko uporabijo za spletno vedenjsko oglaševanje, vse bolj pa je »vohljanje« po socialnih omrežjih uporabno tudi za delodajalce in kadrovske agencije, ki ugotavljajo socialni profil potencialnega delavca ali pa že zaposlenega. Zasebnost je napadena tudi z vzponom tehnologij nadzora, vključno z različnimi biometričnimi metodami, radio frekvenčno identifikacijo, videonadzorom in drugimi tehnologijami. Razširjena uporaba teh tehnologij izhaja iz njihove mamljive narave in pomanjkljivim znanjem posameznikov o IKT, ki bi uravnovesila njihovo sorazmerno uporabo v luči varovanja temeljnih človekovih pravic v primerjavi z drugimi pravicami in interesi. Sama hitrost tehnološkega razvoja predstavlja izziv za zakonodajalca, da zavaruje temeljne človekove pravice v vedno spreminjajočem se svetu. Uveljavljanje temeljnih načel varstva osebnih podatkov, kot so načelo najmanjše možne obdelave osebnih podatkov, sorazmernosti, varnosti, namenskosti, natančnosti in kakovosti se zdi edina svetla točka, ki bi morala biti sposobna prenesti tehnološki izziv. Tega se morajo zavedati tudi delodajalci. Nikoli ne bi smeli pozabiti na nevtralnost tehnologije in na namen (torej kako) se tehnologijo lahko uporablja. Zato je zelo pomembno, da se nadgradijo že omenjena temeljna načela varstva osebnih podatkov in se jih začne kombinirati s proaktivnimi orodji za zaščito zasebnosti, kot so presoja vplivov na zasebnost in izgradnja IT sistemov, ki upoštevajo zasebnost.
Da povzamem - veliko naprednih pripomočkov, ki omogočajo vdor v zasebnost, je dostopnih na trgu (mnogi tudi zelo poceni), vendar ali to pomeni, da jih lahko uporabljamo brez omejitev? Odgovor je NE.

Udo Helmbrecht, Enisa, EU 

Udo Helmbrecht“Security as a key element of Privacy and Data Protection”
In his speech, Dr. Udo Helmbrecht, will give the audience a brief overview of ENISA’s role and mission now and in the future. The main topic of his speech will be on Data Protection & Privacy and the initiatives ENISA is and will be engaged in within that scope. A major initiative relevant to network and information security is the recently adopted review of the EU electronic communications regulatory framework and in particular, the new provisions of articles 13a and 13b of the Framework Directive and article 4 of the e-Privacy Directive.

These provisions aim at strengthening obligations for operators to ensure security and integrity of their networks and services, and to notify breaches of security, integrity and personal data to competent national authorities. ENISA is called upon supporting the Commission and the Member States by providing its expertise in developing appropriate implementing measures.

In view of the aforementioned call upon ENISA, Dr. Helmbrecht will give the audience more details on how ENISA plan to meet this challenge. He will also discuss on the importance of fostering a privacy culture on both national, European and international levels.

Jeremy King, PCI Security Standards Council, UK

Jeremy KingAn Introduction to the PCI Security Standards Council
As European Director of the PCI Security Standards Council, Jeremy King drives the organization’s policies and supports the Council in achieving its goals in Europe to create education programs, establish pools of certified and incorporate feedback from all stakeholders across the payment chain into its development of the PCI Security Standards.

This presentation by Jeremy King will:

Briefly outline the history of the PCI Security Standards Council, and its mission.
Define the PCI Security Standards Lifecycle; highlighting how the Data Security Standard (DSS), Payment Application Data Security Standard (PA-DSS), and PIN Transaction Security (PTS) Requirements align and apply to the industry.
Provide an overview of the process for revising the standards.
Detail recent changes to the Data Security Standard (DSS) and Payment Application Data Security Standard (PA-DSS).
Detail tools and guidance available for use in the industry in achieving and maintaining compliance.
Discuss the relationship between EMV and PCI-DSS.
Provide guidance on using emerging technologies for payment security.

Attendees who would find this presentation most helpful are those interested in Payment Card Industry Security Standards, including:

Merchants and processors
Acquirers and other financial institutions
Pin-Entry Devices manufacturers
Payment application vendor software developers


Matej Saksida, S&T Slovenija  

Matej saksidaPotencial dirkalnika formule 1 lahko izkoristi le dober team  - ga imate?
Dober voznik formule 1 lahko zmaguje le, če ima vrhunsko pripravljen dirkalnik in vrhunsko ekipo. Enako velja za vaš posel. V poslovanju ste lahko uspešni le, če so vaši poslovni procesi podprti s strani vrhunske informacijske tehnologije in specializiranih strokovnjakov. Poleg tega potrebujete še dodelan sistem za nadzor ključnih gradnikov in zanesljiv proces upravljanja z informacijskimi sistemi.
Nadzor in upravljanje informacijskih sistemov v lastni režiji žal terja veliko denarnih in kadrovskih sredstev. Večina organizacij temu izzivu preprosto ni več kos, saj če želijo zagotoviti učinkoviti nadzor in upravljanje z informacijskimi sistemi, potrebujejo nadzorljive naprave, programsko opremo in storitve, namenska orodja za nadzor in upravljanje, zagotovljeno integracijo različnih sistemov, za vsak sistem posebej izšolano in izkušeno osebje, stalno prisotnost tega osebja ter učinkovite in zabeležene posege.
Ker nadzor in upravljanje informacijskih sistemov v lastni režiji terja veliko denarnih in kadrovskih sredstev, a je hkrati ključnega pomena za zagotavljanje izvajanja najpomembnejših poslovnih procesov, je smiselno razmisliti o zunanjem izvajanju tovrstnih storitev. Na ta način bomo lahko za relativno nizek mesečni pavšal dobili namenska orodja za nadzor in upravljanje, ki bodo pisana na kožo našemu poslovanju in kompleksnosti našega informacijskega sistema. Za vsak sistem posebej nam bo vedno na voljo posebej izšolano in izkušeno osebje ter bomo imeli na voljo učinkovite in zabeležene posege.
Na predavanju bo, med drugim, na konkretnem primeru prikazano, kako lahko zunanji izvajalec učinkovito, uspešno in proaktivno nadzira in upravlja s ključno poslovno aplikacijo in informacijskim sistemom vodilne mednarodne papirnice, ki deluje v 31 državah širom sveta in zaposluje več kot 31 tisoč zaposlenih.
 


Poleg domačih strokovnjakov bomo gostili tudi tuje predavatelje - strokovnjake za področje informacijske varnosti.

Wendy Goucher Idrach Ltd, UK

Wendy_GoucherCaring for Invisible Data
This presentation discusses the security problems of virtual data.  Having no physical data storage to care about, it can be harder to get the same care for virtual data.  This talk draws on ideas from psychology to make cloud based data as operationally safe as that which sits on the network.

Using Social Media to improve security
Social media is often seen by business as an alien invader in their environment, to be defended against at all cost.  This presentation looks at how we can, in fact, use the knowledge and experience that staff have of social media to improve security awareness in the business environment in general.

Bozidar Spirovski, NLB Tutunska Banka, Macedonia

Bozidar SpirovskiPenetration Test Example – Errors in the process and avoiding them
The session will present a Pen-Test process to a target environment of multiple hosts (XP, win2000, Win2003, Linux). Each host has different level of hardening and value, and the time limit and the pressures of the Pen-Test can cause missteps and errors. The session presents an attack at each target, which will be discussed from the aspect of experiences and errors of a previous test performed by multiple pen-testing teams.
The tools that will be used during the session are the freely available set of tools for personal use. Also, several commercial tools will be discussed as they were used during the previous pen-test session.

Attacking a corporation – Vectors of attack that need to be considered by security officers
Attacking a large corporation is like attacking an aircraft carrier – It has a lot of defense and weapons, and a huge amount of resources and support at it’s disposal. But also, it is very slow, and there are a lot of attention deficiencies in such a large entity. For instance, consider creating a crafted attack web site and luring the PR personnel to it. These are the practical vectors of attack that the attacker can use to gain access, and these need to be also on the agenda of the security officers.
The session will present a series of attack scenarios that can be used to gain access and collect data from a large corporation. The attack scenarios will not focus on penetrating the heavily shielded public services, but the low profile access opportunities that exist in every organization.
The attack scenarios will include e-mail, web sites, test systems and access to documentation.
The presentation will run through demos of attack process on possible.

Saso Aksentijevic, Saipem Croatia (ENI), Croatia

Saso AksentijevicCommon ICT security mistakes in corporate environments
At first glance, it seems that corporations, government organizations and other large enterprises are able to set up information security system more easily than small organizations: they have a wide base of various available resources, accumulated knowledge, better developed organizational blueprints that can effectively endorse security function and usually are subjected to more scrupulous audit, supervision and law requirements. However, large organizations are inherently more complex, enterprise solutions are more expensive per implemented solution compared to smaller organizations, authorizations and approvals are difficult to obtain and align with existing policies, and it is more difficult to perform and review risk assessment and implement remedial measures. In this presentation, major issues in efficient organization of information security will be outlined with real-life examples.

Mid-term forensic challenges of E-crime
Forensic investigation of computing hardware, software and transport layers is certainly subject to Moore`s law and for court experts it is more and more difficult to conduct investigation of evidence materials in ever changing technological environment. ICT technology has made a significant transition from physical to virtual over the last decade and challenges that court experts are facing are proving to be more difficult than ever. This might diminish the capability to deliver and present expert`s opinion that will stand up to scrutiny of law systems that are more rigid than the conclusions derived from forensic analysis of technology contained in evidence materials. This presentation will be a brief overview of near future trends and issues court expert might come across.

Boštjan Gruden  Miška d.o.o.,  Jos Martens Eurotempest B.V., Jan Kappert Comtest Engineering B.V., Netherlands 

Boštjan GrudenTEMPEST What`s all about?
TEMPEST mystery codename was used in 1980 by U.S. government in project of investigations and studies of conducted emission (CE). Compromising emanations are defined as unintentional intelligence-bearing signals which, if intercepted and analyzed, may disclose the information transmitted, received, handled, or otherwise processed by any information-processing equipment. Until year 1990, when British Prime Minister Margaret Thatcher publicly mentioned it in the parliament, the codename was threated as classified information.

Jos MartensJos Martens is leading TEMPEST expert, accredited by UK CEGS. He has more than 20 years of experience in TEMPEST area. He will give you information what TEMPEST is, what equipment is used for reading TEMPEST signals, techniques used, what you can read from TEMPEST signals and how you can protect yourselves from eves dropping.

 

 

Jan KappertJan Kappert is specialist in consulting jobs, design and engineering for shielding and test facilities rooms with more than 20 years of experience. On presentation you will get information and best practices for TEMPEST equipment and facilities.

 

 

Joe McCray, USA

Joe McCrayAdvanced SQL Injection
SQL Injection is a vulnerability that is often missed by web application security scanners, and it's a vulnerability that is often rated as NOT exploitable by security testers when it actually can be exploited.

Advanced SQL Injection is a presentation geared toward showing security professionals advanced exploitation techniques for situations when you must prove to the customer the extent of compromise that is possible.

The key areas are:

        * Re-Enabling stored procedures
        * Old and new ways of obtaining an interactive command-shell
        * Data Exfiltration via DNS
        * IDS Evasion & Web Application Firewall Bypass
        * Privilege Escalation

You Spent All That Money And You Still Got 0wned ...
This talk will focus on practical methods of identifying and bypassing modern enterprise class security solutions such as Load Balancers, both Network and Host-based Intrusion Prevention Systems (IPSs), Web Application Firewalls (WAFs), and Network Access Control Solutions (NAC).

The goal of this talk is to show IT Personnel the common weaknesses in popular security products and how those products should be configured.

The key areas are:
        * IPS Identification and Evasion
        * WAF Identification and Bypass
        * Anti-Virus Bypass
        * Privilege Escalation
        * Becoming Domain Admin

Boris Oblak, Abakus Plus d.o.o.

Boris OblakVodenje revizijskih sledi brez posegov v aplikacije   

Podjetja v dandanašnji neobvladljivi množici informacijskih sistemov vse večjo pozornost posvečajo varovanju podatkov. Zadovoljiv sistem varovanja je tako eno ključnih orodij pri poslovanju. Nemalokrat se namreč zgodi, da pomembne zaupne informacije uhajajo v javnost, kar načenja ugled podjetja. Največjo nevarnost pri tem predstavljajo zunanji nepooblaščeni vdori in prekoračitve oziroma zloraba pooblastil zaposlenih notranjih uporabnikov.

Revizijske sledi so postale nepogrešljiv pripomoček revizorjev in varnostnih inženirjev. Z uporabo revizijskih sledi se revizorji prepričajo v pravilnost delovanja in varnost sistema. Nadzor je uspešen, kadar so revizijske sledi kakovostne in če so podatki o iskanem dogodku enostavno dostopni z enega mesta. Na predavanju bo predstavljeno, kako konsolidirati revizijske sledi iz različnih aplikacij in različnih podatkovnih zbirk. Orodja za beleženje revizijskih sledi so pri novejših aplikacijah pogosto že vgrajena in uporabljajo za poizvedovanje namenski uporabniški vmesnik. Starejše aplikacije orodij za beleženje revizijskih sledi praviloma nimajo. Tako se podjetje, ki uporablja starejše aplikacije, pogosto znajde v nezavidljivi situaciji, ko mora ob raziskovanju enega incidenta uporabiti različna orodja. V nekaterih primerih podjetje na vsa vprašanja odgovorov sploh ne najde. Največkrat se v primerih, ko je sledenje vgrajeno v aplikacijo samo, revizijska sled nahaja v isti zbirki, kot so podatki sami. Tako ima isti administrator dostop do podatkov in revizijske sledi. Ogledali si bomo, kaj je potrebno narediti, da bi revizijsko sled zaščitili pred administratorji.

Dandanes se do podatkov v podatkovni zbirki dostopa z različnimi orodji, velikokrat preko ODBC vmesnika in raznih orodij pisarniške zbirke (preglednice, podatkovne zbirke). V takih primerih je revizijsko sled nemogoče zagotoviti v aplikaciji sami, saj v glavnem do izvorne kode pisarniških paketov nimamo dostopa, pa tudi cenovno bi bilo predrago. Na predavanju bo prikazano, kako vodimo revizijsko sled v tudi takih primerih. Revizijska sled pomaga tudi pri iskanju anomalij v delovanju aplikacij. Na predavanju bomo osvetlili tudi take primere in prikazali, na kakšen način enostavno najdemo anomalije v sistemu.

Stanka Šalamun, Acros d.o.o.

Koliko aplikacijske varnosti naroča javna uprava? - izsledki raziskave po modelu "MASS"
Predavanje je namenjeno vsem, ki se sprašujete, koliko dejanske varnosti lahko pričakujemo od varnostno kritičnih aplikacij, ki jih naroča javna uprava. Najprej bo predstavljen model MASS, na katerem temelji raziskava, nato pa še izsledki analize naročanja pomembnejših aplikacijskih razvojnih projektov v javni upravi, s katero smo ugotavljali obstoječe in pomanjkljive varnostne prakse pri javnem naročanju programske opreme. V raziskavo smo sistematično vključili najpomembnejša javna naročila od začetka l. 2009, med drugim naročila za davčni in carinski informacijski sistem, bodoče geografske informacijske sisteme, zdravstveno-informacijske sisteme, informacijski sistem centralne kazenske evidence in informatizacije vpisnikov na sodiščih, pa tudi druge informacijske sisteme v javni upravi.

Martin Zemljič, Astec d.o.o.

Martin ZemljičNova generacija požarnih pregrad
Pogledali bomo v svet naprav, ki jih naše omrežje in podatki potrebujejo zaradi novih groženj in so učinkovitejše od »starih požarnih pregrad«. Pregledali bomo razloge za spremembo in nove inovativne pristope k zaščiti predvsem podatkovnih baz in aplikacij.

 

Milan Gabor in Nejc Škoberne, Viris d.o.o.

Milan GaborBilo je nekoč na internetu 0x02
Na drugem predavanju iz serije »Bilo je nekoč na internetu« vam bomo prikazali nekaj najbolj zanimivih primerov, na katere smo naleteli pri izvajanju varnostnih pregledov in penetracijskih testov v zadnjem letu.

Pokazali bomo, kako so neustrezna politika uporabniških gesel, neobravnavanje napak spletnih aplikacij, uporaba nešifriranih protokolov v krajevnem omrežju in slepo zaupanje zunanjim izvajalcem našim naročnikom kritično ogrozili varnost informacijskih sistemov.

Nejc ŠkobernePrikazali bomo samo resnične primere, ki bodo ustrezno anonimizirani. Pričakujete lahko sočno predavanje, na katerem ne bomo brali besedila s prosojnic.

 

 

Nataša Fesel, Nova KBM d.d.

Nataša FeselZ upravljanjem sprememb do večje informacijske varnosti
Ni potrebno posebej izpostavljati, da smo dnevno soočeni s spremembami. Spremembe, ki se dogajajo v organizacijah, so lahko notranje ali zunanje. Ne glede na izvor sprememb, zahtevajo spremembe posebno pozornost in akcijo določenega dela ali celotne organizacije. In čeprav so spremembe že kar nekako konstanta znotraj IT sveta, pa implementacija procesa upravljanja sprememb v organizacijah še ni tako razširjena ali samoumevna, kot bi mogoče pričakovali.
Upravljanje sprememb zagotavlja sistematičen pristop k ravnanju s spremembami. Zahteva definiranje in implementacijo procedur in tehnologij za obvladovanje sprememb v organizaciji, zmanjšuje tveganja ter lahko poveča učinkovitost in kakovost v procesu vpeljevanja sprememb, končnega izdelka kot tudi celotne  organizacije.

Alenka Žužek Nemec, Ministrstvo za javno upravo

Alenka Žužek NemecStrateški dokumenti in akcijski načrt  e-poslovanja javne uprave
e-Uprava bistveno prispeva h gospodarski rasti in širjenju prednosti digitalne ekonomije v vse segmente družbe. V predstavitvi bodo podane ključne smernice, ki bodo v prihodnjih letih usmerjale  razvoj elektronskega poslovanja v javni upravi. Na nivoju EU so ministri za e-upravo lansko leto potrdili novo ministrsko deklaracijo za razvoj e-uprave do l. 2015. Namen strateških dokumentov na EU nivoju je komplementarno dopolnjevanje z nacionalnimi dokumenti. Slovenija ima, tako kot večina držav EU, svojo nacionalno strategijo za razvoj e-uprave in na podlagi te sprejet akcijski načrt, ki bosta podrobneje predstavljena. 

Helena Dvoršak, Detektivska agencija AHD

Helena DvoršakPo "supercesti" Kiberlandije do osebnih podatkov posameznika
Tajnih podatkov ni več, so le še bolj ali manj skriti podatki, ki jih strokovnjaki za poizvedovanje sorazmerno preprosto najdemo, najpogosteje na povsem legalen način.
Danes je podatek vrednota, osebni podatek še posebej skrita vrednota, ki jo varuje vrsta zakonov, začenši z Zakonom o varstvu osebnih podatkov. Toda kaj, ko na drugi strani država zbira ogromne količine podatkov, ki jih shranjuje na elektronskih medijih, ki so že po svoji naravi lažje dostopni od dokumentov na papirju.  Vse zakonske prepovedi preprosto izgubljajo boj z razvojem IKT in skoraj nemogoče je danes nekomu, ki je poslovno aktiven in ima vsaj nekaj premoženja, zakriti svoje ključne identifikacijske podatke.
Na najpreprostejšem primeru bom pokazala, kako lahko s pomočjo imena posameznika pridemo do podatkov o njegovem stalnem oziroma prijavljenem bivališču in rojstnem datumu v manj kot pol ure in to na povsem legalen način. To so osnovni podatki za nadaljnje iskanje ali krajo identitete. Do teh podatkov se dokopljemo zgolj z uporabo interneta in znanja. Znanje s področja IKT  je danes tisto, ki daje posamezniku v poizvedovalni dejavnosti prednost pred konkurenco.

Edvard Šilc in Damjan Cvetan

Edvard ŠilcNagradna igra je zaključena zmagal je ups,... samo trenutek
Kako zmagati v življenju? Vprašanje kako zmagati si zastavlja vsak, ki kadarkoli na kakršen koli način sodeluje ali v kakšni tekmi, razpisu ali zgolj na nagradni igri. To vprašanje se mi je porodilo ob sodelovanju v nagradni igri za najboljšo fotografijo, ki je potekala preko spleta. Ker se že vrsto let ukvarjamo z IT tehnologijo mi je ob pregledovanju HTML in JavaScript hitro postalo jasno, da je prav za prav enostavno glasovati mimo splošnih pravil za glasovanje, ki so narekovala po en glas na dan. Najprej je bilo potrebno preučiti postopek glasovanja. Na to sem s pomočjo orodja Curl oddajal vrsto post glasov na strežnik prireditelja nagradne igre.
Očitno je tudi prireditelj zaznal nekaj zlorab in samo glasovanje omejil z IP naslovi. S tem je želel dobiti le ene glas z enega računalnika. To je bil pravi izziv, da se priredi več načinov glasovanja, ki se jih lahko posluži vsak ki mu službene obremenitve nalagajo skrb za malo večjo mrežo z večjim številom IP-jev. Lahko je seveda tudi čisto navaden uporabnik v tehnologiji, prodaji ali HR službi, ki ima malo več zanimanja in znanja. Edina omejitev je število dostopnih IP-jev. Nekaj jih najdeš tako, da preveriš IP preko nadzorne plošče na svojem in sosedovih računalnikih in potem preizkušaš vmesna, predhodna in nadaljevalna števila, kar – po pravici povedano - naša varnostna politika imenuje IP hack. Kdo lahko kontrolira kontrolorje?
Nastopil je le en resen problem saj je pri nas že nekaj časa primanjkuje IPv4. Tako smo morali prav pred kratkim, s solzami v očeh, zavrniti kolegico iz ŠOU, ker smo linijo za nove povezave imeli a nismo imeli IP številk. Tako je seveda ostala rešilna bilka, da je prireditelj nagradne igre tehnološko napreden in je omogočil glasovanje tudi z IPv6, ki jih imamo v znesku evrov na računu gospoda Kramarja. Upanje je umrlo zadnje, ker se z IPv6 ni dalo pomagati. A nič ne de, saj lahko skrbnik objavi remont svojim uporabnikom in ima na razpolago množico IP-jev.

Jan Žorž, go6.si

Jan ŽoržSlovenija je od leta 2008 bogatejša za go6, iniciativo za uvedbo IPv6, ki je leta 2009 dobila obliko neprofitnega zavoda. V tem času so dosegli zelo veliko - ustvarili so člansko platformo, kjer so prisotni vsi ponudniki dostopa do interneta, mobilni operaterji, APEK, sistemski integratorji in vsi ostali, ki verjamejo, da je treba glede tega nekaj storiti. Priredili so že 3 slovenske IPv6 summite, poskrbeli za ozaveščanje in širjenje znanj in idej, zato ni presenetljiv, da je RIPE-NCC LAB v svoji raziskavi proglasil Slovenijo za državo, ki je na širšem evropskem prostoru najbolj pripravljena na IPv6. Go6 je vzpodbudil vpeljavo IPv6 pri dveh slovenskih mobilnih operaterjih. Delujoč in uspešen koncept iniciative ter uvedba IPv6 v mobilno okolje je popeljala go6 na dogodke širom sveta - predavanja so imeli na RIPE dogodku, Google IPv6 Implementors konferenci v ZDA (Ca), grškem akademskem IPv6 dogodku, nemški vladni IPv6 konferenci, Internet Governance Forumu v Vilniusu in še marsikje.
Predaval nam bo Jan Žorž, idejni vodja in gonilna sila zavoda go6, razkril nam bo koncept delovanja go6, pokazal uvedbo IPv6 v mobilna omrežja Mobitela in Tušmobila, na koncu nas pa mogoče preseneti z "živo" demonstracijo DSMIPv6, bleeding-edge mobilne tehnologije prihodnosti na IPv6, katero razvijajo skupaj z Nokia Research centrom. 

Edvard Šilc

Edvard ŠilcSlovenci smo na ministrski konferenci EU odklonili uvedbo telesnih skenerjev
Varnost postaja človekova odvisnost od odločitev, ki nam jih vsilijo drugi, zato ni čudno, da se pogosto ne strinjamo z ukrepi varovanja ne glede na njihovo uporabnost, primernost in nujnost. V zadnjem času opažamo poplavo tehničnih pomagal s katerimi naj bi zagotavljali večjo varnost v poslovnih okoljih. Večja varnost je glede na objektivne pretnje sicer nujno potrebna, vendar verjetno ne na rovaš ostalih človekovih pravic. Pri uvajanju teh pomagal se lahko dogodi, da so v nasprotju z integriteto posameznika. Pravice posameznika so pri nas večinoma regulirane in sankcionirane.

Nacionalno varnost kot najvišjo obliko varnosti, pogosto zagotavljamo na račun drugih človekovih pravic. V tem primeru se prilagodi tudi pravne norme. Od konca lanskega leta slovensko strokovno in laično javnost vznemirja predlog Evropske komisije, da je potrebno zaradi poskusa terorističnega dejanja, na letalu nad Detroitom, na vsa letališča uvesti telesne skenerje. Ti poleg večje varnosti znižujejo pravico do zasebnosti in po poglobljeni analizi vidimo, da se jih lahko prelisiči. Namen obveznega nakupa teh naprav na evropskih letališčih je tako le profit proizvajalca, dobaviteljev in drugih v posel vpletenih ljudi.    

Zasebnost ob uveljavljanju Web 3.0

Splet tretje generacije sestavljajo trije osnovni gradniki. To so:
1. ontologije
2. meta podatki in
3. agenti ali inteligentni programi.
Vsi ti trije gradniki imajo skupni presek z novo višjo kvaliteto informacij. Nova kvaliteta je semantika, zato Web 3.0 imenujemo tudi semantični splet. Semantični splet pa bo hkrati z kvaliteto, prinesel tudi slabosti, saj bo zaradi svoje nedvoumnosti najbolj posegel v zasebnost, ker ne bo več dvomov o osebi in podatkih, ki bodo na razpolago na WEB tretje generacije.
Sedanji splet hrani veliko količino podatkov. Ti podatki pogosto niso precizni. Ob iskanju določenega pojma vedno na novo ugotovimo, da na internetu hitro najdemo mnogo predlogov ali mnogo manj pravih odgovorov. Z dodeljeno umetno inteligenco bo računalnik, ki bo operiral na spletu tretje generacije, »razumel« podatke in z njihovim presekom prišel do natančnih informacij o iskanem pojmu, izdelku storitvi in tudi osebi. Večina diskurzov se tako konča pri vprašanju ali bo s tem dokončno padla pravica do zasebnosti?

 

Gorazd Žagar, Matej Kovačič

Matej Kovačič"Skriti" podatki v datotekah
V predavanju bo predstavljen problem "skritih" meta podatkov v datotekah ter kako je te podatke mogoče izkoristiti pri napadu na neko tarčo oziroma profiliranje uporabnikov. Avtorja bosta predstavila tudi steganografija (postopke skrivanja podatkov v datoteke ter označevanje datotek s tim. digitalnim vodnim tiskom) ter postopke odstranitve meta podatkov pred objavo na spletu.

MD5 na zatožni klopi
Na predavanju bodo najprej na kratko predstavljene zgoščevalne funkcije, zlasti njihov namen in uporaba, sledila pa bo predstavitev napadov na MD5 funkcijo. Napadi z iskanjem kolizije imajo namreč posledice pri identificiranju datotek in podatkov ter pri zagotavljanju integritete podatkov. V praksi se te posledice kažejo tako pri zagotavljanju varnosti (npr. zaznavanju računalniških virusov), kot tudi pri veljavnosti digitalnih dokazih v sodnih postopkih. Avtorja bosta predstavila tudi razbijanje MD5 zaščitenih gesel.

Aleksandar Jurišić, Fakulteta za računalništvo in informatiko

Aleksander JurišičCestni bojevnik (Road Warrior)
Predstavili bomo kriptografijo javnih ključev z eliptičnimi krivuljami in njihove prednosti pred RSA.
Za ilustracijo bomo predstavili še na tej tehnologiji zasnovano skupino domačih produktov za navidezna zasebna omrežja (VPN), kar zajema tako povezovanje med statičnimi omrežji (npr. osrednja enota in podružnice), kakor tudi mobilne osebe/naprave (npr. omogoča dostop osebe na službenem potovanju do matičnega omrežja).
Naše rešitve zagotavljajo tudi učinkovito zaščito pred napadi denial-of-service (DoS).