SecurityMag by hakin9 - 12.2011 - Bezpieczeństwo aplikacji tworzonych w Windows Azure.pdf - SecurityMag 2011 - jimasek

Obrona

Praktyka

Ochrona danych

Wywiad

Recenzja

Grudzień 2011

Bezpieczeństwo aplikacji

tworzonych w Windows Azure

Niewidzialny wróg:

rootkity wczoraj i dziś

„Przedsiębiorcy są coraz bardziej świadomi,

że na bezpieczeństwie nie warto przesadnie oszczędzać” -

wywiad z Pawłem Regiec

Słowem wStępu

GrudzIeń 2011

www.SecurItymAG.pl

drodzy czytelNIcy

publikujemy kolejne ostatnie w tym roku wydanie magazynu Securitymag.

w numerze tym zamieściliśmy różnorodne, ciekawe artykuły, które poszerzą waszą

wiedzę z zakresu Narzędzi It .. zachęcam was do przeczytania ciekawego artykułu

pt” Bezpieczeństwo aplikacji tworzonych w windows Azure w, którym autor opisuje

dokładnie co oznacza- Bezpieczna aplikacja? Budowa bezpiecznej aplikacji to nie tylko

technologia i infrastruktura. to także właściwa architektura, dobre praktyki, analiza

ryzyka (i określenie sposobów przeciwdziałania nieoczekiwanym sytuacjom), właściwy

proces wytwarzania oprogramowania i szkolenia członków zespołu. w przypadku roz-

wiązań wykorzystujących chmurę publiczną, odpowiedzialność za część z tych elemen-

tów spoczywa na dostawcy chmury, a część – na twórcy aplikacji. poza tym w numerze

zamieściliśmy artykuł michała ochala pt: Integracja obsługi środowiska It dzięki apli-

kacji Spiceworks” Artykuł opisuje co takiego ważnego jest dla administratora środowi-

ska informatycznego istotne są takie czynniki, jak stałe planowanie działań związanych

z zabezpieczeniem ciągłości pracy infrastruktury It, szybkie podejmowanie decyzji o

koniecznych zmianach przeciwdziałających pojawieniu się niestabilności i przerw w jej

pracy oraz natychmiastowa reakcja na awarie trudne do przewidzenia. wszystko to

możliwe jest przy optymalnej integracji środowiska informatycznego. w numerze tym

polecam także bardzo ciekawy wywiad z pawłem regiec pt” coraz częściej przedsię-

biorcy nie zastanawiają się już „czy wykonywać kopie”, ale „jak wykonywać je”, aby było

to bezpieczne i bezobsługowe

liczę, że wszystkie zamieszczone artykuły przypadną do gustu i pozwolą uzyskać efek-

towną, pożądaną przez was wiedzę.

Życzę przyjemnej lektury

redaktor Naczelna Natalia Sieniutowicz

natalia.sieniutowicz@software.com.pl

Miesięcznik Security (12 numerów w roku)

jest wydawany przez Software Press Sp. z o.o. SK

Adres korespondencyjny:

Software Press Sp. z o.o. SK, ul. Bokserska 1,

02-682 Warszawa, Polska tel. +48 22 427 32 85,

+48 22 427 36 46, fax +48 22 224 24 59

www.hakin9.org/pl

Prezes wydawnictwa:

Paweł Marciniak

Dyrektor Wydawniczy i Redaktor Naczelny:

Natalia Sieniutowicz

natalia.sieniutowicz@software.com.pl

Dział reklamy: adv@software.com.pl

Redakcja dokłada wszelkich starań, by publikowane w piśmie

i na towarzyszących mu nośnikach informacje i programy były

poprawne, jednakże nie bierze odpowiedzialności za efekty

wykorzystania ich; nie gwarantuje także poprawnego działania

programów shareware, freeware i public domain.

Skład i łamanie:

Eurodesign

www.euro-design.info

Kierownik produkcji:

Andrzej Kuca

andrzej.kuca@software.com.pl

Wszystkie znaki irmowe zawarte w piśmie są własności

odpowiednich irm. Zostały użyte wyłącznie w celach informacyjnych.

Osoby zainteresowane współpracą prosimy o kontakt z Redakcją.

by HAKIN9

12/2011

w Numerze:

SpIS treścI

Bezpieczeństwo

04 Bezpieczne usuwanie danych

Tomasz Filipów

Jak skutecznie usunąć dane? Czym kierować sie przy wyborze

sprzętu do kasowania informacji? A może lepiej zlecić usługę wy-

specjalizowanej firmie? Na te i inne pytania odpowiada Tomasz

Filipów w artykule „Bezpieczne usuwanie danych”

niestabilności i przerw w jej pracy oraz natychmiastowa reakcja

na awarie trudne do przewidzenia. Wszystko to możliwe jest przy

optymalnej integracji środowiska informatycznego.

Bezpieczeństwo

34 Kto odpowiada za bezpieczeństwo danych?

Jarosław Żeliński

Z badania przeprowadzonego na zlecenie firmy Informatica wynika,

że statystycznie aż w 86 proc. firm dostęp do środowisk bazoda-

nowych mają pracownicy działów biznesowych. W co trzeciej fir-

mie dostęp do środowisk bazodanowych nie jest w żaden sposób

ograniczany – prawa dostępu i modyfikacji informacji zapisanych w

bazie danych mają wszyscy pracownicy. Jednocześnie w wielu fir-

mach funkcjonuje wiele odrębnych baz danych, często nieobjętych

korporacyjną polityką bezpieczeństwa. Własnym środowiskiem

bazodanowym najczęściej dysponują działy sprzedaży i marketin-

gu. Bazy danych stworzone i zarządzane przez pracowników dzia-

łów handlowych i marketingowych funkcjonowały aż w 94 proc.

analizowanych firm. Średnio w jednej firmie funkcjonuje dziewięć

różnych środowisk bazodanowych, którymi zazwyczaj zarządzają

inne osoby. W firmach zatrudniających więcej niż 1000 osób ilość

funkcjonujących równolegle baz danych jest jeszcze wyższa.

praktyka

08 Niewidzialny wróg: rootkity wczoraj i dziś

Marta Janus

Rootkity stanowią jedno z największych wyzwań dla współczesnej

branży antywirusowej. Niemal z dnia na dzień twórcy szkodliwego

oprogramowania opracowują coraz bardziej pomysłowe i zaawan-

sowane sposoby ukrywania śladów nielegalnej działalności w syste-

mie. Ogromna ilość szkodliwych programów, z jakimi analitycy za-

grożeń spotykają się na co dzień, stosuje technologie typu rootkit.

Czym są rootkity i dlaczego są tak niebezpieczne?

Bezpieczeństwo

16 Bezpieczeństwo aplikacji

tworzonych w windows Azure

Tomasz Kopacz

Bezpieczna aplikacja Budowa bezpiecznej aplikacji to nie tylko

technologia i infrastruktura. To także właściwa architektura, dobre

praktyki, analiza ryzyka (i określenie sposobów przeciwdziałania

nieoczekiwanym sytuacjom), właściwy proces wytwarzania opro-

gramowania i szkolenia członków zespołu.W przypadku rozwiązań

wykorzystujących chmurę publiczną, odpowiedzialność za część z

tych elementów spoczywa na dostawcy chmury, a część – na twór-

cy aplikacji. Przed dalszymi rozważaniami, warto przyjrzeć się pod-

stawowym elementom składniowym tzw. „security frame”, czyli

składnikom, które mają wpływ na postrzeganie bezpieczeństwa

aplikacji. Tak naprawdę stanowią one tzw. „profil bezpieczeństwa”

i są elementami na które należy zwrócić szczególną uwagę chcą

budować bezpieczne i godne zaufania systemy informatyczne

wywiad z pawłem regiec

38 wywiad

Katarzyna Zarecka

okiem eksperta

41 Symantec pGp i wszelkie aspekty szyfrowania

danych od poczty po telefon

Michał Bednarek

Symantec PGP i wszelkie aspekty szyfrowania danych od poczty po

telefon Ciekawy artykuł, przydatne informacje

49 Niskobudżetowy audyt bezpieczeństwa

aplikacji www

Przemysław Nojman

Ciekawe spostrzeżenia na temat bezpieczeństwa aplikacji www

praktyka

25 Integracja obsługi środowiska It dzięki aplikacji

Spiceworks.

Maciej Ochal

Dla administratora środowiska informatycznego istotne są takie

czynniki, jak stałe planowanie działań związanych z zabezpiecze-

niem ciągłości pracy infrastruktury IT, szybkie podejmowanie de-

cyzji o koniecznych zmianach przeciwdziałających pojawieniu się

54 rola procedur w ogólnej polityce

bezpieczeństwa w zakresie danych osobowych

irmy

Marcin Grodeski i Jakub Sanecki

Artykuł przydatny dla Kadry Zarządzającej

by HAKIN9

12/2011

BezpIeczeńStwo

Kto odpowiada za

bezpieczeństwo danych?

Czyli z praktyki analityka wymagań. Napisał Jarek Żeliński

Z badania przeprowadzonego na zlecenie irmy Informatica wynika, że

statystycznie aż w 86 proc. irm dostęp do środowisk bazodanowych

mają pracownicy działów biznesowych. W co trzeciej irmie dostęp do

środowisk bazodanowych nie jest w żaden sposób ograniczany – prawa

dostępu i modyikacji informacji zapisanych w bazie danych mają

wszyscy pracownicy.

Jarosław Żeliński

Jarosław Żeliński, ekspert niezależny. Ukoń-

czył wydział elektroniki wojskowej akademii

technicznej. od 1991 roku pracuje w branży

it uczestnicząc w projektach z zakresu wdro-

żeń systemów it, analiz systemowych i doradz-

twa organizacyjnego. od 1998 roku prowadzi

niezależną działalność doradczą, publikuje ese-

je, autorskie prace analityczne i opracowania

branżowe w prasie specjalistycznej i gospo-

darczej oraz w uruchomionym w tym samym

roku własnym portalu it-consulting.pl. od

roku 2003 członek stowarzyszenia doradców

gospodarczych. od 2005 roku współpracow-

nik, wykładowca katedry systemów informa-

cyjnych na wydziale przedsiębiorczości i to-

waroznawstwa akademii morskiej w gdyni.

od 2008 roku także na politechnice warszaw-

skiej. od 2009 doktorant katedry informaty-

ki gospodarczej szkoły głównej Handlowej.

członek international institute of Business

analysis. pomagał między innymi spółkom gieł-

dowym i urzędom centralnym.

Kontakt: Jarosław Żeliński

j.zelinski@it-consulting.pl,

tel.: 608 05 90 20, http://It-consulting.pl

wiele odrębnych baz danych, często nie-

objętych korporacyjną polityką bezpie-

czeństwa. własnym środowiskiem bazodano-

wym najczęściej dysponują działy sprzedaży i

marketingu. Bazy danych stworzone i zarzą-

dzane przez pracowników działów handlowych

i marketingowych funkcjonowały aż w 94 proc.

analizowanych irm. Średnio w jednej irmie

funkcjonuje dziewięć różnych środowisk bazo-

danowych, którymi zazwyczaj zarządzają inne

osoby. w irmach zatrudniających więcej niż

1000 osób ilość funkcjonujących równolegle

baz danych jest jeszcze wyższa. (źr. idg).

mógłby ktoś powiedzieć, że wiele baz i wielu

uprawnionych to sztuczny problem bo „jakoś

z tym żyjemy”. Jednak okazuje się, że po pew-

nym czasie … po przeczytaniu tego artykułu

przypomniałem sobie pewien projekt ale po

kolei.

KrótKA HIStoryJKA.

swego czasu zatrudniono mnie do projektu

związanego z modelowaniem (tak to zostało

nazwane) „istniejącego systemu”. celem było

udokumentowanie architektury logicznej i

by HAKIN9

12/2011 (9)

J ednocześnie w wielu irmach funkcjonuje

BezpIeczeńStwo

powiązanych z nią zasobów oraz przyporządkowanie funk-

cji biznesowych (elementów procesów biznesowych) do

poszczególnych aplikacji. Nie rozwodząc się, okazało się

to praktycznie nie możliwe w czasie jaki zaplanowano na

te pracę. system it w tej irmie rósł wraz z nią. Lokalni

programiści, na polecenie zarządu, dopisywali ad-hoc ko-

lejne „użytki”, robili to pod presją czasu (nowe produkty,

kolejne promocje, wszystko na wczoraj). po pewnym cza-

sie, jakkolwiek wiadomo było jakie programy są (dostałem

ich specyikację), nikt nie wiedział co jest z czym powią-

zane, gdzie i na czym. o wiedzy na temat uprawnień w

tych wzajemnych połączeniach (funkcje dopisywane albo w

procedurach wbudowanych bazy danych, albo w nowych

lub rozwijanych aplikacjach,

wzajemne bezpośrednie

odwołania po odBc) nie

wspomnę, takie pytanie

było tam tabu.

po co im był ten model?

otóż w toku było wdro-

żenie systemu crm, który

miał to uporządkować, za-

stąpić znaczną część tych

„drobnych systemów”

ale nie wszystkie. pytanie

brzmiało: co i w jakiej ko-

lejności można wyłączać i

zastąpić nowymi modułami

systemu crm? powiem tak:

nie udało się. Bardzo długo

(nie znam końca wdroże-

nia) nie udało się przejść na

nowy crm.

takiego pakietu, podczas jego instalacji pada magiczne i nie-

winne pytanie „proszę mi podać jakiś login i hasło do bazy

danych inansowych to pokaże pani jak można robić analizy

danych”. często nabywcami tych rozwiązań są menedże-

rowie, więc ich prośby do administratorów „hasło i login

do bazy proszę” raczej „nie znoszą sprzeciwu”. w efekcie

mamy to co opisał dziennikarz idg.

JAK to wyGlądA czylI modele

I proceSy

to co spotykam często:

SzKodlIwe oferty

drugim, poza powyższym,

powodem narastającego

bałaganu (to się w żargonie

analityków nazywa „spa-

getti systems”) jest czasami

wręcz szkodliwa działalność

dostawców różnego rodza-

ju systemów raportowania,

Bi, rozbudowanych makr

do arkuszy kalkulacyjnych

itp. zaczyna się od „to jest

bardzo tani, dużo tańszy

od hurtowni danych, tak-

że bardzo system Business

intelligence”. po zakupie

by HAKIN9

12/2011 (9)

SecurityMag by hakin9 - 12.2011 - Bezpieczeństwo aplikacji tworzonych w Windows Azure.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: