Spustili sme bug bounty program – Hacktrophy
V oblasti digitálnej bezpečnosti sa Nethemba pohybuje už od roku 2007. Sledujeme trendy v IT a neustále sa vzdelávame. Počas našej existencie sme rozšírili portfólio o viac ako 20 unikátnych IT bezpečnostných služieb. A tým zďaleka nekončíme. Koncom roku 2016 sme sa rozhodli posunúť naše pôsobenie v IT oblasti opäť o niečo ďalej. Spojili sme sily s ďalšími IT security expertmi na Slovensku a zahájili sme prípravy projektu Hacktrophy, v ktorom vidíme veľký potenciál.
Marcové novinky v Nethembe
Marec bol nepochybne najaktívnejší mesiac Nethemby od začiatku roku 2012. 1. Stali sme sa oficiálny slovenský partner spoločnosti Acunetix, ktorá patrí medzi svetovú špičku v oblasti bezpečnosti webových aplikácií a ktorej bezpečnostný scanner Acunetix patrí medzi najkvalitnejšie nástroje na bezpečnostné testovanie webu. Behom pár týždňov spúštame aj oficiálnu slovenský web www.acunetix.sk. 2. Spustili sme nové […]
Súčasné trendy v tvorbe exploitov
18.2.2012 mal náš kolega Norbert Szetei zaujímavú prezentáciu o písaní a tvorbe exploitov na konferencii Security Session 2012 v Brne. Okrem klasických „buffer overflow“ exploitov sa venoval aj pokročilejším technikám (W^X, ASLR, Canary) ako aj tvorbe ROP exploitov (Return Oriented Programming). Na konci svojej prezentácie interaktívne napísal funkčný exploit ľahko preportovateľný do Metasploitu. Samotná prezentácia […]
Školenie sociálneho inžinierstva teraz za akciovú cenu
Vďaka našim partnerom – pobočka slovenskej organizácie ISACA a spoločnosti ESET sa nám podarilo znížiť cenu školenia sociálneho inžinierstva Sharon Conheady a získať finálne priestory. Školenie sa uskutoční 21-22.11.2011 v priestoroch spoločnosti ESET, Einsteinova 24, Bratislava. Cena za školenie sa nám podarila znížiť takmer o 30% na 1100 € bez DPH, pre členov ISACA 990 […]
CSRF útok s využitím CSS history hacku na získanie CSRF tokenov
Úvod do CSRF Unikátny (náhodný) číselný alebo alfanumerický token predstavuje bežnú ochranu súčasných aplikácií voči CSRF útokom. Citlivé POST formuláre zvyknú byť chránené unikátnym tokenom, ktorý je obvykle posielaný aplikáciou v „hidden field“, teda skrytom poli formulára. Citlivé GET žiadosti zase používajú v URL ďalší parameter – napríklad „csrftoken“. V oboch prípadoch sa aplikácia chráni […]
Miroslav Pikus v Nethembe
Od 1.1.2011 máme vo firme novú významnú posilu – Miroslava Pikusa (aka Pajkus) – dlhoročného špecialistu, ktorý sa v oblasti IT bezpečnosti pohybuje už viac ako 10 rokov. Miroslav bude mať na starosti obchod, marketing a project management. Miro Pikus študoval financie na Univerzite Texasu v Austine a manažment na City Univerzite v Bratislave. Pracoval […]
Novembrové novinky v Nethembe
Po úspešne realizovaných referenčných projektoch sme spustili novú službu Digitálnej forenznej analýzy, pre všetkých klientov, ktorí sa stali obeťou hackerských prienikov (ako anonymne Internetové útoky, tak intranetové útoky zo strany zamestnancov), vírov a červov, finančného podvodu alebo krádežou intelektuálneho majetku. Pripravili sme nové unikátne školenie Kurz penetračného testovania pomocou Metasploit frameworku vo forme jednodňového praktického […]
Advanced Exploitation with Metasploit
Minulý týždeň (12-14.11.2010) sme sa zúčastnili bezpečnostného semináru Bez(a)Dis v Košiciach. Osobne si myslim, že náš penetračný tester Norbert Szetei mal jednu z najzaujímavejších prezentácií v ktorej prakticky demonštroval novú funkcionalitu Metasploitu – použitie db_autopwn, vncinject, použitie meterpretera, passiveX ako aj generovanie vlastného trojana. Videozáznam tejto prednášky, ktorý odporúčam pozrieť je k dispozícií tu. Samotná […]
Hack Day a Hack The World
Rád by som informoval o dvoch zaujímavých projektoch, ktoré dávajú priestor prejaviť sa šikovným ľudom a čo je dôležité, oba tieto projekty pokladám za prospešné pre našu spoločnosť. Prvým projektom je akcia Fair-play Hack Day. Aliancia Fair-play disponuje úžasným otvoreným portálom Datanest, ktorý predstavuje najkompletnejší archív dát získaný od štátnych úradov, samospráv a ministerstiev. Obsahuje […]
ASP.NET a „oracle padding“ útok
Za posledných niekoľko dní sa čoraz častejšie objavujú správy o zraniteľnosti technológie ASP.NET, ktorú odprezentoval Juliano Rizzo na bezpečnostnej konferencii ekoparty 2010. Ako však táto chyba funguje a aké sú jej potenciálne hrozby? ASP.NET používa blokovú šifru AES v CBC móde na výmenu citlivých údajov v komunikácii klienta so serverom, čím zabraňuje ich podvrhnutiu a […]