Mike Just

Tutorial: Bezpečnost a lidé

Vyzvaná přednáška: Crowdsourcing a bezpečnost

Stručný životopis: Mike je odborným asistentem na Glasgow Caledonian University v Glasgow, Skotsko, kde se zabývá výukou a výzkumem různých oblastí počítačové bezpečnosti. Dříve byl hostujícím výzkumným pracovníkem na University of Edinburgh a 10 let pracoval v soukromém i veřejném sektoru jak na poli koncepčním, tak i realizačním. Mike publikoval více než 20 prací zabývajících se aplikovanou kryptografií, bezpečností sítí a použitelností a často vystupuje na mezinárodních fórech. Vědeckou hodnost Ph. D. získal roku 1999 na Carleton University v kanadské Ottawě.

Tutorial: Bezpečnost a lidé

Budou ukázány různé cesty, kterými může lidský faktor ovlivnit návrh a používání bezpečných systémů. Dále bude objasněno, jak mohou pojetí a metody z oborů jako jsou psychologie a ekonomie vést ke lepším návrhům bezpečnějších a použitelných systémů. Tyto oblasti budou vyšetřovány prostřednictvím několika příkladů a to včetně ověřování a zabezpečení sítě.

Vyzvaná přednáška: Crowdsourcing a bezpečnost

Výhod dnes na popularitě nabývajícího crowdsourcingu může čerpat stále více aplikačních oblastí. V přednášce bude uvedeno několik způsobů, kterými lze tuto "sílu davu" využít pro zlepšení bezpečnosti a pozornost bude zaměřena zejména na otázku crowdsourcingové identity. Sociální identita mění tradiční chápání identity tak, že k definování nebo odhalení identity slouží podílnictví a spolupráce jiných lidí. Kooperující uživatelé mohou napomáhat při definici identity prostřednictvím participačních procesů, které buď pomáhají ve vývoji bezpečnějších a lépe zapamatovatelných identifikačních údajů (sociální identifikace) nebo v oblasti ochrany soukromí při navigaci (informačním prostorem; sociální navigace).

George Danezis

Tutorial: Měření a účtování respektující soukromí v inteligentních rozvodných sítích a v pojišťovnictví (Pay-As-You-Drive)

Stručný životopis: George Danezis je výzkumným pracovníkem Microsoft Research v Cambridge. V průběhu posledních deseti let se zabýval otázkami anonymních komunikací, technologiemi zlepšujícími soukromí a analýzou provozu a to rovněž na Katholieke Universiteit v Leydenu (Belgie) a Universitě v Cambridge (UK), kde v roce 2004 obhájil disertační práci.

Jeho teoretické příspěvky na poli technologií zlepšování soukromí (Privacy Enhancing Technology - PET) zahrnují vytvoření informační teoretické metriky pro klasifikaci anonymity a studium statistických útoků proti smíšeným systémech. Po praktické stránce je jedním z hlavních designérů Mixminion, remaileru další generace, a pracuje na analýze provozu již používaných protokolů jako jsou SSL a Tor. Jeho současné výzkumné zájmy se zaměřují na bezpečnost peer-to-peer a sociálních sítí a to uplatňováním metod strojového učení na bezpečnostní problémy a měření respektující soukromí.

V letošním roce bude předsedat fóru Financial Cryptography 2011, v letech 2011 a 2012 pak ACM CCS. V letech 2005 a 2006 zastával funkci místopředsedy workshopu Privacy Enhancing Technologies. Pracuje ve výboru symposia PET a pravidelně bývá členem programových výborů hlavních konferencí v oblasti soukromí a bezpečnosti.

Webové stránky: http://research.microsoft.com/~gdane

Úplný životopis: http://research.microsoft.com/~gdane/Danezis-cv.pdf

Stručný obsah

Měření spotřeby a účtování je tradičním důvodem pro shromažďování, zpracovávání a uchovávání podrobných záznamů. Některé nově navrhované obchodní modely a vládní opatření jako jsou elektronický výběr mýtného, pojištění pay-as-you-drive (při němž se výše pojistného odvíjí mimo jiné od ujetých kilometrů), inteligentní rozvodné elektrické sítě a dokonce i virtualizované zpracování a ukládání dat se opírají o znalost podstatně detailnějších informací o chování zpoplatňovaných uživatelů než tomu bylo kdykoliv dříve. To je v rozporu s ochranou soukromím, na které byli zákazníci zvyklí. Současné představy o implementaci zmíněných systémů vyžadují vybudování obrovských databází osobních informací – my ale ukážeme, že to není nutné.

Uvedeme protokoly pro měření a detailní fakturaci, které nevyžadují shromažďování, zpracování ani uchovávání osobních údajů. Na příkladu inteligentních rozvodných sítí vysvětlíme, jak lze odečty za účelem aplikace tarifní politiky uživatelským zřízením kryptograficky transformovat a vytvořit vyúčtování pro rozvodné společnosti. Používáním techniky nulových znalostí naše protokoly dokonale skryjí všechny citlivé soukromé informací a zároveň zajistí integritu účtů. Budeme také diskutovat praktické otázky nasazení a ukážeme tři implementace, nabízející kompromisy co do rychlosti, rozšiřitelnosti a bezchybnosti software.

Daniel Cvrček

Tutorial: Bezpečnostní problémy bezdrátové komunikace - od tunelů k nouzovému tlačítku

Stručný životopis: Dr. Dan Cvrček je zkušeným výzkumníkem a profesionálem informační bezpečnosti s více než desetiletou pracovní, výzkumnou a výukovou praxi. Zastával pozice v institucích jako Deloitte UK, University of Cambridge a VUT v Brně. Akademickou obec opustil v dubnu 2008 a začal pracovat jako bezpečnostní konzultant ve společnosti Deloitte UK a poté nastoupil k firmě Apoideas v Cambridge. Před nedávnem založil výzkumnou, vývojovou a konzultační společnost Smart Architects.

Je všestranným odborníkem s širokým rozhledem, silným teoretickým základem jakož i bohatými zkušenostmi v oblasti architektur informačních systémů, bezpečnosti IT a kryptografie. S potěchou analyzuje architektury rozsáhlých heterogenních systémů, stejně jako přezkoumává kódy programů. Je schopen rychle pochopit velké a složité systémy. To mu dovolilo analyzovat komplexní bankovní systémy stejně jako navrhnout a implementovat robustní architektury pro bezdrátové senzorové systémy.

Stručný obsah

Jaké jsou skutečné problémy bezpečnosti bezdrátové komunikace a zejména bezdrátových senzorových sítí? Jednou z mála oblastí, kde mohou být výhodami bezdrátových senzorových sítí ospravedlněny nemalé pořizovací a provozní náklady, je monitorování velkých stavebních celků. Jinou aplikací je nouzové tlačítko, kde se vyžaduje velmi dlouhá životnost, avšak současně také vysoká spolehlivost. Ukážeme technologické komplikace výstavby těchto systémů a také bezpečnostní problémy, které je třeba vyřešit, aby byla zajištěna bezpečná komunikace.

Christian Rechberger

Přednáška: Nejnovější pokrok v analýze symetrických kryptosystémů

Stručný životopis: Christian Rechberger je v současné době postdoktorským výzkumníkem na ENS v Paříži. Hodnost PhD získal na Graz University of Technology ve Štýrském Hradci (Rakousku) a to v oblasti v aplikované kryptografie; jeho školitelem byl Vincent Rijmen, autor Advanced Encryption Standard (AES). Výzkumné zájmy Christiana Rechbergera představují různá témata z oblasti bezpečnost IT, kryptografie a algoritmů, včetně návrhu a analýzy kryptografických primitiv, RFID bezpečnost a efektivní implementace. Je znám svojí prací na vývoji mezinárodního standardu SHA-1, dále je spolutvůrcem útoku typu rebound, spolutvůrcem hašovacích funkcí Grindahl a také Grostl, která postoupila jako kandidát na SHA-3 až do finále. Vede pracovní skupinu zabývající se hašovacími funkcemi v rámci ECRYPT network of excellence.

Webové stránky: http://www.groestl.info/rechberger

Stručný obsah

Kryptografické primitivy jako blokové šifry a hašovací funkce jsou tahouny bezpečnosti IT. Navzdory více než 30 letům všeobecných zkušeností s návrhem a analýzou těchto primitiv jsme v posledních 6 let zaznamenali nebývalý pokrok, který mnoho odborníků překvapil. Jako příklady lze uvést snadné nalézání kolizí u populárních hašovacích funkcí jako jsou MD5 nebo SHA-1 a útok typu obnova klíče postihující standardní blokové šifry AES-256 a AES-192. Ve vystoupení budou tyto objevy shrnuty, bude upozorněno na klíčové myšlenky v pozadí a diskutovány jejich dopady a význam.

Jan Löschner

Zvaná přednáška: Digitální agenda a ochrana soukromí občanů EU

Stručný životopis: Jan Löschner pracuje přes 15 let jako výzkumný a vývojový pracovník v Joint Research Centre (JRC) založeného Evropskou komisí pro oblast automatizovaného přístrojového vybavení a elektronických pasů.

Stručný obsah

Společné výzkumné středisko Evropské komise iniciovalo vyšetřování, zhodnocení a předpovědi ohledně úmyslného či neúmyslného zneužívání osobních dat občanů v naší budované digitální společnosti. Reaguje tak na některé z klíčových výzev, nastolených ve sdělení komise zvaném "Digitální agenda z Evropy", jako je důvěra a bezpečnost, pulsující jednotný digitální trh, budování digitální důvěry a na ICT založených výhodách pro evropskou společnost nebo inteligentní dopravní systémy pro bezpečnější a efektivnější dopravu a lepší mobilitu.

V sílící digitální společnosti je nyní občan navigován různými digitálními rozměry kyberprostoru. Je také začleňován do stále propojenějších entit, chytrých prostředí a v budoucnosti "Internetu věcí". V průběhu zmíněné navigace občan zanechává neustále intenzivnější stopu ve formě osobních a individuálních údajů.

Tyto osobní údaje jsou někde archivovány a potenciálně mohou použity nepředpokládanými způsoby. Na jedné straně si je občan do jisté míry tohoto vědom. Na druhou stranu může nedostatečná ochrana digitální stopy občana vést k dalšímu nebezpečnému zpracování dat s nečekanými důsledky pro uživatele a společnost jako celek.

Příspěvek se bude zabývat dopady nových informačních a komunikačních technologií na občana. Představí plánovanou činnost Společného výzkumného střediska ohledně posuzování vlivu mobilních informačních a komunikačních aplikací na evropské občany, pokud jde o otázky bezpečnosti. Na příkladu Bluetooth budou demonstrovány hrozby a rizika pro přemisťujícího se občana. Budou analyzovány úmyslné a neúmyslné interakce mezi zařízeními s technologií Bluetooth nošenými v okolí potenciálních útočníků.

Falk Schwendike

Zvaná přednáška: DNSSEC

Stručný životopis: Diplomovaný inženýr Falk Schwendike absolvoval Univerzitu aplikovaných věd v Mittweidě, Německo a v současné době pracuje jako systémový inženýr u společnosti Infoblox. Má více než 10letou zkušenost v oblastech návrhů a budování sítí a to jak u malých, začínajících firem, tak i ve velkých mezinárodních společnostech. Zodpovídal za výstavbu rozsáhlých ATM prostředí firem Newbridge Networks a Alcatel a příslušné zákazníky, uživatele tranzitních sítí (tier 1, 2). Pomocí produktů firmy Foundry Networks implementoval řešení 2-7 vrstvy (ISO) pro velké dodavatele produktů automobilového, ale i mediálního průmyslu. Nyní u společnosti Infoblox zastává pozici Pre-Sales Engineer pro střední a východní Evropu. Tato společnost představuje špičku na trhu specializovaných, vysoce výkonných a spolehlivých zařízení, zajišťujících služby DNS, DHCP a IPAM (IP Address Management) - zkráceně DDI.

Stručný obsah

Během krátké doby začne společnost VeriSign podepisovat údaje pro doménu ".com", čímž padnou skoro všechny hlavní překážky stojící v cestě širokému zavádění DNSSEC. Podepisování se bude týkat kořenové zóny a tří velkých domén nejvyšší úrovně: .com, .net (funguje již od 10. 12. 2010) a .org. V současnosti je už podepisováno množství národních domén. Stabilní implementace DNSSEC jsou dostupné pro několik typů jmenných serverů, včetně rekurzivních a autoritativních. Existují i komerční produkty, což implementaci DNSSEC dále podpoří a zjednoduší. V přednášce budou objasněny procesy odehrávající se na pozadí DNSSEC, bude vysvětleno, jak DNSSEC může a nemůže obecně zabezpečit komunikaci a bude poukázáno na okolnosti, které by v souvislosti se zaváděním této technologie mohly vyvstat.

Andrea Dufková

Zvaná přednáška: ENISA & CERTs

Stručný životopis: Andrea Dufková je expertkou v oblasti bezpečnosti počítačů a incidentů a působí v Evropské agentuře pro informační a síťovou bezpečnost (ENISA - www.enisa.europa.eu/act/cert). Před příchodem do agentury byla členkou CERT (Computer Emergency Response Team) Armády České republiky.

Stručný obsah

Jednotlivé CERTy jsou klíčovým nástroji pro ochranu kritické informační infrastruktury. Každá země, která je připojena k Internetu, musí být schopna na incidenty v oblasti informační bezpečnosti účinně a efektivně reagovat. CERTy však mají i důležitější poslání: musí fungovat jako poskytovatelé primární bezpečnostní služby pro vládu a občany a rovněž musí dbát o bezpečnostní osvětu a vzdělávání. Ne každá země připojená k Internetu má k dispozici CERT, ale i mezi těmi ostatními existují výrazné rozdíly. Úkolem agentury ENISA je mimo jiné vyplnit bílá místa na mapě CERTů a zacelit mezery tím, že usnadní vytvoření, odbornou přípravu a praktický výcvik CERTů.