ENRUUA

Unser Leistungs-Portfolio

Sicherheitsbewertungsprojekte: Audits und Penetrationstests

• Pentest der Funktion eines Kryptowährungsaustauschs

Wir wurden von einem Unternehmen angesprochen, das den Einstieg in den vielversprechenden Kryptowährungsmarkt plante. Um dieses Ziel zu erreichen, hat das Unternehmen eine Webanwendung mit der Funktionalität des Kryptowährungsaustauschs entwickelt. Bevor die Anwendung im Internet veröffentlicht wurde, entschied sich das Unternehmen dafür, ein Informationssicherheitsaudit mit Penetrationstestverfahren gemäß der OWASP-Methode durchzuführen. Sie haben einen solchen Service von uns angefordert.

Der Test wurde im „Black-Box“ -Modus durchgeführt: in der Anfangsphase standen den Prüfern nur die URL der zu testenden Anwendung zur Verfügung.

Im Verlauf des Pentests wurden die folgenden Aktionen identifiziert und bestätigt, die von Angreifern ausgeführt werden konnten:

  • Von der fehlenden Eingabefilterung in den Funktionen des Besprechungsraums profitieren und einen XSS-Angriff auf einen Benutzer oder Administrator durchführen. Dies wurde erfolgreich bestätigt, als das Dialogfeld vom Testopfer (dem Benutzer oder Administrator, an den die Nachricht übermittelt wurde) geöffnet wurde. Die Skriptfunktionalität kann beliebig sein. Zum Beispiel, verstecktes Mining, eine gefälschte Form der Authentifizierung usw., um den Computer des Opfers vollständig zu kontrollieren.
  • Die Fehler in der Funktion zum Hochladen von Dateien in der Webanwendung nutzen und auf das Dateisystem des Servers zugreifen (Fähigkeit, Dateien zu lesen, hochzuladen oder zu löschen), beliebige Befehle auf dem Server auszuführen, SQL-Abfragen auszuführen, und Verbindungen von der Server-Schnittstelle herzustellen andere Systeme, d.h. der Angreifer erhält die vollständige Kontrolle über den Server und die Daten können vollständig beeinträchtigt werden.
  • Nachdem sie die Kontrolle über den Server erlangt haben, können sie die Nachteile des kryptografischen Schutzes nutzen. Insbesondere die mangelnde Kontrolle über die Integrität der Transaktionsdaten in der Anwendung und Änderungen am Kontostand.
  • Die Prüfung beim Senden von Nachrichten umgehen und die Identität eines anderen Benutzers oder Administrators annehmen. Auf solche Weise Irreführen sie das Opfer und begehen betrügerische Aktionen.
  • Registrierte Benutzer identifizieren.
  • Angriffskennwörter.
  • Nicht autorisierten Zugriff auf Dateien erhalten, die andere Benutzer heruntergeladen haben.

Der Kunde erhielt einen ausführlichen Bericht über Schwachstellen und deren Behebung. Nach der Beseitigung von Schwachstellen haben die Prüfer die Beseitigung der zuvor festgestellten Mängel überprüft. Und erst nachdem diese Webanwendung im Internet veröffentlicht wurde.

So hat die Prüfung mit Penetrationstestmethoden den Kunden vor möglichen Reputations- und finanziellen Verlusten bewahren.

Erfahren Sie mehr über Pentest.




• Externer Penetrationstest für ein nationalweites Apothekennetz

Eines der nationalweiten Apothekennetze hat bei uns einen externen Pen-Test seines Computernetzes bestellt. Der Auftraggeber hat Black-Box-Verfahren ausgewählt.

Im Laufe des Projektes hat es sich erwiesen, dass sich die ganze kritische IT-Infrastruktur hinter einem Firewall (Brandmauer) befindet. Es schien, es gibt keine Chancen einzudringen. Dann haben wir entschieden, die Verkaufsstellen zu prüfen, und einige Apotheken geprüft. Eine davon war mit dem Router von Microtik ausgestattet und dieser hatte ein voreingestelltes Passwort. Dieser Router-Typ hat ein leeres Passwort voreingestellt, deshalb war der Router "bloßgestellt". Der Router hatte OpenVPN, lokal gespeicherte Zertifikate und ließ Sniffing zu. Wir haben den Netzverkehr abgefangen und vertrauliche Informationen über Verkaufsabrechnungs- und Buchhaltungssystem gefunden. Dann haben wir die Zertifikate aus dem Router herausgezogen, eine Scheinverkaufsstelle geschaffen und uns mit dem VPN-Server verbunden. Wir hatten uns als ganz gewöhnliche Apotheke vorgestellt und so sind wir in die innere Infrastruktur des Auftraggebers durchgedrungen, die mit einer Brandmauer geschützt war und schien undurchdringbar zu sein. Wir haben das innere Netzwerk Active Directory kennengelernt, den SQL-Server mit Domain-Authentisierung gefunden und darein durchgedrungen, indem das Passwort verwendend war, das wir früher mit Hilfe des mimikatz-Tools herausgezogen hatten.

Das Projekt war mit der Folgerung erfüllt, dass ein Eindringen möglich ist, und die Informationssicherheit beim Auftraggeber auf niedrigem Niveau liegt. Der Auftraggeber hat folgendes erhalten: Ergebnisse der Risikoauswertungen, Informationen über Sicherheitslücken und Empfehlungen, wie diese zu beseitigen sind, sowie wie die Sicherheit der IT-Infrastruktur zu verstärken ist.

Erfahren Sie mehr über Pentest.




• Gray-Box und White-Box-Penetrationstest bei einer Telekommunikations-Gesellschaft

Eine mittelständische Telekommunikations-Gesellschaft mit Motivation, externen Sicherheitsforderungen nachzugehen, hat bei uns den Ausbau eines komplexen Systems für Informationsschutz und Durchführung einer allgemeinen Sicherheitsanalyse angefragt. Für Pen-Test-Verfahren hat der Auftraggeber Gray-Box und White-Box ausgewählt. Die Zielobjekte des Pen-Tests: externe Server, DMZ, Web-Anwendungen, sowie interne Server. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Fehler bei der Netzkonfiguration, keine Segmentation (es fehlte abgesondertes VLAN für Management-Einheitsinterfaces iLO, IMPI, IP KVM usw.).
  • Schwache Passwörter in der aktiven Netzwerktechnik.
  • Zugänglichkeit der verborgenen Ressourcen (ADMIN$, C$, D$ u.a.).

Nach Ausnutzung der Sicherheitslücken waren Dokumente zugänglich, die vertrauliche Daten enthalten. So war ein unerlaubter Zugriff der Böswilligen simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

Erfahren Sie mehr über Pentest.




• Interner Pen-Test einer großen industriellen Produktion

Ein großes Werk mit dem Personal bis zu 10000 Mitarbeitern brauchte die Analyse, inwieweit innere IT-Infrastruktur den Sicherheitsforderungen entspricht. Das Werk hat bei uns den Gray-Box und White-Box-Penetrationstest bestellt. Als Zielobjekte des Pen-Tests waren die Server im lokalen Netzwerk gewählt. Im Projektverlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Mängel bei Monitoring- Prozessen der Ereignisse und der Reaktion auf Sicherheitsvorfälle (keine Maßnahmen für Eingriffsverhinderung und Wiederherstellung nach den Vorfällen).
  • Mängel beim Konfigurationen-Management (unkontrollierte Prüfungs- und Gastseiten in der korporativen Domain).
  • Mängel beim Zugriff- und Privilegien-Management (SSH-Login ist im Standartkonto für root geöffnet; ein einheitliches Administrator-Konto, für DC-Verwaltung, für Netzwerktechnik, für Benutzerstationen).
  • Andere technische Schwachstellen (Auto-Entdecken des Proxys für Software erlaubt.

Im Projektverlauf war ein unerlaubter Zugriff vom Insider simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

Erfahren Sie mehr über Pentest.




• Infrastruktur-Analyse eines Einzelhandel-Unternehmens

Bei einem mittelständischen Einzelhändler waren interne und externe Forderungen zur Informationssicherheit eingeführt. Diese Forderungen schrieben die Durchführung einer totalen Infrastruktur-Analyse am Unternehmen vor, inklusive Gray-Box und White-Box-Penetrationstest. Im Pen-Test-Verlauf waren folgende Schwachstellen und Mängel entdeckt:

  • Schwachstellen in den Web-Anwendungen (keine Überprüfung der Abfragegültigkeit in den Anwendungen, Datenvermittlung über den unverschlüsselten HTTP-Kanal).
  • Mängel bei der Privilegienverwaltung (Domain-Konten für verschiedene Services und Anwendungen hatten viel zu weite Privilegien).
  • Fälschung der elektronischen Korrespondenz ist möglich (keine Authentifizierungssysteme DKIM/DMARC auf den E-Mail-Servern).
  • Mängel beim Monitoring- Prozess der Sicherheitsereignisse (keine Einstellung «auditd» nach den Ereignissen).
  • Ein unbefugter Einheitsanschluss im Netzwerk ist möglich (DHCP-Schnüffeln, keine Port-Sicherheit).

Um Sicherheitslücken anschaulich zu machen, war im Pen-Test-Verlauf ein unerlaubter Zugriff zur Netzwerktechnik simuliert. Der Auftraggeber hat einen ausführlichen Bericht über Schwachstellen und das Beseitigungsverfahren dafür erhalten.

Erfahren Sie mehr über Pentest.




• Pen-Test einer Finanzorganisation gemäß den Forderungen PCI DSS

Eine kleine Finanzorganisation, die an die internationalen Zahlungssysteme Visa und Mastercard angeschlossen ist, hat auf die Notwendigkeit gestoßen, die Forderungen des PCI DSS-Standards zu erfüllen. Darunter gibt es die Forderung, den externen und internen Penetrationstest regelmäßig durchzuführen. Infolge der Analyse vom Erfassungsgebietes der Infrastruktur (Datenumgebung der Kartenhalter) waren mit dem Auftraggeber die ausführlichen Parameter des externen Pen-Tests, einschließlich Gray-Box und Black-Box-Test vereinbart, sowie die Zielobjekteliste - die im Internet veröffentlichten Services und Web-Anwendungen.

Als Ergebnisse des Pen-Tests waren zahlreiche Schwachstellen bei Web-Anwendungen entdeckt (PHP-Injektionen, Cross-Site Skripterstellung, direkte Links zu Objekten, keine Software-Update- Instrumente, voreingestellte Web-Server-Konfiguration, keine funktionsbedingte Zugangskontrolle, Überlastungen des Pufferspeichers, Kode-Fehler bei Web-Anwendungen).

Im Projekt-Ergebnis sind keine realen Eindringungswege, sondern nur die potentiellen nachgewiesen. Der Auftraggeber hat den ausführlichen Bericht über diese Wege, sowie Hinweise zur Verbesserung des Infrastrukturschutzes erhalten. Der Bericht war entsprechend den PCI DSS-Forderungen erstellt, inklusive Beschreibung der während der Arbeit eingesetzten Methodik für Penetrationsprüfung.

Erfahren Sie mehr über Pentest.




• Sicherheitsaudit industrieller Informationen und Betriebstechnologien für eine Brauerei

Das Sicherheitsaudit einer großen Brauerei wurde mit der Bestandsaufnahme von IT- und OT-Assets begonnen. Wir haben dem Kunden dabei geholfen, ein vollständiges Register der aktiven Geräte (Computer, SPS, Bedienfelder, Frequenzumrichter, verwaltete und nicht verwaltete Switches usw.) zu erstellen. Dann haben wir den Systemzugriffsmodus überprüft und schwerwiegende Verstöße festgestellt. Dann haben wir auf allen Geräten, die dies unterstützen, nach Passwörtern gesucht.

Während des Audits haben wir die Verfügbarkeit des Quellcodes für alle programmierbaren Geräte überprüft. Einige Quellcodes wurden in einem unzuverlässigen Zustand gespeichert. Wir haben die Entsprechung der Offline- und Online-Versionen überprüft und mehrere Versionen synchronisiert.

Danach überprüften wir die SPS-Firmware-Versionen (Siemens S7-315, S7-416, S7-1215, S7-1515, Schneider Electric Quantum, M251) und die HMI / SCADA-Softwareversionen (WinCC SCADA, Citect SCADA) auf kritische Aktualisierungen.

Auch in dieser Phase haben wir die Verfügbarkeit und Stärke der Verschlüsselung aller unterstützenden Netzwerke untersucht.

Anschließend überprüften wir alle Systeme auf Viren, Ransomware, Crypto Miner und andere Malware sowie auf technische Schwachstellen in Systemen.

Schließlich haben wir die Risiken bewertet und Empfehlungen zur Behebung von Mängeln und zur Reduzierung von Risiken abgegeben. Alle Ergebnisse wurden als detaillierter Sicherheitsbewertungsbericht präsentiert.




Verwaltete Sicherheit und Compliance: Audits und Implementierung von ISO 27001, ENX TISAX®, usw.

• Implementierung von ISO 27001 in einem Unternehmen für medizinische Software

Ein kleines Softwareunternehmen muss sich den Anforderungen seiner Kunden stellen, um nach ISO 27001 zertifiziert zu werden. Darüber hinaus muss die Zertifizierungsstelle das höchste internationale Niveau der UKAS-Akkreditierung aufweisen.

Bisher wurden nur oberflächliche Maßnahmen ergriffen und nur gelegentliche Arbeiten im Zusammenhang mit der Informationssicherheit durchgeführt, und zwar nur im Bereich des Schutzes von Servern und Arbeitsstationen. Wir haben sofort mit der Analyse des Umfangs und der Einzelheiten des Arbeitsplans für die Erstprüfung und die Lückenanalyse begonnen. Wir haben diese Arbeit für den Kunden kostenlos durchgeführt. Danach erkannte das Unternehmen, dass wir seine Probleme verstehen und realistische Pläne erstellen können, und unterzeichnete mit uns einen Vertrag über eine Prüfung, eine Lückenanalyse und die Ausarbeitung eines Umsetzungsplans. In 3 Wochen haben wir diese Arbeit abgeschlossen. Der Kunde war erneut überzeugt, dass unsere Erfahrung und Geschwindigkeit seine Erwartungen übertreffen.

Danach hat der Kunde mit uns einen Vertrag über die Implementierung von ISO 27001 geschlossen. Wir haben 6 Monate lang alle vom Standard geforderten Kontrollen entwickelt, in 18 behördlichen Dokumenten beschrieben, eine Reihe von Sicherheitsmanagementregistern implementiert und Personalschulungen durchgeführt. Besonderes Augenmerk haben wir auf den sicheren Lebenszyklus der Softwareentwicklung gelegt.

Dann kam die Frage auf, einen unabhängigen Wirtschaftsprüfer zu wählen. Wir haben unserem Mandanten einen der größten deutschen Wirtschaftsprüfer empfohlen. Wir haben auch diesen Auditor kontaktiert und mit ihm ein Gespräch geführt und die Zertifizierung unseres Kunden im Voraus vorbereitet. Der Auftraggeber hat mit dem Abschlussprüfer eine Prüfungs- und Zertifizierungsvereinbarung abgeschlossen.

DWährend des Audits haben wir unseren Kunden und das Informationssicherheits-Managementsystem, das wir vor den Auditoren aufgebaut haben, geschützt. Die Abschlussprüfer haben wie üblich geringfügige Bemerkungen abgegeben. Wir haben diese Kommentare berücksichtigt und nach 2 Wochen erhielt unser Kunde ein offizielles ISO 27001-Zertifikat.

IUm das implementierte System zu unterstützen und das Zertifikat jährlich zu bestätigen, nutzte das Unternehmen unseren ‘Remote Security Manager-Service’.

Unser Kunde interessierte sich auch für unsere Kompetenzen nicht nur im Prozessmanagement, sondern auch in der IT-Sicherheit. Das Unternehmen bestellte uns fortschrittliche Services für Anwendungssicherheit, Quellcodesicherheitsanalyse und Penetrationstests seiner Softwareprodukte.

Das Unternehmen erhielt die Zertifikate für die Einhaltung der ISO 27001 und das erfolgreiche Bestehen einer Sicherheitsbewertung auf seiner Website und in Marketingmaterialien. Das Unternehmen warb für seinen neuen Status und verschaffte sich bedeutende Wettbewerbsvorteile, was zu einer Erhöhung der Anzahl der Bestellungen und Verkäufe führte.

Erfahren Sie mehr über ISO 27001.




• Implementierung von ISO 27001 und ENX TISAX® in einem Unternehmen, das Automobilsysteme entwickelt

Ein Vertreter der deutschen Automobilindustrie, der sich mit der Entwicklung von Fahrzeugsystemen befasst, hat sich mit uns in Verbindung gesetzt, um die Einhaltung der ISO 27001 und der Trusted Information Security Assessment Exchange (ENX TISAX®) in kurzer Zeit umzusetzen. Der starke Wettbewerb auf dem Markt für Automobilsysteme (Sicherheitssysteme, Pilot-, Navigations- und Unterhaltungssysteme usw.) zwingt führende Automobilhersteller und deren Zulieferer (Volkswagen-Audi-Konzern, Porsche, Daimler AG, BMW, Bosch usw.) die Markteinführung neuer Produkte unter Wahrung des Qualitäts- und Sicherheitsniveaus zu forcieren. Dies führte zu einer hohen Motivation unserer Kunden.

Zuvor hatte der Kunde versucht, selbstständig ENX TISAX®-Compliance-Formulare auszufüllen, aber der Mangel an erforderlichen Kompetenzen ermöglichte es ihm nicht einmal, den Implementierungsprozess ordnungsgemäß zu beginnen.

Obwohl die ENX TISAX®-Konformität auf der Grundlage von ISO 27001 erstellt wurde, hat sie ihre eigenen Besonderheiten. Im Gegensatz zu einem ISO 27001-Audit, das mehrere Tage dauern kann, verbringt ein ENX TISAX®-Auditor beispielsweise nur einen Tag im Büro des Kunden. Aber dann dauert es ungefähr 3 Monate und sammelt Beweise für jeden Sicherheitsprozess. ENX TISAX®-Prüfungsberichte setzen einen hohen Automatisierungsgrad mit modernen GRC-Klassensystemen (Governance, Risikomanagement und Compliance) voraus.

In den ersten drei Monaten nach Unterzeichnung des Vertrags mit unserem Kunden haben wir seine Geschäftsprozesse gründlich untersucht und ca. 50 Dokumente entwickelt, die für die Einhaltung von ISO 27001 und ENX TISAX® erforderlich sind. Während der Implementierung und des Audit-Reportings verwendeten wir die Systeme Redmine und Goriscon.

Insgesamt sind vom Beginn des Projekts bis zum Erhalt des ENX TISAX®-Konformitätszeichens sechs Monate intensiver Zusammenarbeit zwischen unseren Mitarbeitern und den Mitarbeitern unserer Kunden vergangen. Wir führten mehrere Schulungen durch, führten eine Reihe von Server- und Anwendungssicherheitsbewertungen durch, verbesserten die Netzwerksicherheit, die Sicherheit des Systemlebenszyklus, implementiertes Risikomanagement, KPI (Key Performance Indicators) der Sicherheit, Prozesse zur Verwaltung von Änderungen, Vorfällen usw.

Die implementierten Prozesse, Abläufe und Sicherheitssysteme müssen ständig gewartet werden, damit sie nicht an Wirksamkeit verlieren. Deshalb hat unser Kunde bei uns den Service ‘Remote Information Security Manager’ bestellt. Wir führten weiterhin regelmäßige Schulungen mit dem Kunden durch, überwachten Informationssicherheitsereignisse, reagierten auf Sicherheitsvorfälle, führten vierteljährliche Schwachstellenscans durch, überprüften den Quellcode der Software, erstatteten Bericht an die Prüfer und Kunden unserer Kunden usw. Das heißt, wir führten die Funktionen eines Informationssicherheitsmanagers vollständig aus.

Unser Kunde hat durch dieses Projekt nicht nur eine Erhöhung der Sicherheit festgestellt. Bei der Verwaltung von Assets, Zugriffen und technischen Schwachstellen wurden ineffektive Systemnutzung, redundanter Zugriff, Konfigurationsfehler, die die Netzwerkleistung beeinträchtigen, usw. festgestellt. Als Nebeneffekt des Projekts optimierte der Kunde einige seiner IT-Abläufe.

Durch die Erlangung des offiziellen Konformitätsstatus nach ISO 27001 und ENX TISAX® konnte unser Kunde bei einem der großen deutschen Automobilhersteller neue langfristige Verträge abschließen.

Erfahren Sie mehr über VDA ISA und ENX TISAX®.




Vorfallsreaktion und Ermittlungsfälle in Bezug auf Informationssicherheit

• Hackerangriff auf die Regierung eines osteuropäischen Landes

Ein Vertreter einer großen Regierungsorganisation in einem der osteuropäischen Länder bat uns um Hilfe bei der Reaktion auf und Untersuchung eines Hackerangriffs. Die offizielle Website dieser Organisation war am Samstag ab 5 Uhr wegen des Hackerangriffs Drupalgeddon 2, der automatisch von böswilligen Skripten im gesamten Internet ausgeführt wurde, nicht mehr verfügbar.

Als Ergebnis der Analyse wurde festgestellt, dass der Angriff auf die Website keine wichtigen Daten berührte und keinen anderen Schaden anrichtete als die Ausfallzeit der Website. Diese einfache Methode hat die Arbeit und den Ruf des Unternehmens sowie die Interaktion mit den Nutzern seiner Dienste in gewissem Maße beeinträchtigt.

Wir haben die Site schnell von bösartigen Dateien befreit und wiederhergestellt, während wir Ereignisprotokolle und andere Beweise für die Übermittlung an die Polizei gesammelt haben.

Die Untersuchung wurde von uns durchgeführt, indem die Ereignisprotokolldateien verschiedener Serverdienste analysiert wurden. Es wurde festgestellt, dass von der spezifischen IP-Adresse die letzte erfolgreiche Anforderung mit einem Rückkehrcode von 200 vorhanden war, nach der keine Informationen vorhanden waren. Als nächstes wurden Site-Skripte analysiert, und es wurde festgestellt, dass ein Fragment von PHP-Code am Anfang aller ausführbaren Dateien eingefügt wurde. Dabei wurde zuerst die Protokollierung deaktiviert und dann auf codierte Weise eine Shell gestartet, die Remotebefehle zur Ausführung annehmen konnte. In der Datenbank wurden auch böswillige Beilagen gefunden.

Nach dem Bereinigen der Site und dem Sammeln von Beweisen wurde der Server gehärtet (für die Sicherheit konfiguriert), die CMS Drupal-Version aktualisiert, zusätzliche Kontrollen für vorläufige Tests eingeführt, Sicherheitsupdates installiert und eine Webanwendungs-Firewall (Web Application Firewall, WAF) eingeführt, um die Site in echtem Zustand zu schützen zeit- und hostbasiertes Intrusion Detection System (HIDS) zur täglichen Überwachung der Integrität kritischer Dateien. Wir boten der Organisation auch unsere erweiterten kontinuierlichen Website-Schutzdienste an, einschließlich, aber nicht beschränkt auf den Schutz vor DDoS-Angriffen. Die Organisation hat diesen Service abonniert.

Trotz der Tatsache, dass die Polizei die Täter des Vorfalls nicht fand, erhielt die staatliche Organisation ein neues Sicherheitsniveau für ihren Server, das es ihr ermöglichte, Übergriffe erfolgreich zu erkennen und in den nächsten Monaten bis zur Gegenwart sowohl kleinen als auch großen böswilligen Angriffen standzuhalten.

Erfahren Sie mehr über Sicherheitsvorfälle.




Sicherheitsanalyse von Quellcode

• Sicherheitsanalyse von Quellcode eines internationalen Zahlungssystems

Kurzbeschreibung des Systems. Das System der elektronischen Geldbörsen, mit dem das Guthaben mit Hilfe von Bankkarten (Karteninformationen werden nicht übertragen oder gespeichert), PerfectMoney, WebMoney, LiqPay, SWIFT und anderen Methoden aufgefüllt werden kann. Mit den gleichen Methoden ist es möglich, Geld abzuheben. Brieftaschen mit mehreren Währungen: Es ist möglich, eine Währung innerhalb des Systems zu internen Kursen gegen eine andere umzutauschen. Es hat eine API für die Integration mit Händlern. Die Hauptzielgruppe der Nutzer sind Kunden von Forex-Brokern. Neben Forex-Brokern sind auch Mobilfunkanbieter und Elektrofachmärkte, die Mobiltelefone und Zubehör verkaufen, an das Zahlungssystem angeschlossen.

Technologien: Modulare verteilte Client-Server-Architektur, Cloud-Hosting, PostgreSQL DBMS, MySQL, GT.M, Programmiersprachen C ++, PHP, Go, Hack, Python, M, Java, JavaScript, Perl.

Gesamtzahl der Quellcodezeilen: 1,8 Millionen.

Aufgabe. Suchen Sie im White-Box-Modus nach Architekturfehlern, unsicherer Verwendung von Code, Systemschwachstellen und Penetrationsmethoden.

Lösung. Im Auditprozess wurde zuerst eine automatisierte, dann eine manuelle Code-Analyse durchgeführt. Eine große Anzahl von nicht initialisierten Variablen, veralteten und unsicheren Funktionen zum Arbeiten mit Speicher und unzureichender Eingabeüberprüfung wurden identifiziert. An einigen Stellen des Codes wurden die Parameter von Benutzerabfragen ohne Validierung in SQL-Abfragen verwendet, wodurch es möglich wurde, einen erfolgreichen Angriff wie SQL-Injection durchzuführen und die persönlichen Daten von Clients zu gefährden. Zwischen einigen Modulen wurde eine unsichere Datenübertragung zwischen Frontend und Backend über einen Proxy aufgedeckt, die zur erfolgreichen Implementierung eines Angriffs wie MitM führen könnte. Es wurden Schwachstellen beim Schutz des Verwaltungsbereichs des Systems festgestellt, die zu einer erhöhten Autorisierung der berechtigten Benutzer mit den Rollen des Prüfers und des Finanziers führten. Es wurden logische Fehler festgestellt, die durch Manipulationen mit internen Währungsumtauschprozessen zum Bankrott des Systems führen können. Transaktionsprotokollierungsfehler festgestellt. Es wurden logische Fehler bei Steuerungsfehlberechnungen von Transaktionsketten zur Überwachung der Systemintegrität festgestellt. Es wurden detaillierte Berichte mit einer Beschreibung aller gefundenen Probleme und Empfehlungen zu deren Lösung für die oberste Führungsebene, den IT-Leiter und die technischen Spezialisten erstellt.

Arbeitsdauer: 3 Monate.

Schlussfolgerungen. Das Zahlungssystem hat von uns die unverzichtbare Hilfe für eine vollständige zeilenweise Analyse des Quellcodes seiner Systeme für einen Zeitraum erhalten, der ungleich kleiner ist als die Entwicklung dieses Codes. Dank uns war das Unternehmen in der Lage, das PCI-DSS-Audit erfolgreich zu bestehen, ein offizielles Zertifikat zu erhalten, das System gemeinfrei zu veröffentlichen und seine finanziellen Aktivitäten erfolgreich zu starten.

Erfahren Sie mehr über die Sicherheitsanalyse von Quellcode.




• Prüfung des Quellcodes des Kryptowährungsaustauschs

Kurzbeschreibung des Systems. Eine dezentrale Börse, mit der Sie Kryptowährungen und Token auf der Grundlage des Ethereum-Smart-Vertrags handeln können.

Technologien: unabhängiges Frontend und Backend, administrativer Teil als Anwendung unter iOS, DBMS: PostgreSQL, Programmiersprachen: Go, Python, JS, Objective-C, Java.

Gesamtanzahl der Quellcodezeilen: 960 Tausend.

Aufgabe: Finden Sie im White-Box-Modus die Systemschwachstellen und die Möglichkeiten des Hackens.

Lösung: Die Analyse des statischen Codes in der ersten Phase ergab Fehler bei der Verwendung von sich wiederholendem Code, die mit schwerwiegenden logischen Problemen behaftet waren, sowie fehlerhafte Parameter, Fehler in variablen Abhängigkeitsmodellen und eine unzureichende Abdeckung der implementierten Testszenarien. Eine weitere manuelle Analyse des Quellcodes half dabei, versteckte Probleme mit der fehlerhaften Validierung von Eingabedaten, logische Probleme mit Quellen für Kryptowährungs-Anführungszeichen und Anführungszeichen für Paare von Kryptowährungen sowie die Möglichkeit, falsche Daten zum Schreiben in einen intelligenten Vertrag einzufügen, zu identifizieren. Detaillierte Berichte wurden mit einer Beschreibung aller festgestellten Probleme und Empfehlungen zu deren Behebung für die Ebene des TOP-Managements und der technischen Spezialisten erstellt.

Arbeitsdauer: 2 Monate.

Schlussfolgerungen. Mit unserer Hilfe konnten durch den Austausch von Kryptowährungen erhebliche Sicherheitsprobleme behoben werden, die den Erfolg des Unternehmens gefährdeten. Es ist uns gelungen, ein Audit vor dem offiziellen Start des Austauschs durchzuführen, wodurch es keinen Risiken bei der Veröffentlichung von Webanwendungen und dem Arbeitsbeginn von echten Benutzern ausgesetzt war.

Erfahren Sie mehr über die Sicherheitsanalyse von Quellcode.




• Prüfung des Quellcodes eines VoIP-Telefoniesystems

Kurzbeschreibung des Systems. Kommerzielles sicheres VoIP-System, zertifiziert vom israelischen Verteidigungsministerium.

Technologien: Modulare Architektur, Webserver, VoIP-Server, Client-Anwendungen für Windows, iOS, Android, DBMS: Oracle, Programmiersprachen: .NET, C / C #, Objective C, Java.

Gesamtzahl der Quellcodezeilen: 1,2 Millionen

Aufgabe: Führen Sie im White-Box-Modus eine unabhängige Sicherheitsüberprüfung des Quellcodes des Systems durch.

Lösung: Die automatisierte statische Analyse wurde vom Kunden unabhängig durchgeführt, daher wurde für die Sicherheitsüberprüfung ausschließlich die manuelle Methode verwendet. Im Code in C wurden unsichere Speicherfunktionen identifiziert, die Pufferüberläufe und Speicherlecks ermöglichten. In mobilen Anwendungen wurden logische Fehler festgestellt, mit denen Sie Verschlüsselungsschlüssel mithilfe eines MitM-Angriffs abfangen können. Außerdem wurden Architekturfehler festgestellt, die die Verwendung eines DoS-Angriffs zum Blockieren eines Abonnenten ermöglichen. Detaillierte Berichte wurden mit einer Beschreibung aller festgestellten Probleme und Empfehlungen zu deren Behebung für die Ebene des Top-Managements und der technischen Spezialisten erstellt.

Arbeitsdauer: 2 Monate.

Schlussfolgerungen. Trotz der erheblichen Anstrengungen des Kunden, mit modernen lizenzierten Sicherheitsscannern nach Sicherheitsproblemen in seinem System zu suchen, konnten wir durch eine unabhängige zeilenweise Prüfung des von uns durchgeführten Codes zusätzliche Probleme identifizieren, die vom Kunden nicht erkannt wurden. Die Lösung dieser Probleme ermöglichte es dem Auftraggebern, die Sicherheit seiner Entscheidung auf ein neues Niveau zu heben und die Beeinträchtigung vertraulicher Informationen der Kunden zu vermeiden.

Erfahren Sie mehr über die Sicherheitsanalyse von Quellcode.




• Code Review für einen globalen Hersteller von Haushalts- und Industrieausrüstungen

Der weltweite Hersteller von Haushalts- und Industrieausrüstungen stellte neue Module für seine ERP-, CRM-, Finanz- und E-Commerce-Systeme vor.

Module wurden mit Java, C ++ und SAP UI5 geschrieben.

Der Kunde hat die Quellcodes mit Sicherheitsscannern nach dem Quellcode der Software durchsucht, einen Pentest durchgeführt, Sicherheitsprobleme festgestellt, diese behoben und uns gebeten, den Quellcode manuell zu überprüfen.

Der Gesamtaufwand belief sich auf ca. 2 Millionen Leitungen. Nach ca. 3 Monaten wurde ein detaillierter Bericht vorgelegt, der die kritischen Sicherheitsprobleme aufzeigte, die auch von Sicherheitsscannern und dem Penetrationstest im Gray-Box-Modus übersehen wurden.

Beispielsweise haben wir kritische Sicherheitslücken in Rennbedingungen gefunden, die möglicherweise nicht häufig auftreten, aber großen Schaden anrichten können.

Ein weiteres Beispiel war eine Hintertür im Programmcode, durch die Softwareentwickler unbefugten Zugriff auf ein Produktionssystem erhalten. Die Entwickler erklärten, dass sie diesen Zugang für legitime Debugging-Zwecke benötigten, aber dies war ein Risiko, und wir bestanden darauf, diese Hintertür zu schließen.

Schlussfolgerungen. Der Kunde hat die richtige Entscheidung getroffen, uns eine unabhängige Überprüfung der Ergebnisse seiner eigenen Sicherheitsarbeit anzuvertrauen, und wichtige Informationen über Auslassungen erhalten, die schwerwiegende finanzielle Schäden verursachen könnten. Es wurden Korrekturen an den Systemen vorgenommen, deren Sicherheit gewährleistet und das Verlustrisiko minimiert.

Erfahren Sie mehr über die Sicherheitsanalyse von Quellcode.




Security Operations Center-Fälle

• Kontinuierlicher Schutz der Websites einer Universität

Die Standorte der Ukrainischen Universität für Informationstechnologie wurden regelmäßig angegriffen. Meistens haben sich beleidigte Studenten in ihre Alma Mater gehackt, und zukünftige IT-Spezialisten haben Websites infiltriert und ihr Aussehen nur zum Spaß verdorben. Das Universitätspersonal konnte den Angriffen nicht widerstehen und die Universitätsleitung beschloss, den Schutz des Geländes an uns zu delegieren.

Zuerst haben wir die anfängliche Sicherheitsverbesserung durchgeführt. Insbesondere wurde ein Sicherheitsaudit von 6 Standorten und mehreren technologischen Prozessen durchgeführt. Anschließend haben wir die Assets analysiert, Sicherheitsrichtlinien und -verfahren definiert, das Web mithilfe der CIS Controls und CIS Benchmark gestärkt und mehrere schwache Komponenten aktualisiert. Darüber hinaus haben wir umfassende Sicherungsverfahren, Ereignisprotokollerfassungsservices, starken rollenbasierten Zugriff, Zwei-Faktor-Authentifizierung und andere Sicherheitsmaßnahmen implementiert. Gemäß den Richtlinien der Universität haben wir verschiedene Open-Source-Sicherheitslösungen verwendet, darunter: ModSecurity-Webanwendungsfirewall (WAF), HIDS (Tripwire Host Based Intrusion Detection System) und mehrere andere Produkte.

Dann haben wir den Echtzeitschutz für Websites eingeführt. Wir haben den maximalen Schutz gegen DDoS-Angriffe mithilfe von Cloudflare-Diensten verwendet. Die Überprüfung der Verfügbarkeit der Website begann jede Minute. Wir haben Transaktionsprüfungen aktiviert, um den Browser des Benutzers zu emulieren und wichtige Funktionen der Website zu überwachen, z. B. Anmelden / Registrieren usw. Außerdem haben wir Echtzeitüberwachungsprüfungen (ROM) verwendet, um die Ladezeit von Websites zu überwachen Sicht eines echten Benutzers. Universitätssysteme wurden von uns an unser SIEM-Sicherheitsüberwachungssystem angebunden. Einige andere positive Nebenwirkungen und Verbesserungen wurden verzeichnet, z. B. das globale CDN zur Optimierung statischer Inhalte sowie zur Optimierung und Beschleunigung des Datenverkehrs für Mobilgeräte.

Schließlich haben wir die Sicherheitsverantwortung zwischen dem Sicherheitspersonal der Universität und unseren Mitarbeitern aufgeteilt. Unsere engagierten Experten begannen, die Sicherheit der Website rund um die Uhr zu überwachen. Schließlich führten wir mehrere Schulungen für Universitätsingenieure durch: Sicherheitslücken, Sicherheitstests, Überwachung von Sicherheitsereignissen und Reaktion auf Vorfälle.

Am Ende rieten wir der Universität sogar, ein Belohnungsprogramm für das Auffinden von Fehlern anzukündigen, um die Studenten zu ermutigen, Schwachstellen zu melden und Websites als praktische Arbeit zu hacken. So haben wir unsere Gegner kostenlos zu unseren Verbündeten gemacht und gleichzeitig alle demotiviert, die nicht kooperieren wollten.

Infolgedessen verringerte sich die Anzahl der Vorfälle von Standorten auf ein unbedeutendes Niveau. Penetrationen und "trügerisch" hörten komplett auf. Der Ruf der IT University als sichere Organisation wurde gewahrt und deutlich verbessert.




• Implementierung eines Sicherheitscenters (SOC) und eines SIEM-Sicherheitsüberwachungssystems in einer Bank

Eine mittelständische Bank hat sich mit uns in Verbindung gesetzt, um SIEM in einem eigenen Rechenzentrum einzuführen. Diese Bank verfügte über einige Elemente eines Security Operations Centers (SOC) und bat uns, es zu verbessern, auf den neuesten Stand zu bringen und seine Unterstützung zu übernehmen.

Aus den verschiedenen verfügbaren SOC / SIEM-Modellen (On-Premise-SOC, Cloud-Implementierung, vollständiges Outsourcing usw.) wählte der Kunde ein kombiniertes Modell aus, das es unseren Mitarbeitern ermöglichte, mit Monitoringsystemen zu arbeiten, die sich physisch in der Bank befinden.

Zunächst führten wir eine Bestandsaufnahme der Informationsressourcen des Kunden durch und identifizierten Ereignisquellen von mehr als 5000 Hosts in 12 Büros und Rechenzentren der Bank, darunter mehr als 50 Datenbankserver. Als Nächstes identifizierten wir Incident-Profile, Reaktions- und Support-Verfahren und schätzten die Incident-Flow-Kapazität auf etwa 1500 EPS.

Basierend auf dem IBM QRadar-Hochverfügbarkeitscluster haben wir die folgenden Funktionen und Komponenten im Rechenzentrum der Bank implementiert: Protokollmanagement, Sicherheitsereignismanagement, Bedrohungsanalyse, Risiko- und Schwachstellenmanagement, Analyse des Verhaltens von Benutzern und Entitäten, maschinelles Lernen, Orchestrierung und Reaktion, Lockvögel und Suche Bedrohungen, digitale Forensik.

Unsere Experten entwickelten die Regeln und Prozeduren, schrieben die fehlenden benutzerdefinierten Parser und schnell verbundenen Ereignisquellen aus der Microsoft Server-Familie, dem Microsoft System Center, Red Hat Enterprise Linux, Hitachi, IBM AIX, IBM Storage Manager, Cisco IOS / NX-OS, Check Point NGX und SAP , Citrix XenServer, XenDesktop, XenApp, Microsoft SQL, Oracle, Microsoft Exchange, SharePoint, UAG und viele andere Systemtypen.

Wir haben die Systemkomponenten mit Firewalls und die Datenströme - Site-to-Site-VPN - geschützt, die rollenbasierten Zugriffsmatrizen für das System festgelegt, kontinuierliche Updates eingerichtet, die Regeln verfeinert und die Erkennung von Anomalien und Bedrohungen getestet.

Unmittelbar vor dem Übergang in die Produktion haben wir die Rollen und Verantwortlichkeiten für die Sicherheit zwischen unseren Mitarbeitern und den Mitarbeitern des Kunden aufgeteilt, seine Schulungen durchgeführt und das System in den kommerziellen Betrieb versetzt.

Die Implementierung des Systems dauerte 8 Monate.

Schlussfolgerungen Als Ergebnis der Implementierung erhielt die Bank ein modernes Sicherheitscenter, das auf einem Echtzeitüberwachungssystem für Ereignisse und die Reaktion auf Sicherheitsbedrohungen basiert. Unter anderem haben wir einige der technologischen Prozesse des Kunden optimiert, veraltete Assets entdeckt, die Serverzugriffskontrolle verbessert und die Erfassung und Speicherung von Sicherheitsereignisprotokollen gemäß PCI DSS und den nationalen Anforderungen für die Sammlung von vor Gericht akzeptablen Beweisen eingerichtet. Die Bank hat mehrere externe unabhängige Prüfungen erfolgreich bestanden und die Anforderungen zur Einhaltung von Normen und Standards erfüllt. Der jährliche Gesamtschaden durch Sicherheitsvorfälle ist um ein Vielfaches gesunken.




Lesen Sie mehr über weitere Geschäftsfälle (Geschäftsautomatisierung, Überprüfung von Smart Contracts und Blockchain, Reaktion auf Vorfälle und deren Untersuchung, usw).

 

Unsere zufriedenen Kunden

Unsere Kunden sind Produkt- und Outsourcing-IT-Unternehmen sowie Unternehmen, die in den Bereichen Bau, Automobilindustrie, E-Commerce, Industrie, Medizin, Pharma, Telekommunikation, Handel, Versicherungen, Banken, Regierungsorganisationen usw. tätig sind. Einige unserer zufriedenen Kunden::

 

Referenzen auf Clutch

 

Referenzen

"Das H-X-Team führte eine detaillierte Planung des Projekts durch, um die Sicherheit unserer Infrastruktur zu bewerten, einen kreativen Ansatz zu zeigen und den Plan gut umzusetzen. Die Sicherheitsbewertung lieferte wichtige Informationen zu den Prioritäten für die Verbesserung der Sicherheit im Unternehmen, zu strategischen Zielen und zu taktischen Aufgaben."

Dmitry Dneprovsky, Manager für Informationssicherheit, Intecracy Group

"Wir stehen vor ernsthaften Herausforderungen in Bezug auf die Anforderungen unserer Kunden hinsichtlich der formalen Einhaltung internationaler und industrieller Standards der Informationssicherheit. Das H-X-Team hat uns sehr schnell geholfen, aktuelle organisatorische und technische Mängel zu bewerten und zu beheben, und hilft weiterhin."

Artem Savotin, Direktor, Ameria

"Das H-X-Team führte eine technische Sicherheitsbewertung eines unserer Produkte durch und wir waren überrascht über die hohe Qualität der Ergebnisse. Die Spezialisten von H-X berieten ausführlich die sichere Softwareentwicklung. Sie haben dazu beigetragen, die Qualität unserer Entwicklungs- und Testprozesse zu verbessern."

Viktoriia Pogrebniak, IT-Managerin, FluentPro

Und inwieweit sind Sie geschützt?
Lesen Sie mehr über die Eindringungstests und prüfen Sie Ihren Schutz.


Über uns.


Unsere Zertifikate:

(ISC)2
CISSP
Offensive Security
OSCP
ISACA
CISA
CISM
Microsoft
PECB
LPTP
Qualys
PECB
LPTP
BSI
LPTP
BSI