Actitud Digital es el desarrollador italiano de capacitación virtual que ofrece la plataforma que inspira hábitos: la herramienta que ayuda a formar nuevas habilidades blandas en el uso del software corporativo. El proyecto clave de Actitud Digital es Microsoft Office 365 virtual trainer. Enseña a los clientes una variedad de habilidades: por ejemplo, guardar archivos regularmente en una carpeta sincronizada con OneDrive, en lugar de guardarlos solo en la memoria interna de la computadora. Como resultado, los clientes comienzan a utilizar todos los productos principales de Microsoft con mayor confianza y eficacia.
Pruebas de penetración
El concepto inspirador de hábitos se basa en la teoría del empujón de Richard Thaler, ganador del Premio Nobel de Economía (del comportamiento) de 2017. La propia Actitud Digital es el “socio de oro” de Microsoft, ganador de los Premios Champ de Transformación Digital 2020. La clientela de la compañía incluye producción de petróleo, banca, seguros y atención médica.
Cuidando la protección
Tanto la red de actitud digital como las operaciones están diseñadas teniendo en cuenta un alto nivel de seguridad. Según Denis Sumin, desarrollador full stack y especialista en Actitud Digital, ” cada cliente solo tiene la identificación. No almacenamos correos electrónicos, nombres o direcciones IP; todo es casi anónimo. Sin embargo, nos preocupamos permanentemente de que ni siquiera estas identificaciones se filtren a ninguna parte”.
La plataforma que inspira hábitos también está protegida. Ningún desarrollador tiene acceso a la versión de producción de habit-inspiring, por lo que es imposible una implementación de producción independiente: se implementa automáticamente a través de una cuenta específica de AWS. Cada confirmación está firmada digitalmente; la falsificación es, de nuevo, imposible. Cada solicitud de extracción es verificada por al menos dos desarrolladores, por lo que la inserción de código dañino requiere la colaboración de al menos tres personas.
“Tenemos todo firmemente establecido dentro. Pero el área exterior está fuera de nuestro control, por lo que decidimos realizar la prueba de penetración para fortalecer la seguridad de la red”, concluyó Denis Sumin.
La prueba y el probador
El modelo Black Box pentest presume que los intrusos no tienen conocimiento de la empresa y sus sistemas, por lo que solo se imitan los ataques a recursos públicos, comenzando desde las direcciones IP externas y las URL públicas. Pentest también analiza los servidores de correo, terminales y archivos, así como los otros servicios web que revelaron un acceso al escanear.
ITGLOBAL.COM con sede en San Petersburgo, Rusia fue elegida por Digital Attitude como la artista pentest después de una cuidadosa consideración. En particular, ninguno de los candidatos de Occidente pudo indicar un cronograma para los preparativos de pentest y el procedimiento inicial. Al principio, Digital Attitude no consideraba una empresa rusa, pero ITGLOBAL.COM parecía satisfacer todos los requisitos del desarrollador italiano. “Me gustaba hackear hace muchos años, por lo que algunos elementos ya me resultaban muy familiares. Además, ITGLOBAL.COM los especialistas desde el principio dejaron claro: cómo iría la prueba, cuáles son los objetivos de los ataques, qué herramientas se utilizarán. Aprecio un enfoque tan meticuloso”, señaló Denis Sumin.
El resultado: problema resuelto positivamente
La prueba de penetración había demostrado la vulnerabilidad de nivel medio único en Digital Attitude, el Cross-Site Scripting. Imitando el ataque, ITGLOBAL.COM los probadores lograron insertar en la página su script que se ejecutó del lado del cliente. La vulnerabilidad fue parcheada de inmediato a través de la Política de Seguridad de Contenido; a partir de ahora, los scripts de Digital Attitude están firmados con el certificado adicional. Según Alexander Zubikov, ITGLOBAL.COM IS Head, ” incluso las vulnerabilidades de mediana escala pueden generar grandes problemas. Un intruso puede obtener la versión del cliente de lo que inspira el hábito y obtener acceso a la computadora de un cliente. O alterar el contenido original de la Actitud Digital, socavando así la confianza en la empresa. O simplemente robar las cookies de los clientes, con secuelas bien conocidas”.
“Honestamente, no esperábamos ninguna violación de la seguridad. Así que felicitaciones a ITGLOBAL.COM por señalar adecuadamente nuestra debilidad, aunque sea la única. Agradecemos la cooperación con el proveedor de servicios ruso. Todo fue muy transparente y profesional; el nivel de nuestro socio es realmente muy avanzado”, agregó Denis Sumin.
ITGLOBAL.COM es el grupo internacional de empresas, proveedor de productos y servicios de TI, fundado en 2008, cuando obtuvo el estatus de 1er proveedor de servicios VMware de Rusia. ITGLOBAL.COM se especializa en la gestión de los entornos de TI de los clientes, además de su propia infraestructura en la nube. Con sede en San Petersburgo, Rusia, la marca está representada en Moscú, Rusia; Minsk, Bielorrusia; Amsterdam, Países Bajos. Más de otras 10 ubicaciones, incluidas Gran Bretaña, Turquía, China, EE.UU. e Indonesia, están en progreso.
