SlideShare a Scribd company logo

Preco sa rozhodnut pre spolocnost Nethemba

OWASP (Open Web Application Security Project)
OWASP (Open Web Application Security Project)

Dôvody prečo sa rozhodnúť pre IT bezpečnostnú spoločnosť Nethemba s.r.o.

Technology
1 of 16
Download to read offline
Prečo zvoliť IT bezpečnostnú  firmu Nethemba s.r.o? Ing. Pavol Lupták, CISSP, CEH          www.nethemba.com             www.nethemba.com      
Kto sme?  Skupina certifikovaných IT bezpečnostných  expertov s viac ako 10 rokmi skúsenosti v  oblasti penetračného testovania a bezp.auditov  Držitelia svetovo­uznávaných IT  bezpečnostných certifikácií:  ­ CISSP (Certified Information System Security  Professional), 3 x CEH (Certified Ethical  Hacker), SCSecA (Sun Certified Security    Administrator)        www.nethemba.com       
Náš hlavný biznis  Všetky druhy penetračných testov  Detailné bezpečnostné audity  Lokálne systémové audity, audity wifi sietí,  sociálne inžinierstvo  Detailné forenzné analýzy  IT bezpečnostné školenia  Pokrývame úplne technologickú IT    bezpečnosť        www.nethemba.com       
Ako jediní na Slovensku a v Čechách  Ponúkame bezpečnostné audity RFID čipových  kariet  Venujeme sa aktívnemu výskumu v oblasti IT  bezpečnosti  Sponzorujeme verejný výskum v IT bezpečnosti  (množstvo otvorených dotovaných projektov)  Spoluorganizujeme doteraz najväčšiu technologickú  medzinárodnú IT bezpečnostnú konferenciu v  Prahe Confidence 2.0 ­ 29­30.11.2010          www.nethemba.com       
Ako prví na svete  Sme prelomili a napísali funkčnú open­source  implementáciu nástroja na prelomenia miliardy  čipových kariet Mifare Classic na svete a viac ako 1  milióna na Slovensku (Bratislavská / Košická  električenka, ISIC/univerzitné preukazy, parkovacie  karty, karty ŽSR, Slovak Lines, ...)  Odhalili a detailne popísali spôsob zneužitia SMS  lístkov využívaných v Bratislave, Košiciach, Prahe,  Varšave a iných veľkých mestách          www.nethemba.com       
Žijeme IT bezpečnosťou  Pravidelné prezentácie na svetových  bezpečnostných konferenciách (CCC v Berlíne,  HAR v Holandsku, HACK.LU v Luxemburgsku,  Confidence vo Varšave, Krakove a Prahe)  Pravidelná účast a prezentácie na OWASP  konferenciách (New York, Faro, Ghent, Krakov)  Aktívni v OWASP organizácii          www.nethemba.com       
Našou prioritou je ETIKA  Pri zverejňovaní zraniteľností sme vždy  sledovali pravidlá zodpovedného  zverejňovania zraniteľností (v dostatočnom  predstihu informovali dodávateľa, navrhli  bezpečné riešenie, atď)  Naši zamestnanci dodržujú etický kódex  (vyplývajúci z CISSP, CEH a pracovnej zmluvy)          www.nethemba.com       
Penetračné testy  Spôsob vyhodnotenia bezpečnosti  počítačových systémov simulovaním útoku z  pohľadu potenciálneho hackera  Zahrňuje aktívnu analýzu systému v snahe  odhaliť akékoľvek slabiny, zraniteľnosti a  demonštrovať zneužitie  Skúsenosti s takmer všetkými OS, obskurnými  platformami, smart telefónmi, PDA zariadeniami   Používame OSSTMM metodológiu        www.nethemba.com       
Prístupy k penetračnému testovaniu  Black box ­ útok bez znalosti – o cieľovom  testovanom prostredí nie je poskytnutá žiadna  informácia, predstavuje najrealistickejší  vonkajší penetračný test  White box – útok so znalosťou – sú poskytnuté  všetky informácie o cieľovom prostredí a  testovanej infraštruktúre  Grey box – útok s čiastočnou znalosťou          www.nethemba.com       
Fázy penetračného testovania  Odhaľovanie – o cieľovom systéme sú získavané a dokumentované  všetky dostupné informácie (služba WHOIS, verejné vyhľadávače,  doménoví registrátori, atď)  Enumerácia – použitie intruzivných metód a techník v snahe získať  informácie o cieľovom systéme (portscanning, fingerprinting)  Mapovanie zraniteľností – mapovanie nálezov získaných z  enumerácie na známe a potenciálne zraniteľnosti  Demonštrácia zneužitia – pokus o získanie privilegovaného prístupu  využitím identifikovaných zraniteľností z predošlej fázy. Cieľom je  získať ako privilegovaný (administrátorský) prístup do systému  (použité sú vlastné exploit skripty alebo exploit frameworky)          www.nethemba.com       
Detailný bezpečnostný audit webovej  aplikácie a webového serveru  Najdetailnejší a najhlbší audit webovej aplikácie na  slovenskom/českom trhu  Striktne sleduje testovaciu príručku OWASP  Zahrňuje praktickú „hackerskú“ demonštráciu (tvorba  vlastných exploitov, dump databáz, demonštrácia  zneužitia XSS/CSRF zraniteľností, …)  Jednodňové stretnutie s vývojármi aplikácie  Detailná výsledná správa v EN/SK/CZ          www.nethemba.com       
OWASP testovacia príručka  Sme spoluautori novej testovacej príručky  OWASP verzia 3.0  S Matteom Meuccim pracujeme na novej verzii  4.0  Hĺbková znalosť a takmer stovka úspešne  realizovaných OWASP auditov          www.nethemba.com       
 Information Gathering  Configuration Management Testing  Authentication Testing  Session Management Testing  Authorization Testing  Business Logic Testing  Data Validation Testing  Testing for Denial­Of Service  Web Services Testing    AJAX Testing        www.nethemba.com       
Naše OWASP aktivity  OWASP (Open Web Application Security  Project) – najväčšia a najrešpektovanejšia  slobodná a otvorená svetová bezpečnostná  komunita venujúca sa webovým aplikáciám  Naši zamestnanci vedú slovenskú a českú  OWASP pobočku, pravidelne sa účastnia  OWASP bezpečnostných konferencií  Vyvíjajú vlastné testovacie nástroje (nástroj na    time­delay blind SQL injection)        www.nethemba.com       
Referencie  Mobilní operátori (T­Mobile Czech Republic, Český  Eurotel)  Finančné inštitúcie (Národná Banka Slovenska,  Poisťovna AXA, Prvá Stavebná Sporiteľna, ČSOB  Leasing)  Univerzity (Univerzita Komenského)  Súkromný sektor (ICZ, ITEG, ESET, Core4, Gratex,  Slovanet, IPEX, Limba, Profesia, AUTOVIA, ui42, Ringier  Slovakia, KROS, Pantheon Technologies, Avion    Postproduction, MUW Saatchi & Saatchi, ….)        www.nethemba.com       
Ďakujem za pozornosť!          www.nethemba.com       

Recommended

Mifare classic-slides
Mifare classic-slidesMifare classic-slides
Mifare classic-slidesOWASP (Open Web Application Security Project)
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi BarcampRastislav Turek
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcampguest10797c
 
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)DCIT, a.s.
 
Program Open source víkendu 2014
Program Open source víkendu 2014Program Open source víkendu 2014
Program Open source víkendu 2014PROMOSPRAVY.sk
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)DCIT, a.s.
 
Nový Symantec: čas prítomný a budúci
Nový Symantec: čas prítomný a budúciNový Symantec: čas prítomný a budúci
Nový Symantec: čas prítomný a budúciMarketingArrowECS_CZ
 
Phone security
Phone securityPhone security
Phone securityJuraj Bednar
 

Recommended

Mifare classic-slides
Mifare classic-slidesMifare classic-slides
Mifare classic-slidesOWASP (Open Web Application Security Project)
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi BarcampRastislav Turek
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcampguest10797c
 
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)DCIT, a.s.
 
Program Open source víkendu 2014
Program Open source víkendu 2014Program Open source víkendu 2014
Program Open source víkendu 2014PROMOSPRAVY.sk
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)DCIT, a.s.
 
Nový Symantec: čas prítomný a budúci
Nový Symantec: čas prítomný a budúciNový Symantec: čas prítomný a budúci
Nový Symantec: čas prítomný a budúciMarketingArrowECS_CZ
 
Phone security
Phone securityPhone security
Phone securityJuraj Bednar
 
Presentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez ReferenciiPresentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez Referenciizelinkova
 
Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)DCIT, a.s.
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)DCIT, a.s.
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)DCIT, a.s.
 
1.nove trendy-zranitelnosti luptak
1.nove trendy-zranitelnosti luptak1.nove trendy-zranitelnosti luptak
1.nove trendy-zranitelnosti luptakOWASP (Open Web Application Security Project)
 
Nove trendy-zranitelnosti
Nove trendy-zranitelnostiNove trendy-zranitelnosti
Nove trendy-zranitelnostiOWASP (Open Web Application Security Project)
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)Jakub Žitný
 
Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Matus Kovacik
 
KPI FINAL
KPI FINALKPI FINAL
KPI FINALKPI22
 
Php sec
Php secPhp sec
Php secOWASP (Open Web Application Security Project)
 
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...Indicia
 
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERTZákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERTRastislav Janota
 
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisDiplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisMatus Kovacik
 
Seminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
Seminar Kpi 2008 - Dorucovanie Multimedialneho ObsahuSeminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
Seminar Kpi 2008 - Dorucovanie Multimedialneho ObsahuJozef Janitor
 
Preventista.sk - Spoločne proti IT kriminalite
Preventista.sk - Spoločne proti IT kriminalitePreventista.sk - Spoločne proti IT kriminalite
Preventista.sk - Spoločne proti IT kriminaliteTom Paulus
 
Prvá hodina zoznámenie s kurzom
Prvá hodina zoznámenie s kurzomPrvá hodina zoznámenie s kurzom
Prvá hodina zoznámenie s kurzomĽuboš Beran
 
Ať se z kódu nepráší!
Ať se z kódu nepráší!Ať se z kódu nepráší!
Ať se z kódu nepráší!Juraj Michálek
 
Tímový projekt - Ponuka
Tímový projekt - PonukaTímový projekt - Ponuka
Tímový projekt - PonukaMatus Kovacik
 
isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016Jan Holy
 
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & ClassWorld Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Classui42
 
Paralelni polisweb
Paralelni poliswebParalelni polisweb
Paralelni poliswebOWASP (Open Web Application Security Project)
 
Nethemba - Writing exploits
Nethemba - Writing exploitsNethemba - Writing exploits
Nethemba - Writing exploitsOWASP (Open Web Application Security Project)
 

More Related Content

Similar to Preco sa rozhodnut pre spolocnost Nethemba

Presentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez ReferenciiPresentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez Referenciizelinkova
 
Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)DCIT, a.s.
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)DCIT, a.s.
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)DCIT, a.s.
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)Jakub Žitný
 
Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Matus Kovacik
 
KPI FINAL
KPI FINALKPI FINAL
KPI FINALKPI22
 
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...Indicia
 
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERTZákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERTRastislav Janota
 
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisDiplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisMatus Kovacik
 
Seminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
Seminar Kpi 2008 - Dorucovanie Multimedialneho ObsahuSeminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
Seminar Kpi 2008 - Dorucovanie Multimedialneho ObsahuJozef Janitor
 
Preventista.sk - Spoločne proti IT kriminalite
Preventista.sk - Spoločne proti IT kriminalitePreventista.sk - Spoločne proti IT kriminalite
Preventista.sk - Spoločne proti IT kriminaliteTom Paulus
 
Prvá hodina zoznámenie s kurzom
Prvá hodina zoznámenie s kurzomPrvá hodina zoznámenie s kurzom
Prvá hodina zoznámenie s kurzomĽuboš Beran
 
Ať se z kódu nepráší!
Ať se z kódu nepráší!Ať se z kódu nepráší!
Ať se z kódu nepráší!Juraj Michálek
 
Tímový projekt - Ponuka
Tímový projekt - PonukaTímový projekt - Ponuka
Tímový projekt - PonukaMatus Kovacik
 
isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016Jan Holy
 
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & ClassWorld Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Classui42
 

Similar to Preco sa rozhodnut pre spolocnost Nethemba (20)

Presentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez ReferenciiPresentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez Referencii
 
Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)
 
1.nove trendy-zranitelnosti luptak
1.nove trendy-zranitelnosti luptak1.nove trendy-zranitelnosti luptak
1.nove trendy-zranitelnosti luptak
 
Nove trendy-zranitelnosti
Nove trendy-zranitelnostiNove trendy-zranitelnosti
Nove trendy-zranitelnosti
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)
 
Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007
 
KPI FINAL
KPI FINALKPI FINAL
KPI FINAL
 
Php sec
Php secPhp sec
Php sec
 
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
Čítanie s porozumením na hodinách informatiky a prírodovedných predmetoch - p...
 
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERTZákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
Zákon o Kybernetickej bezpečnosti - Praktické otázky, implementácia a SK-CERT
 
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisDiplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
 
Seminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
Seminar Kpi 2008 - Dorucovanie Multimedialneho ObsahuSeminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
Seminar Kpi 2008 - Dorucovanie Multimedialneho Obsahu
 
Preventista.sk - Spoločne proti IT kriminalite
Preventista.sk - Spoločne proti IT kriminalitePreventista.sk - Spoločne proti IT kriminalite
Preventista.sk - Spoločne proti IT kriminalite
 
Prvá hodina zoznámenie s kurzom
Prvá hodina zoznámenie s kurzomPrvá hodina zoznámenie s kurzom
Prvá hodina zoznámenie s kurzom
 
Ať se z kódu nepráší!
Ať se z kódu nepráší!Ať se z kódu nepráší!
Ať se z kódu nepráší!
 
Tímový projekt - Ponuka
Tímový projekt - PonukaTímový projekt - Ponuka
Tímový projekt - Ponuka
 
isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016
 
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & ClassWorld Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
World Usability Day 2014 Slovakia - Mária Bieliková, FIIT STU - UX Lab & Class
 

More from OWASP (Open Web Application Security Project)

More from OWASP (Open Web Application Security Project) (12)

Paralelni polisweb
Paralelni poliswebParalelni polisweb
Paralelni polisweb
 
Nethemba - Writing exploits
Nethemba - Writing exploitsNethemba - Writing exploits
Nethemba - Writing exploits
 
Planning the OWASP Testing Guide v4
Planning the OWASP Testing Guide v4Planning the OWASP Testing Guide v4
Planning the OWASP Testing Guide v4
 
Bypassing Web Application Firewalls
Bypassing Web Application FirewallsBypassing Web Application Firewalls
Bypassing Web Application Firewalls
 
Nethemba metasploit
Nethemba metasploitNethemba metasploit
Nethemba metasploit
 
Sms ticket-hack4
Sms ticket-hack4Sms ticket-hack4
Sms ticket-hack4
 
Se linux course1
Se linux course1Se linux course1
Se linux course1
 
Real web-attack-scenario
Real web-attack-scenarioReal web-attack-scenario
Real web-attack-scenario
 
Practical web-attacks2
Practical web-attacks2Practical web-attacks2
Practical web-attacks2
 
New web attacks-nethemba
New web attacks-nethembaNew web attacks-nethemba
New web attacks-nethemba
 
Nethemba profil
Nethemba profilNethemba profil
Nethemba profil
 
Nethemba profil
Nethemba profilNethemba profil
Nethemba profil
 

Preco sa rozhodnut pre spolocnost Nethemba

  • 1. Prečo zvoliť IT bezpečnostnú  firmu Nethemba s.r.o? Ing. Pavol Lupták, CISSP, CEH          www.nethemba.com             www.nethemba.com      
  • 2. Kto sme?  Skupina certifikovaných IT bezpečnostných  expertov s viac ako 10 rokmi skúsenosti v  oblasti penetračného testovania a bezp.auditov  Držitelia svetovo­uznávaných IT  bezpečnostných certifikácií:  ­ CISSP (Certified Information System Security  Professional), 3 x CEH (Certified Ethical  Hacker), SCSecA (Sun Certified Security    Administrator)        www.nethemba.com       
  • 3. Náš hlavný biznis  Všetky druhy penetračných testov  Detailné bezpečnostné audity  Lokálne systémové audity, audity wifi sietí,  sociálne inžinierstvo  Detailné forenzné analýzy  IT bezpečnostné školenia  Pokrývame úplne technologickú IT    bezpečnosť        www.nethemba.com       
  • 4. Ako jediní na Slovensku a v Čechách  Ponúkame bezpečnostné audity RFID čipových  kariet  Venujeme sa aktívnemu výskumu v oblasti IT  bezpečnosti  Sponzorujeme verejný výskum v IT bezpečnosti  (množstvo otvorených dotovaných projektov)  Spoluorganizujeme doteraz najväčšiu technologickú  medzinárodnú IT bezpečnostnú konferenciu v  Prahe Confidence 2.0 ­ 29­30.11.2010          www.nethemba.com       
  • 5. Ako prví na svete  Sme prelomili a napísali funkčnú open­source  implementáciu nástroja na prelomenia miliardy  čipových kariet Mifare Classic na svete a viac ako 1  milióna na Slovensku (Bratislavská / Košická  električenka, ISIC/univerzitné preukazy, parkovacie  karty, karty ŽSR, Slovak Lines, ...)  Odhalili a detailne popísali spôsob zneužitia SMS  lístkov využívaných v Bratislave, Košiciach, Prahe,  Varšave a iných veľkých mestách          www.nethemba.com       
  • 6. Žijeme IT bezpečnosťou  Pravidelné prezentácie na svetových  bezpečnostných konferenciách (CCC v Berlíne,  HAR v Holandsku, HACK.LU v Luxemburgsku,  Confidence vo Varšave, Krakove a Prahe)  Pravidelná účast a prezentácie na OWASP  konferenciách (New York, Faro, Ghent, Krakov)  Aktívni v OWASP organizácii          www.nethemba.com       
  • 7. Našou prioritou je ETIKA  Pri zverejňovaní zraniteľností sme vždy  sledovali pravidlá zodpovedného  zverejňovania zraniteľností (v dostatočnom  predstihu informovali dodávateľa, navrhli  bezpečné riešenie, atď)  Naši zamestnanci dodržujú etický kódex  (vyplývajúci z CISSP, CEH a pracovnej zmluvy)          www.nethemba.com       
  • 8. Penetračné testy  Spôsob vyhodnotenia bezpečnosti  počítačových systémov simulovaním útoku z  pohľadu potenciálneho hackera  Zahrňuje aktívnu analýzu systému v snahe  odhaliť akékoľvek slabiny, zraniteľnosti a  demonštrovať zneužitie  Skúsenosti s takmer všetkými OS, obskurnými  platformami, smart telefónmi, PDA zariadeniami   Používame OSSTMM metodológiu        www.nethemba.com       
  • 9. Prístupy k penetračnému testovaniu  Black box ­ útok bez znalosti – o cieľovom  testovanom prostredí nie je poskytnutá žiadna  informácia, predstavuje najrealistickejší  vonkajší penetračný test  White box – útok so znalosťou – sú poskytnuté  všetky informácie o cieľovom prostredí a  testovanej infraštruktúre  Grey box – útok s čiastočnou znalosťou          www.nethemba.com       
  • 10. Fázy penetračného testovania  Odhaľovanie – o cieľovom systéme sú získavané a dokumentované  všetky dostupné informácie (služba WHOIS, verejné vyhľadávače,  doménoví registrátori, atď)  Enumerácia – použitie intruzivných metód a techník v snahe získať  informácie o cieľovom systéme (portscanning, fingerprinting)  Mapovanie zraniteľností – mapovanie nálezov získaných z  enumerácie na známe a potenciálne zraniteľnosti  Demonštrácia zneužitia – pokus o získanie privilegovaného prístupu  využitím identifikovaných zraniteľností z predošlej fázy. Cieľom je  získať ako privilegovaný (administrátorský) prístup do systému  (použité sú vlastné exploit skripty alebo exploit frameworky)          www.nethemba.com       
  • 11. Detailný bezpečnostný audit webovej  aplikácie a webového serveru  Najdetailnejší a najhlbší audit webovej aplikácie na  slovenskom/českom trhu  Striktne sleduje testovaciu príručku OWASP  Zahrňuje praktickú „hackerskú“ demonštráciu (tvorba  vlastných exploitov, dump databáz, demonštrácia  zneužitia XSS/CSRF zraniteľností, …)  Jednodňové stretnutie s vývojármi aplikácie  Detailná výsledná správa v EN/SK/CZ          www.nethemba.com       
  • 12. OWASP testovacia príručka  Sme spoluautori novej testovacej príručky  OWASP verzia 3.0  S Matteom Meuccim pracujeme na novej verzii  4.0  Hĺbková znalosť a takmer stovka úspešne  realizovaných OWASP auditov          www.nethemba.com       
  • 13. Information Gathering  Configuration Management Testing  Authentication Testing  Session Management Testing  Authorization Testing  Business Logic Testing  Data Validation Testing  Testing for Denial­Of Service  Web Services Testing    AJAX Testing        www.nethemba.com       
  • 14. Naše OWASP aktivity  OWASP (Open Web Application Security  Project) – najväčšia a najrešpektovanejšia  slobodná a otvorená svetová bezpečnostná  komunita venujúca sa webovým aplikáciám  Naši zamestnanci vedú slovenskú a českú  OWASP pobočku, pravidelne sa účastnia  OWASP bezpečnostných konferencií  Vyvíjajú vlastné testovacie nástroje (nástroj na    time­delay blind SQL injection)        www.nethemba.com       
  • 15. Referencie  Mobilní operátori (T­Mobile Czech Republic, Český  Eurotel)  Finančné inštitúcie (Národná Banka Slovenska,  Poisťovna AXA, Prvá Stavebná Sporiteľna, ČSOB  Leasing)  Univerzity (Univerzita Komenského)  Súkromný sektor (ICZ, ITEG, ESET, Core4, Gratex,  Slovanet, IPEX, Limba, Profesia, AUTOVIA, ui42, Ringier  Slovakia, KROS, Pantheon Technologies, Avion    Postproduction, MUW Saatchi & Saatchi, ….)        www.nethemba.com       
  • 16. Ďakujem za pozornosť!          www.nethemba.com