BEZPIECZNA FIRMA
SEBASTIAN STROIK
Testy
penetracyjne
Stopień trudności
Jako że w prawie każdym wydaniu niniejszego miesięcznika
opisywane są metody badania podatności, identyfikacji włamań,
wykorzystywania fragmentów kodu do działań destrukcyjnych,
poniższy tekst skupi się na zagadnieniu dobrej organizacji projektu,
jakim są testy penetracyjne.
ciągu ostatnich kilku lat zdecydowanie " możliwość współpracy z centralnym systemem
wzrosła ilość systemów i usług identyfikacji aktywów,
Winformatycznych wykorzystywanych " możliwość kontroli zmian w eksploatacji
w organizacjach. Równolegle ze wzrostem systemów operacyjnych, aplikacji oraz innego
systemów zwiększyła się ilość przetwarzanych typu oprogramowania,
w nich informacji. Jak wiadomo, informacja jest " możliwość współpracy z centralnym system
jednym z najcenniejszych aktywów należących wspomagania zarządzania i zbierania informacji
do organizacji. Dlatego ważne jest, aby była związanych z incydentami dotyczącymi
ona w odpowiedni sposób chroniona. Od bezpieczeństwem systemu informatycznego,
systemów informatycznych oczekuje się, aby " możliwość centralnego i zdalnego zarządzania
spełniały one wymagania odnośnie poufności, urządzeniami kontroli transmisji, kontroli dostępu,
integralności i dostępności informacji w nich zmian ACL i in. (np. poprzez wydzielenie
przetwarzanych. Definicja powyższych pojęć dedykowanego dla tego typu urządzeń
według normy ISO/IEC 13335-1:2004 jest odpowiedniego segmentu VLAN),
następująca: " możliwości rozdziału sieci instytucji na fizycznie/
logiczne rozdzielone części (np. segmenty VLAN),
Z ARTYKUA
U
DOWIESZ SI
" dostępność  właściwość bycia dostępnym " możliwość tworzenia zapasowych kopii
i użytecznym na żądanie upoważnionego informacji zarządzanych i dokonywanych
jak w praktyce przeprowadzić
projekt testów penetracyjnych w
podmiotu, centralnie,
swojej organizacji,
" poufność  właściwość, że informacja " możliwości centralnej i rozproszonej (z
jak poprawnie zdefiniować cel i
nie jest udostępniona lub wyjawiana centralnym zarządzaniem) ochrony przed
zakres projektu,
nieupoważnionym osobom, podmiotom lub szkodliwym oprogramowaniem typu: wirusy
na co powinieneś zwrócić
uwagę, procesom, komputerowe, robaki sieciowe, konie trojańskie,
" integralność  właściwość zapewnienia bomby logiczne itp.,
z jakich metodyk możesz
skorzystać,
dokładności i kompletności aktywów. " możliwość centralnego nadzoru dzienników
co powinien zawierać raport
operatorów/zdarzeń wybranych elementów
z przeprowadzonych testów
W praktyce spełnienie powyższych wymagań sieci instytucji (np. ocenionych jako krytyczne i
penetracyjnych.
oznacza wprowadzenie w projektowanych ważne w ramach analizy ryzyka), monitorowania
CO POWINIENEŚ
rozwiązaniach stosownych zabezpieczeń dostępu do systemu oraz jego użycia (np.
WIEDZIEĆ
technicznych i organizacyjnych. Poniżej dostępność zasobów sprzętowych),
powinieneś posiadać
wybrane przykłady zabezpieczeń (technicznych) " możliwość synchronizacji zegarów wszystkich
podstawowe informacje na
temat bezpieczeństwa. zwiększających bezpieczeństwo: bądz
wybranych elementów sieci organizacji,
70 HAKIN9 5/2009
TESTY PENETRACYJNE
" możliwości pracy wybranych urządzeń zaimplementowane, należy przeprowadzać należycie działania zapobiegawczo-
lub elementów sieci świadczących usługi audyty bezpieczeństwa. Ważne, aby były korygujące, należy wprowadzić mierniki
(na podstawie analizy ryzyka) w trybie tzw. one przeprowadzane regularnie. Z każdego pozwalające na określenie poziomu
failover. audytu powinien być sporządzony raport bezpieczeństwa badanych systemów.
" możliwość wykorzystywania opisujący zaobserwowane niezgodności Pamiętajmy, że bezpieczeństwo to
zabezpieczeń kryptograficznych w wraz z propozycją wykonania działań proces, który należy ciągle monitorować.
odniesieniu do przechowywanych, zapobiegawczo  korygujących, które to Zagrożeń nie wyeliminujemy w 100%.
przesyłanych informacji lub nośników działania powinny zostać sprawdzone Możemy jedynie minimalizować ryzyko
informacji (np. wykorzystanie VPN lub podczas kolejnych przeglądów. ich wystąpienia. Aby jednak być pewnym
innych rozwiązań opartych na PKI), Aby móc zweryfikować, czy podczas poruszania się na określonym poziomie
" możliwość współpracy z centralnym sprawdzającego audytu zostały wykonane bezpieczeństwa, powinniśmy ciągle
systemem zarządzania dostępem
Tabela 1. Zakres projektu
użytkowników
L.p. Etapy projektu Termin realizacji Narzędzia
" możliwość zdalnej kontroli połączeń
sieciowych, wymuszania dróg połączeń
1 Badanie podatności z zewnątrz 1 tydzień od Nessus, Nmap
oraz identyfikacji komputera, terminala momentu
podpisania umowy
lub innego urządzenia sieciowego.
2 Analiza bezpieczeństwa 2 tygodnie Analiza konfiguracji,
Tam, gdzie nie udaje się wdrożyć systemów przetwarzających dane od momentu wywiad techniczny
osobowe podpisania umowy z administratorami
odpowiednich zabezpieczeń technicznych,
systemów
wprowadza się zabezpieczenia
organizacyjne. Aby zweryfikować, czy 3 Raport z etapów 1 i 2 4 tygodnie ND
od momentu
określone w organizacji wymagania
podpisania umowy
bezpieczeństwa zostały odpowiednio
Przykładowy projekt
przeprowadzony dla klienta X z branży utilities
Cel projektu:
Weryfikacja poziomu bezpieczeństwa systemów przetwarzających dane osobowe
Zakres/Etapy projektu:
(Tabela 1)
Opis realizacji projektu:
Projekt X wiązał się z weryfikacją poziomu bezpieczeństwa systemów przetwarzających dane osobowe klienta. Projekt został uruchomiony w następstwie
wdrożenia nowych zabezpieczeń technicznych w obszarze IT.
Projekt został podzielony na dwa etapy:
" zbadanie podatności na włamanie do systemów bezpośrednio z sieci Internet,
" analiza bezpieczeństwa systemów przetwarzających dane osobowe.
Celem Etapu 1 było wykrycie wszelkich możliwych podatności umożliwiających kompromitację serwerów znajdujących się w strefie DMZ.
Raport z Etapu 1 prezentował wykryte podatności wraz z określeniem możliwości ich wykorzystania przez atakującego oraz rekomendował
zabezpieczenia niezbędne do usunięcia wykrytych zagrożeń.
Celem Etapu 2 było sprawdzenie zgodności bezpieczeństwa systemów z ustalonymi zasadami bezpieczeństwa obowiązującymi w organizacji. W
raporcie z Etapu 2 zostały przedstawione wykryte nieprawidłowości wraz z zalecanymi sposobami ich usunięcia.
Podsumowanie:
W opisywanym projekcie Klient nie zdecydował się na wykonywanie stricte testów penetracyjnych, a skoncentrował się na zbadaniu podatności oraz
wyeliminowaniu wykrytych zagrożeń. Dodatkowo została przeprowadzona analiza bezpieczeństwa systemów wewnętrznych. Cel określony w projekcie
został osiągnięty.
Zakres projektu każdorazowo różni się i uzależniony jest od potrzeb Klienta. Najczęstsze powody uruchamiania projektów związanych z
przeprowadzaniem testów penetracyjnych:
" wdrożenie nowych zabezpieczeń technicznych i organizacyjnych,
" aktualizacje oprogramowania (wersje oprogramowania, update'y, aktualizacje),
" wystąpienie incydentu bezpieczeństwa,
" zalecenia audytowe,
" itp.
5/2009 HAKIN9 71
BEZPIECZNA FIRMA
BEZPIECZNA FIRMA
monitorować nasze systemy. Skutecznym zostać zrobiony backup danych. Należy " próby uzyskania wyższych uprawnień w
narzędziem pozwalającym zbadać poziom ustalić godziny trwania testów oraz sposoby systemie informatycznym.
bezpieczeństwa naszej organizacji są testy komunikacji pomiędzy administratorami
penetracyjne. Są one, oprócz technik badania ze strony działu IT klienta oraz zespołem Przy wyborze zakresu testów należy zwrócić
podatności i wywiadów kontrolnych, jednym testującym. W scenariuszu testowym należy uwagę na systemy produkcyjne. Warto się
z najczęściej wykorzystywanych narzędzi szczegółowo określić zakres projektu (sposób zastanowić, czy przeprowadzać atak, czy
audytu. Poniżej zostały opisane najlepsze testowania, rodzaje wykonywanych testów, może zbudować środowisko testowe. Jeśli
praktyki dotyczące przeprowadzania testów zakres analizy  adresy IP itp.) już jako obiekt zostanie wybrany system
penetracyjnych. produkcyjny, to czy jest on należycie chroniony
Testy penetracyjne może prowadzić Scenariusze testowe na wypadek awarii. Czy została utworzona
osoba lub zespół projektowy w organizacji Scenariusz testowy uzależniony jest kopia zapasowa, czy próba odtworzenia była
klienta lub zadanie takie może zostać oczywiście od przyjętego modelu testowania. udana. Jeśli system jest obsługiwany przez
zlecone firmie zewnętrznej, zajmującej się Popularne nazwy: Black Box, White firmę zewnętrzną, czy mamy odpowiedni
profesjonalnie zagadnieniami tego typu. Przed Box i Grey Box oznaczają nic innego jak poziom SLA pozwalający na przywrócenie
przystąpieniem powinna zostać podpisana zakres wiedzy, którą posiada audytor przy usług w zaplanowanym czasie itp.
klauzula o poufności, zabezpieczająca wykonywaniu testów penetracyjnych.
obydwie strony przed ewentualnymi skutkami Metodyka projektu
naruszenia zasad współpracy. " Black Box  oznacza pełną wiedzę na Aby móc skutecznie badać poziom
Przystępując do projektu powinniśmy temat zasobów klienta. Ten rodzaj testów bezpieczeństwa organizacji systemów
określić szczegółowo jego cel i zakres, przeprowadza się np. w przypadku informatycznych, należy monitorować go w
metodykę oraz sprecyzować zakres raportu. testowania aplikacji czy badania sposób ciągły. Testy penetracyjne powinny
konkretnego systemu bądz
aplikacji, być przeprowadzane okresowo. Można
Cel i zakres projektu " White Box  oznacza brak wiedzy na wprowadzać wykonanie testów cząstkowych,
Cel projektu określamy po to, aby po temat zasobów. Najczęściej testy typu np. okresowo badać podatność sieci,
skończonym projekcie móc sprawdzić, czy White Box związane są z audytem podatność sieci Wi-Fi, podatność bluetooth
został osiągnięty. Celem testu może być przeprowadzanym z zewnątrz organizacji, itp. Niezależnie od tego, jaki obszar badamy,
np. zbadanie zgodności z wymaganiami. " Grey Box  oznacza próbę symulacji powinny zostać określone sposoby realizacji
Wymagania mogą być zdefiniowane przez ataku z wewnątrz organizacji, np. testów, czyli tak naprawdę należy zdefiniować/
klienta lub też mogą to być wymagania z wykorzystaniem standardowych przyjąć metodykę ich przeprowadzania.
zdefiniowane przez światowe organizacje uprawnień użytkownika. Przyjęcie odpowiedniej metodyki jest ważne
zajmujące się bezpieczeństwem, np. z kilku powodów. Po pierwsze: spowoduje
wymagania normy ISO/IEC 27001:2005. Scenariusz testowy powinien określać fazy wykonanie testów na odpowiednim
Innym celem może być np. zbadanie audytu; sposoby przechodzenia do dalszych poziomie. Będziemy mieli pewność, że
podatności lub też pełna próba włamania i faz. Przed wykonaniem testów należy niezależnie od wyboru dostawcy, testy
uzyskanie dostępu do zasobów. zweryfikować procedurę audytu. Scenariusz zostaną przeprowadzone według przyjętej
Badanie podatności wiąże się z testowy powinien zostać zaakceptowany przez nas metodyki. Po drugie: wprowadzi
przeprowadzeniem testów, najczęściej przez obie strony przed przystąpieniem do możliwość porównania wykonanego testu
automatycznych. Pozwala nam na wykrycie testów. W scenariuszu testów zewnętrznych z poprzednim poprzez wprowadzenie
w audytowanych systemach znanych luk i powinny znalez
ć się: odpowiednich mierników. Zestandaryzowanie
zagrożeń, i na tym etapie kończy się projekt. sposobu wykonania testów pozwala
Pełne testy penetracyjne są natomiast " komputery i urządzenia sieciowe objęte również na bardziej elastyczne dobieranie
rzeczywistą próbą włamania. Na etapie analizą, wykonawców. Nie jesteśmy uzależnieni od
zbierania informacji badana jest podatność " rodzaje uruchamianych testów (np. tego samego zespołu czy firmy zajmującej
systemów. Wykryte słabości są sprawdzane badanie odporności DoS tylko dla się przeprowadzaniem testów penetracyjnych.
pod kątem możliwości ich wykorzystania. testów z zewnątrz), Możemy opracować własną metodykę
Tak jak w każdym projekcie należy określić " harmonogram prac, wykonywania testów penetracyjnych lub
osoby odpowiedzialne za prowadzenie " zasady współpracy z administratorami skorzystać z jednej z uznanych metodyk
projektu, zarówno po stronie klienta, jak i po systemów. wypracowanych przez organizacje zajmujące
stronie zespołu testującego. Należy określić się bezpieczeństwem. Takimi organizacjami
i wspólnie przedyskutować scenariusze W przypadku testów wewnętrznych bada się: są między innymi: ISACA, ISECOM, OWASP,
testowe związane z przeprowadzeniem testów NSA, CESG, NIST, WASC, itp. Poniżej kilka
penetracyjnych. Powinny zostać ustalone " serwery i komputery pod względem wybranych metodyk przeprowadzania
wszelkie czynności, które należy wykonać aktualności poprawek, audytów systemów informatycznych:
przed przystąpieniem do wykonywania " weryfikuje urządzenia sieciowe,
testów. W szczególności powinno się określić " wykonuje próby przechwytywania " Open Source Security Testing
procedury odtwarzania danych; powinien informacji, Methodology v 3.0  metodyka
72 HAKIN9 5/2009
TESTY PENETRACYJNE
opracowana przez organizację amap, xprobe2, sinfp, nbtscan, netenum,
ISECOM (Institute for Security and Open fping. Oprócz skanowania portów na
Methodologies), etapie rekonesansu, wykorzystuje się
" Nist 800-42, 800-115  wytyczne szereg automatycznych narzędzie do
opracowane przez organizację NIST badania podatności. Najbardziej znane
(National Institute of Standards and i wykorzystywane narzędzia to: Nessus,
Technology), MaxPatrol oraz NGS Typhon. Programy te
" OWASP Testing Guide v3  podręcznik służą do badania bezpieczeństwa sieciowego
testera bezpieczeństwa zawierający pod kątem występowania dobrze znanych
najlepsze praktyki związane z podatności lub powszechnie znanych
bezpieczeństwem aplikacji webowych, błędów w konfiguracji oprogramowania.
opracowany w ramach projektu OWASP Skanery sprawdzają się bardzo dobrze przy
(Open Web Application Security Project), identyfikacji aktywnych portów i usług.
" BSI Penetration Testing Model Zebrane w etapie rekonesansu
 metodyka prowadzenia testów informacje dotyczące wykrytych luk i
opracowana przez BSI (Bundesamt fur zagrożeń pozwalają na przeprowadzenie
Sicherheit in der Informationstechnik) ataku. Atak polega na spreparowaniu
odpowiedniego programu (exploita),
Powyższe metodyki, oprócz szczegółowego wykorzystującego wykrytą podatność.
zdefiniowania technik testowania, określają Uruchomienie exploitów ma na celu
również zasady planowania, raportowania przejęcie kontroli nad systemem bądz
też
oraz oceniania wyników.Niezależnie od zablokowanie jego działania (ataki typu DoS).
przyjętej metodyki, przeprowadzanie testów Istnieje kilka narzędzi, które automatyzują
technicznych możemy podzielić na dwa uruchamianie exploitów, aczkolwiek są one
etapy: rekonesans oraz wykonywanie jedynie narzędziami wspomagającymi.
prób włamania. Poniżej zostaną Do najpopularniejszych możemy zaliczyć:
opisane najczęściej używane narzędzia Metasploit, Canvas, Inguma, SQL Power
wykorzystywane podczas tych etapów. Injector, Security Forest, Core Impact itp.
Przy realizacji tego etapu testów
Narzędzia penetracyjnych najważniejsza jest wiedza i
Etap rekonesansu ma za zadanie zebranie jak doświadczenie zespołu testującego. Często
największej ilości informacji, które pozwolą na przy niektórych formach ataku pisane są
wykonanie prób włamania. Najczęściej etap własne skrypty lub kawałki kodu.
rekonesansu rozpoczyna się od pasywnego
zbierania informacji. Wykorzystuje się tutaj Raport
zapytania do powszechnie dostępnych Raport z testów jest dokumentem opisującym
zasobów internetowych, takich jak: rejestr efekty prac związanych z realizacją projektu.
nazw domenowych, wyszukiwarki WWW, Zebrane w nim informacje powinny udzielić
książki telefoniczne, grupy dyskusyjne, profile nam odpowiedzi, czy i w jakim zakresie
społecznościowe itp. Dodatkowo sprawdza został osiągnięty cel projektu. Format raportu
się informacje zawarte w rekordach DNS. powinien zostać ustalony podczas ustalania
Następnie przechodzimy do aktywnego metodyki prowadzenia projektu z wykonawcą.
zbierania informacji. Najczęściej na tym Niezależnie od przyjętej metodyki pewne
etapie mamy do czynienia ze skanowaniem elementy raportu są stałe i składają się na nie:
portów oraz bardziej inwazyjnymi
narzędziami badającymi podatności poprzez " cel i zakres testów,
wykorzystanie np. enumeracji. " podsumowanie ogólne,
Skanowanie portów polega na " analiza techniczna,
wykonywaniu prób połączenia się na " podsumowanie techniczne wraz z
kolejne porty w danym komputerze w celu wnioskami.
sprawdzenia, jakie usługi są na nim aktywne.
Enumeracja polega na nawiązywaniu Cel i zakres testów określa warunki brzegowe
połączenia z konkretnym portem i wydawaniu przyjęte do realizacji projektu. W tej sekcji
komendy pozwalającej na uzyskanie opisywana jest: procedura wykonywania
pożądanych informacji. Najczęściej używane testów, wykorzystane scenariusze testowe,
narzędzia w tym etapie to: Nmap, netcat, harmonogram wykonywanych prac oraz
5/2009 HAKIN9 73
BEZPIECZNA FIRMA
wszelkie inne ustalenia mające wpływ na wstępnie szacować poziom bezpieczeństwa Dokonując wyboru powinno
zakres projektu. badanych systemów i aplikacji. indywidualnie zastanowić się, czy
Podsumowanie ogólne jest abstraktem Przyjęcie stałych mierników pozwala przeprowadzać pełne testy penetracyjne,
z analizy technicznej napisanym dla dodatkowo na porównywanie ze sobą czy skupić się na częściowym badaniu
kierownictwa opisującym poziom wyników raportów. Bez powtarzania testów podatności. Wybór rodzaju testu też zależy od
bezpieczeństwa badanego systemu. Analiza nie jesteśmy w stanie określić, czy udało nam tego, co chcemy uzyskać.
techniczna jest tą częścią projektu, która się usprawnić dany system bądz
aplikację. Jeśli zależy nam na przeglądzie
powinna zawierać: szczegółowy zakres testów, Porównując raporty możemy dokonać zabezpieczeń, to warto przeprowadzać pełen
rodzaje użytych narzędzi, opisy wykrytych szeregu analiz. Dla przykładu: w raportach audyt bezpieczeństwa, wybrać podejście
zagrożeń oraz ich ocenę. W przyjętej możemy na przykład analizować średnią ilość typu Black Box, a testy traktować jako jeden
metodyce powinny znalez
ć się mierniki, które wystąpienia wskaz
ników ryzyka typu high. z elementów audytu. Można wtedy skupić się
pozwalają w realny sposób ocenić wykryte Analizy mogą być prowadzone dla wszystkich jedynie na badaniu podatności. Zmniejsza to
zagrożenia. Często w raportach z testów systemów i aplikacji bądz
też zawężone dla czas wykonania testów oraz koszty. Badanie
penetracyjnych możemy się spotkać z analizą wybranej usługi. Podsumowanie techniczne podatności trwa 1-2 dni, natomiast testy
techniczną wykrytych podatności z podziałem wraz z wnioskami często jest połączone penetracyjne mogą zająć nawet kilka tygodni.
według wskaz
ników ryzyka zawartych w z analizą techniczną. Zawarte w tej części Z drugiej strony, chcąc na przykład
powszechnie dostępnych bazach podatności raportu powinny dostarczyć informacji zbadać skuteczność wdrożonego systemu
(CVE). Przyjmuje się wtedy podział trzy- lub pozwalających zweryfikować oraz usunąć wykrywania włamań (IDS/IPS), powinniśmy
czterostopniowy (critical, high, medium, low). wykryte błędy. wybrać symulację ataku oraz podejście typu
Przyjęcie tylko jednego miernika do oceny White Box.
znalezionych zagrożeń nie jest wystarczające. Podsumowanie Oprócz wyboru rodzaju i zakresu testów
Oprócz wskaz
nika określającego stopień Zawarte w artykule informacje przybliżają należy również określić częstotliwość ich
zagrożenia powinno się przyjąć również temat przeprowadzania tego rodzaju testów wykonywania. W dojrzałych organizacjach
prawdopodobieństwo jego wystąpienia w organizacji. Wybór rodzaju, zakresu i najczęściej wprowadza się harmonogram
w odniesieniu do badanego obiektu. Na metodyki testów należy już bezpośrednio do audytów, w których testy penetracyjne mają
podstawie przyjętych mierników możemy osób odpowiedzialnych za bezpieczeństwo. swoje miejsce. Warto zastanowić się nad
możliwością wykonania testów bezpośrednio
po określonych zdarzeniach. Przykładem
W Sieci
tutaj może być zmiana konfiguracji bądz

aktualizacja oprogramowania czy też
Organizacje zajmujące się bezpieczeństwem
wprowadzenie nowej wersji aplikacji.
" ISACA  Information Systems Audits and Control Association  http://www.isaca.org/,
Częstotliwość audytów powinna zakładać
" ISECOM  Institute for Security and Open Methodologies  http://www.isecom.org/,
ich regularne wykonywanie. Bez powtarzania
" OWASP  Open Web Application Security Project community  http://www.owasp.org/
testów nie jesteśmy w stanie określić, czy
index.php/Main_Page
udało nam się usprawnić system. Zarządzanie
" NSA  National Security Agency  http://www.nsa.gov/.
" CESG  http://www.cesg.gov.uk/ bezpieczeństwem musi być systematyczne.
" NIST  National Institute of Standards and Technology  http://csrc.nist.gov/,
Wyniki raportu natomiast powinny zostać
" WASC  Web Application Security Consortium  http://www.webappsec.org/.
opisane miernikami przyjętymi w metodyce
oraz pozwolić na określenie priorytetów
Wybrane metodyki przeprowadzania audytów informatycznych
realizacji zaleceń poaudytowych.
" Open Source Security Testing Methodology Manual  OPSSTM  http://www.isecom.org/
Ze względu na ciągle rosnącą ilość
osstmm/,
systemów i aplikacji zwiększają się również
" NIST Guideline on Network Security Testing  http://csrc.nist.gov/publications/nistpubs/800-
koszty ich zabezpieczania. Organizacja bardzo
42/NIST-SP800-42.pdf,
często musi wybierać, które zabezpieczenie
" OWASP Testing Guide v.3  http://www.owasp.org/index.php/Category:OWASP_Testing_
Project,
wdrożyć, a które ryzyko zaakceptować. Dane
" BSI Penetration Testing Model  http://www.bsi.de/english/publications/studies/
w raporcie powinny być tak ułożone, abyśmy
penetration.pdf,
mogli przeprowadzić analizę ryzyka określając
na początku tylko te najwyższe i zajmując się
Narzędzia
nimi.
" Top 100 Network Security Tools  http://sectools.org/,
" BackTrack  http://www.remote-exploit.org/backtrack.html.
Sebastian Stroik
Bazy podatności
Od ponad 8 lat związany jest zawodowo z branżą
informatyczną. Na co dzień zajmuje się pracami
związanymi z realizacją projektów informatycznych.
" NVD  National Vulnerability Database  http://nvd.nist.gov/,
Specjalizacja to projekty z zakresu bezpieczeństwa
" CVE  Common Vulnerabilities and Exposures  http://cve.mitre.org/,
IT. Obecnie pracuje jako specjalista do spraw
" CVSS  Common Vulnerability Scoring System  http://first.org/cvss/.
bezpieczeństwa IT w Synergy Group.
Kontakt z autorem: sebastian.stroik@synergygroup.pl
74 HAKIN9 5/2009