SlideShare a Scribd company logo

Hyökkays haavoittuvaan verkkopalveluun

2NS
2NS

Vastaa kysymyksiin: Mikä hakkeri? Miksi tietoturva on tärkeää? Miksi testata tietoturvaa? Miten tietoturvaa testataan?

Internet
1 of 17
Download to read offline
SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Hyökkäys haavoittuvaan verkkopalveluun
2NS Korkeinta osaamista valikoiduilla tietoturvan osa-alueilla.
Puhujat Juho Ranta §  CTO §  Eettinen hakkeri §  Twitter: @JuhoRanta Jani Manninen §  Yli 15 vuoden kokemus ohjelmistokehityksestä ja tietoturvasta §  Eettinen hakkeri §  Twitter: @Jani_Manninen
Mikä hakkeri? A hacker is someone who seeks and exploits weaknesses in a computer system or computer network. https://en.wikipedia.org/wiki/Hacker_(computer_security)
Miksi tietoturva on tärkeää? Järjestelmät ovat kehittyneet valtavasti viimeisen 20 vuoden aikana. Niistä on tullut entistä kriittisempiä liiketoiminnalle. Asiakkaiden täytyy luottaa järjestelmiin, joita he käyttävät.
Kuka hyökkää? Tiettyä rajattua ryhmää ei ole olemassa. Hyökkääjä voi vaihdella satunnaisesta onnenonkijasta ammattilaisiin.
Miksi hyökätä? Hyökkääjällä on lähes aina syy hyökkäykselle. Motiivina on hyökkäyksestä hyötyminen. Mitä suurempi palkkio on, sitä enemmän hyökkääjä on valmis käyttämään resursseja.
Miksi testata tietoturvaa? Kasvavaa riskiä pitää pyrkiä kontrolloimaan. Yksi keino on testaus. Tämän avulla voidaan selvittää sovelluksessa olevia heikkouksia ja saadaan tieto tarvittavista toimenpiteistä.
Miksi testata tietoturvaa? Testauksen tavoitteena on parantaa sovelluksen tietoturvaa ja pienentää tämän avulla riskiä. Riski pienenee, kun selvillä olevat toimenpiteet toteutetaan.
Kokonaisuus ratkaisee Vaikka yksittäinen sovellus ei olisi kriittinen, voidaan sitä käyttää osana hyökkäystä. Myös vähemmän kriittisten sovellusten tietoturvaan on kiinnitettävä huomiota.
”Sovellukseen ei pääse Internetistä” Palomuuri tuo lisäturvaa, mutta ei estä motivoitunutta hyökkääjää.
”Sovelluksen tietoturva on kunnossa” 100% vuonna 2014 tehdyistä auditoinneista johti korjaaviin toimenpiteisiin. Case-esimerkki: ERP-järjestelmässä saatiin haavoittuvuuden avulla haltuun pääkäyttäjän oikeudet.
Tietoturvasertifikaatti Tuotteelle suoritetaan tietoturvatestaus julkista kriteeristöä vasten. Sertifikaatti todentaa, että auditoinnissa ei löytynyt haavoittuvuuksia tai ne on verifioitu korjatuksi.
Miten testataan? 2NS:n asiantuntijat toimivat eettisenä hakkerina. He laittavat hakkerin hatun päähän, etsivät ja todentavat hyväksikäytettäviä haavoittuvuuksia kohdejärjestelmästä.
Demo
OWASP Top 10 / 2013 1.  Injection 2.  Broken authentication and session management 3.  Cross-Site Scripting 4.  Insecure Direct Object References 5.  Security Misconfiguration 6.  Sensitive Data Exposure 7.  Missing Function Level Access Control 8.  Cross-Site Request Forgery 9.  Using Known Vulnerable Components 10.  Unvalidated redirects and Forwards https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   www.2ns.fi

Recommended

Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva2NS
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Tieturi Oy
 

Recommended

Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva2NS
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Tieturi Oy
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
Yrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössäYrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössä2NS
 
Cyber Warfare
Cyber WarfareCyber Warfare
Cyber WarfareJyrki Kasvi
 
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaenSosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaenPauliina Mäkelä
 
Nuoret netissä pelaten ja somettaen THAI2016
Nuoret netissä pelaten ja somettaen THAI2016Nuoret netissä pelaten ja somettaen THAI2016
Nuoret netissä pelaten ja somettaen THAI2016Pauliina Mäkelä
 
Laurea, Palvelumuotoilun menetelmät 7.11.2015
Laurea, Palvelumuotoilun menetelmät 7.11.2015Laurea, Palvelumuotoilun menetelmät 7.11.2015
Laurea, Palvelumuotoilun menetelmät 7.11.2015Taneli Heinonen
 
CV Sami Malaska FIN
CV Sami Malaska FINCV Sami Malaska FIN
CV Sami Malaska FINSami Malaska
 
Livro kabeko
Livro kabekoLivro kabeko
Livro kabekoPaulo Roberto Roberto
 
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015Taneli Heinonen
 
Finding Our Happy Place in the Internet of Things
Finding Our Happy Place in the Internet of ThingsFinding Our Happy Place in the Internet of Things
Finding Our Happy Place in the Internet of ThingsPamela Pavliscak
 
Internet of Things - The Tip of an Iceberg
Internet of Things - The Tip of an IcebergInternet of Things - The Tip of an Iceberg
Internet of Things - The Tip of an IcebergDr. Mazlan Abbas
 
[Infographic] How will Internet of Things (IoT) change the world as we know it?
[Infographic] How will Internet of Things (IoT) change the world as we know it?[Infographic] How will Internet of Things (IoT) change the world as we know it?
[Infographic] How will Internet of Things (IoT) change the world as we know it?InterQuest Group
 
Tietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissaTietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissa2NS
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Pete Nieminen
 
Tietoturvan perusteet
Tietoturvan perusteetTietoturvan perusteet
Tietoturvan perusteetTomi Toivio
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Luoti webinar tietoturva
Luoti webinar tietoturvaLuoti webinar tietoturva
Luoti webinar tietoturvaTimoSimell
 
Trend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetTrend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetKimmo Vesajoki
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 

More Related Content

Viewers also liked

Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
Yrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössäYrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössä2NS
 
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaenSosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaenPauliina Mäkelä
 
Nuoret netissä pelaten ja somettaen THAI2016
Nuoret netissä pelaten ja somettaen THAI2016Nuoret netissä pelaten ja somettaen THAI2016
Nuoret netissä pelaten ja somettaen THAI2016Pauliina Mäkelä
 
Laurea, Palvelumuotoilun menetelmät 7.11.2015
Laurea, Palvelumuotoilun menetelmät 7.11.2015Laurea, Palvelumuotoilun menetelmät 7.11.2015
Laurea, Palvelumuotoilun menetelmät 7.11.2015Taneli Heinonen
 
CV Sami Malaska FIN
CV Sami Malaska FINCV Sami Malaska FIN
CV Sami Malaska FINSami Malaska
 
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015Taneli Heinonen
 
Finding Our Happy Place in the Internet of Things
Finding Our Happy Place in the Internet of ThingsFinding Our Happy Place in the Internet of Things
Finding Our Happy Place in the Internet of ThingsPamela Pavliscak
 
Internet of Things - The Tip of an Iceberg
Internet of Things - The Tip of an IcebergInternet of Things - The Tip of an Iceberg
Internet of Things - The Tip of an IcebergDr. Mazlan Abbas
 
[Infographic] How will Internet of Things (IoT) change the world as we know it?
[Infographic] How will Internet of Things (IoT) change the world as we know it?[Infographic] How will Internet of Things (IoT) change the world as we know it?
[Infographic] How will Internet of Things (IoT) change the world as we know it?InterQuest Group
 

Viewers also liked (12)

Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
 
Yrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössäYrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössä
 
Cyber Warfare
Cyber WarfareCyber Warfare
Cyber Warfare
 
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaenSosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
 
Nuoret netissä pelaten ja somettaen THAI2016
Nuoret netissä pelaten ja somettaen THAI2016Nuoret netissä pelaten ja somettaen THAI2016
Nuoret netissä pelaten ja somettaen THAI2016
 
Laurea, Palvelumuotoilun menetelmät 7.11.2015
Laurea, Palvelumuotoilun menetelmät 7.11.2015Laurea, Palvelumuotoilun menetelmät 7.11.2015
Laurea, Palvelumuotoilun menetelmät 7.11.2015
 
CV Sami Malaska FIN
CV Sami Malaska FINCV Sami Malaska FIN
CV Sami Malaska FIN
 
Livro kabeko
Livro kabekoLivro kabeko
Livro kabeko
 
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
 
Finding Our Happy Place in the Internet of Things
Finding Our Happy Place in the Internet of ThingsFinding Our Happy Place in the Internet of Things
Finding Our Happy Place in the Internet of Things
 
Internet of Things - The Tip of an Iceberg
Internet of Things - The Tip of an IcebergInternet of Things - The Tip of an Iceberg
Internet of Things - The Tip of an Iceberg
 
[Infographic] How will Internet of Things (IoT) change the world as we know it?
[Infographic] How will Internet of Things (IoT) change the world as we know it?[Infographic] How will Internet of Things (IoT) change the world as we know it?
[Infographic] How will Internet of Things (IoT) change the world as we know it?
 

Similar to Hyökkays haavoittuvaan verkkopalveluun

Tietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissaTietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissa2NS
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Pete Nieminen
 
Tietoturvan perusteet
Tietoturvan perusteetTietoturvan perusteet
Tietoturvan perusteetTomi Toivio
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Luoti webinar tietoturva
Luoti webinar tietoturvaLuoti webinar tietoturva
Luoti webinar tietoturvaTimoSimell
 
Trend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetTrend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetKimmo Vesajoki
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaCGI Suomi
 
Tietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTeemu Tiainen
 
Tietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäTietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäHarto Pönkä
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019lokori
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnesJyrki Kontio
 
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?Sofokus
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeistaSysart Oy
 
Koronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaariKoronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaariTHL
 

Similar to Hyökkays haavoittuvaan verkkopalveluun (20)

Tietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissaTietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissa
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
 
Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit Tietoturva 2011, Tietoturvamyytit
Tietoturva 2011, Tietoturvamyytit
 
Tietoturvan perusteet
Tietoturvan perusteetTietoturvan perusteet
Tietoturvan perusteet
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
Luoti webinar tietoturva
Luoti webinar tietoturvaLuoti webinar tietoturva
Luoti webinar tietoturva
 
Trend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetTrend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäykset
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
 
Tietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaa
 
Tietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäTietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössä
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
 
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista
 
Tietoturvaesitys1
Tietoturvaesitys1Tietoturvaesitys1
Tietoturvaesitys1
 
Koronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaariKoronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaari
 

Hyökkays haavoittuvaan verkkopalveluun

  • 1. SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Hyökkäys haavoittuvaan verkkopalveluun
  • 3. Puhujat Juho Ranta §  CTO §  Eettinen hakkeri §  Twitter: @JuhoRanta Jani Manninen §  Yli 15 vuoden kokemus ohjelmistokehityksestä ja tietoturvasta §  Eettinen hakkeri §  Twitter: @Jani_Manninen
  • 4. Mikä hakkeri? A hacker is someone who seeks and exploits weaknesses in a computer system or computer network. https://en.wikipedia.org/wiki/Hacker_(computer_security)
  • 5. Miksi tietoturva on tärkeää? Järjestelmät ovat kehittyneet valtavasti viimeisen 20 vuoden aikana. Niistä on tullut entistä kriittisempiä liiketoiminnalle. Asiakkaiden täytyy luottaa järjestelmiin, joita he käyttävät.
  • 6. Kuka hyökkää? Tiettyä rajattua ryhmää ei ole olemassa. Hyökkääjä voi vaihdella satunnaisesta onnenonkijasta ammattilaisiin.
  • 7. Miksi hyökätä? Hyökkääjällä on lähes aina syy hyökkäykselle. Motiivina on hyökkäyksestä hyötyminen. Mitä suurempi palkkio on, sitä enemmän hyökkääjä on valmis käyttämään resursseja.
  • 8. Miksi testata tietoturvaa? Kasvavaa riskiä pitää pyrkiä kontrolloimaan. Yksi keino on testaus. Tämän avulla voidaan selvittää sovelluksessa olevia heikkouksia ja saadaan tieto tarvittavista toimenpiteistä.
  • 9. Miksi testata tietoturvaa? Testauksen tavoitteena on parantaa sovelluksen tietoturvaa ja pienentää tämän avulla riskiä. Riski pienenee, kun selvillä olevat toimenpiteet toteutetaan.
  • 10. Kokonaisuus ratkaisee Vaikka yksittäinen sovellus ei olisi kriittinen, voidaan sitä käyttää osana hyökkäystä. Myös vähemmän kriittisten sovellusten tietoturvaan on kiinnitettävä huomiota.
  • 11. ”Sovellukseen ei pääse Internetistä” Palomuuri tuo lisäturvaa, mutta ei estä motivoitunutta hyökkääjää.
  • 12. ”Sovelluksen tietoturva on kunnossa” 100% vuonna 2014 tehdyistä auditoinneista johti korjaaviin toimenpiteisiin. Case-esimerkki: ERP-järjestelmässä saatiin haavoittuvuuden avulla haltuun pääkäyttäjän oikeudet.
  • 13. Tietoturvasertifikaatti Tuotteelle suoritetaan tietoturvatestaus julkista kriteeristöä vasten. Sertifikaatti todentaa, että auditoinnissa ei löytynyt haavoittuvuuksia tai ne on verifioitu korjatuksi.
  • 14. Miten testataan? 2NS:n asiantuntijat toimivat eettisenä hakkerina. He laittavat hakkerin hatun päähän, etsivät ja todentavat hyväksikäytettäviä haavoittuvuuksia kohdejärjestelmästä.
  • 15. Demo
  • 16. OWASP Top 10 / 2013 1.  Injection 2.  Broken authentication and session management 3.  Cross-Site Scripting 4.  Insecure Direct Object References 5.  Security Misconfiguration 6.  Sensitive Data Exposure 7.  Missing Function Level Access Control 8.  Cross-Site Request Forgery 9.  Using Known Vulnerable Components 10.  Unvalidated redirects and Forwards https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 17. SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   www.2ns.fi