İtalyan geliştirici Digital Attitude, web hizmetlerinin güvenliğini pentest ile artırdı
ITGLOBAL.COM bilgi güvenliği uzmanları, Black Box modelini kullanarak Digital Attitude için sızma testi sağladı. Pentest, kamu kaynaklarının ve müşteri hizmetlerinin güvenliğinin yanı sıra bulunan güvenlik açıklarının tehdit düzeyinin değerlendirilmesine yardımcı oldu.
Şirket hakkında
Digital Attitude, yeni teknolojilerin benimsenmesine yardımcı olan sanal bir eğitmen olan Alışkanlıklara İlham Veren Platform’u (hi) geliştirmiştir. Kullanıcılar hi yardımıyla kurumsal yazılım kullanımında yeni sosyal becerilerini geliştirmekte, eski becerilerini yenileriyle değiştirmektedir.
Digital Attitude’un temel projesi, Microsoft Office 365 ürünlerinin benimsenmesine yönelik sanal eğitmen müfredatıdır. Digital Attitude, İşbirliği ve Akıllı Çalışma kategorisinde 2020 Dijital Dönüşüm Şampiyonu Ödülleri’ni kazanan Microsoft’un “altın ortağı “dır.
Alışkanlıklara ilham veren konsept, davranışsal ekonomi alanında Nobel Ödülü sahibi ekonomist Richard Thaler’ın dürtme teorisine dayanıyor.
merhaba, personelin kurumsal uygulamalarla çalışırken “uygun beceriler” oluşturmasına yardımcı oluyor. Örneğin, dosyaları sadece “Belgeler” veya “Etkin Masaüstü “ne kaydetmek yerine düzenli olarak OneDrive ile senkronize edilmiş bir klasöre kaydetmek gibi. Merhaba ile çalışanlar MS Office, OneDrive, SharePoint ve diğer Microsoft 365 ürünlerinin tüm faydalı özelliklerini kullanmaya başlar. Böylece bir şirket tarafından Microsoft paketinin satın alınması bir masraftan yatırıma dönüşür.
Digital Attitude’un müşteri portföyünde petrol üretimi, bankacılık, sigorta ve sağlık gibi çeşitli sektörlerden büyük şirketler yer almaktadır.
Görev
hi platformu istemci kısmı ve sunucu kısmından oluşmaktadır. Bir çalışanın bilgisayarına yüklenen İstemci, gerekli ölçümleri anonim olarak toplar ve bunları IoT aracılığıyla hi’nin “beynine” gönderir. “Beyin” analiz yapar ve müşteriye hangi mesajın gösterileceğine karar verir. Teorik olarak, bir saldırgan “istemci-sunucu” bağlantısını keserse, bir çalışanın bilgisayarına erişim sağlayabilir.
Denis Sumin, tam yığın geliştirici, Digital Attitude IS uzmanı:
“Şirketimiz için kullanıcıların güvenliği ilk sırada yer alıyor. Her müşterinin yalnızca kimliği vardır. Hiçbir e-posta, hiçbir isim, hiçbir IP adresi – hiçbir şey saklamıyoruz, bu nedenle her şey son derece anonim. Yine de bu anonim kimliklerin bile hiçbir yere sızmamasına, onlara hiçbir taraftan erişim olmamasına sürekli özen gösteriyoruz”.
Digital Attitude platformun güvenli bir şekilde geliştirilmesine de önem veriyor. Hiçbir geliştiricinin hi’nin üretim sürümüne erişimi yoktur, bu nedenle bağımsız bir üretim dağıtımı mümkün değildir. Bunun yerine otomatik dağıtım Digital Attitude’un özel AWS hesabı üzerinden gerçekleştiriliyor. Her taahhüt dijital olarak imzalanır; sahtecilik yine imkansızdır. Her çekme isteği en az iki geliştirici tarafından doğrulanır. Zararlı kodu merhaba’ya eklemek için en az üç kişinin ortak çalışması gerekir.
Denis Sumin:
“İçeride her şeyi sağlam bir şekilde ayarladık. Ancak dış alan kontrolümüz dışında, bu nedenle Kara Kutu sızma testine karar verdik”.
Yöntem
Müşteri hizmetleri korumasının Kara Kutu modeli dış analizinin temel özelliği, bir saldırganın (pentester) şirket ve sistemleri hakkında hiçbir bilgiye sahip olmamasıdır. Pentest sırasında yalnızca müşterinin genel kaynaklarına yönelik saldırılar taklit edilir. Bir saldırı için kaynak veriler, web siteleri ve diğer kaynaklar dahil olmak üzere harici IP adresleri ve genel URL’lerdir: örneğin – posta, terminal ve dosya sunucuları. Tarama sonucunda erişimi ortaya çıkan diğer web hizmetleri de test edilir.
Pentest, güvenlik açıklarını, zayıf noktaları ve alternatif olarak korunan bilgilere erişim yollarını ortaya çıkarmayı amaçlar. Görevi yerine getirmek için, pentesterlar manuel analiz yapmanın yanı sıra çeşitli araçlar kullanırlar: çok amaçlı tarayıcılar ve bazı özel saldırı türleri için özel yardımcı programlar.
Pentester seçimi
ITGLOBAL.COM’a başvurmadan önce Digital Attitude hem Avrupalı hem de Amerikalı şirketlere sorular gönderdi. Batı’dan gelen pentesterlerin hiçbiri uygun zaman dilimleri belirleyemedi. Birçoğunun projeleri bir yıl öncesinden planlanmıştı – bu ve benzeri hizmetlere olan talep hem Avrupa’da hem de ABD’de gerçekten yüksek.
Denis Sumin:
“Avrupa pazarında yeni olan birkaç şirketi değerlendirmeye karar verdik. Ne yazık ki çoğunluğu sadece kendi yerel pazarlarında çalışıyordu. Bir şirket yabancı müşterilerle deneyimini teyit etti, ancak sitelerinde ne ilgili tek bir vaka ne de İngilizce bir kelime vardı”.
Sonuçta seçim bizim lehimize yapıldı. ITGLOBAL.COM yukarıda belirtilen tüm kriterlere uygun görünüyordu. IS uzmanları ayrıca işin nasıl yapılacağını, hangi vektörlerin ve saldırı araçlarının kullanılacağını ayrıntılı olarak belirtmek için zaman ayırdılar.
Sonuç
Genel olarak Digital Attitude çok yüksek seviyede koruma göstermiştir. Sadece bir orta seviye güvenlik açığı – XSS (Cross-Site Scripting) – bulunmuştur. Ancak istekli ve yeterince yetenekli bir saldırgan bunu kullanabilir.
“Beynin” istemciye gönderdiği mesajlar esasen HTML sayfalarıdır. Mümkün olduğunca hızlı iletilebilmeleri için tüm javascriptler sayfanın içine yerleştirilir. XSS saldırısı ilerledikçe, site değiştirilebilir – örneğin, değiştirilmiş komut dosyalarının eklenmesi ile.
Alexander Zubrikov, ITGLOBAL.COM IS Başkanı:
“Bu ölçekte bir güvenlik açığı bile bir dizi soruna yol açabilir. İlk olarak, bir saldırganın müşterinin merhaba sürümünü elde etmesi mümkündür. Digital Attitude Chrome motorunu kullandığından, sürümü bilen bir bilgisayar korsanı bu sürümü bilgisayara erişmeye izin veren güvenlik açıkları açısından inceleyebilir. İkinci olarak, bir saldırgan bir müşteriye değiştirilmiş bir içerik sunabilir – resimler, metinler vb. Kullanıcı bu mesajların şirket adına gönderildiğini düşünecek, yani onlara güvenecektir.
Son olarak, bir saldırgan basitçe bir kullanıcının çerezlerini çalabilir – iyi bilinen sonuçlarla”. Saldırıyı taklit eden ITGLOBAL.COM test uzmanları, müşteri tarafında çalıştırılan komut dosyalarını sayfaya eklemeyi başardı. Digital Attitude, İçerik Güvenliği Politikası ile güvenlik açığını derhal kapattı. Artık java scriptleri ek sertifika ile imzalanıyor: SHA-256 algoritması hash üretir, bu nedenle komut dosyasını değiştirmek imkansızdır.
Denis Sumin:
“Dürüst olmak gerekirse, herhangi bir güvenlik ihlali beklemiyorduk (gülüyor). Genel olarak ITGLOBAL.COM ile işbirliğine değer veriyoruz. Tüm sorunlar zamanında çözüldü. Her şey şeffaf ve profesyonelceydi. Araç kullanım düzeyi ve genel uzmanlık çok yüksek”.
ITGLOBAL.COM’un bilgi güvenliği hizmetleri
ITGLOBAL.COM şirketler grubu, bir ana müşteri, müşterileri ve bir bütün olarak iş için kritik riskleri en aza indirmeye olanak tanıyan bir dizi bilgi güvenliği hizmeti sunmaktadır. Denetçilerimiz ve IS uzmanlarımız dünya çapında benimsenen en iyi uygulamaları kullanmaktadır: NIST SP 800-xx, ISO 2700x, PCI DSS ve yaygın olarak tanınan sızma testi yöntemleri: OSSTMM, OWASP, NIST, PTES.