Über uns

SektionEins ist ein international tätiges Sicherheitsunternehmen mit Sitz in Bonn. Wir sind spezialisiert darauf, Schwachstellen und Sicherheitslücken in Web- wie auch mobilen Applikationen zu finden.

Wir bieten Full-Service rund um den Bereich Sicherheit. Dazu gehören herstellerunabhängige Beratung, Security Audits und Schulungen.

Unser Leistungsspektrum umfasst serverseitige Programmiersprachen (z.B. Java, PHP, Ruby, Perl, Python und mehr), clientseitige Technologien (JavaScript, AJAX, Websockets, Flash, AIR etc.) ebenso wie mobile Plattformen (iOS, Android).

Darüber hinaus ist SektionEins im Bereich Security Research tätig und hat zahlreiche Sicherheitsmitteilungen, sog. Advisories, veröffentlicht. Unsere Berater sind zudem gefragte Sprecher auf nationalen wie internationalen Konferenzen.

Beratung
  • Konzeptphase: Zu Beginn eines Projekts ist die kostengünstigste Möglichkeit an Sicherheitsthemen zu arbeiten. Wir erarbeiten passende Maßnahmen in Architektur und Softwaredesign, um übliche Fragen zu klären, z.B: Wo und wie wird verschlüsselt? Wer darf auf die Daten zugreifen?

  • In der Entwicklung: Regelmäßige Prüfungen der frisch entwickelten Software stellen sicher, dass die Software möglichst wenige Sicherheitslücken enthält.

  • Im Betrieb: Wir analysieren Prozesse im Unternehmen auf Sicherheitsaspekte, z.B. Vier-Augen-Prinzip, Ausfallsicherheit, Zugriffsschutz, Zugangsschutz, Passwortrichtlinien.

  • Einführung von SDL: Der Secure-Development-Lifecycle kann in allen Projekten für mehr Softwaresicherheit sorgen. Unsere Berater begleiten die Einführung und lösen Probleme bei der Umstellung.

Security Audits
  • Quellcodeanalyse: Der Quellcode der Anwendung wird im Detail analysiert, um möglichst alle sicherheitsrelevanten Probleme aufzudecken.

  • Penetrationstest: Wir treten als Angreifer von außen auf. Die Anwendung wird am laufenden Testsystem automatisiert und manuell angegriffen, um die offensichtlichen Sicherheitsprobleme der Anwendung zu erkennen.

  • Infrastrukturanalyse: Komplexe Anwendungen sind von ihrer Infrastruktur abhängig. DNS, Virtualisierung, Konfiguration, VPN, Management-Interfaces, Datenbanken, Testsysteme. SektionEins untersucht die einzelnen Komponenten und erarbeitet mit dem Kunden Verbesserungsvorschläge zur Härtung und Absicherung der Systeme.

  • Ergebnis: Am Ende steht immer ein Bericht. Unsere Berichte sind entweder knapp auf den Punkt gebracht, um möglichst viel Zeit für die eigentliche Analyse aufzuwenden. Oder wir erstellen einen detaillierten Ergebnisbericht mit ausführlicher Beschreibung der aufgedeckten Schwachstellen, Behebungsempfehlung und Risikobewertung.

Schulungen und Vorträge
  • Für Entwickler: Zum Einsteigen und Auffrischen bietet SektionEins mehrtägige Schulungen, in denen wir aktuelle Themen der Websicherheit besprechen. Mit praktischen Beispielen und Übungen angereichert können Teilnehmer direkt Erlerntes anwenden und einfach für eigene Projekte adaptieren.

  • Für Systemadministratoren und DevOps: Ein Grundwissen an Websicherheitsthemen ist für den Betrieb von Anwendungen nicht mehr wegzudenken. Wir vermitteln Denkanstöße und Vorgehensweisen, um Anwendungen sicher zu konfigurieren und sicher zu betreiben.

Schulungsinhalte

Workshops dauern ein oder mehrere Tage. Sie bestehen aus einführenden Vorträgen sowie einem umfangreichen praktischen Teil. Die Inhalte werden individuellen Wünschen angepasst.

Hier ein Auszug der Themen von Schulungen, die wir bereits für Kunden gehalten haben.

  • Kurz: Grundlagen HTTP und Angriffsfläche
  • Angriffe auf Webanwendungen (Information Leakage, XSS, CSRF, SQL Injektion, Code Injektion, Code Inklusion, HTTP Header Injektion, Unserialize, Logische Fehler, Clickjacking)
  • Session Management
  • Access Controls
  • Kryptographische Funktionen und Zufallszahlen
  • Fehlerbehandlung und Logging
  • Härtung von Konfiguration und Serverumgebung
  • Sicherheit im Entwicklungsprozess: Thread Modelling und SDL
  • Grundwissen Sicherheitstests und Tools zur sicheren Programmierung

Alle Vorträge und Schulungen können auch auf Englisch durchgeführt werden.

News
Mehr...