Säkerhet

Bitnux har mycket hög kompetens inom säkerhet och kan erbjuda ett brett spektrum av säkerhetsrelaterade tjänster. Vi kan dels stå för hela systemlösningar med exempelvis brandvägg, VPN och intrångsdetektering (IDS) men även ge support till era egna tekniker när problem har uppstått eller ny funktionalitet ska införas.

Kodgranskning
Systemlösningar
Penetrationstest
Exploitutveckling
Support & utbildning

Kodgranskning

För företag eller institutioner som utvecklar egen programvara kan vi erbjuda oberoende granskning av källkoden för att identifiera säkerhetsbrister och föreslå eller själva införa åtgärder. Vi har erfarenhet av utveckling i språk som exempelvis C, C++, Object Pascal (Delphi/Kylix), Java, Javascript, Tcl, Perl, PHP och shellscript och vana av att identifiera brister både på låg och källkodsnära nivå och i form av logiska luckor.

Säker programmering är tyvärr en konst som inte lärs ut i några skolor än så länge och det finns knappt någon litteratur i ämnet, ofta uppstår luckor på grund av programspråksspecifika egenheter som det än så länge är hackarna som har bäst kunskaper inom. Vi kan även utbilda era egna programmerare för att göra dem medvetna om de risker som finns.

Webbtjänster och alla programvaror som agerar klient eller server på någon typ av nätverk är populära angreppspunkter för hackare, även programvaror som exekveras med utökade rättigheter (SUID/SGID-program på Unixsystem) är i riskzonen. Källkodsgranskning är det säkraste sättet att identifiera säkerhetsluckor på och rekommenderas varmt oavsett om ni vill skydda er information, era pengar eller bara ert anseende.

Systemlösningar

Brandvägg, VPN-server och system för intrångsdetektion (IDS) är exempel på vad vi kan införa i ert nätverk. Vi har även kompetens inom PKI och SSL om ni på ett säkert sätt behöver utbyta information eller göra anslutningar över oskyddade nätverk, som Internet.

Vi är anhängare av öppna system eftersom vi anser att tillgång till källkoden är av yttersta vikt för att se till att säkerhetsnivån hålls hög på alla nivåer. Vi jobbar alltså gärna med system som exempelvis Linux, OpenBSD eller FreeBSD när så är möjligt. En av fördelarna med öppen källkod är att det möjliggör granskning så att säkerhetsbrister kan upptäckas, det innebär även att vi har möjlighet att själva åtgärda problem eller bygga på önskad funktionalitet.

Penetrationstest

För er som redan vidtagit åtgärder för att höja säkerheten men vill bekräfta att den håller måttet kan vi utföra s.k. penetrationstester då vi utifrån försöker identifiera brister och bereda oss tillgång till ert nätverk och era servrar. Vi använder oss av samma metoder som hackarna för att ge er en verklighetstrogen uppfattning om hur exponerade ni är för intrångsförsök och avlämnar sedan en detaljerad rapport med förslag på åtgärder.

Vi utför även interna penetrationstest, där vi testar säkerheten med utgångspunkt från det lokala nätverket. Interna penetrationstest visar inte nödvändigtvis bara hotbilden från de egna anställda. Säkerhetsluckor i klientprogramvaror som mailklient eller webbläsare och en trojan som gör en utgående anslutning mot angriparen är exempel på metoder som kan användas för att få tillgång till ett företags lokala nätverk, där säkerheten ofta är svag eftersom man har förlitat sig på skalskydd i form av brandväggar och dylikt.

Exploitutveckling

Åt er som själva arbetar med exempelvis penetrationstester och behöver verktyg för att utnyttja en viss säkerhetslucka under ert arbete kan vi utveckla s.k. exploits. Vi kan även bistå era egna tekniker och programmerare vid analys av säkerhetsluckor.

Support & utbildning

Era tekniker och systemadministratörer kan vi bistå med allmän support och rådgivning när säkerhetsmekanismer ska införas, när säkerhetsproblem upptäcks eller när ett intrång har skett.

Arbetar ni med säkerhet själva kan vi utbilda er personal i praktisk analys av aktuella säkerhetshål, kodgranskning i syfte att hitta exploaterbara buggar samt tekniker för att utveckla exploits för t.ex.:

malloc()-relaterade luckor som double free()

Deltagarna förutsätts redan vara väl införstådda med grundläggande säkerhetsprinciper. Elementära typer av luckor som SQL-injektion och XSS (Cross Site Scripting) kommer därför inte att behandlas närmare i sig, bristfällig indatavalidering som är den underliggande orsaken till denna typ av luckor kommer däremot att vara ett element i många av de luckor som analyseras.

Förkunskaper i C-programmering krävs, men nivån är naturligtvis individuellt anpassningsbar. Utbildningens längd, omfattning och form är dels beroende på deltagarens förkunskaper samt hur djupt man vill gå. Upplägget är praktiska uppgifter och problem varvat med teoretiska genomgångar och hjälp vid behov.

Denna utbildning är tämligen unik i sitt slag och riktar sig till både den oberoende säkerhetskonsulten och säkerhetsföretag som vill hålla sig på den kunskapsmässiga toppen. Deltagaren får ett detaljerat skriftligt omdöme baserat på sina kunskaper och prestationer under utbildningen.