Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Hacking Day 2011                         Application Security Audit                           in Theorie und Praxis       ...
Agenda       → Vorstellung       → Application Security Audit       → Optimaler Zeitpunkt       → Testansatz       → Schlu...
Vorstellung© 2011 OneConsult GmbH        3www.oneconsult.com
Referenten                         Jan Alsenz                         MSc ETH CS, OPST & OPSA                         Team...
Unternehmen       → OneConsult GmbH                ◦        Gründung 2003                ◦        IT Security Consulting &...
Dienstleistungen       → Security Audits                                   → Incident Response                ◦        Sec...
Application Security Audit© 2011 OneConsult GmbH               7www.oneconsult.com
Definition       Gründliche, technische, unprivilegierte und privilegierte       Sicherheitsüberprüfung einer Applikation ...
Berücksichtigt beispielsweise       → Architektur                         → Compliance       → Infrastruktur              ...
Stichwörter       → Applikationen                               → Ansätze                ◦        Online-Shops            ...
Zweck und Nutzen       → Qualitätssicherung dank (unabhängiger) IT Security-Analyse       → Compliance: Nachweis bezüglich...
Zweck und Nutzen       → Awareness auf allen Stufen       → Know-how Transfer       → Argumentationsgrundlage für zukünfti...
Knackpunkte       → Fach- und Sozialkompetenz der Tester und der am Projekt         beteiligten Mitarbeiter       → Vergle...
Optimaler Zeitpunkt© 2011 OneConsult GmbH            14www.oneconsult.com
Typische Szenarien       → Neuentwicklung       → Neuer Release       → Bestehende Lösung© 2011 OneConsult GmbH       15ww...
Typische Zeitpunkte© 2011 OneConsult GmbH       16www.oneconsult.com
Typische Zeitpunkte       → Frühe Entwicklung: Eher Konzept-Review© 2011 OneConsult GmbH              17www.oneconsult.com
Typische Zeitpunkte       → Frühe Entwicklung: Eher Konzept-Review       → In der Entwicklung: Eher Code-Review© 2011 OneC...
Typische Zeitpunkte       → Frühe Entwicklung: Eher Konzept-Review       → In der Entwicklung: Eher Code-Review       → Ge...
Typische Zeitpunkte       → Frühe Entwicklung: Eher Konzept-Review       → In der Entwicklung: Eher Code-Review       → Ge...
Typische Zeitpunkte       → In Produktiv-Umgebung vor Go-Live: optimal                ◦        Funktion komplett (+)      ...
Typische Zeitpunkte       → In Produktiv-Umgebung vor Go-Live: optimal                ◦        Funktion komplett (+)      ...
Testansatz© 2011 OneConsult GmbH       23www.oneconsult.com
Typische Phasen       → Offerte       → Kick-off       → Audit       → Report (Diskussion/Präsentation)© 2011 OneConsult G...
Typische Stolpersteine       → Offerte                ◦ Kein Geld/Budget eingeplant                ◦ Offerte zu früh: gena...
OneConsult Testansatz       Mischung aus zwei bekannten und verbreiteten Methoden       → OSSTMM       → OWASP© 2011 OneCo...
OSSTMM       → Open Source Security Testing Methodology Manual       → Entwicklung unter der Leitung von ISECOM,         I...
OSSTMM       → Sicherheitsniveau als neutraler Zahlenwert (Risk Assessment Value)       → Umfassender Verhaltenskodex (Rul...
Open Web Application Security Project (OWASP)       Idee       → Unternehmen können mit Hilfe von OWASP-Bordmitteln       ...
Open Web Application Security Project (OWASP)       Gratis und offen für jeden, der den Sicherheitsaspekt von       Applik...
Generischer Ablauf Application Security Audit© 2011 OneConsult GmbH        31www.oneconsult.com
Schlussbericht© 2011 OneConsult GmbH         32www.oneconsult.com
Schlussbericht       Die Dokumentation sollte mindestens die folgenden Punkte       beinhalten:       → Kurze und prägnant...
Live Demo© 2011 OneConsult GmbH       34www.oneconsult.com
Live Demo       Live-Vorstellung der Beispiel-Applikation       Credits       → Für die Live Demo wird Hacme Bank v2.0 von...
Typische Schwachstellen       → Typische Schwachstellen-Liste:                ◦        Injection                ◦        C...
SQL Injection       → Bedeutung                ◦ Applikation wird so angesprochen, dass diese (vom Betreiber nicht        ...
SQL Injection                   Inputfeld                               1         $id = $_GET[id];                        ...
SQL Injection: Abhilfe       → Verwendung einer Schnittstelle welche Bind-Variablen         unterstützt (Prepared Statemen...
Cross Site Scripting (XSS)       → Bedeutung                ◦ Rohdaten eines Angreifers werden an den Browser eines Users ...
Cross Site Scripting (XSS)                                                                 1                              ...
Cross Site Scripting (XSS): Abhilfe       → Unterbinden der Schwachstelle                ◦ Keine vom Benutzer gelieferten ...
Session-Handling       → Bedeutung                ◦ Session-IDs ermöglichen es aus dem ansonsten statuslosen HTTP,        ...
Session-Handling                                     1                         Opfer               Session-ID             ...
Session-Handling: Abhilfe       → Session-IDs sollten immer durch SSL geschützt werden       → Oder zusätzlich an IP oder ...
Cross Site Request Forgery (CSRF)       → Bedeutung                ◦ Browser des Opfers führt ungewollt Aktionen auf einer...
Cross Site Request Forgery (CSRF)                                     2                     1        Angreifer            ...
Cross Site Request Forgery (CSRF): Abhilfe       → Verwenden eines nicht automatisch übermittelten Tokens für         alle...
Web Application Firewall (WAF)       → Volle Unterstützung für HTTP:                ◦ Der Zugriff auf einzelne Felder (Fel...
Web Application Firewall (WAF)© 2011 OneConsult GmbH     50www.oneconsult.com
Web Application Firewall (WAF)       Eine WAF kann und wird NICHT alle Angriffe erkennen und       verhindern können!© 201...
Fragen© 2011 OneConsult GmbH     52www.oneconsult.com
© 2011 OneConsult GmbHwww.oneconsult.com       OneConsult Ansprechpartner         Jan Alsenz                    Robert Sch...
Nächste SlideShare
Wird geladen in …5
×

8 robert schneider application security-audit_in_theorie_und_praxis

1.573 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

8 robert schneider application security-audit_in_theorie_und_praxis

  1. 1. Hacking Day 2011 Application Security Audit in Theorie und Praxis Jan Alsenz & Robert Schneider© 2011 OneConsult GmbH 16. Juni 2011www.oneconsult.com
  2. 2. Agenda → Vorstellung → Application Security Audit → Optimaler Zeitpunkt → Testansatz → Schlussbericht → Live Demo → Fragen© 2011 OneConsult GmbH 2www.oneconsult.com
  3. 3. Vorstellung© 2011 OneConsult GmbH 3www.oneconsult.com
  4. 4. Referenten Jan Alsenz MSc ETH CS, OPST & OPSA Team Leader Security Audits jan.alsenz@oneconsult.com +41 79 377 15 15 Robert Schneider BSc FH CS, OPST Security Consultant robert.schneider@oneconsult.com +41 79 269 29 29© 2011 OneConsult GmbH 4www.oneconsult.com
  5. 5. Unternehmen → OneConsult GmbH ◦ Gründung 2003 ◦ IT Security Consulting & strategische Beratung ◦ Kein Verkauf von Hard- und Software ◦ 11 Mitarbeitende, wovon 9 Consultants ◦ Christoph Baumgartner, CEO & Inhaber ◦ Jan Alsenz, Teamleiter Security Audits & Teilhaber ◦ Dr. Cathrin Senn, Senior Consultant & Teilhaberin → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Österreich: Niederlassung in Wien© 2011 OneConsult GmbH 5www.oneconsult.com
  6. 6. Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Security Awareness Training → Consulting ◦ Coaching ◦ Strategy & Organisation ◦ Policies & Guidelines → Security as a Service ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management© 2011 OneConsult GmbH 6www.oneconsult.com
  7. 7. Application Security Audit© 2011 OneConsult GmbH 7www.oneconsult.com
  8. 8. Definition Gründliche, technische, unprivilegierte und privilegierte Sicherheitsüberprüfung einer Applikation und der zugehörigen Systeme aus der Perspektive eines Angreifers mit Skill Level «Hacker / Cracker».© 2011 OneConsult GmbH 8www.oneconsult.com
  9. 9. Berücksichtigt beispielsweise → Architektur → Compliance → Infrastruktur → Verantwortlichkeiten ◦ Vertrauensstellungen → User Management ◦ Authentisierungs- → Dokumentationspflege mechanismen → Umgang mit Source Code → Implementation → Patching-Prozess → Source Code© 2011 OneConsult GmbH 9www.oneconsult.com
  10. 10. Stichwörter → Applikationen → Ansätze ◦ Online-Shops ◦ Client und Server ◦ Interbanking-Portale ◦ Dediziert vs. virtualisiert (Cloud) ◦ Mailserver ◦ Mobile Client ◦ Datenbanken ◦ Web Application vs. Web ◦ Branchenlösungen Service ◦ Mobile Apps ◦ Etc. ◦ Etc. → Environment ◦ Betriebssystem ◦ Programmiersprache ◦ Framework ◦ Etc.© 2011 OneConsult GmbH 10www.oneconsult.com
  11. 11. Zweck und Nutzen → Qualitätssicherung dank (unabhängiger) IT Security-Analyse → Compliance: Nachweis bezüglich gesetzlicher Rahmenbedingungen und Vorgaben → Prävention: Ermöglicht (in der Zukunft) direkte und indirekte Kosteneinsparungen© 2011 OneConsult GmbH 11www.oneconsult.com
  12. 12. Zweck und Nutzen → Awareness auf allen Stufen → Know-how Transfer → Argumentationsgrundlage für zukünftige ◦ IT Security-Investitionen ◦ Aktivitäten© 2011 OneConsult GmbH 12www.oneconsult.com
  13. 13. Knackpunkte → Fach- und Sozialkompetenz der Tester und der am Projekt beteiligten Mitarbeiter → Vergleichbarkeit und Nachvollziehbarkeit von ◦ Offerten ◦ Vorgehen ◦ Resultaten und Dokumentationen → Compliance zu Gesetzen, Standards und Vorgaben erwünscht, aber: ◦ Nur rudimentäre Behandlung von technischen Audits in Standards (z.B. ISO/IEC 2700x) ◦ Keine offiziellen Checklisten oder Guidelines verfügbar© 2011 OneConsult GmbH 13www.oneconsult.com
  14. 14. Optimaler Zeitpunkt© 2011 OneConsult GmbH 14www.oneconsult.com
  15. 15. Typische Szenarien → Neuentwicklung → Neuer Release → Bestehende Lösung© 2011 OneConsult GmbH 15www.oneconsult.com
  16. 16. Typische Zeitpunkte© 2011 OneConsult GmbH 16www.oneconsult.com
  17. 17. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review© 2011 OneConsult GmbH 17www.oneconsult.com
  18. 18. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review© 2011 OneConsult GmbH 18www.oneconsult.com
  19. 19. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review → Gegen Ende der Entwicklung: ◦ Häufig noch nicht alles fertig oder nicht funktionierend (-) ◦ Nicht finales Umfeld (-)© 2011 OneConsult GmbH 19www.oneconsult.com
  20. 20. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review → Gegen Ende der Entwicklung: ◦ Häufig noch nicht alles fertig oder nicht funktionierend (-) ◦ Nicht finales Umfeld (-) → In der Test-Phase: ◦ Nicht finales Umfeld (-) ◦ Teilweise noch nicht alles fertig / komplett funktionierend (-)© 2011 OneConsult GmbH 20www.oneconsult.com
  21. 21. Typische Zeitpunkte → In Produktiv-Umgebung vor Go-Live: optimal ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Noch nicht produktiv (+) ◦ Meistens dedizierte Testingzeit nötig (-)© 2011 OneConsult GmbH 21www.oneconsult.com
  22. 22. Typische Zeitpunkte → In Produktiv-Umgebung vor Go-Live: optimal ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Noch nicht produktiv (+) ◦ Meistens dedizierte Testingzeit nötig (-) → Live: ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Produktiv (evtl. Ausfälle) (-)© 2011 OneConsult GmbH 22www.oneconsult.com
  23. 23. Testansatz© 2011 OneConsult GmbH 23www.oneconsult.com
  24. 24. Typische Phasen → Offerte → Kick-off → Audit → Report (Diskussion/Präsentation)© 2011 OneConsult GmbH 24www.oneconsult.com
  25. 25. Typische Stolpersteine → Offerte ◦ Kein Geld/Budget eingeplant ◦ Offerte zu früh: genauer Scope noch nicht bekannt ◦ Offerte zu spät: zu wenig Zeit vor Go-Live → Kick-off ◦ Parteien kommunizieren auf unterschiedlichen Ebenen ◦ Zu viele/falsche Personen sind anwesend ◦ Änderung des Scopes → Audit ◦ Verschiebungen ◦ Applikation/Umgebung noch nicht fertig ◦ Kundenseitige Vorbereitungen nicht abgeschlossen© 2011 OneConsult GmbH 25www.oneconsult.com
  26. 26. OneConsult Testansatz Mischung aus zwei bekannten und verbreiteten Methoden → OSSTMM → OWASP© 2011 OneConsult GmbH 26www.oneconsult.com
  27. 27. OSSTMM → Open Source Security Testing Methodology Manual → Entwicklung unter der Leitung von ISECOM, Institute for SECurity and Open Methodologies, http://www.osstmm.org → Erstausgabe 2001, aktueller offizieller Release OSSTMM 3.0 → Offene und frei verfügbare Methode zur ◦ Planung ◦ Durchführung ◦ Grobdokumentation von (technischen) Security Audits© 2011 OneConsult GmbH 27www.oneconsult.com
  28. 28. OSSTMM → Sicherheitsniveau als neutraler Zahlenwert (Risk Assessment Value) → Umfassender Verhaltenskodex (Rules of Engagement) → Compliant zu ISO/IEC 17799/27001, ITIL, BSI-Standard-100-1/4, SOX, Basel II etc. → Optionale Zertifizierung (Projekte, Personen und Organisationen) durch ISECOM → OneConsult ◦ ISECOM Licensed Auditor (Platinum Level) ◦ ISECOM Partner (akkreditierter Schulungsanbieter) ◦ Aktive Mitarbeit am OSSTMM: 3 Mitarbeiter im ISECOM Core Team ◦ Mehr als 300 Projekte nach OSSTMM seit 2003© 2011 OneConsult GmbH 28www.oneconsult.com
  29. 29. Open Web Application Security Project (OWASP) Idee → Unternehmen können mit Hilfe von OWASP-Bordmitteln Applikationen ◦ Entwickeln ◦ Beschaffen und ◦ Pflegen Ziel → Mehr Sicherheit in Applikationen© 2011 OneConsult GmbH 29www.oneconsult.com
  30. 30. Open Web Application Security Project (OWASP) Gratis und offen für jeden, der den Sicherheitsaspekt von Applikationen verbessern möchte. → OWASP Top 10 → Tools → Dokumente → Foren → Teilnahme an Meetings der Ortsverbände http://www.owasp.org© 2011 OneConsult GmbH 30www.oneconsult.com
  31. 31. Generischer Ablauf Application Security Audit© 2011 OneConsult GmbH 31www.oneconsult.com
  32. 32. Schlussbericht© 2011 OneConsult GmbH 32www.oneconsult.com
  33. 33. Schlussbericht Die Dokumentation sollte mindestens die folgenden Punkte beinhalten: → Kurze und prägnante Zusammenfassung (Management Summary) → Liste mit den detektierten Risiken (inkl. Kategorisierung) → Massnahmen und Empfehlungen (inkl. Priorisierung)© 2011 OneConsult GmbH 33www.oneconsult.com
  34. 34. Live Demo© 2011 OneConsult GmbH 34www.oneconsult.com
  35. 35. Live Demo Live-Vorstellung der Beispiel-Applikation Credits → Für die Live Demo wird Hacme Bank v2.0 von McAfee (Foundstone) verwendet. http://www.mcafee.com/© 2011 OneConsult GmbH 35www.oneconsult.com
  36. 36. Typische Schwachstellen → Typische Schwachstellen-Liste: ◦ Injection ◦ Cross Site Scripting (XSS) ◦ Broken Authentication and Session Management ◦ Insecure Direct Object References ◦ Cross Site Request Forgery (CSRF) ◦ Security Misconfiguration ◦ Insecure Cryptographic Storage ◦ Failure to Restrict URL Access ◦ Insufficient Transport Layer Protection ◦ Unvalidated Redirects und Forwards© 2011 OneConsult GmbH 36www.oneconsult.com
  37. 37. SQL Injection → Bedeutung ◦ Applikation wird so angesprochen, dass diese (vom Betreiber nicht gewünschte) Kommandos an die Datenbank weiterleitet. → Datenbank ◦ Führt die eingeschleusten Kommandos aus → Impact ◦ Auslesen und unter Umständen Modifikation der gesamten Datenbank ◦ Voller Datenbank-Schema-, Account- oder sogar OS-Level-Zugriff© 2011 OneConsult GmbH 37www.oneconsult.com
  38. 38. SQL Injection Inputfeld 1 $id = $_GET[id]; $querry = "SELECT name FROM users WHERE id = $id"; 2 Webserver© 2011 OneConsult GmbH 38www.oneconsult.com
  39. 39. SQL Injection: Abhilfe → Verwendung einer Schnittstelle welche Bind-Variablen unterstützt (Prepared Statements, Stored Procedures) → Encoding der Benutzereingaben vor Übergabe an Datenbank → Inputvalidation anhand einer „White List“ → Minimalberechtigungen für Datenbankuser© 2011 OneConsult GmbH 39www.oneconsult.com
  40. 40. Cross Site Scripting (XSS) → Bedeutung ◦ Rohdaten eines Angreifers werden an den Browser eines Users gesendet → Rohdaten ◦ In Datenbank abgespeichert: Stored XSS ◦ Von Web-Input reflektiert: Reflected XSS › Formularfeld, verstecktes Feld, URL, etc. → Impact ◦ Stehlen von › Aktiven Benutzer-Sessions › Sensitiven Daten › Benutzer-Zugangsdaten (Phishing) ◦ Umschreiben der Webseite (Defacement) ◦ Installation eines XSS-Proxys › Monitoring und Steuerung des Benutzerverhaltens › Umleiten auf andere Seiten© 2011 OneConsult GmbH 40www.oneconsult.com
  41. 41. Cross Site Scripting (XSS) 1 <script> // Stehlen der aktiven 2 // Benutzer-Sessions </script> 3 Webserver Angreifer Opfer 4 <script> // Stehlen der aktiven // Benutzersessions </script>© 2011 OneConsult GmbH 41www.oneconsult.com
  42. 42. Cross Site Scripting (XSS): Abhilfe → Unterbinden der Schwachstelle ◦ Keine vom Benutzer gelieferten Eingaben in Seiten einbinden → Schutzmassnahmen ◦ Output Encoding › Benutzereingaben werden vor der Ausgabe encodiert ◦ Inputvalidation › Benutzereingaben werden mittels „White List“-Ansatz validiert© 2011 OneConsult GmbH 42www.oneconsult.com
  43. 43. Session-Handling → Bedeutung ◦ Session-IDs ermöglichen es aus dem ansonsten statuslosen HTTP, statusorientierte Anfragen zu versenden ◦ Session-IDs können oft an den folgenden Stellen ausgelesen werden: › Netzwerke (WLAN) › Browser (Cookie) › Logs › Etc. → Impact ◦ Session Hijacking › Angreifer gelangt an gültige Session-ID › Im Kontext des betroffen Benutzers agieren© 2011 OneConsult GmbH 43www.oneconsult.com
  44. 44. Session-Handling 1 Opfer Session-ID Webserver 2 3 4 Session-ID Angreifer© 2011 OneConsult GmbH 44www.oneconsult.com
  45. 45. Session-Handling: Abhilfe → Session-IDs sollten immer durch SSL geschützt werden → Oder zusätzlich an IP oder Browser-Merkmale gebunden werden → Session-IDs sollten zufällig und nicht vorhersagbar sein → Session-ID sollte bei der Anmeldung ausgetauscht werden → Zerstören der Session bei der Benutzerabmeldung / Timeout© 2011 OneConsult GmbH 45www.oneconsult.com
  46. 46. Cross Site Request Forgery (CSRF) → Bedeutung ◦ Browser des Opfers führt ungewollt Aktionen auf einer vom Angreifer gewählten verwundbaren Seite aus. ◦ Funktioniert weil Browser automatisch einen Grossteil der Authentisierungsdaten an jede abgesendete Anfrage anhängt › Session-Cookies › Basic Authentication Header › IP-Adresse › Client-seitige SSL Zertifikate › Windows-Domänen-Authentisierung → Impact ◦ Initiieren von Transaktionen › Überweisungen › Benutzerlogout › Etc. ◦ Änderung von Kontendaten ◦ Ausnutzen von XSS© 2011 OneConsult GmbH 46www.oneconsult.com
  47. 47. Cross Site Request Forgery (CSRF) 2 1 Angreifer Opfer Webserver 3 <script> // Bank: überweise 500 </script>© 2011 OneConsult GmbH 47www.oneconsult.com
  48. 48. Cross Site Request Forgery (CSRF): Abhilfe → Verwenden eines nicht automatisch übermittelten Tokens für alle Aktions-Anfragen ◦ Z.B. Hidden Post Parameter ◦ Token sollte kryptografisch stark zufällig sein XSS Schwachstelle ermöglicht es diese Massnahme zu umgehen.© 2011 OneConsult GmbH 48www.oneconsult.com
  49. 49. Web Application Firewall (WAF) → Volle Unterstützung für HTTP: ◦ Der Zugriff auf einzelne Felder (Feldinhalt, Länge, Anzahlfelder, etc.) ◦ Gesamte Transaktion (beide, Anfrage und Antwort) → Kann gewisse Angriffe verhindern ◦ CSRF ◦ Session-Handling → Versucht andere Angriffe zu filtern → Anti-Evasion-Funktionen ◦ Normalisierung ◦ Kanonisierung ◦ Transformation© 2011 OneConsult GmbH 49www.oneconsult.com
  50. 50. Web Application Firewall (WAF)© 2011 OneConsult GmbH 50www.oneconsult.com
  51. 51. Web Application Firewall (WAF) Eine WAF kann und wird NICHT alle Angriffe erkennen und verhindern können!© 2011 OneConsult GmbH 51www.oneconsult.com
  52. 52. Fragen© 2011 OneConsult GmbH 52www.oneconsult.com
  53. 53. © 2011 OneConsult GmbHwww.oneconsult.com OneConsult Ansprechpartner Jan Alsenz Robert Schneider MSc ETH CS, OPST & OPSA BSc FH CS, OPST Team Leader Security Audits Security Consultant jan.alsenz@oneconsult.com robert.schneider@oneconsult.com +41 79 377 15 15 +41 79 269 29 29 Hauptsitz Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Twin Tower, Wienerbergstrasse 11/12A 8800 Thalwil 1100 Wien Schweiz Österreich Tel +41 43 377 22 22 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.at© 2011 OneConsult GmbHwww.oneconsult.com

×