ENDEUA

Бизнес-кейсы проектов, выполненных нами

1. Проекты по оценке безопасности: аудиты и тесты на проникновение

• Пентест функционала криптовалютной биржи

К нам обратилась компания, которая планировала выйти на перспективный рынок криптовалют. Для осуществления этой цели в компании было разработано Web-приложение с функционалом криптовалютной биржи. Перед публикацией приложения в публичном доступе компанией было принято решение выполнить для него аудит информационной безопасности методами тестирования на проникновение по методологии OWASP. С этим запросом они обратились к нам.

Тестирование проводилось в режиме «черный ящик»: на начальном этапе аудиторы имели в своём распоряжении лишь адрес URL тестируемого приложения.

В ходе проведения пентеста были выявлены и подтверждены следующие действия, которые могут совершить злоумышленники:

  • Воспользоваться отсутствием фильтрации входных данных в функционале «комнаты переговоров» и провести атаку XSS на пользователя или администратора. Это было успешно подтверждено при открытии диалога тестовой жертвой (пользователем или администратором, которому было передано сообщение). Функционал скрипта может быть любым, например скрытый «майнинг», поддельная форма аутентификации и т. п., вплоть до полного контроля над компьютером жертвы.
  • Воспользоваться недостатками функционала загрузки файлов в web-приложение и получить доступ к файловой системе сервера (возможность читать, загружать, удалять файлы), выполнять на сервере произвольные команды, выполнять запросы SQL, выполнять соединения с интерфейса сервера к другим системам, т. е. фактически злоумышленник получают полный контроль над сервером и возможность полной компрометации данных.
  • После получения контроля над сервером, воспользоваться недостатками криптографической защиты, в частности, отсутствием контроля целостности данных проведения транзакций в приложении, и вносить изменения в баланс счёта.
  • Обойти проверку при отправке сообщений и выдать себя за другого пользователя или администратора, таким образом, ввести жертву в заблуждение и совершить мошеннические действия.
  • Идентифицировать зарегистрированных пользователей.
  • Совершать атаки на пароли пользователей.
  • Получать несанкционированный доступ к файлам, которые загрузили другие пользователи.

Заказчик получил исчерпывающий отчёт об уязвимостях и способах их устранения. После устранения уязвимостей аудиторами была проведена проверка устранения недостатков, обнаруженных ранее. И только после этого web-приложение было опубликовано в Интернет.

Таким образом, проведение аудита методами тестирования на проникновение избавило заказчика от возможных репутационных и финансовых убытков.

• Внешний тест на проникновение национальной сети аптек

Одна из сетей аптек национального масштаба заказала у нас внешний пентест своей компьютерной сети. Заказчиком был выбран режим «чёрный ящик».

В ходе проекта было обнаружено, что вся критическая инфраструктура ИТ находится за файрволом (межсетевым экраном). Казалось, нет шансов проникнуть. Тогда мы решили проверить точки продаж, и проверили несколько аптек. В одной из них был маршрутизатор Microtik с паролем по умолчанию. У этого типа маршрутизаторов пустые пароли по умолчанию, поэтому маршрутизатор был «скомпрометирован». Маршрутизатор имел OpenVPN, хранил сертификаты локально и позволял сниффинг. Мы перехватили сетевой трафик и нашли конфиденциальную информацию системы учёта продаж и бухгалтерской системы. Затем мы извлекли сертификаты из маршрутизатора, создали ложную точку продаж и соединились с сервером VPN. Мы представились обычной аптекой и таким образом проникли во внутреннюю инфраструктуру заказчика, которая была защищена файрволом и казалась непробиваемой. Мы изучили внутреннюю сеть Active Directory, нашли сервер SQL с доменной аутентификацией и проникли в него, используя пароль, предварительно извлечённый с помощью утилиты mimikatz.

Проект был выполнен с заключением, что проникновение возможно, и уровень информационной безопасности заказчика низкий. Заказчик получил результаты оценки рисков, информацию об уязвимостях и рекомендации о том, как их устранить, а также как усилить безопасность инфраструктуры ИТ.

• Тест на проникновение в режимах «серый ящик» и «белый ящик» телеком-компании

Телеком-компания среднего размера, мотивированная выполнять внешние требования безопасности, запросила у нас построение комплексной системы защиты информации и проведение общей оценки безопасности. В качестве режимов пентеста заказчиком были выбраны «серый ящик» и «белый ящик». Целевые объекты пентеста: внешние сервера, DMZ, Web-приложения, а также внутренние узлы локальной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Ошибки конфигурации сети, отсутствие сегментации (отсутствие отдельного VLAN для управляющих интерфейсов устройств iLO, IMPI, IP KVM и т. д.).
  • Слабые пароли в активном сетевом оборудовании.
  • Доступность скрытых ресурсов (ADMIN$, C$, D$ и др.).

В результате эксплуатации уязвимостей были получены документы, содержащие конфиденциальные данные. Таким образом, был смоделирован несанкционированный доступ злоумышленников. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

• Внутренний пентест большого промышленного производства

Крупному заводу с персоналом до 10 000 сотрудников понадобилось оценить соответствие внутренней инфраструктуры ИТ требованиям безопасности. Завод заказал у нас тест на проникновение в режимах «серый ящик» и «белый ящик». В качестве целевых объектов пентеста были выбраны сервера локальной вычислительной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Недостатки в процессах мониторинга событий и реагирования на инциденты безопасности (отсутствие мер предотвращения вторжений и восстановления после инцидентов).
  • Недостатки управления конфигурациями (бесконтрольные тестовые и гостевые узлы в корпоративном домене).
  • Недостатки управления доступом и привилегиями (открыт вход по ssh для стандартной учётной записи для root; единая учётная запись администратора для управления DC, сетевым оборудованием и пользовательскими рабочими станциями).
  • Другие технические уязвимости (разрешено авто-обнаружение прокси для ПО).

В ходе проекта был смоделирован несанкционированный доступ инсайдеров. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

• Анализ инфраструктуры предприятия розничной торговли

У ритейлера среднего размера были внедрены внутренние и внешние требования информационной безопасности. Данные требования предписывали выполнение полного анализа инфраструктуры предприятия, включая тесты на проникновение в режимах «серый ящик» и «белый ящик». В ходе пентеста были обнаружены следующие уязвимости и недостатки:

  • Уязвимости в веб-приложениях (отсутствие проверок валидности запросов в приложениях, передача данных по незашифрованному каналу HTTP).
  • Недостатки управления привилегиями (доменные учётные записи различных сервисов и приложений имели слишком высокие привилегии).
  • Возможность подделки электронной корреспонденции (отсутствие систем подписи DKIM/DMARC на почтовых серверах).
  • Недостатки процесса мониторинга событий безопасности (отсутствие настройки «auditd» по событиям).
  • Возможность несанкционированного подключения устройств в сети (DHCP snooping, отсутствие port security).

В ходе пентеста в качестве демонстрации уязвимостей был смоделирован несанкционированный доступ к сетевому оборудованию. Заказчик получил полный отчёт об уязвимостях и способах их ликвидации.

• Пентест финансовой организации для соответствия требованиям PCI DSS

Небольшая финансовая организация, подключенная к международным платёжным системам Visa и Mastercard, столкнулась с необходимостью выполнять требования стандарта PCI DSS. Среди них есть требование регулярного проведения внешнего и внутреннего тестирования на проникновение. В результате анализа области охвата инфраструктуры (среды данных держателей карт) с заказчиком были согласованы подробные параметры внешнего пентеста, включая режимы «серый ящик» и «чёрный ящик», а также перечень целевых объектов, которые представляли собой сервисы и веб-приложения, опубликованные в Интернет.

В результате пентеста были обнаружены множественные уязвимости в веб-приложениях (инъекции PHP, межсайтовый скриптинг, прямые ссылки на объекты, отсутствующие механизмы обновления ПО, конфигурации веб-сервера по умолчанию, отсутствие контроля доступа на уровне функций, переполнения буфера, ошибки в коде веб-приложений).

По результатам проекта не было обнаружено реальных путей проникновения, а только потенциальные. Заказчик получил исчерпывающий отчёт о данных путях и способах повышения защищённости инфраструктуры. Отчёт был выполнен в соответствии с требованиями PCI DSS, включая описание методики тестирования на проникновение, которая применялась в ходе работы.

2. Кейсы по управляемой безопасности: внедрение ISO 27001, других стандартов и compliance

• Внедрение ISO 27001 в компании-разработчике медицинского программного обеспечения

Небольшая компания-разработчик программного обеспечения в медицинской сфере столкнулась с требованиями своих клиентов. Они хотели, чтобы компания была сертифицирована по ISO 27001. При этом сертифицирующий орган должен иметь высший международный уровень аккредитации UKAS.

Ранее в компании принимались только поверхностные меры и велись лишь эпизодические работы, связанные с информационной безопасностью, и только в области защиты серверов и рабочих станций. Мы незамедлительно начали работу по анализу области охвата и детализации плана работ по первичному аудиту и гэп-анализу. Мы выполнили эту работу для клиента бесплатно. После этого компания увидела, что мы понимаем её проблематику, и умеем строить реальные планы, и подписала с нами договор на аудит, гэп-анализ и разработку плана внедрения. За 3 недели мы завершили эту работу. Заказчик очередной раз убедился, что наш опыт и скорость работы превышает его ожидания.

После этого заказчик заключил с нами договор на внедрение ISO 27001. За 6 месяцев мы разработали все контроли, требуемые стандартом, описали их в 18 нормативных документах, внедрили ряд реестров по управлению безопасностью, провели обучение персонала. Особое внимание мы уделили безопасному жизненному циклу разработки программного обеспечения.

Затем стал вопрос о выборе независимого аудитора. Мы порекомендовали нашему клиенту одну из крупнейших немецких аудиторских компаний. Мы связались с этой аудиторской компанией, а также заблаговременно провели с ним обсуждение и подготовку к сертификации нашего клиента. Клиент заключил с компанией-аудитором договор на аудит и сертификацию.

В ходе аудита мы защищали нашего клиента и построенную нами систему управления информационной безопасностью перед аудиторами. Они сделали незначительные замечания, как это бывает обычно. Мы учли эти замечания, и через 2 недели наш клиент получил официальный сертификат ISO 27001.

С целью поддержки внедрённой системы и ежегодного подтверждения сертификата, компания воспользовалась нашей услугой «Удалённый менеджер безопасности».

Также нашего клиента заинтересовали наши компетенции не только в процессном управлении, но и в ИТ-безопасности. Компания заказала у нас расширенные услуги безопасности приложений, анализа безопасности исходных кодов и тестирования на проникновение своих программных продуктов.

Полученные сертификаты соответствия ISO 27001 и успешного прохождения оценки безопасности компания разместила на своём веб-сайте и в маркетинговых материалах. Свой новый статус компания прорекламировала и получила значительные конкурентные преимущества, которые выразились в увеличении количества заказов и продаж.

• Внедрение ISO 27001 и TISAX в компании, разрабатывающей автомобильные системы

Представитель немецкой автомобильной промышленности, занимающийся разработкой бортовых автомобильных систем, обратился к нам с целью внедрения соответствия ISO 27001 и Trusted Information Security Assessment Exchange (TISAX) в сжатые сроки. Высокая конкуренция на рынке автомотив-систем (систем безопасности, пилотирования, навигационных и развлекательных систем и т. д.) заставляет ведущих производителей автомобилей и их подрядчиков (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch и т.д.) форсировать выведение новых продуктов на рынок при сохранении уровня качества и безопасности. Это обусловило высокую мотивацию нашего клиента.

До этого клиент пытался самостоятельно заполнять формы соответствия TISAX, но отсутствие необходимых компетенций не позволило ему даже начать процесс внедрения должным образом.

Соответствие TISAX, хотя и построено на основе ISO 27001, имеет свою специфику. Например, в отличие от аудита ISO 27001, который может проходить несколько дней, аудитор TISAX проводит всего один день в офисе заказчика. Зато потом около 3 месяцев требует и собирает доказательства по каждому процессу безопасности. Аудиторская отчётность TISAX подразумевает высокую степень автоматизации с использованием современных систем класса GRC (Governance, Risk management and Compliance).

В течение первых 3 месяцев после подписания договора с нашим клиентом мы детально изучили его бизнес-процессы и разработали около 50 документов, необходимых для соответствия ISO 27001 и TISAX. В ходе внедрения и аудиторской отчётности мы использовали системы Redmine и Goriscon.

Всего от момента старта проекта до получения метки соответствия TISAX прошло 6 месяцев напряжённой совместной работы наших консультантов и персонала нашего клиента. Мы провели несколько тренингов, выполнили ряд оценок безопасности серверов и приложений, усилили сетевую безопасность, безопасность жизненного цикла систем, внедрили управление рисками, ключевые индикаторы эффективности (KPI) безопасности, процессы управления изменениями, инцидентами и т. д.

Внедрённые процессы, операции и системы безопасности необходимо поддерживать постоянно, чтобы они не теряли эффективность, и поэтому наш клиент заказал у нас услугу «Удалённый менеджер информационной безопасности». Мы продолжили проводить регулярные тренинги у клиента, отслеживать события информационной безопасности, реагировать на инциденты безопасности, выполнять ежеквартальное сканирование уязвимостей, проводить аудит исходного кода программного обеспечения, отчитываться аудиторам и клиентам нашего заказчика и т. д. То есть, полностью выполнять функции менеджера информационной безопасности.

Наш заказчик отметил не только повышение уровня безопасности в результате выполнения этого проекта. В ходе управления активами, доступом и техническими уязвимостями было обнаружено неэффективное использование систем, избыточный доступ, ошибки конфигурации, снижающие производительность сети и т. д. В качестве побочного эффекта проекта заказчик оптимизировал некоторые свои ИТ-операции.

Получение официального статуса соответствия ISO 27001 и TISAX позволило нашему клиенту получить новые долговременные контракты у одного из гигантов немецкого автопрома.

3. Реагирование на инциденты информационной безопасности и их расследование

• Хакерская атака на правительство восточно-европейской страны

Представитель крупной правительственной организации одной из восточно-европейских стран обратился к нам с запросом о помощи в реагировании на хакерскую атаку и в её расследовании. С 5 утра субботы официальный сайт этой организации был недоступен из-за хакерской атаки Drupalgeddon 2, осуществлявшуюся в автоматическом режиме вредоносными скриптами по всей сети Интернет.

В результате анализа было выявлено, что атака на сайт не коснулась важных данных и не нанесла иного вреда, кроме простоя веб-сайта. Данный простой нанёс некоторый ущерб работе и репутации организации, а также взаимодействию с пользователями её сервисов.

Мы оперативно очистили сайт от вредоносных файлов и восстановили его, при этом собрав журналы событий и другие доказательства для передачи в полицию.

Расследование велось нами путём анализа файлов журналов событий различных серверных служб. Было установлено, что с определённого IP-адреса был последний удачный запрос с кодом возврата 200, после чего никакой информации не было. Далее были проанализированы скрипты сайта, и было установлено, что в начало всех исполняемых файлов был вставлен фрагмент кода PHP, который прежде всего отключал логирование и далее закодированным способом запускал шелл, который мог принимать удалённые команды на исполнение. В базе данных также были найдены вредоносные вставки.

После очистки сайта и сбора доказательств был выполнен харденинг (конфигурирование безопасности) сервера, обновлена версия CMS Drupal, введены дополнительные средства контроля предварительного тестирования, установки обновлений безопасности, а также внедрен файрвол веб-приложений (Web Application Firewall, WAF) для защиты сайта в реальном времени и система обнаружения вторжений на уровне хоста (Host-based Intrusion Detection System, HIDS) для ежедневного мониторинга целостности критичных файлов. Также мы предложили организации наши расширенные услуги Непрерывной защиты веб-сайтов, включающие, кроме прочего, защиту от DDoS-атак. Организация подписалась на этот сервис.

Несмотря на то, что полиция так и не нашла виновных в инциденте, государственная организация получила новый уровень защищённости своего сервера, что позволило ей успешно обнаруживать вторжения и противостоять как мелким, так и масштабным вредоносным атакам на протяжении последующих нескольких месяцев, вплоть до настоящего времени.

4. Анализ безопасности исходных кодов программного обеспечения

• Аудит исходного кода международной платёжной системы

Краткое описание системы. Система электронных кошельков, позволяющая пополнять баланс с помощью банковских платёжных карт (данные о картах не передаются и не хранятся), PerfectMoney, WebMoney, LiqPay, SWIFT и других методов. Этими же методами возможен и вывод денег. Кошельки мультивалютные, возможен обмен одной валюты на другую внутри системы по внутренним курсам. Имеет API для интеграции с мерчантами. Основная целевая категория пользователей – клиенты форекс-брокеров. Кроме форекс-брокеров, к платёжной системе подключены операторы мобильной связи, а также электронные магазины по продаже мобильных телефонов и аксессуаров.

Технологии: модульная распределённая клиент-серверная архитектура, облачный хостинг, СУБД PostgreSQL, MySQL, GT.M, языки программирования C++, PHP, Go, Hack, Python, M, Java, JavaScript, Perl.

Общее количество строк исходного кода: 1,8 млн.

Задача. В режиме white-box найти недостатки архитектуры, небезопасное использование кода, уязвимости системы и способы проникновения.

Решение. В процессе аудита использовался сначала автоматизированный, затем ручной анализ кода. Выявлено большое количество неинициализированных переменных, устаревшие и небезопасные функции по работе с памятью, недостаточная проверка ввода. В некоторых местах кода параметры пользовательских запросов без валидации использовались в SQL-запросах, что позволило осуществить успешную атаку типа SQL-injection и скомпрометировать персональные данные клиентов. Между некоторыми модулями выявлена незащищённая передача данных между фронтендом и бэкендом через прокси, что могло привести к успешной реализации атаки типа MitM. Выявлены слабые места в защите административной панели системы, приводящие к повышению полномочий авторизованных пользователей с ролями верификатора и финансиста. Выявлены логические ошибки, приводящие к возможности банкротства системы через манипуляции с внутренними процессами обмена валют. Выявлены ошибки логирования транзакций. Выявлены логические ошибки контрольных просчётов цепочек транзакций для контроля целостности системы. Сформированы детальные отчёты с описанием всех обнаруженных проблем и рекомендациями по их устранению, для уровня топ-менеджмента, IT-директора и технических специалистов.

Срок выполнения работ: 3 месяца.

Выводы. Платёжная система получила от нас незаменимую помощь по полному построчному анализу исходного кода её систем за период времени, несопоставимо меньший, чем разработка этого кода. Благодаря нашей услуге анализа кода, компания смогла успешно пройти аудит PCI DSS, получить официальный сертификат, опубликовать систему в общем доступе и успешно начать свою финансовую деятельность.

(Названия компаний и организаций закрыты по соглашениям о неразглашении)

 

Наши довольные клиенты

Наши клиенты – продуктовые и аутсорсинговые ИТ-компании, а также компании, работающие в строительстве, электронной коммерции, промышленности, фармацевтике, телекоммуникациях, торговле, страховании, банки и государственные организации. Некоторые наши довольные клиенты:

 

Отзывы

"Мы очень рады, что нам удалось поработать с такой командой профессионалов, как H-X Technologies. У нас остались только положительные впечатления. Работать с командой H-X было приятно и интересно. Все было отработано согласно оговоренным в техническом заданиями условиям и точно по графику. Как сам процесс оценки безопасности, так и предоставленная отчетность показали высокий уровень профессионализма. Мы не пожалели, что решили сотрудничать именно с H-X Technologies. Надеемся на дальнейшее сотрудничество".

Сергей Кривич, начальник управления информационной безопасности, BI Group
Алтынай Лебакина, руководитель информационного и аналитического департамента, BI Group

"Команда H-X провела детальное планирование проекта по оценке безопасности нашей инфраструктуры, проявив творческий подход, и хорошо реализовала план. Оценка безопасности дала важную информацию по приоритетам усиления безопасности в компании, стратегическим целям и тактическим задачам".

Дмитрий Днепровский, менеджер информационной безопасности, Intecracy Group

"Мы столкнулись с серьёзными вызовами, связанным с требованиями наших клиентов по формальному соответствию международным и отраслевым стандартам информационной безопасности. Команда H-X очень быстро помогла нам оценить и восполнить текущие организационные и технические недостатки, и продолжает помогать".

Артём Савотин, директор, Ameria

"Команда H-X выполнила техническую оценку безопасности одного из наших продуктов, и нас удивило высокое качество результатов. Специалисты H-X предоставили нам подробные консультации по безопасной разработке, которые позволили улучшить качество наших процессов разработки и тестирования".

Виктория Погребняк, ИТ-менеджер, FluentPro

А насколько защищены вы?
Почитайте больше о тестах на проникновение и проверьте вашу защиту.


О нас и о наших новостях.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI