Итальянская компания-разработчик Digital Attitude повысила защищенность веб-сервисов с помощью пентеста
Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box. Пентест помог оценить безопасность публичных ресурсов и клиентских сервисов, а также уровень критичности найденных уязвимостей.О компании
Digital Attitude разрабатывает Habit-inspiring Platform (hi) — виртуального тренера, который помогает адаптироваться к новым технологиям. С помощью hi пользователи развивают гибкие навыки (soft skills) при работе с корпоративным ПО путем замены старых привычек на новые.
Ключевой проект Digital Attitude — учебный план виртуального тренера для адаптации продуктов Microsoft Office 365. Компания — «золотой партнер» Microsoft, лауреат Digital Transformation Champ Awards 2020 в номинации Collaboration & Smartworking.
Концепция помощника hi основана на теории подталкивания (nudge theory). Автор теории — Ричард Талер, экономист, который получил нобелевскую премию за исследования в области поведенческой экономики.
hi помогает сотрудникам сформировать «правильные привычки» при работе с корпоративными приложениями. Например, регулярно сохранять файлы в папке, которая синхронизируется с OneDrive, а не просто в «Документы» или на «Рабочий стол». Благодаря hi сотрудники начинают использовать все полезные функции MS Office, OneDrive, SharePoint и других продуктов Microsoft 365. Так покупка пакета Microsoft превращается для компании не в расход, а в инвестицию.
Среди клиентов Digital Attitude — крупные компании из различных отраслей, включая нефтедобывающий и банковский сектор, страхование и здравоохранение.
Задача
Платформа hi состоит из клиентской и серверной частей. Клиент, установленный на ПК сотрудника, анонимно собирает необходимые метрики и отправляет по IoT-сети в «мозг» hi. «Мозг» анализирует данные и решает, какое сообщение лучше показать пользователю. Теоретически, если злоумышленник перехватит соединение «клиент — сервер», он может получить доступ к компьютеру сотрудника.
Денис Сумин, фуллстек-разработчик, специалист по ИБ Digital Attitude:
«Для нашей компании безопасность пользователей стоит на первом месте. У каждого пользователя есть только ID. Мы не храним ни email, ни имена, ни IP-адреса — вообще ничего. То есть все очень сильно анонимизировано. И всё же мы постоянно заботимся о том, чтобы даже эти анонимные ID никуда не ушли, чтобы никто не получил к ним доступ».
Digital Attitude также заботятся и о безопасной разработке платформы. Ни у одного из разработчиков нет доступа к продакшн-версии hi, то есть никто не может сделать deploy в продакшн самостоятельно. Для этого у Digital Attitude есть специальный аккаунт на AWS, который делает deploy автоматически. Каждый commit подписан цифровой подписью, подделать его нельзя. Каждый pull request проверяется минимум двумя разработчиками. Чтобы внести вредоносный код в hi, требуется сговор как минимум трех человек.
Денис Сумин:
«Внутри у нас все очень жестко организовано. Однако на внешнюю среду мы повлиять не можем, поэтому и заказали пентест по модели Black Box».
Методика
Основное отличие внешнего анализа защищенности клиентских сервисов по модели Black Box («черный ящик») — в том, что пентестеру ничего не известно о компании и ее системах. В ходе пентеста имитируются атаки только на публичные ресурсы заказчика. Исходные данные для атаки — внешние IP-адреса и URL общедоступных сервисов. В их числе веб-сайты и другие ресурсы — например, почтовый, терминальный и файловый серверы. Тестируются и другие веб-сервисы, доступ к которым обнаружен при сканировании.
Задача пентеста — выявить уязвимости, слабые места и возможность несанкционированного доступа к защищаемой информации. Для этого пентестеры применяют ручной анализ, а также различное ПО: универсальные сканеры и специализированные утилиты для отдельных видов атак.
Выбор пентестера
Перед тем, как обратиться к ITGLOBAL.COM, Digital Attitude отправили в запросы европейским и американским компаниям. Ни один из западных пентестеров не назвал реальные сроки выполнения. У большинства проекты расписаны на год вперед — настолько высок сейчас спрос на подобные услуги в Европе и США. В России ситуация иная.
Денис Сумин:
«Мы решили рассмотреть несколько российских компаний. К сожалению, большинство из них работают только на местном рынке. Одна из компаний подтвердила, что работает с зарубежными заказчиками, но при этом у них не было ни одного релевантного кейса, и ни слова по-английски на сайте».
Выбор в итоге был сделан в нашу пользу. Описанным выше критериям ITGLOBAL.COM полностью отвечала. К тому же специалисты по ИБ детально объяснили, как будут проводиться работы, какие векторы атаки и какие инструменты будут задействованы.
«Много лет назад я увлекался хакингом, некоторые вещи мне хорошо знакомы. Уже после предварительного согласования работ я понял, что люди у вас серьезные», — отметил Денис.
Результат
В целом Digital Attitude показал очень высокий уровень защищенности. Была найдена всего одна уязвимость среднего уровня критичности — XSS (Cross-Site Scripting). Впрочем, при желании (и умении) злоумышленник мог бы воспользоваться ею.
Сообщения, которые «мозг» hi отправляет клиенту, представляют собой HTML-страницы. Чтобы сделать их максимально быстрыми, весь javascript помещен внутрь. При развитии XSS-атаки страницу можно было бы модифицировать — например, внести свои скрипты.
Руководитель направления информационной безопасности ITGLOBAL.COM Александр Зубриков:
«Подобная уязвимость чревата несколькими проблемами. Во-первых, есть вероятность, что злоумышленнику удастся узнать версию клиента hi. Поскольку Digital Attitude используют движок Chrome, хакер, узнав его версию, мог бы выяснить, есть ли у этой версии уязвимости, которые позволяют получить доступ к компьютеру.
Во-вторых, злоумышленник может показать пользователю свой контент — изображения, тексты и так далее. Пользователь будет думать, что эти сообщения появляются от имени компании, то есть будет им доверять.
Ну, и наконец, злоумышленник может украсть cookies пользователя — со всеми вытекающими последствиями».
При имитации атаки во время пентеста специалистам ITGLOBAL.COM удалось вставить в страницу свой скрипт, который был выполнен на стороне клиента.
Digital Attitude сразу же устранили уязвимость с помощью Content Security Policy. Сейчас java-скрипты подписываются дополнительным сертификатом: алгоритм SHA-256 генерирует хеш и подменить скрипт уже невозможно.
Денис Сумин:
«Вообще, конечно, мы ожидали, что у нас ничего не найдут (смеется). В целом сотрудничество с ITGLOBAL.COM нам понравилось. Все вопросы решались оперативно. Всё прозрачно и профессионально. Уровень владения инструментами и подготовки очень высокий».
Услуги информационной безопасности ITGLOBAL.COM
Группа компаний ITGLOBAL.COM предлагает комплекс услуг по информационной безопасности, которые помогают снизить негативные риски, критичные для клиентов заказчика и для бизнеса. Наши аудиторы и специалисты по ИБ используют лучшие мировые практики: NIST SP 800-xx, ISO 2700x, PCI DSS, а также общепризнанные методологии тестирования на проникновение: OSSTMM, OWASP, NIST, PTES.