Jeg har et godt tilbud til dig!

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Fri, 09 Jun 2006 19:34:00 GMT

Dato: 6/9/2006 3:37:59 PM
Forfatter: Carsten Jacobsen
Hej Michael,

Det forklarede ihvertfald mig et par ting som var lidt uklare. Jeg har lige et par måneders udviklingsarbejde, men når mit system er færdigt, skal I nok få mere information så I kan lave en test. Jeg kunne nemlig godt forestille mig at jeg kunne bruge en ''nul huller'' fra jer som en del af min markedsføring Har I egentlig overvejet at lave et ''Godkendt af Zepcom''-logo som man kender fra eks. Verisign?

Jeg tror at I vil gøre jer selv en stor tjeneste ved at have en masse cases på jeres website hvor I beskriver hvad problemet var, hvad I gjorde for at hjælpe kunden (uden at røbe hemmeligheder) og endeligt hvad det kom til at betyde for kunden. Det er altså lidt nemmere at forholde sig til cases end blot det at læse at I udfører sikkerhedscheck.

Du skal nok lade være med bruge navnet på firmaerne i disse cases, da man jo ikke skal friste djævlen

mvh Carsten

Hej Carsten,

Jamen vi ville da være rigtig glade for at sikkerhedsanalysere dit system når du er færdig med udviklingen. Du skal være hjertens velkommen til at kontakte os til den tid, så finder vi ud af en løsning . Vi er ligeledes meget glade for alle dine råd og de er skam blevet taget til efterretning.
Du skriver at du godt kunne bruge en "nul huller" garanti fra os, som et led i din markedsføring. Der skal vi lige pointere at en normal sikkerhedsanalyse altid vil have en risiko for at efterlade et minimalt antal obskure sikkerhedshuller, som umiddelbart vil være umulige at tjekke efter medmindre vi har direkte adgang til kildekoden. En alternativ løsning, hvor man rent faktisk kan tale om "nul huller" garanti, er code audit. Code Audit fungerer på den måde, at vi får adgang til din kildekode (på krypteret vis vel og mærke) og tjekker den igennem, linje for linje. Her kan man reelt tale om en "nul huller" garanti, da ingenting umiddelbart skulle kunne slippe igennem vores analyse. En sådan Code Audit er dog væsentligt mere tidskrævende og derfor også væsentligt dyrere.
Ang. et "Godkendt af Zepcom" logo, så har vi allerede sådan et i form af "Secured by Zepcom", som du faktisk kan få 20% rabat ved at benytte. Så det opfordrer vi dig da helt klart til

Hvis du har yderligere spørgsmål er du mere end velkommen til at kontakte os.

10% rabat på IT-sikkerhedsanalyser

Carsten Jacobsen — Fri, 09 Jun 2006 13:38:00 GMT

Hej Michael,

Det forklarede ihvertfald mig et par ting som var lidt uklare. Jeg har lige et par måneders udviklingsarbejde, men når mit system er færdigt, skal I nok få mere information så I kan lave en test. Jeg kunne nemlig godt forestille mig at jeg kunne bruge en "nul huller" fra jer som en del af min markedsføring Har I egentlig overvejet at lave et "Godkendt af Zepcom"-logo som man kender fra eks. Verisign?

Jeg tror at I vil gøre jer selv en stor tjeneste ved at have en masse cases på jeres website hvor I beskriver hvad problemet var, hvad I gjorde for at hjælpe kunden (uden at røbe hemmeligheder) og endeligt hvad det kom til at betyde for kunden. Det er altså lidt nemmere at forholde sig til cases end blot det at læse at I udfører sikkerhedscheck.

Du skal nok lade være med bruge navnet på firmaerne i disse cases, da man jo ikke skal friste djævlen

mvh Carsten

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Fri, 09 Jun 2006 12:21:00 GMT

For at gøre det lidt simpelt, så kan hvad vi laver sammenlignes med hvad en professionel hacker ville have lavet. En professionel hacker vil undersøge enhver tænkelig udnyttelsesmulighed for at tiltvinge sig adgang til systemet. Det samme gør vi, bortset fra vi giver informationer om hvordan vi gjorde det videre til kunden.

Er der stadig tvivl om det?

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Fri, 09 Jun 2006 12:19:00 GMT

Dato: 6/9/2006 11:11:32 AM
Forfatter: Carsten Jacobsen
Hej Michael,

Ja, jeg er sgu heller ikke blevet helt klog på hvad det er I tilbyder...

Hvis jeg har et system som udelukkende kommunikerer med omverdenen gennem .NET Web Services og direkte socket forbindelser, kan I så også teste et sådan system? Der er altså ikke tale om et website, men en online service som kommunikerer med klienter via Internettet.

Vil sådan et system kunne testet for 2.600 kr. som i indikerer på websitet?

mvh Carsten

Hej Carsten,

Det kan være vi lige må yderligere specificere, inde på websiden, hvad vi egentlig laver.

Vi kan helt klart undersøge dine systemer, også selvom de kun bruger .Net Web Services og direkte socket forbindelser. Hvorvidt der vil være mange udnyttelsesmuligheder kan jeg dog ikke sige før jeg har set systemet og med hensyn til pris kan vi bare lave en aftale når vi ved hvilket system der drejer sig om, dets størrelse og kompleksitet har selvfølgelig betydning.

Mvh.
Michael

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Fri, 09 Jun 2006 12:15:00 GMT

Dato: 6/9/2006 8:35:32 AM
Forfatter: Henrik Meyer
Dato: 6/8/2006 11:17:27 PM Forfatter: Michael Mortensen
Vi starter altid med at udføre nogle rutiner vi selv har lavet, disse gennemkører visse udnyttelser som er generelt meget udbredte og nemme at finde. Derefter går vi ind manuelt og tester først for de grundlæggende og mere normale angrebsformer, og derefter med mere specielle og alternative udnyttelsesformer.

Jeg forstår udemærket hvad Brian skriver, og med det svar du kom med, fortæller du faktisk stadig ikke hvad I laver? I præncipet kunne I til at starte med sætte en ping igang og se om der kommer svar og lave den standard [''or''1''=''1] på alle login sider. og med den udvidet undersølgelse sætte en portscanner igang?

I burde skrive hvad I egentlig laver, så man ved hvad man betaler for. Men igen, hvis I gør det, så vil alle jo kunne gøre det og så mister I foretningsgrundlaget.

/Henrik

Altså nu simplificerer du det jo meget kraftigt. Visse ting, som undersøgelser af loginsider bliver selvfølgelig udført hvis en loginside er tilstede. Men det er kun en meget lille procentdel af undersøgelserne. De undersøgelser vi laver tjekker efter mulig udnyttelse med SQL injections, JavaScript injections, HTML Injections, Cross-site scripting, informationslekager, DoS reaktion (kun ved tilladelse) og meget meget mere. Og udnyttelsen vil variere fra side til side, så jeg kan faktisk ikke beskrive præcist hvad vi laver uden et eksempel og vores kunders sikkerhedsanalyser er fortrolige, så jeg kan ikke give dig et eksempel.
Men i bund og grund har en kunde jo heller ikke brug for at vide præcis hvad der udføres af undersøgelser, kun hvilke resultater der kommer ud af det.

10% rabat på IT-sikkerhedsanalyser

Carsten Jacobsen — Fri, 09 Jun 2006 09:12:00 GMT

Hej Michael,

Ja, jeg er sgu heller ikke blevet helt klog på hvad det er I tilbyder...

Hvis jeg har et system som udelukkende kommunikerer med omverdenen gennem .NET Web Services og direkte socket forbindelser, kan I så også teste et sådan system? Der er altså ikke tale om et website, men en online service som kommunikerer med klienter via Internettet.

Vil sådan et system kunne testet for 2.600 kr. som i indikerer på websitet?

mvh Carsten

10% rabat på IT-sikkerhedsanalyser

Henrik Meyer — Fri, 09 Jun 2006 06:36:00 GMT

Dato: 6/8/2006 11:17:27 PM Forfatter: Michael Mortensen
Vi starter altid med at udføre nogle rutiner vi selv har lavet, disse gennemkører visse udnyttelser som er generelt meget udbredte og nemme at finde. Derefter går vi ind manuelt og tester først for de grundlæggende og mere normale angrebsformer, og derefter med mere specielle og alternative udnyttelsesformer.

Jeg forstår udemærket hvad Brian skriver, og med det svar du kom med, fortæller du faktisk stadig ikke hvad I laver? I præncipet kunne I til at starte med sætte en ping igang og se om der kommer svar og lave den standard [''or''1''=''1] på alle login sider. og med den udvidet undersølgelse sætte en portscanner igang?

I burde skrive hvad I egentlig laver, så man ved hvad man betaler for. Men igen, hvis I gør det, så vil alle jo kunne gøre det og så mister I foretningsgrundlaget.

/Henrik

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Thu, 08 Jun 2006 21:17:00 GMT

Dato: 6/8/2006 10:52:48 PM
Forfatter: Brian Knudsen
Hvad går jeres test reelt set ud på, efter at have gransket jeres fine side kan jeg ikke finden nogen konkrete data der desværre efter min mening er brugbare!!

Jeg skal da gladeligt forklare dig hvad vi gør i en sikkerhedsanalyse. Vi starter altid med at udføre nogle rutiner vi selv har lavet, disse gennemkører visse udnyttelser som er generelt meget udbredte og nemme at finde. Derefter går vi ind manuelt og tester først for de grundlæggende og mere normale angrebsformer, og derefter med mere specielle og alternative udnyttelsesformer. Normalt vil der så altid være nogle få udnyttelser der er fuldkommen specielle for det pågældende system, disse tjekker vi så til sidst.
Herefter skrives det hele i en rapport på et nemt og forståeligt sprog, med vores løsningsforslag. Mere specifik kan jeg desværre ikke være, da visse ting i vores undersøgelser er unikke.

Visse specielle undersøgelser vil selvfølgelig være mulige for visse systemer. Heriblandt DoS angreb. Normalt laver vi kun forsøgs DoS angreb, hvis ejerne af det pågældende system har bedt os om det. Vi bruger til enhver tid kun undersøgelsesmetoder der ikke, under normale omstændigheder, skader det pågældende system (igen - medmindre vi bliver bedt om andet)

Jeg håber det var til lidt hjælp. Hvis du stadig har flere spørgsmål er du velkommen til at kontakte os på securityanalysis@zepcom.dk

10% rabat på IT-sikkerhedsanalyser

Brian Knudsen — Thu, 08 Jun 2006 20:53:00 GMT

Hvad går jeres test reelt set ud på, efter at have gransket jeres fine side kan jeg ikke finden nogen konkrete data der desværre efter min mening er brugbare!!

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Thu, 08 Jun 2006 20:32:00 GMT

Nå .. virker vist ikke rigtig.. Men det der skulle have stået var:

Med tidligere kunder som Amitech
Danmark A/S og SPAMfighter Aps, tilbyder
vi Jer en professionel, nem og grundig gennemgang af Jeres
it-sikkerhed.

10% rabat på IT-sikkerhedsanalyser

Michael Mortensen — Thu, 08 Jun 2006 18:40:00 GMT

Zepcom tilbyder nu IT-sikkerhedsanalyser af Jeres webside, server, firewall eller hvad enten I ønsker undersøgt, med 10% rabat. Vi har stor erfaring indenfor detektering af sikkerhedsbrister og har det de fleste andre it-sikkerhedsvirksomheder ikke har: hackerens synsvinkel!

Med tidligere kunder som Amitech Danmark A/S og SPAMfighter Aps, tilbyder vi Jer en professionel, nem og grundig gennemgang af Jeres it-sikkerhed. Enhver analyse afsluttes med en rapport som bliver givet til Jer. Denne rapport indeholder beskrivelse af alle fundne sikkerhedsbrister, såvel som løsningsforslag til disse. Denne rapport kan enhver programmør eller webdesigner så tage I hånden og bruge til at lukke sikkerhedshullerne i systemet.

Til forskel fra mange andre it-sikkerhedsvirksomheder, så er Zepcom ikke specielt dyre. Dette skyldes, at vi ikke har et stort kapitalkrav og at vi ikke driver Zepcom for at indtjene store penge. Zepcom blev startet i september 2005, som en samlet gruppe af it-sikkerhedseksperter og såkaldte Whitehats (etiske hackere). Dengang var det for at hjælpe politiet med efterforskning af hackergrupper som TGG (Team Gilmore Girls). Nu har Zepcom så også udviklet sig til en forebyggende virksomhed, som hjælper andre virksomheder med deres it-sikkerhed. Dog udfører vi stadig efterforskning og tilbyder også at lave angrebsanalyser hvis I skulle komme ud for et angreb af den ene eller den anden art.

Prisen for en sikkerhedsanalyse afhænger af flere faktorer. Vejledende priser kan dog ses her:
https://www.zepcom.dk/securityanalysis.php

Desuden kan I læse referencetekster fra Amitech Danmark A/S og SPAMfighter Aps her:
https://www.zepcom.dk/reference.php

Som noget nyt kan vi også tilbyde sikkerhedsanalyser som en abonnement ydelse. På den måde kan Jeres system blive regelmæssigt undersøgt med mellemrum på en uge, to uger, tre uger, en måned, et kvartal, et halvt år .. eller måske et helt andet mellemrum. Jo oftere sikkerhedsanalyser bliver udført, jo billigere er de pr. gang. Desuden kan I opnå en ekstra rabat på 20% ved at sætte et lille "Secured by Zepcom" billede et sted på alle sider på Jeres webside. (I samme størrelsesorden som W3C logoerne).

I kan bestille sikkerhedsanalyser her på Amino, på e-mailadressen securityanalysis@zepcom.dk eller på denne side:
https://www.zepcom.dk/securityanalysis.php