testy penetracyjne

Testy penetracyjne to inaczej audyty bezpiecze艅stwa i polegaj膮 na etycznej symulacji ataku hakerskiego.

Wykonuj臋 kompleksowe testy penetracyjne w tym testy penetracyjne aplikacji webowych (zgodnie z metodyk膮 OWASP wraz z pokryciem OWASP Top 10 oraz OWASP ASVS) oraz testy penetracyjne infrastruktury (metodyka PTES).

Z zakresu pentest posiadam certyfikaty Offensive Security Certified Professional (OSCP), Offensive Security Wireless Professional (OSWP) i eLearnSecurity Web application Penetration Tester (eWPT). Certyfikat OSCP wyszczeg贸lniony jest jako pierwszy w dokumencie PCI DSS Penetration Testing Guidance (sekcja 3.1 Certifications).

Jestem autorem ksi膮偶ki „Praktyczna analiza pow艂amaniowa. Aplikacja webowa w 艣rodowisku Linux” (Wydawnictwo Naukowe PWN; recenzja dr hab. in偶. Jerzy Kosi艅ski – profesor Wy偶szej Szko艂y Policji w Szczytnie), w kt贸rej szczeg贸艂owo poruszam metody atak贸w oraz ich analiz臋.

Us艂ugi w obszarze bezpiecze艅stwa IT

Moja firma Red Team Red Team realizuje eksperckie us艂ugi z zakresu bezpiecze艅stwa teleinformatycznego, a szczeg贸lnie red team (atak, ofensywne bezpiecze艅stwo) i blue team (obrona, defensywne bezpiecze艅stwo) w zakresie takim jak m.in. testy penetracyjne, red teaming, analiza pow艂amaniowa, threat hunting, informatyka 艣ledcza, reagowanie na incydenty, bieg艂y s膮dowy informatyk – poparte do艣wiadczeniem zawodowym w pracy na najwy偶szych technicznych stanowiskach, referencjami oraz powszechnie uznanymi na 艣wiecie, bran偶owymi certyfikatami.

Osoby z w膮sk膮 specjalizacj膮 nie s膮 w stanie rzetelnie wykona膰 prac zwi膮zanych z wi臋kszo艣ci膮 dziedzin bezpiecze艅stwa IT. Przyk艂adowo nie ma mo偶liwo艣ci wykonania na wysokim poziomie analizy pow艂amaniowej bez do艣wiadczenia w testach penetracyjnych. Zwi膮zane jest to z faktem, 偶e osoba posiadaj膮ca praktyczne do艣wiadczenie w autoryzowanych atakach od pierwszego rzutu okiem widzi 艣lady atak贸w. Analizuj膮c logi w艂amania na stron臋 internetow膮 nie ma mo偶liwo艣ci pe艂nego zrozumienia sytuacji je艣li nie dysponuje si臋 praktyczn膮 wiedz膮 na temat atak贸w na aplikacje webowe.

Z drugiej strony wykonuj膮c ataki red teamingowe trzeba posiada膰 wiedz臋 na temat analizy takich atak贸w. W efekcie czego mo偶liwe jest stworzenie wyrafinowanych scenariuszy atak贸w, na poziomie wy偶szym od przeci臋tnie spotykanych, realnych zagro偶e艅 czekaj膮cych na pracownik贸w organizacji.

To tylko przyk艂ady jak wszystkie aspekty w dziedzinie jak膮 jest bezpiecze艅stwo teleinformatyczne przeplataj膮 si臋 wzajemnie w znacznym stopniu, dlatego tak wa偶ne jest posiadanie szerokich kompetencji, a nie jedynie w膮skiej specjalizacji.


Moje do艣wiadczenie z zakresu red team:

  • Testy penetracyjne aplikacji webowych oraz infrastruktury sieciowej wykonane przede wszystkim dla sektora finansowego m.in. w trakcie pracy jako starszy konsultant dla firmy z „wielkiej czw贸rki” oraz pentester dla du偶ego brytyjskiego banku
  • Dziesi膮tki podzi臋kowa艅 za znalezione b艂臋dy m.in. od Adobe, Apple, BlackBerry, Deutsche Telekom, eBay, Netflix, Nokia, OTRS (CVE-2014-1695, CVE-2014-2554), VMware, Yahoo jak r贸wnie偶 polskich takich jak Onet, Interia, Wirtualna Polska oraz Empik
  • Znajomo艣膰 metodyk OWASP i PTES
  • Posiadane certyfikaty:
    • OSCP (Offensive Security Certified Professional) od 2015 roku – jest to najbardziej uznany certyfikat z zakresu test贸w penetracyjnych
    • OSWP (Offensive Security Wireless Professional) – jedyny certyfikat z atak贸w na sieci bezprzewodowe (Wi-Fi)
    • eWPT (eLearnSecurity Web application Penetration Tester) – certyfikat z zakresu audyt贸w bezpiecze艅stwa aplikacji webowych

Moje do艣wiadczenie z zakresu blue team:

  • Bieg艂y s膮dowy z zakresu informatyki z listy S膮du Okr臋gowego w Warszawie ze szczeg贸lnym uwzgl臋dnieniem specjalizacji:
    • informatyka 艣ledcza
    • analiza pow艂amaniowa w systemach Linux
    • hacking
    • cyberprzest臋pczo艣膰
    • Zabezpieczanie sprz臋tu komputerowego we wsp贸艂pracy z organami 艣cigania
  • Dziesi膮tki analiz 艣ledczych incydent贸w w trakcie pracy jako bieg艂y s膮dowy jak r贸wnie偶 w „wielkiej czw贸rce” oraz w dalszej przesz艂o艣ci tak偶e jako ekspert informatyki 艣ledczej
  • Autor ksi膮偶ki „Praktyczna analiza pow艂amaniowa. Aplikacja webowa w 艣rodowisku Linux”, 2017 Wydawnictwo Naukowe PWN
  • Wsp贸艂autor materia艂贸w dydaktycznych ENISA (Europejska Agencja Bezpiecze艅stwa Sieci i Informacji) po艣wi臋conych m.in. informatyce 艣ledczej oraz zwalczaniu cyberprzest臋pczo艣ci
  • Cz艂onek trzy-czteroosobowej zwyci臋skiej dru偶yny na najwi臋kszych cywilnych 膰wiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe
  • Ekspert w ameryka艅skim startup-ie buduj膮cym oprogramowanie IDS/SIEM nowej generacji; gdzie zajmuje si臋 przede wszystkim trenowaniem algorytmu uczenia maszynowego oraz tworzeniem regu艂 do wyszukiwania zagro偶e艅 (threat hunting)
  • Corocznie prelegent na naukowej konferencji Techniczne Aspekty Przest臋pczo艣ci Teleinformatycznej organizowanej przez Wy偶sz膮 Szko艂臋 Policji w Szczytnie
  • Cz艂onek organizacji non-profit MMD zwalczaj膮cej sieciowe zagro偶enia
  • Certyfikat z obs艂ugi programu klasy enterprise X-Ways Forensics s艂u偶膮cego do profesjonalnej informatyki 艣ledczej
  • Do艣wiadczenie jako administrator Linux zdobyte m.in. w trakcie pracy dla najwi臋kszego polskiego portalu posiadaj膮cego jedn膮 z najwi臋kszych infrastruktur w kraju

Pracowa艂em na pe艂ny etat minimum rok w nast臋puj膮cych specjalizacjach:

  • Testy penetracyjne aplikacji webowych oraz infrastruktury (w grupie bankowej)
  • CERT/CSIRT, w tym reagowanie na incydenty (us艂ugi dla banku oraz rz膮du)
  • Informatyka 艣ledcza (informatyk 艣ledczy i bieg艂y s膮dowy)
  • Administracja systemami Linux (w najwi臋kszym polskim portalu oraz w plac贸wce medycznej)

Posiadam rozleg艂e do艣wiadczenie pomi臋dzy atakiem, a obron膮 co pozwala mi na rzetelne wykonanie r贸偶nego rodzaju prac. Moje do艣wiadczenie to nie tylko aspekty zawodowe ale kilkunastoletnie zainteresowanie tematyk膮 bezpiecze艅stwa teleinformatycznego (od ko艅ca lat 90.) i pierwsz膮 publikacj臋 po艣wi臋con膮 ofensywnemu bezpiecze艅stwu opublikowa艂em ju偶 na pocz膮tku 2008 roku w nieistniej膮cym ju偶 magazynie Xploit [1, 2].

Ch臋tnie podejmuj臋 si臋 niestandardowych zlece艅. Wi臋ksze projekty wykonuj臋 ze sta艂ymi wsp贸艂pracownikami o nie mniejszych kwalifikacjach, co pozwala nam na eksperckie pokrycie w艂a艣ciwie wszystkich mo偶liwych specjalizacji z zakresu technicznego bezpiecze艅stwa IT.

Za us艂ugi wystawiam faktury VAT (VAT-PL i VAT-UE) jako polska firma Red Team Red Team (B2B).

Referencje

onet interia wp empik home rbs comcert procertiv onet2 wsb prezi coinnext riskio syntax21 allcinema terra luminos