Click here to load reader
Upload
pavol-luptak
View
14.727
Download
1
Embed Size (px)
DESCRIPTION
Dôvody prečo sa rozhodnúť pre IT bezpečnostnú spoločnosť Nethemba s.r.o.
Citation preview
www.nethemba.com www.nethemba.com
Prečo zvoliť IT bezpečnostnú firmu Nethemba s.r.o?
Ing. Pavol Lupták, CISSP, CEH
www.nethemba.com
Kto sme? Skupina certifikovaných IT bezpečnostných
expertov s viac ako 10 rokmi skúsenosti v oblasti penetračného testovania a bezp.auditov
Držitelia svetovouznávaných IT bezpečnostných certifikácií:
CISSP (Certified Information System Security Professional), 3 x CEH (Certified Ethical Hacker), SCSecA (Sun Certified Security Administrator)
www.nethemba.com
Náš hlavný biznis Všetky druhy penetračných testov Detailné bezpečnostné audity Lokálne systémové audity, audity wifi sietí,
sociálne inžinierstvo Detailné forenzné analýzy IT bezpečnostné školenia Pokrývame úplne technologickú IT
bezpečnosť
www.nethemba.com
Ako jediní na Slovensku a v Čechách Ponúkame bezpečnostné audity RFID čipových
kariet Venujeme sa aktívnemu výskumu v oblasti IT
bezpečnosti Sponzorujeme verejný výskum v IT bezpečnosti
(množstvo otvorených dotovaných projektov)
Spoluorganizujeme doteraz najväčšiu technologickú medzinárodnú IT bezpečnostnú konferenciu v Prahe Confidence 2.0 2930.11.2010
www.nethemba.com
Ako prví na svete Sme prelomili a napísali funkčnú opensource
implementáciu nástroja na prelomenia miliardy čipových kariet Mifare Classic na svete a viac ako 1 milióna na Slovensku (Bratislavská / Košická električenka, ISIC/univerzitné preukazy, parkovacie karty, karty ŽSR, Slovak Lines, ...)
Odhalili a detailne popísali spôsob zneužitia SMS lístkov využívaných v Bratislave, Košiciach, Prahe, Varšave a iných veľkých mestách
www.nethemba.com
Žijeme IT bezpečnosťou Pravidelné prezentácie na svetových
bezpečnostných konferenciách (CCC v Berlíne, HAR v Holandsku, HACK.LU v Luxemburgsku, Confidence vo Varšave, Krakove a Prahe)
Pravidelná účast a prezentácie na OWASP konferenciách (New York, Faro, Ghent, Krakov)
Aktívni v OWASP organizácii
www.nethemba.com
Našou prioritou je ETIKA Pri zverejňovaní zraniteľností sme vždy
sledovali pravidlá zodpovedného zverejňovania zraniteľností (v dostatočnom predstihu informovali dodávateľa, navrhli bezpečné riešenie, atď)
Naši zamestnanci dodržujú etický kódex (vyplývajúci z CISSP, CEH a pracovnej zmluvy)
www.nethemba.com
Penetračné testy Spôsob vyhodnotenia bezpečnosti
počítačových systémov simulovaním útoku z pohľadu potenciálneho hackera
Zahrňuje aktívnu analýzu systému v snahe odhaliť akékoľvek slabiny, zraniteľnosti a demonštrovať zneužitie
Skúsenosti s takmer všetkými OS, obskurnými platformami, smart telefónmi, PDA zariadeniami
Používame OSSTMM metodológiu
www.nethemba.com
Prístupy k penetračnému testovaniu Black box útok bez znalosti – o cieľovom
testovanom prostredí nie je poskytnutá žiadna informácia, predstavuje najrealistickejší vonkajší penetračný test
White box – útok so znalosťou – sú poskytnuté všetky informácie o cieľovom prostredí a testovanej infraštruktúre
Grey box – útok s čiastočnou znalosťou
www.nethemba.com
Fázy penetračného testovania Odhaľovanie – o cieľovom systéme sú získavané a dokumentované
všetky dostupné informácie (služba WHOIS, verejné vyhľadávače, doménoví registrátori, atď)
Enumerácia – použitie intruzivných metód a techník v snahe získať informácie o cieľovom systéme (portscanning, fingerprinting)
Mapovanie zraniteľností – mapovanie nálezov získaných z enumerácie na známe a potenciálne zraniteľnosti
Demonštrácia zneužitia – pokus o získanie privilegovaného prístupu využitím identifikovaných zraniteľností z predošlej fázy. Cieľom je získať ako privilegovaný (administrátorský) prístup do systému (použité sú vlastné exploit skripty alebo exploit frameworky)
www.nethemba.com
Detailný bezpečnostný audit webovej aplikácie a webového serveru
Najdetailnejší a najhlbší audit webovej aplikácie na slovenskom/českom trhu
Striktne sleduje testovaciu príručku OWASP
Zahrňuje praktickú „hackerskú“ demonštráciu (tvorba vlastných exploitov, dump databáz, demonštrácia zneužitia XSS/CSRF zraniteľností, …)
Jednodňové stretnutie s vývojármi aplikácie
Detailná výsledná správa v EN/SK/CZ
www.nethemba.com
OWASP testovacia príručka
Sme spoluautori novej testovacej príručky OWASP verzia 3.0
S Matteom Meuccim pracujeme na novej verzii 4.0
Hĺbková znalosť a takmer stovka úspešne realizovaných OWASP auditov
www.nethemba.com
Information Gathering
Configuration Management Testing
Authentication Testing
Session Management Testing
Authorization Testing
Business Logic Testing
Data Validation Testing
Testing for DenialOf Service
Web Services Testing
AJAX Testing
www.nethemba.com
Naše OWASP aktivity OWASP (Open Web Application Security
Project) – najväčšia a najrešpektovanejšia slobodná a otvorená svetová bezpečnostná komunita venujúca sa webovým aplikáciám
Naši zamestnanci vedú slovenskú a českú OWASP pobočku, pravidelne sa účastnia OWASP bezpečnostných konferencií
Vyvíjajú vlastné testovacie nástroje (nástroj na timedelay blind SQL injection)
www.nethemba.com
Referencie Mobilní operátori (TMobile Czech Republic, Český
Eurotel)
Finančné inštitúcie (Národná Banka Slovenska, Poisťovna AXA, Prvá Stavebná Sporiteľna, ČSOB Leasing)
Univerzity (Univerzita Komenského)
Súkromný sektor (ICZ, ITEG, ESET, Core4, Gratex, Slovanet, IPEX, Limba, Profesia, AUTOVIA, ui42, Ringier Slovakia, KROS, Pantheon Technologies, Avion Postproduction, MUW Saatchi & Saatchi, ….)