Etap planowania
Przed uruchomieniem produkcyjnym portalu służącemu obsłudze klientów korporacyjnych, instytucja finansowa zleciła wykonanie testu bezpieczeństwa.
Ustalono, że testy obejmować będą:
- aplikację www (portal),
- infrastrukturę (system operacyjny, serwer aplikacyjny, serwer www),
- sieć (w której znajduje się portal www).
Etap realizacji
Dwutygodniowe testy wykonywane były metodą:
- blackbox dla aplikacji i sieci (bez kodu źródłowego aplikacji, bez znajomości konfiguracji urządzeń sieciowych),
- whitebox dla infrastruktury (ze znajomością konfiguracji komponentów infrastruktury).
W znacznej mierze testy prowadzone były zdalnie, co umożliwiło nieabsorbowanie pracowników Zlecającego.
Na bieżąco tworzone były raporty zawierające informacje o zlokalizowanych błędach bezpieczeństwa, a w trybie natychmiastowym zgłaszane były podatności krytyczne. Umożliwiło to naprawę najistotniejszych błędów jeszcze przed ukończeniem testu.
Większość prac wykonywała była zdalnie, a komunikacja odbywała się z wykorzystaniem poniższych środków wysokiej ostrożności:
- wykorzystanie szyfrowanej poczty e-mail,
- przechowywanie poufnych informacji tylko w formie szyfrowanej (na dyskach twardych jak i na pendrive),
- trwałe usuwanie poufnych danych (zarówno jeśli chodzi o formę elektroniczną i papierową).
Etap korekty
Instytucja finansowa otrzymała precyzyjny raport podatności zawierający dokładny opis każdego ze znalezionych błędów bezpieczeństwa (łącznie z opisem naprawy).
Znaleziono błędy m.in.: następującej klasy:
- SQL injection (umożliwiające pełen nieautoryzowany dostęp do bazy danych z poziomu Internetu),
- Persistent XSS (umożliwiające m.in. zautomatyzowane przejmowanie kont innych użytkowników),
|
- Authorization bypass (umożliwiające pełen dostęp do dokumentów, które dostępne powinny być tylko dla odpowiednich, zalogowanych użytkowników),
- Wykorzystanie nieaktualnej wersji oprogramowania serwera aplikacyjnego (umożliwiające zastopowanie działania całego portalu z poziomu Internetu - atak klasy DoS).
Ponadto znaleziono mniej powszechne błędy, np.:
- silnik wyszukiwawczy google zawierał zindeksowane strony portalu działające w trybie debug (w google cache wykryto dostępne dokładne komunikaty o błędach, umożliwiające określenie oprogramowania działającego w ramach portalu. Błąd umożliwia dokładne zaplanowanie ataku, bazując na informacjach, które powinny być dostępne tylko dla programistów portalu),
- Dostawca oprogramowania utrzymywał w swojej infrastrukturze niezabezpieczoną, dostępną z poziomu Internetu, testową wersję portalu (potencjalny atakujący mógł łatwo odnaleźć podatności na niezabezpieczonym systemie, a następnie wykonać skuteczny atak na realnym, lustrzanym systemie instytucji finansowej).
Etap ponownego sprawdzania
Dostawca oprogramowania na bieżąco wprowadzał poprawki do wdrażanego systemu. Wszystkie poprawki były ponownie sprawdzane - pod względem swojej skuteczności.
Wnioski
Wykonując test bezpieczeństwa, organizacja finansowa odniosła następujące korzyści:
znacznie zwiększyła bezpieczeństwo danych przetwarzanych w portalu (poprzez usunięcie wykrytych w portalu krytycznych błędów bezpieczeństwa),
znacznie zmniejszyła ryzyko utraty reputacji (zagrożenie tego typu istnieje np. w przypadku przejęcia kontroli nad portalem przez grupy hackerskie),
podniosła poziom wiedzy dotyczący bezpieczeństwa IT swoich pracowników (kolejny wdrażany system będzie mógł być szeroko i szybciej zabezpieczony),
zwiększyła wiarygodność biznesową. Partnerzy biznesowi otrzymali informację o wykonanym z powodzeniem audycie bezpieczeństwa,
na podstawie otrzymanego raportu, organizacja wdrożyła inne zabezpieczenia, chroniące portal www przed nieznanymi zagrożeniami płynącymi z Internetu.
|
