Národní úřad pro kybernetickou a informační bezpečnost - Penetrační tester webových aplikací

Pracovní pozice spadá pod Odbor vládní CERT - Oddělení penetračního testování

Zajímají tě bezpečnostní chyby a zranitelnosti? Baví tě překonávání překážek, různé bezpečnostní hry typu Capture the Flag, Hack Me atd.? Chceš testovat státní aplikace a služby? Staň se etickým hackerem a členem bezpečnostní komunity a měj svoji práci jako zábavu.

Co bude vaší hlavní pracovní náplní:

provádění primárně externích penetračních testů se zaměřením na webové služby
příprava phishingových kampaní
provádění interních penetračních testů
skenování zranitelností automatizovaně (např. Nessus) i manuálně
příprava závěrečných zpráv a návrh opatření
příprava národního kybernetického cvičení (red/blue)
další sebevzdělávání v této oblasti

Kvalifikační předpoklady:

vysokoškolské vzdělání v oboru IT
znalost nejběžnějších webových útoků (SQL a comand injection, XSS, CSRF atd.)
znalost síťových protokolů, především TCP/IP rodiny 4 a 6
znalost aplikačních protokolů (DNS, HTTP, SMTP, NTP atd.)
znalost základních bezpečnostních protokolů (SSL/TLS, IPsec, DNSSEC atd.)
znalost konceptu systémů IDS, IPS a firewall
znalost nejběžnějších typů útoků (DoS, buffer overflow, password cracking atd.)
znalost systémů Unix-based a Windows
znalost některého z interpretovaných jazyků (Python, Ruby, Bash, PowerShell, …)
anglický jazyk – psaná i mluvená forma

Nesplňuješ všechny kvalifikační požadavky? Nevadí, nejdůležitější je chuť a ochota učit se novým věcem. Na začátku tě zaškolíme a můžeš se zúčastnit kurzů, kde znalosti získáš.

Výhodou je mít:

aktivní zájem o danou problematiku (CTF, Hack the box, Hack Me, ...)
znalost základních nástrojů penetračního testování (Nmap, Metasploit, Burp Suite, …)
zkušenosti s penetračním testováním, OWASP metodikou
certifikaci CEH, GPEN, OSCP

Místo výkonu práce: Brno
Termín nástupu: 1.7.2025

Úvazek: DPČ (max. 20 týdně)

Nesplňujete některý z požadavků, a přesto si myslíte, že byste byli na danou pozici vhodným kandidátem? Pošlete nám tedy svůj životopis spolu s motivačním dopisem a vysvětlením, proč si máme vybrat právě Vás na kariera@nukib.gov.cz

« Zpět

Aktuality

NÚKIB a české zpravodajské služby spolu s NSA a FBI upozorňují na ruskou kybernetickou kampaň proti subjektům podporujícím Ukrajinu

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil spolu s Bezpečnostní informační službou a Vojenským zpravodajstvím České republiky a partnery ze Spojených států, Spojeného království, Německa, Polska, Austrálie, Kanady, Dánska, Estonska, Francie a Nizozemska k upozornění na dlouhodobou kybernetickou kampaň vedenou aktéry podporovanými Ruskem. Tyto útoky jsou cíleny zejména na logistické a technologické firmy zapojené do zahraniční pomoci Ukrajině.

Za kampaní stojí jednotka ruské vojenské rozvědky GRU č. 26165, známá pod označením APT28 (též Fancy Bear, Forrest Blizzard aj.). Tato skupina již více než dva roky vede špionážní operace proti subjektům z obranného a dopravního sektoru, zahrnující leteckou, námořní a železniční dopravu. Zasahují také vládní instituce a komerční společnosti v členských státech NATO, na Ukrajině i v sousedních zemích.

Útočníci využívají známé taktiky jako password spraying, cílené phishingové e-maily, změny nastavení e-mailových schránek v prostředí Microsoft Exchange a zneužívání zranitelností v softwaru, jako je Outlook (NTLM) nebo WinRAR. Získávají tak přístup do systémů, kde následně instalují malware sloužící k udržení přítomnosti a odcizování dat.

Jednotka 26165 rovněž aktivně monitorovala přepravu pomoci na Ukrajinu prostřednictvím přístupu k IP kamerám umístěným na hraničních přechodech, železničních uzlech a dalších strategických bodech. V rámci sledované kampaně se zaměřili především na IP kamery využívající protokol RTSP, přičemž použili veřejně známé výchozí přihlašovací údaje nebo techniky brute force pro prolomení přístupu. Získaná data zahrnovala statické snímky a metadata z kamer. Z analýzy více než 10 000 cílených kamer vyplývá, že většina z nich (81 %) se nacházela na Ukrajině. Další se vyskytovaly v Rumunsku, Polsku, Maďarsku a na Slovensku.

Aktéři GRU se dále zaměřovali na jednotlivce odpovědné za koordinaci dopravy a společnosti spolupracující s napadenými organizacemi. Zneužívali důvěryhodné obchodní vztahy k dalšímu šíření v cílových sítích. Identifikovali také subjekty zapojené do výroby komponent pro systémy průmyslového řízení (ICS), které se používají např. v železniční dopravě.

Ve zprávě upozorňujeme, že tyto aktivity budou pravděpodobně pokračovat. Technologické a logistické společnosti, stejně jako organizace v oblasti dopravy, by proto měly posílit monitorování, aktivně vyhledávat známky kompromitace (threat hunting) a zavést odpovídající ochranná opatření proti těmto sofistikovaným hrozbám. Indikátory kompromitace a taktiky a techniky útočníků naleznete v plném znění dokumentu zde.

21.05.2025

Penetrační tester webových aplikací/ Etický hacker