Your SlideShare is downloading. ×
Preco sa rozhodnut pre spolocnost Nethemba
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Preco sa rozhodnut pre spolocnost Nethemba

14,714
views

Published on

Dôvody prečo sa rozhodnúť pre IT bezpečnostnú spoločnosť Nethemba s.r.o.

Dôvody prečo sa rozhodnúť pre IT bezpečnostnú spoločnosť Nethemba s.r.o.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
14,714
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Prečo zvoliť IT bezpečnostnú  firmu Nethemba s.r.o? Ing. Pavol Lupták, CISSP, CEH         www.nethemba.com             www.nethemba.com      
  • 2. Kto sme? Skupina certifikovaných IT bezpečnostných  expertov s viac ako 10 rokmi skúsenosti v  oblasti penetračného testovania a bezp.auditov Držitelia svetovo­uznávaných IT  bezpečnostných certifikácií:  ­ CISSP (Certified Information System Security  Professional), 3 x CEH (Certified Ethical  Hacker), SCSecA (Sun Certified Security   Administrator)        www.nethemba.com       
  • 3. Náš hlavný biznis  Všetky druhy penetračných testov  Detailné bezpečnostné audity  Lokálne systémové audity, audity wifi sietí,  sociálne inžinierstvo  Detailné forenzné analýzy  IT bezpečnostné školenia  Pokrývame úplne technologickú IT   bezpečnosť        www.nethemba.com       
  • 4. Ako jediní na Slovensku a v Čechách Ponúkame bezpečnostné audity RFID čipových  kariet Venujeme sa aktívnemu výskumu v oblasti IT  bezpečnosti Sponzorujeme verejný výskum v IT bezpečnosti  (množstvo otvorených dotovaných projektov) Spoluorganizujeme doteraz najväčšiu technologickú  medzinárodnú IT bezpečnostnú konferenciu v  Prahe Confidence 2.0 ­ 29­30.11.2010         www.nethemba.com       
  • 5. Ako prví na svete Sme prelomili a napísali funkčnú open­source  implementáciu nástroja na prelomenia miliardy  čipových kariet Mifare Classic na svete a viac ako 1  milióna na Slovensku (Bratislavská / Košická  električenka, ISIC/univerzitné preukazy, parkovacie  karty, karty ŽSR, Slovak Lines, ...) Odhalili a detailne popísali spôsob zneužitia SMS  lístkov využívaných v Bratislave, Košiciach, Prahe,  Varšave a iných veľkých mestách         www.nethemba.com       
  • 6. Žijeme IT bezpečnosťou Pravidelné prezentácie na svetových  bezpečnostných konferenciách (CCC v Berlíne,  HAR v Holandsku, HACK.LU v Luxemburgsku,  Confidence vo Varšave, Krakove a Prahe) Pravidelná účast a prezentácie na OWASP  konferenciách (New York, Faro, Ghent, Krakov) Aktívni v OWASP organizácii         www.nethemba.com       
  • 7. Našou prioritou je ETIKA  Pri zverejňovaní zraniteľností sme vždy  sledovali pravidlá zodpovedného  zverejňovania zraniteľností (v dostatočnom  predstihu informovali dodávateľa, navrhli  bezpečné riešenie, atď)  Naši zamestnanci dodržujú etický kódex  (vyplývajúci z CISSP, CEH a pracovnej zmluvy)         www.nethemba.com       
  • 8. Penetračné testy Spôsob vyhodnotenia bezpečnosti  počítačových systémov simulovaním útoku z  pohľadu potenciálneho hackera Zahrňuje aktívnu analýzu systému v snahe  odhaliť akékoľvek slabiny, zraniteľnosti a  demonštrovať zneužitie Skúsenosti s takmer všetkými OS, obskurnými  platformami, smart telefónmi, PDA zariadeniami  Používame OSSTMM metodológiu        www.nethemba.com       
  • 9. Prístupy k penetračnému testovaniu Black box ­ útok bez znalosti – o cieľovom  testovanom prostredí nie je poskytnutá žiadna  informácia, predstavuje najrealistickejší  vonkajší penetračný test White box – útok so znalosťou – sú poskytnuté  všetky informácie o cieľovom prostredí a  testovanej infraštruktúre Grey box – útok s čiastočnou znalosťou         www.nethemba.com       
  • 10. Fázy penetračného testovania Odhaľovanie – o cieľovom systéme sú získavané a dokumentované  všetky dostupné informácie (služba WHOIS, verejné vyhľadávače,  doménoví registrátori, atď) Enumerácia – použitie intruzivných metód a techník v snahe získať  informácie o cieľovom systéme (portscanning, fingerprinting) Mapovanie zraniteľností – mapovanie nálezov získaných z  enumerácie na známe a potenciálne zraniteľnosti Demonštrácia zneužitia – pokus o získanie privilegovaného prístupu  využitím identifikovaných zraniteľností z predošlej fázy. Cieľom je  získať ako privilegovaný (administrátorský) prístup do systému  (použité sú vlastné exploit skripty alebo exploit frameworky)         www.nethemba.com       
  • 11. Detailný bezpečnostný audit webovej  aplikácie a webového serveru  Najdetailnejší a najhlbší audit webovej aplikácie na  slovenskom/českom trhu  Striktne sleduje testovaciu príručku OWASP  Zahrňuje praktickú „hackerskú“ demonštráciu (tvorba  vlastných exploitov, dump databáz, demonštrácia  zneužitia XSS/CSRF zraniteľností, …)  Jednodňové stretnutie s vývojármi aplikácie  Detailná výsledná správa v EN/SK/CZ         www.nethemba.com       
  • 12. OWASP testovacia príručka Sme spoluautori novej testovacej príručky  OWASP verzia 3.0 S Matteom Meuccim pracujeme na novej verzii  4.0 Hĺbková znalosť a takmer stovka úspešne  realizovaných OWASP auditov         www.nethemba.com       
  • 13.  Information Gathering Configuration Management Testing Authentication Testing Session Management Testing Authorization Testing Business Logic Testing Data Validation Testing Testing for Denial­Of Service Web Services Testing   AJAX Testing        www.nethemba.com       
  • 14. Naše OWASP aktivity OWASP (Open Web Application Security  Project) – najväčšia a najrešpektovanejšia  slobodná a otvorená svetová bezpečnostná  komunita venujúca sa webovým aplikáciám Naši zamestnanci vedú slovenskú a českú  OWASP pobočku, pravidelne sa účastnia  OWASP bezpečnostných konferencií Vyvíjajú vlastné testovacie nástroje (nástroj na   time­delay blind SQL injection)        www.nethemba.com       
  • 15. Referencie Mobilní operátori (T­Mobile Czech Republic, Český  Eurotel) Finančné inštitúcie (Národná Banka Slovenska,  Poisťovna AXA, Prvá Stavebná Sporiteľna, ČSOB  Leasing) Univerzity (Univerzita Komenského) Súkromný sektor (ICZ, ITEG, ESET, Core4, Gratex,  Slovanet, IPEX, Limba, Profesia, AUTOVIA, ui42, Ringier  Slovakia, KROS, Pantheon Technologies, Avion   Postproduction, MUW Saatchi & Saatchi, ….)        www.nethemba.com       
  • 16. Ďakujem za pozornosť!         www.nethemba.com