O nas
Zespół Bezpieczeństwa Informacji Wrocławskiego Centrum Sieciowo-Superkomputerowego na Politechnice Wrocławskiej prowadzi monitoring bezpieczeństwa i zagrożeń w sieci Politechniki Wrocławskiej i sieci WASK (działania typu CSIRT). Wszystkim zainteresowanym podmiotom oferowany jest wachlarz usług komercyjnych.
ZBI WCSS posiada wieloletnie doświadczenie w dziedzinie bezpieczeństwa teleinformatycznego. Jego członkowie brali udział w szeregu krajowych i międzynarodowych projektów, zarówno jako analitycy, projektanci, jak i koordynatorzy prac związanych z bezpieczeństwem. Do osiągnięć zespołu należy znalezienie wielu podatności w powszechnie stosowanych oraz specjalizowanych aplikacjach, używanych zarówno przez wielkie korporacje, jak też środowiska naukowe.
Skład osobowy:
- Leszek Klimowicz, Kierownik ZBI,
- Grzegorz Andruszko,
- Bartłomiej Balcerek,
- Aniela Dobecka,
- Łukasz Ferenc,
- Daniel Golis,
- Maksymilian Górski,
- Jacek Herold,
- Marcin Kaczmarek, CISA,
- Adrian Kajzer,
- Paweł Kępa,
Zrealizowane projekty:
- AZON 2.0 (2020 - ) - wykonanie audytów i testów penetracyjnych,
- POWER (2019 - ) - konsultacje bezpieczeństwa,
- PraceLab (2019 - ) - wykonanie audytów i testów penetracyjnych,
- RegSOC (2018–2021) - koordynator merytoryczny,
- AZON (2016–2019) - wykonanie audytów i testów penetracyjnych,
- SPIN-LAB (2014-2015) - koordynator bezpieczeństwa, wykonanie audytów i testów penetracyjnych,
- PLGrid NG (2014-2015) - koordynator bezpieczeństwa, wykonanie audytów i testów penetracyjnych,
- PLGrid Plus (2011-2014) - koordynator bezpieczeństwa, wykonanie audytów i testów penetracyjnych,
- Krajowy Magazyn Danych 2 (2011-2013) - projekt systemu hybrydowego szyfrowania i kontroli integralności,
- PL-Grid (2009-2012) - koordynator bezpieczeństwa, wykonanie systemu korelacji alarmów, przeprowadzenie audytów i testów penetracyjnych,
- PIONIER PKI (2009-2010) - koordynator projektu, projekt i wdrożenie infrastruktury PKI dla środowiska akademickiego,
- Krajowy Magazyn Danych (2008-2010) - koordynator bezpieczeństwa, wykonanie audytów i testów penetracyjnych,
- POSITIF (2004-2007) - wykonanie proaktywnego monitora bezpieczeństwa,
- ClusteriX (2003-2005) - wykonanie systemu uwierzytelniania, projekt utwardzenia systemów,
Niektóre wykryte podatności:
- CVE-2013-1086 (Novell GroupWise Web Client XSS filter bypass session hijacking)
- CVE-2013-1087 (Novell GroupWise Windows Client XSS filter bypass)
- CVE-2013-3475 (IBM DB2 buffer overflow / privilege escalation)
- CVE-2014-2308 (Java OpenID Server XSS session hijacking)
- CVE-2014-2307 (Java OpenID Server URL session fixation)
- CVE-2014-4813 (IBM Tivoli Storage Manager Client local root privilege escalation)
- CVE-2014-4818 (IBM Tivoli Storage Manager Client encryption key disclosure)
- Oracle Java Runtime Environment Security-In-Depth Contribution CPU July 2014
- CVE-2015-2801 (WSO2 Identity Server authentication bypass)
- CVE-2015-2802 (WSO2 Identity Server XSS session hijacking)
- CVE-2015-7325 (Jasig CAS Server Cross Site Scripting)