1. Prečo zvoliť IT bezpečnostnú
firmu Nethemba s.r.o?
Ing. Pavol Lupták, CISSP, CEH
www.nethemba.com
www.nethemba.com
2. Kto sme?
Skupina certifikovaných IT bezpečnostných
expertov s viac ako 10 rokmi skúsenosti v
oblasti penetračného testovania a bezp.auditov
Držitelia svetovouznávaných IT
bezpečnostných certifikácií:
CISSP (Certified Information System Security
Professional), 3 x CEH (Certified Ethical
Hacker), SCSecA (Sun Certified Security
Administrator)
www.nethemba.com
3. Náš hlavný biznis
Všetky druhy penetračných testov
Detailné bezpečnostné audity
Lokálne systémové audity, audity wifi sietí,
sociálne inžinierstvo
Detailné forenzné analýzy
IT bezpečnostné školenia
Pokrývame úplne technologickú IT
bezpečnosť
www.nethemba.com
4. Ako jediní na Slovensku a v Čechách
Ponúkame bezpečnostné audity RFID čipových
kariet
Venujeme sa aktívnemu výskumu v oblasti IT
bezpečnosti
Sponzorujeme verejný výskum v IT bezpečnosti
(množstvo otvorených dotovaných projektov)
Spoluorganizujeme doteraz najväčšiu technologickú
medzinárodnú IT bezpečnostnú konferenciu v
Prahe Confidence 2.0 2930.11.2010
www.nethemba.com
5. Ako prví na svete
Sme prelomili a napísali funkčnú opensource
implementáciu nástroja na prelomenia miliardy
čipových kariet Mifare Classic na svete a viac ako 1
milióna na Slovensku (Bratislavská / Košická
električenka, ISIC/univerzitné preukazy, parkovacie
karty, karty ŽSR, Slovak Lines, ...)
Odhalili a detailne popísali spôsob zneužitia SMS
lístkov využívaných v Bratislave, Košiciach, Prahe,
Varšave a iných veľkých mestách
www.nethemba.com
6. Žijeme IT bezpečnosťou
Pravidelné prezentácie na svetových
bezpečnostných konferenciách (CCC v Berlíne,
HAR v Holandsku, HACK.LU v Luxemburgsku,
Confidence vo Varšave, Krakove a Prahe)
Pravidelná účast a prezentácie na OWASP
konferenciách (New York, Faro, Ghent, Krakov)
Aktívni v OWASP organizácii
www.nethemba.com
7. Našou prioritou je ETIKA
Pri zverejňovaní zraniteľností sme vždy
sledovali pravidlá zodpovedného
zverejňovania zraniteľností (v dostatočnom
predstihu informovali dodávateľa, navrhli
bezpečné riešenie, atď)
Naši zamestnanci dodržujú etický kódex
(vyplývajúci z CISSP, CEH a pracovnej zmluvy)
www.nethemba.com
8. Penetračné testy
Spôsob vyhodnotenia bezpečnosti
počítačových systémov simulovaním útoku z
pohľadu potenciálneho hackera
Zahrňuje aktívnu analýzu systému v snahe
odhaliť akékoľvek slabiny, zraniteľnosti a
demonštrovať zneužitie
Skúsenosti s takmer všetkými OS, obskurnými
platformami, smart telefónmi, PDA zariadeniami
Používame OSSTMM metodológiu
www.nethemba.com
9. Prístupy k penetračnému testovaniu
Black box útok bez znalosti – o cieľovom
testovanom prostredí nie je poskytnutá žiadna
informácia, predstavuje najrealistickejší
vonkajší penetračný test
White box – útok so znalosťou – sú poskytnuté
všetky informácie o cieľovom prostredí a
testovanej infraštruktúre
Grey box – útok s čiastočnou znalosťou
www.nethemba.com
10. Fázy penetračného testovania
Odhaľovanie – o cieľovom systéme sú získavané a dokumentované
všetky dostupné informácie (služba WHOIS, verejné vyhľadávače,
doménoví registrátori, atď)
Enumerácia – použitie intruzivných metód a techník v snahe získať
informácie o cieľovom systéme (portscanning, fingerprinting)
Mapovanie zraniteľností – mapovanie nálezov získaných z
enumerácie na známe a potenciálne zraniteľnosti
Demonštrácia zneužitia – pokus o získanie privilegovaného prístupu
využitím identifikovaných zraniteľností z predošlej fázy. Cieľom je
získať ako privilegovaný (administrátorský) prístup do systému
(použité sú vlastné exploit skripty alebo exploit frameworky)
www.nethemba.com
11. Detailný bezpečnostný audit webovej
aplikácie a webového serveru
Najdetailnejší a najhlbší audit webovej aplikácie na
slovenskom/českom trhu
Striktne sleduje testovaciu príručku OWASP
Zahrňuje praktickú „hackerskú“ demonštráciu (tvorba
vlastných exploitov, dump databáz, demonštrácia
zneužitia XSS/CSRF zraniteľností, …)
Jednodňové stretnutie s vývojármi aplikácie
Detailná výsledná správa v EN/SK/CZ
www.nethemba.com
12. OWASP testovacia príručka
Sme spoluautori novej testovacej príručky
OWASP verzia 3.0
S Matteom Meuccim pracujeme na novej verzii
4.0
Hĺbková znalosť a takmer stovka úspešne
realizovaných OWASP auditov
www.nethemba.com
13. Information Gathering
Configuration Management Testing
Authentication Testing
Session Management Testing
Authorization Testing
Business Logic Testing
Data Validation Testing
Testing for DenialOf Service
Web Services Testing
AJAX Testing
www.nethemba.com
14. Naše OWASP aktivity
OWASP (Open Web Application Security
Project) – najväčšia a najrešpektovanejšia
slobodná a otvorená svetová bezpečnostná
komunita venujúca sa webovým aplikáciám
Naši zamestnanci vedú slovenskú a českú
OWASP pobočku, pravidelne sa účastnia
OWASP bezpečnostných konferencií
Vyvíjajú vlastné testovacie nástroje (nástroj na
timedelay blind SQL injection)
www.nethemba.com
15. Referencie
Mobilní operátori (TMobile Czech Republic, Český
Eurotel)
Finančné inštitúcie (Národná Banka Slovenska,
Poisťovna AXA, Prvá Stavebná Sporiteľna, ČSOB
Leasing)
Univerzity (Univerzita Komenského)
Súkromný sektor (ICZ, ITEG, ESET, Core4, Gratex,
Slovanet, IPEX, Limba, Profesia, AUTOVIA, ui42, Ringier
Slovakia, KROS, Pantheon Technologies, Avion
Postproduction, MUW Saatchi & Saatchi, ….)
www.nethemba.com