IT bezpečnostní služby

Nabízíme následující školení:

• Základy šifrovacích technologií a jejich implementace
• Ochrana soukromí, základy IT bezpečnosti pro manažery a majitele společnosti
• 1-denní školení MobileAppSec
• 1-denní školení o bezpečnosti IPS, Firewallech a Honeypotech
• 1-denní školení o bezpečnosti wifi sítí
• Kurz penetračního testování pomocí Metasploit frameworku
• Kurz SELinux-u
• Zranitelnosti a útoky na webové aplikace
• Webové útoky v praxi
• Další

Základy šifrovacích technologií a jejich implementace

POPIS ŠKOLENÍ

Školení je určené pro technický personál společností. Cílem je obeznámení se základními vztahy pro správné nasazení technologií využívající kryptografii. Ve světe komunikací a honbě za bezpečím je potřeba mít k dispozici odborníky znalé vzájemných vztahů a souvislostí. Jednou stranou mince je vhodná volba komunikačních protokolů či architektury, ale uvedená snaha může vyjít snadno naprázdno. Nevhodnou volbou metod se oslabí zabezpečení, umožní čtení či modifikace přenášených dat, nebo se jen sníží rychlost a promarní investice do infrastruktury. Je potřeba si uvědomit, že vaše data, případně data vašich zákazníků se přenáší veřejným prostorem a jedinou ochranou je vhodně zvolená kryptografie. Zároveň je snahou uvedeného školení vhodně připravit techniky i na požadavky, kladené na ně zákonem o kybernetické bezpečnosti.

Jazyk školení: čeština nebo angličtina
Vhodné pro: technický personál společnosti
Rozsah: 1-2 dny

OBSAH ŠKOLENÍ

* Základní terminologie
* Vztah otevřeného textu, šifrovaného textu, hashí, komprimovaného textu, jejich užívaných kombinací a náhodného textu, chyby v implementacích šifrování a vyzařování informace z předchozích kategorií
* Generátory náhodných čísel, asymetrické a symetrické šifry, hashovací funkce, jejich použití a chyby implementace
* Hlavní normy a jejich význam
* Implementace kryptografie (ASIC, FPGA, specializovaný chipset…), propustnost a normalizace
* Kryptografie ve vrstvě SSL/TLS – server/client, podpora prohlížečů a platforem
* Výsledky testů pro SSL/TLS
* Rozbor některých VPN technologií
* Hardening – ukázky, výpočty propustnosti, obecná doporučení
* Použité technologie v běžném životě

Ochrana soukromí, základy IT bezpečnosti pro manažery a majitele společností

POPIS ŠKOLENÍ

Školení je určené pro všechny manažery a majitele společností, kterým skutečně záleží na ochraně svého digitálního soukromí a nespoléhají se na snadno odposlouchatelnou emailovou komunikaci, anebo už dávno prolomené GSM hovory.

Účastníci školení se jednoduchým způsobem dozvědí, jak účinně chránit jakékoliv citlivé informace v oblasti svého byznysu vůči třetím stranám a to využitím kompletního šifrování svých zařízení (PC, smartphone, tablet), tak komunikací (šifrované emaily, chat, či hlas).

Předmětem školení je i praktická ukázka, kde se účastníci školení přímo dozvědí, jak je možné uvedené technologie okamžitě implementovat a začít používat.

OBSAH ŠKOLENÍ

Zabezpečení existujících OS
(Windows / Linux)
* full disk encryption
* bezpečnostní aktualizace
* nastavení firewallu, antivirů, antispamů
* principy AAA a hardening OS

Zabezpečení dat
* šifrování souborů, hidden volume
* jak spolehlivě odstraňovat soubory/formátovat disky

Zabezpečení mobilních platforem (iOS / Android)
* full disk encryption
* instalace bezpečných a ověřených aplikací, bezpečnostní aktualizace
* nastavení firewallu, antivirů, antispamů

Šifrování komunikace
* šifrování mailů použitím PGP a S/MIME
* šifrování instantní komunikace použitím Jabber / OTR
* šifrování celého provozu prostřednictvím VPN

Bezpečné používání prohlížečů
* různé bezpečnostní pluginy (jako http everywhere, adblocks apod.)
* interpretace HTTPS podpisů
* alternativní vyhledávače k Googlu, které netrackují
* ochrana osobních informací na sociálních sítích

Bezpečné mailové služby
* hushmail.com, tormail.net apod.

Anonymizační techniky
* anonymizace přístupu na Internet (I2p, Tor)
* anonymní platby přes Bitcoin

1-denní MobileAppSec školení

Školení je primárně zacílené na bezpečnost iOS a Android a testování webových služeb.

OBSAH ŠKOLENÍ

•    Úvod do platforem iOS a Android, bezpečnostní model platforem
•    Anatomie aplikace
•    Nastavení testovacího prostředí, jailbreak, root, emulátor
•    Nástroje a aplikace
•    Dekompilace, class-dump, citlivé informace v kóde a aplikačním archivu
•    Souborový systém, úložiště dat, používané typy souborů, SQLite
•    Keychain – problémy, dumpování údajů
•    Runtime analýza a úprava iOS aplikací pomocí cycript
•    Detekce a obchádzení detekce jailbreaku a rootu
•    Runtime analýza pomocí nástrojů Snoop-it, Introspy, iNalyzer
•    DroidBox, Drozer
•    Analýza síťového provozu nastavení proxy, certificate pinning
•    Webové služby, architektury a formáty údajů (REST, SOAP, XML, JSON),
•    Zranitelnosti specifické pro webové služby (útoky na parser, replay útoky, injection útoky)
•    Problémy s kryptografií
•    Problémy URI schem
•    Používání GDB
•    Ukázka: Damn Vulnerable iOS Application, GoatDroid

1-denní školení o bezpečnosti IPS, Firewallech a Honeypotech

Firewall a ISP je dnes standardní výbavou ochrany perimetru síťové infrastruktury. Obsahem kurzu je popis druhů firewallů a jejich využití, IDS / IPS technologie používaných systémů, způsoby detekce a jejich možnosti. Dále jsou probrány různé způsoby obcházení a tunelování jako fragmentační útok, tear drop, SSL šifrování, IPv6, IPv6 Teredo, TCP cheksum forgery, obfuskace, ale také skype nebo DNS tunel. Dalším souvisejícím tématem jsou IPsec VPN, IKE fáze a využití slabin agresiv modu vyjednávání VPN k získání šifrovaného klíče. V kapitole o honeypotech je zmíněna jejich role v detekci pokusů o průnik. Závěrem jsou nastíněny možná opatření.

1-denní školení o bezpečnosti wifi sítí

Kurz obsahuje popis nejpoužívanějších wireless technologií, popis všech běžných chyb a útoků a také praktické ukázky na nejpoužívanějších aplikacích a doporučení zabezpečení wireless sítí.
Školení se skládá ze dvou částí – první je teoretická, druhá je praktická, pri niž jsou popsány útoky a zařazeny i praktické ukázky.
Kurz pokrývá většinu známých zranitelností a útoků k nim popsaných.

POPIS KURZU

Bezdrátová připojení a spoje jsou integrální součástí komunikace. Bezdrátové sítě se stávají výzvami pro hackery, kteří využívají chyb a slabin k získání přístupu do infrastruktury bezdrátových sítí. Wireless Hacking pomůže IT profesionálům testovat, rozvíjet a implementovat bezpečné sítě s cílem pochopit aktuální bezpečnostní chyby a pochopit plánování a uskutečňování útoků hackerů ve svůj prospěch. Tento kurz pomůže účastníkům pochopit jak zlepšit bezpečnost WLAN poukázáním na způsoby útoků a zároveň pochopit význam penetračního testování jako první obrany. Kurz se zaměřuje na popis standardu a jeho podstatných prvků az hlediska bezpečnosti, popis bezpečnostních chyb 802.11, způsoby jejich zneužití a hardware a nástroje k tomu používané v prostředí linux a windows. V rámci post útokových možností jsou probrány možnosti útoku na VPN, na management samotného AP a možnosti tunelování. Závěrem jsou zmíněny možnosti detekce, doporučení a protiopatření.

HLAVNÍ TÉMATA ŠKOLENÍ

802.11 a / b / g / n – Popis specifických vrstev, fyzická, linková, jejich úloha, popis rámců. Překrytí s jinými technologiemi.

SSID – Jeho úloha, parametry, možnosti v zabezpečení.

Autentifikace a její druhy. Otevřeně sítě, architektura autentifikace, PSK, Autentifikace 802.1X (Cisco LEAP, PEAP, EAP-TLS, EAP-FAST) a 802.11i

Šifrování – Popis Otevřených sítí a šifrovaných WEP, WPA, WPA2. Popis VPN.

Filtrování – MAC filtering, jeho role a možnosti.

Útoky
Pasivní útoky – Monitorování sítí, odposlouchávání a nástroje pro analýzu datového přenosu

Útoky na autentizaci-Útoky na šifrování, DoS útoky, Falešná bezdrátová síť

Princip MitM, falešné AP, Útok na autentizaci (LEAP), Útok na WEP (IV a PTW), WPA (2), WPS, Nástroje na lámání šifer

Testování zabezpečení managementu použitých AP

Tunelování spojení

PRAKTICKÁ ČÁST

V této části jsou přebrány všechny známé útoky a uskutečněné praktické ukázky využití zranitelností.

Aircrack http://www.aircrack-ng.org/

Kismet http://www.kismetwireless.net/

Cain http://www.oxid.it/

coWPAtty http://wirelessdefence.org/Contents/coWPAttyMain.htm

BurpSuite http://portswigger.net/burp/

EWSA http://www.elcomsoft.com/ewsa.html

OCLHASHCAT http://hashcat.net/oclhashcat-plus/

Kurz penetračního testování pomocí Metasploit frameworku

Unikátní praktické celodenní školení penetračního testování využitím robustního nástrojaMetasploit Framework

Materiál: Metasploit exploitation

Kurz SELinux-u

Pokročilé školení SELinux-u, které kompletně pokrývá jak základní, tak pokročilou administraci SELinuxu, tvorbu bezpečnostních politik i praktickou demonstraci na Redhat EL.

Materiál: SELinux kurz na stažení

Doba trvání školení: 2 dny

Zranitelnosti a útoky na webové aplikace

Teoretická prezentace, kde se dozvíte všechno o nových útocích na webové aplikace, zranitelnostech v nových webových aplikacích, pravidlech bezpečného programování a také o způsobech zabezpečení PHP.

Materiál: Jak vypadá reální útok na web aplikaci

Nové útoky vo webových aplikacích

Zranitelnosti v nových webových aplikacích

Zabezpečení PHP

Doba trvání školení: 1-3 dni

Webové útoky v praxi

Praktická demonstrace nejběžnějších a nejzákeřnějších útoků na webové aplikace.

Materiál: Webové útoky v praxi

Doba trvání školení: 1 den

Další

Kromě uvedených školení, dokážeme pro klienty připravit libovolné školení z technologické bezpečnosti podle jejich přání z následujících oblastí:

• Footprinting
• Scanning
• Enumeration
• System Hacking
• Trojans and Backdoors
• Sniffers
• Denial of Service
• Social Engineering
• Session Hijacking
• Hacking Web Servers
• Web Application Vulnerabilities
• Web-based Password Cracking Techniques
• SQL Injection
• Hacking Wireless Networks
• Virus and Worms
• Linux Hacking
• Evading IDS, Firewalls, and Honeypots
• Buffer Overflows
• Cryptography
• Penetration Testing