Wiedza i doświadczenie

Od wielu lat zajmujemy się testami penetracyjnymi systemów, sieci oraz aplikacji, a także analizą powłamaniową. Stosujemy unikalne na polskim rynku podejście do tej tematyki – nie korzystamy z gotowych narzędzi, wykorzystujemy przede wszystkim naszą wiedzę i doświadczenie. Nie obawiamy się innowacyjności – dzięki niej potrafimy odnaleźć nieznane wcześniej zagrożenia w powszechnie wykorzystywanych aplikacjach, a także w systemach autorskich, działających również w Twoim przedsiębiorstwie.

Audyt bezpieczeństwa

Audyt bezpieczeństwa IT składa się z następujących etapów:

  • etap zewnętrznych testów penetracyjnych z wiedzą zerową (black box testing),
  • etap wewnętrznych testów, przeprowadzanych w siedzibie Klienta i w oparciu o wiedzę zawartą w dokumentacji audytowanych systemów (white box testing),
  • przedstawienie raportu poaudytowego, uwzględniającego szczegółowy opis wykrytych zagrożeń, wraz z zaproponowanym rozwiązaniem, a także informacje o metodologiach, technikach i narzędziach używanych podczas trwania testu bezpieczeństwa,
  • ponowne wykonanie testu zewnętrznego i wewnętrznego, ukierunkowanego na weryfikację poprawności wprowadzonych modyfikacji, mających na celu wyeliminowanie odnalezionych w toku audytu zagrożeń.

W toku audytu bezpieczeństwa IT weryfikujemy przede wszystkim następujące obszary:

  • bezpieczeństwo transmisji danych (poufność, integralność),
  • bezpieczeństwo systemów i aplikacji pod kątem możliwości uzyskania dostępu do zgromadzonych danych lub zmiany przepływu sterowania aplikacji,
  • bezpieczeństwo baz danych, ze szczególnym uwzględnieniem sposobów autoryzacji,  przyznanych uprawnień i bezpieczeństwa haseł,
  • bezpieczeństwo przechowywania danych, ze szczególnym uwzględnieniem polityki wykonywania i utrzymywania kopii zapasowych,
  • wydajność, skalowalność i niezawodność zastosowanych rozwiązań teleinformatycznych.

Nadzór nad bezpieczeństwem infrastruktury IT

Usługa świadczona jest w trybie ciągłym, a w jej zakres wchodzą następujące działania:

  • bieżące monitorowanie stanu bezpieczeństwa wykorzystywanych systemów operacyjnych, bibliotek, aplikacji – sporządzanie biuletynów informacyjnych na temat wykrytych zagrożeń,
  • bieżące weryfikowanie zmian w aplikacjach oraz infrastrukturze i zatwierdzanie ich pod kątem bezpieczeństwa, przed wprowadzeniem na platformę produkcyjną,
  • doradztwo w zakresie rozwoju infrastruktury z punktu widzenia jej bezpieczeństwa,
  • tworzenie „księgi dobrych praktyk” – wytycznych dla administratorów i programistów, pozwalających na zachowanie odpowiedniego poziomu bezpieczeństwa,
  • zaproponowanie mechanizmów aplikacyjnych, pozwalających na wczesne wykrywanie ataków.

Szkolenia

Przygotowaliśmy autorski program szkoleń z zakresu bezpieczeństwa oprogramowania i infrastruktury teleinformatycznej, poruszających następujące zagadnienia:

  • Inżynieria społeczna
  • Sieć – skanowanie i rekonesans
  • Ataki na sieci – DoS i DDoS – wykrywanie i przeciwdziałanie
  • Bezpieczeństwo sieci bezprzewodowych WiFi i technologii Bluetooth
  • Bezpieczeństwo aplikacji webowych – PHP, Perl i Java
  • Systemy typu IDS i IPS
  • Firewalle
  • Kryptograficzne zapewnienie integralności i poufności danych: SSH i PGP
  • Błędy typu buffer overflow, format string i race condition
  • Błędy w systemach wbudowanych
  • Architektura systemów komputerowych
  • Architektura i model bezpieczeństwa systemów operacyjnych
  • Budowa systemów z rodziny UNIX i sposoby wykorzystania błędów implementacyjnych
  • Case study: najpoważniejsze błędy w systemach z rodziny UNIX i Windows
  • Najczęstsze problemy konfiguracyjne w systemach UNIX i Windows
  • Analiza powłamaniowa i informatyka śledcza

Szkolenie trwa 5 dni (30 godzin) i obejmuje zajęcia teoretyczne oraz warsztaty. Koszt uczestnictwa w szkoleniu to 5000 zł + VAT za osobę. Szkolenia są organizowane w Lublinie i Warszawie.

Referencje

Udziałowcem firmy Nette sp. z o.o. oraz liderem zespołu wykonawczego jest Przemysław Frasunek, posiadający ponad dziesięcioletnie doświadczenie w wykrywaniu błędów implementacyjnych oraz przeprowadzaniu audytów bezpieczeństwa. Jest on autorem ponad 40 raportów bezpieczeństwa dotyczących popularnego na rynku oprogramowania, a także innych publikacji z dziedziny bezpieczeństwa informatycznego. Wśród najistotniejszych odkrytych błędów wymienić można:

  • technikę wykorzystania błędów typu format string oraz eksploit dla wu-ftpd 2.6.0, umożliwiający zdalne wykonanie kodu z uprawnieniami administratora (2000 r.)
  • błąd typu buffer overflow w niezwyklej popularnej aplikacji ntpd 4.0.99k (serwer czasu NTP), umożliwiający zdalne wykonanie kodu z uprawnieniami administratora po wysłaniu pojedynczego pakietu UDP (2001 r.)
  • błąd typu race condition w aplikacji tnftpd (domyślny serwer FTP dla MacOS i NetBSD), umożliwiający zdalne pobranie lub nadpisanie plików, należących do dowolnego użytkownika, w tym administratora (2004 r.)
  • błąd projektowy w konsolidatorze dynamicznym ld.so na systemach Solaris 8, 9, 10, umożliwiający lokalne wykonanie kodu z uprawnieniami administratora, przy pomocy dowolnej aplikacji SUID (2005 r.)
  • trzy błędy typu race condition w jądrze systemu operacyjnego FreeBSD 6.4 i 7.2, umożliwiające lokalne wykonanie kodu w przestrzeni jądra (2009 r.)
  • błąd typu null pointer dereferece w jądrze systemu operacyjnego FreeBSD 7.2, umożliwiający lokalne wykonanie kodu w przestrzeni jądra (2010 r.)

Przemysław Frasunek był także prelegentem na wielu konferencjach poświęconych tematyce bezpieczeństwa sieciowego, a także prowadzącym autorski cykl szkoleń „Kryminalistyka cyfrowa” w Polsko-Japońskiej Wyższej Szkole Technik Komputerowych (2006 r.) oraz „Bezpieczeństwo sieci” dla pracowników Ministerstwa Obrony Narodowej (w latach 2009-2011 r.). W latach 2004-2007 współpracownik organów ścigania, autor analiz w zakresie kryminalistyki cyfrowej dla potrzeb operacyjnych i procesowych. Lider zespołów przeprowadzających audyty bezpieczeństwa:

  • PTK Centertel sp. z o.o.
  • Polkomtel S.A.
  • ZEP-Info sp. z o.o.
  • BRE Bank S.A.
  • mPay S.A.
  • Instytut Pamięci Narodowej
  • Techtrans sp. j.
  • P4 sp. z o.o.
  • Nasza-Klasa sp. z o.o.

Wykonanie: BrandWeb.pl - Mocna Strona Internetu