ITGLOBAL.COM bilgi güvenliği uzmanları, Kara Kutu modelini kullanarak Dijital Tutum için penetrasyon testi sağladı. Pentest, kamu kaynaklarının ve müşteri hizmetlerinin güvenliğinin yanı sıra bulunan güvenlik açıklarının tehdit düzeyinin değerlendirilmesine yardımcı oldu.

Şirket hakkında

Dijital Tutum, yeni teknolojilerin benimsenmesine yardımcı olan sanal bir eğitmen olan Alışkanlık yaratan Platform (hı) geliştirir. Hi kullanıcılarının yardımıyla, kurumsal yazılım kullanımında yeni yazılım becerilerini geliştirerek eski becerileri yenilerine dönüştürür.

Digital Attitude’un kilit projesi, sanal eğitmenin Microsoft Office 365 ürünlerini benimseme müfredatıdır. Dijital Tutumun kendisi, işbirliği ve Akıllı Çalışma kategorisinde Dijital Dönüşüm Şampiyonu Ödülleri 2020’yi kazanan Microsoft’un “altın ortağı” dır.

Alışkanlıktan ilham alan konsept, ekonomist ve Nobel Davranışsal Ekonomi Ödülü sahibi Richard Thaler’in dürtme teorisine dayanıyor.

hı, personelin kurumsal uygulamalarla çalışırken “uygun beceriler” oluşturmasına yardımcı olur. Örneğin, dosyaları yalnızca “Belgeler” veya “Active Desktop” a kaydetmek yerine, OneDrive ile senkronize edilmiş bir klasöre düzenli olarak kaydetmek için. Merhaba ile çalışanlar MS Office, OneDrive, SharePoint ve diğer Microsoft 365 ürünlerinin tüm kullanışlı özelliklerini kullanmaya başlar. Böylece bir şirket tarafından bir Microsoft paketinin satın alınması, bir masraftan yatırıma dönüşür.

Digital Attitude’un müşterisi, petrol üretimi, bankacılık, sigortacılık ve sağlık hizmetleri dahil olmak üzere çeşitli sektörlerden büyük şirketleri bünyesinde barındırıyor.

Görev

merhaba platform, istemci kısmı ve sunucu kısmından oluşur. Bir çalışanın bilgisayarına yüklenen müşteri, gerekli ölçümleri anonim olarak toplar ve bunları IoT aracılığıyla hı “beynine” gönderir. “Beyin” analiz yapar ve bir müşteriye hangi mesajın gösterileceğine karar verir. Teorik olarak, bir davetsiz misafir bir “istemci-sunucu” bağlantısını keserse, bir çalışanın bilgisayarına erişebilir.

[önemli]

Denis Sumin, tam yığın geliştirici, Dijital Tutum uzmandır:

“Şirketimiz için kullanıcıların güvenliği ilk sırada yer alıyor. Her müşterinin sadece kimliği vardır. E–posta yok, isim yok, IP adresi yok – hiçbir şey saklamıyoruz, bu yüzden her şey son derece anonim. Yine de bu isimsiz kimliklerin bile hiçbir yere sızmamasını, bunlara yan erişimin olmamasını sürekli önemsiyoruz “.

[/ önemli]

Dijital Tutum aynı zamanda platformun güvenli bir şekilde geliştirilmesini de önemser. Hiçbir geliştiricinin hı’nın üretim sürümüne erişimi yoktur, bu nedenle bağımsız bir üretim dağıtımı imkansızdır. Otomatik dağıtım bunun yerine Digital Attitude’un özel AWS hesabı aracılığıyla gerçekleştirilir. Her taahhüt dijital olarak imzalanır; sahtecilik yine imkansızdır. Her çekme isteği en az iki geliştirici tarafından doğrulanır. Hı’ya zararlı kod eklemek için en az üç kişiden oluşan işbirlikleri gerekir.

[önemli]

Denis Sumin:

“İçeride her şey sağlam bir şekilde ayarlanmış durumda. Ancak dış alan bizim kontrolümüz dışında, bu yüzden Kara Kutu penetrasyon testine karar verdik “.

[/ önemli]

Yöntem

Kara Kutu modelinin müşteri hizmetleri korumasının dış analizinin ana özelliği, bir davetsiz misafirin (pentester) şirket ve sistemleri hakkında hiçbir bilgiye sahip olmamasıdır. Bir pentest sırasında yalnızca müşterinin kamu kaynaklarına yapılan saldırılar taklit edilir. Bir saldırının kaynak verileri, web siteleri ve diğer kaynaklar dahil olmak üzere harici IP adresleri ve genel Url’lerdir: örneğin – posta, terminal ve dosya sunucuları. Tarama sırasında erişimi açıklanan diğer web hizmetleri de test edilir.

Pentest, güvenlik açıklarını, zayıf noktaları ve alternatif olarak korunan bilgilere erişmenin yollarını ortaya çıkarmayı amaçlamaktadır. Görevi yapmak için pentesterler manuel analiz yapar ve çeşitli araçlar kullanır: çok amaçlı tarayıcılar ve bazı belirli saldırı türleri için özel yardımcı programlar.

Pentester seçimi

Adreslemeden önce ITGLOBAL.COM , Dijital Tutum hem Avrupalı hem de Amerikalı şirketlere sorular gönderdi. Batıdan gelen pentesterlerin hiçbiri uygun zaman dilimleri belirleyemedi. Birçoğunun projelerinin bir yıl önceden planlanması gerekiyor – bu ve benzeri hizmetlere olan talep hem Avrupa’da hem de ABD’de gerçekten yüksek.

[önemli]

Denis Sumin:

«Avrupa pazarında yeni olan birkaç şirketi düşünmeye karar verdik. Ne yazık ki, çoğu yalnızca yerel pazarlarında çalışıyor. Bir şirket yabancı müşterilerle olan deneyimini doğruladı, ancak sitelerinde ne tek bir ilgili vaka ne de ingilizce bir kelime vardı “.

[/ önemli]

Böylece, sonunda seçim bizim lehimize yapıldı. ITGLOBAL.COM yukarıda belirtilen tüm kriterlere uygun görünüyordu. İD uzmanları ayrıca ayrıntılı olarak belirtmek için zaman ayırdılar: işin nasıl gerçekleştirileceği, hangi vektörlerin ve saldırı araçlarının kullanılacağı.

[önemli]

«Yıllar önce bilgisayar korsanlığı yapıyordum, bu yüzden bazı öğeler zaten bana çok aşinaydı. Çok ciddi yaklaşımınızı anladım ve takdir ettim: zaten ön görüşmeler aşamasında», — dedi Denis Sumin.

[/ önemli]

Sonuç

Genel olarak Dijital Tutum çok yüksek düzeyde koruma gösterdi. Yalnızca bir orta düzey güvenlik açığı – XSS (Siteler Arası Komut Dosyası Oluşturma) – bulundu. Ancak yeterince istekli ve yetenekli bir davetsiz misafir bundan faydalanabilir.

”Beyin” in bir istemciye gönderdiği mesajlar esasen HTML sayfalarıdır. Teslimatlarını olabildiğince hızlı hale getirmek için tüm javascript içeriye yerleştirilir. XSS saldırısı ortaya çıktıkça, site değiştirilebilir – örneğin, değiştirilmiş komut dosyalarının eklenmesiyle.

[önemli]

Alexander Zubrikov, ITGLOBAL.COM BAŞIDIR:

«Böyle bir ölçek açığı bile bir takım sorunlara yol açabilir. İlk olarak, bir davetsiz misafirin müşterinin hı sürümünü edinmesi mümkündür. Digital Attitude, Chrome motorunu kullandığından – sürümü bilen bir bilgisayar korsanı, bu sürümü bilgisayara erişime izin veren güvenlik açıkları açısından inceleyebilir.
İkincisi, bir davetsiz misafir müşteriye değiştirilmiş bir içerik sunabilir – resimler, metinler vb. Bu kullanıcı bu mesajları şirketin adından kaynaklanmış olarak değerlendirecek, yani onlara güvenecektir.

Son olarak, bir davetsiz misafir, bir kullanıcının çerezlerini – iyi bilinen sonuçlarla – çalabilir ».

[/ önemli]

Saldırıyı taklit etmek, ITGLOBAL.COM test ediciler, müşterinin tarafında yürütülen komut dosyalarını sayfaya eklemeyi başardılar. Dijital Tutum, güvenlik açığını İçerik Güvenliği Politikasıyla hemen düzeltti. Artık java komut dosyaları ek sertifika ile imzalanmıştır: SHA-256 algoritması karma oluşturur, bu nedenle komut dosyasını değiştirmek imkansızdır.

[önemli]

Denis Sumin:

“Dürüst olmak gerekirse, herhangi bir güvenlik ihlali beklemiyorduk (gülüyor). Genel olarak işbirliğine değer veriyoruz ITGLOBAL.COM . Tüm sorunlar zamanında çözüldü. Her şey şeffaf ve profesyoneldi. Takım kullanım düzeyi ve genel uzmanlık çok yüksek “dedi»

[/ önemli]

Bilgi güvenliği hizmetleri ITGLOBAL.COM

ITGLOBAL.COM şirketler grubu, bir ana müşteri, müşterileri ve bir bütün olarak iş dünyası için kritik riskleri en aza indirmeye olanak tanıyan bir dizi bilgi güvenliği hizmeti sunar. Denetçilerimiz ve IS uzmanlarımız, dünya çapında benimsenen en iyi uygulamaları kullanır: NIST SP 800-xx, ISO 2700x, PCI DSS ve yaygın olarak tanınan sızma testi yöntemleri: OSSTMM, OWASP, NIST, PTES.