ITGLOBAL.COM especialistas en seguridad de la información proporcionaron pruebas de penetración para Digital Attitude, utilizando el modelo de caja negra. Pentest ayudó a evaluar la seguridad de los recursos públicos y los servicios al cliente, así como el nivel de amenaza de las vulnerabilidades encontradas.

Acerca de la empresa

Actitud Digital desarrolla una Plataforma inspiradora de hábitos (hi), un entrenador virtual que ayuda a adoptar nuevas tecnologías. Con la ayuda de hi, los usuarios desarrollan sus nuevas habilidades blandas en el uso del software corporativo, cambiando las habilidades más antiguas por las más nuevas.

El proyecto clave de Digital Attitude es el plan de estudios del capacitador virtual para adoptar los productos Microsoft Office 365. La propia Actitud Digital es el” socio de oro ” de Microsoft, ganador de los Premios Campeón de Transformación Digital 2020 en la categoría Colaboración y Trabajo Inteligente.

El concepto inspirador de hábitos se basa en la teoría del empujón de Richard Thaler, economista y ganador del Premio Nobel de Economía del comportamiento.

hi ayuda al personal a formar las “habilidades adecuadas” cuando trabaja con aplicaciones corporativas. Por ejemplo, para guardar archivos regularmente en una carpeta sincronizada con OneDrive, en lugar de guardarlos solo en “Documentos” o “Escritorio activo”. Con hi, los empleados comienzan a utilizar todas las funciones útiles de MS Office, OneDrive, SharePoint y otros productos de Microsoft 365. Por lo tanto, la compra de un paquete de Microsoft por parte de una empresa pasa de ser un gasto a una inversión.

La clientela de Digital Attitude incorpora grandes empresas de diversos sectores, incluida la producción de petróleo, la banca, los seguros y la atención médica.

La Tarea

la plataforma hi consta de la parte del cliente y la parte del servidor. El Cliente, instalado en la PC de un empleado, recopila de forma anónima las métricas necesarias y las envía a un “cerebro” de hi a través de IoT. El “cerebro” realiza análisis y decide qué mensaje mostrar a un cliente. En teoría, si un intruso intercepta una conexión “cliente-servidor”, podría obtener acceso a la computadora de un empleado.

[importante]

Denis Sumin, desarrollador full stack, Actitud Digital ES especialista:

“Para nuestra empresa, la seguridad de los usuarios ocupa el primer lugar. Cada cliente solo tiene la identificación. No almacenamos correos electrónicos, nombres, direcciones IP, nada en absoluto, por lo que todo es altamente anónimo. Sin embargo, nos preocupamos permanentemente de que ni siquiera estas identificaciones anónimas se filtren a ninguna parte, de que no haya acceso secundario a ellas”.

[/importante]

Digital Attitude también se preocupa por el desarrollo seguro de la plataforma. Ningún desarrollador tiene acceso a la versión de producción de hi, por lo que es imposible una implementación de producción independiente. En cambio, la implementación automatizada se realiza a través de la cuenta especial de AWS de Digital Attitude. Cada confirmación está firmada digitalmente; la falsificación es, de nuevo, imposible. Cada solicitud de extracción es verificada por al menos dos desarrolladores. Insertar código dañino en hi requiere la colaboración de al menos tres personas.

[importante]

Denis Sumin:

“Tenemos todo firmemente establecido dentro. Pero el área exterior está fuera de nuestro control, por lo que nos decidimos por la prueba de penetración de la Caja Negra”.

[/importante]

El Método

La característica principal del análisis externo del modelo de Caja Negra de la protección de los servicios al cliente es que un intruso (pentester) no tiene conocimiento de la empresa y sus sistemas. Los ataques solo a los recursos públicos del cliente se imitan durante una pentest. Los datos de origen de un ataque son direcciones IP externas y URL públicas, incluidos sitios web y otros recursos: por ejemplo, servidores de correo, terminales y archivos – También se prueban otros servicios web, cuyo acceso se revela al escanear.

Pentest tiene como objetivo descubrir vulnerabilidades, puntos débiles y formas de acceder alternativamente a información protegida. Para realizar la tarea, los pentesters realizan análisis manuales, además de utilizar diversas herramientas: escáneres multipropósito y utilidades específicas para algunos tipos específicos de ataques.

Selección de Pentéster

Antes de abordar ITGLOBAL.COM, Digital Attitude envió consultas a empresas europeas y estadounidenses. Ninguno de los pentesters de Occidente pudo establecer plazos adecuados. Muchos tienen sus proyectos programados para todo un año por delante; la demanda de este y otros servicios similares es realmente alta tanto en Europa como en los EE. UU.

[importante]

Denis Sumin:

“Hemos decidido considerar varias empresas que son nuevas en el mercado europeo . Desafortunadamente, la mayoría de ellos trabajan solo en sus mercados locales. Una empresa confirmó su experiencia con clientes extranjeros, pero en su sitio no tenían ni un solo caso relevante, ni una palabra en inglés”.

[/importante]

Entonces, al final la selección se hizo a nuestro favor. ITGLOBAL.COM parecía ajustarse a todos los criterios mencionados anteriormente. Los especialistas de IS también se tomaron su tiempo para especificar en detalle: cómo se realizará el trabajo, qué vectores y herramientas de ataque se utilizarán.

[importante]

“Me gustaba hackear hace muchos años, por lo que algunos elementos ya me resultaban muy familiares. Entendí y aprecié su enfoque muy serio: ya en la etapa de negociaciones preliminares”, – señaló Denis Sumin.

[/importante]

El Resultado

En general, la actitud digital demostró un nivel de protección muy alto. Solo se encontró una vulnerabilidad de nivel medio, XSS (secuencias de comandos entre sitios). Pero un intruso dispuesto y lo suficientemente hábil podría usarlo.

Los mensajes que el “cerebro” envía a un cliente son esencialmente páginas HTML. Para que su entrega sea lo más rápida posible, todo javascript se coloca dentro. A medida que se desarrolle el ataque XSS, el sitio podría modificarse, por ejemplo, con la inserción de scripts alterados.

[importante]

Alexander Zubrikov, ITGLOBAL.COM ES Cabeza:

“Incluso esa vulnerabilidad de escala puede generar una serie de problemas. En primer lugar, es posible que un intruso obtenga la versión de hi del cliente. Como Digital Attitude usa el motor Chrome, un pirata informático, conociendo la versión – podría examinar esta versión en busca de vulnerabilidades que permitan acceder a la computadora.
En segundo lugar, un intruso puede presentar un contenido alterado a un cliente: imágenes, textos, etc. Ese usuario considerará esos mensajes como originados a partir del nombre de la empresa, es decir, confiará en ellos.

Finalmente, un intruso puede simplemente robar las cookies de un usuario, con consecuencias bien conocidas”.

[/importante]

Imitando el ataque, ITGLOBAL.COM los probadores lograron insertar en la página su script que se ejecutó del lado del cliente. Digital Attitude solucionó de inmediato la vulnerabilidad con la Política de Seguridad de contenido. Ahora los scripts java están firmados con el certificado adicional: el algoritmo SHA – 256 genera hash, por lo que es imposible alterar el script.

[importante]

Denis Sumin:

“Honestamente, no esperábamos ninguna violación de seguridad (risas). En general, valoramos la cooperación con ITGLOBAL.COM. Todos los problemas se resolvieron oportunamente. Todo fue transparente y profesional. El nivel de uso de la herramienta y la experiencia general son muy altos”.

[/importante]

Servicios de seguridad de la información de ITGLOBAL.COM

ITGLOBAL.COM group of companies ofrece una variedad de servicios de seguridad de la información, que permiten minimizar los riesgos críticos para un cliente principal, sus clientes y el negocio en general. Nuestros auditores y especialistas en SI utilizan las mejores prácticas adoptadas en todo el mundo: NIST SP 800-xx, ISO 2700x, PCI DSS, así como métodos de prueba de penetración ampliamente reconocidos: OSSTMM, OWASP, NIST, PTES.