Pentest, finom’un web uygulamasının iyi korunduğunu gösterdi. ITGLOBAL.COM pentest raporu finom’un Avrupa ortak bankası tarafından kabul edildi ve onaylandı.
FİNOM hakkında
FİNOM, merkezi Hollanda’nın Amsterdam şehrinde bulunan uluslararası bir finans şirketidir. Faturalama, çoklu bankacılık, sanal kartlar vb. Gibi küçük ve orta ölçekli işletmelere dijital finansal hizmetler sağlarlar.
Şu anda şirket italya, Fransa ve Almanya’dan müşterilerle çalışıyor; yakında daha fazla ülke gelecek.
Görev
Finom’un web portalı, kurumsal müşteriler de dahil olmak üzere farklı kullanıcılar için kişisel hesapları olan tek sayfalık bir uygulamadır. Kişisel hesap, bankacılık hesapları, bakiyeleri hakkındaki bilgiler, ödeme ve kredi kartları, ödeme geçmişi vb. Gibi çeşitli öneme sahip verileri depolar. Kişisel hesabı kullanarak bir yönetici, şirketinin tüm finansal süreçlerini yönetebilir. Bu nedenle, bu belirli web hizmeti bileşeninin güvenliği kritik öneme sahiptir.
[önemli]
Andrey Varikov, FİNOM CIO:
“Avrupa’nın GDPR kapsamında kişisel veri güvenliği için çok zorlu gereksinimleri var (Genel Veri Koruma Yönetmeliği — editörün notu). Bu gereklilikleri ciddiye alıyoruz ve kişisel verilerin güvenli bir şekilde işlendiğinden emin olmak için çok dikkat ediyoruz. FİNOM bir startup olmasına rağmen, altyapımızı yüksek düzeyde BT güvenliği sağlayacak şekilde inşa ediyoruz.”
[/ önemli]
FİNOM ile iletişime geçildi ITGLOBAL.COM kişisel hesaplarının güvenliğini bir pentest ile değerlendirmek. Denetçilerin yalnızca açık kaynaklardan gelen bilgilere erişebildiği bir Kara Kutu pentesti yapmaya karar verdik. Bu tür bir pentest, alabildiğimiz kadar bir dizi siber saldırının mükemmel bir taklidine dayanmaktadır. Bu, web kaynağının dışarıdan saldırıya uğramaya karşı ne kadar dirençli olduğunu doğru bir şekilde değerlendirmemize yardımcı olur.
Bir pentester seçmek
Andrey Varikov’a göre, bir denetçi ararken, pentesterlerin uzman yabancı kataloglardaki derecelendirmelerine, son teslim tarihlerine ve hizmet maliyetine bakıyorlardı.
Seçim süreci çok kapsamlıydı. Finom’un BT uzmanları bankacılık sektörü hakkında geniş bilgiye sahiptir, bankacılık hizmetlerinin nasıl güvence altına alındığını, pentestlerin nasıl yapıldığını ve bir pentesterin bilmesi ve yapabilmesi gerekenleri bilirler.
[önemli]
“Biz seçtik ITGLOBAL.COM birkaç nedenden dolayı”dedi Andrey. “En önemlisi, şirketlerinin iyi bir reytinge sahip olması; Bunun üzerine kalite-fiyat oranı da bizim için önemliydi.”
[/ önemli]
Hazırlık çalışmaları
Uzmanlarımız çalışmalarına başlamadan önce, FİNOM onlara giriş kayıtları, sanal kişisel veriler ve bankacılık hesapları ile önceden doldurulmuş hesapları olan test sunucularına erişim izni verdi ve bize üretim sunucularının adreslerini verdi.
Ancak, ITGLOBAL.COM ekip, Finom’un bilgi güvenliği süreçlerinin özelliklerini bilmiyordu. Bu açıdan FİNOM, fintech pazarındaki örnek şirketlerden biridir.
- Web uygulaması, HTTPS ve SSL sertifikası gibi kanıtlanmış araçlarla güvence altına alınmıştır. Bunun da ötesinde, tüm kullanıcı hesaplarının SMS veya push bildirimleriyle yapılan iki faktörlü kimlik doğrulaması vardır.
- Finom’un bilgi alanı iyi korunuyor. İntranete yalnızca bir VPN kullanarak bağlanabilirsiniz. KG ekibindeki en sorumlu çalışanlar olan yalnızca birkaç geliştiricinin dağıtılan koda erişimi vardır. Her dağıtım işlemi, yalnızca iş mantığına değil, aynı zamanda güvenlik politikasına da uymak için kapsamlı bir şekilde kontrol edilir. Geliştiricilerin hiçbiri üretim sunucusunun anahtarlarına sahip değildir; yöneticiler için sınırlı erişime sahip ayrı bir veri ambarında depolanırlar.
Test süreci
- ITGLOBAL.COM kamu kaynaklarını kullanarak finom’un web uygulamasının keşiflerini gerçekleştirdi;
- Uygulamanın barındırıldığı web sitesinin güvenlik düzeyini belirledi ve web sitesinin yapılandırma ve ayarlarının güvenliğini analiz etti;
- Zayıflıkları ve bir FİNOM kişisel hesabına yetkisiz erişim olasılığını belirlemek için farklı türlerde birkaç saldırıyı taklit etti. Pentesterler, siber suçlular tarafından sıklıkla kullanılan manuel bilgisayar korsanlığı yöntemlerini ve özel yardımcı programları kullandılar: Nmap, DırB, Sqlmap, Metasploit, Hydra vb.
Sonuçlar
Pentest, müşterinin hemen ele aldığı kritik olmayan birkaç güvenlik açığı gösterdi.
[önemli]
Alexander Zubrikov, ITGLOBAL.COM Bilgi Güvenliği Başkanı:
“finom’un güvenliği oldukça iyi. Yalnızca ılımlı bir güvenlik açığı bulduk: yazılım sürüm numarası Nginx web sunucusunda görüntülendi. Bu sürümün yamasız bir güvenlik açığına sahip olması muhtemeldir. Saldırgan bunu biliyorsa, başarılı bir saldırı gerçekleştirebilir ve hatta sunucuya tam erişim kazanabilir. Ancak, elbette, bunu yapmak için çok yetenekli olmaları gerekiyor.”
[/ önemli]
Andrey Varikov’un da belirttiği gibi, finom’un BT uzmanları, web hizmetlerinin gerçekten güvenli olduğunu bilmekten gurur duyuyorlardı.
[önemli]
Andrey, ”Genel olarak işin gidişatını beğendik” dedi. “Uzmanlar zamanımızın çoğunu almadı ve her şeyi kendi başlarına yaptılar. Ne istediğimizi hemen anladılar.”
[/ önemli]
ITGLOBAL.COM denetçiler ayrıntılı bir pentest raporu hazırladılar. Bu belge Finom’un Avrupa ortak bankası tarafından kabul edilmiş ve onaylanmıştır.
Gelecek için planlar
FİNOM ve ITGLOBAL.COM işbirliğine devam etmeye karar verdik. Bir sonraki adım, finom’un Android ve iOS uygulamalarının güvenliğini değerlendirmek. Bu tür pentest, uygulama mimarisinin analizini, kod güvenlik kontrolünü, manuel testi, bulanıklaştırmayı ve diğer yöntemleri içerir.