Test penetracyjny
Back to Archiwum Eltena#1 pajper
Jakiś czas temu zaproponowało mi niezależnie kilka osób, by zlecić test penetracyjny Eltena. Test taki polega na zleceniu badań bezpieczeństwa zewnętrznym, niezależnym firmom zajmującym się łataniem potencjalnych błędów i podatności w systemach informatycznych.
Jako, że w najbliższym czasie miało pojawić się nowe API, nie byłem za tym - z przyczyn kosztów i faktów, że znalezienie podatności bądź nie będzie ważne tylko przez krótki czas.
Dziś sytuacja się zmienia, gdyż wkrótce uruchomione zostanie nowe API. Tym czasem na Eltenie mamy więcej i więcej osób, a ilość prywatnych wiadomości wysłanych na portalu przeskoczyła już poprzeczkę trzech setek tysięcy.
Nie jest to jednak tania sprawa. Dlatego pomysł poddaję dyskusji.
Shoot for the Moon. Even if you miss, you'll land among the stars.
#2 pajper
Zapomniałem o najważniejszym. Wstępna wycena testu penetracyjnego dla Eltena to... ok. 3000zł.
Nie jest to mało.
Shoot for the Moon. Even if you miss, you'll land among the stars.
#3 Paulinux
Ja zawsze mogę jakieś trzy dychy wrzucić, skoro zostałam wzmiankowana. Gdybym pracowała, mogłabym dać więcej. Myślę, że testy penetracyjne to wcale niegłupia sprawa.
#4 nuno69
Ja tam chętnie się dorzucę.
Polecam też na stronie chociażby
zrzutka.pl zrobić zbiókę, bo oni nie pobierają prowizji, a co jak co ale pentesty Eltena to rzecz moim zdaniem bardzo ważna.
#5 pajper
Nie pytam o to, kto by się dorzucił, jeszcze nie teraz.
Na razie raczej o opinie na temat samego przeprowadzeniu testu. Finanse to zupełnie inna sprawa.
Shoot for the Moon. Even if you miss, you'll land among the stars.
#6 patrykkubaszczyk Archived
raczej nie, bo za niedługo nowe API, więc to będzie kasa w błoto, ale jak będzie już to nowe API, to spoko by był pomysł.
#7 nuno69
Lol, ale łaśnie o nowym API mowa.
Ale jak tak, to ja jestem za.
#8 mikolajholysz
Jak zrobisz cały rewrite, przepiszesz na Ruby, co miałeś chyba w planach, czemu nie? On jest generalnie bezpieczniejszy od php, więc miałoby to większy sens.
#9 pates
pomysł jest dobry, ale dość drogi.
#10 tomecki
Zdecydowanie jestem za. Myślę, że jeśli udało się uporać z Amazonem i sms to i testy penetracyjne, któe jednak są dość ważne ogarniemy cenowo jak się w kupę zbierzem, a bezpieczoeństwo rzecz ważna.
#11 matius
Jestem za testem.
#12 Elanor
Jak najbardziej za.
#13 daszekmdn
Tylko, że z drugiej strony im wcześniej tym lepiej.
#14 grzezlo
Testy wszelkie są o tyle wiarygodne o ile wiarygodny jest podmiot testujący. Firma Pan Kazio może ci zrobić ten test za jeszcze mniejsze pieniądze i dokładnie nic z tego nie wynika, bo albo wykonają kilka z palca prostych zapytań na sql injection, albo posadzą studenta na stażu, żeby przeskanował stronę automatycznymi narzędziami których działania nie rozumie więc też nie umie ich skonfigurować.
Na końcu się dowiesz, że jest ok, no i oczywiście nadal nic z tego nie wynika bo od podatności może się aż roić.
To trochę jak z antywirusem: lepiej go mieć niż nie mieć, ale nawet najlepszy antywirus nie powie ci ile masz wirusów na komputerze, a jedynie tyle, że on o istnieniu żadnego nic nie wie.
Pentesterzy też nie gwarantują, że nie ma dziur, a jedynie, że oni żadnych nie znaleźli.
Przypuśćmy jednak, że znalazłeś super rzetelną firmę, która gruntownie sprawdziła wszystko i orzekła, że jest bezpiecznie, ale to raczej kosztowałoby kilka razy więcej... No i cóż, jeden szybki commit tydzień później, wnoszący nową funkcję albo poprawiający działanie jakiejś istniejącej i może się okazać, że właśnie otworzył przypadkiem na serwerze podatność szeroką jak wrota od stodoły.
Czyli nie ma gwarancji bezpieczeństwa, a jedynie mniejsze prawdopodobieństwo niebezpieczeństwa. A o ile mniejsze, no to zależy od umiejętności wykonawcy testów.
Pytanie, jaka w tym byłaby tragedia, jeśli ktoś spenetruje system i go przewróci? W najgorszym razie, trzeba będzie się cofnąć do backupu z wczoraj lub z przed tygodnia, komuś się stracą ze dwa wpisy na blogu, które i tak powinien mieć we własnym zakresie na kompie zapisane, no i tyle.
Idea jest szczytna, ale wyobrażam sobie kilka ciekawszych możliwości wydania tych 3 tys. w kontekście Eltena.
Mam nawet graniczące z pewnością przekonanie, że gdyby autor wydał te hipotetyczne 3 tys. na dwutygodniowe wakacje w górach w ramach odpoczynku od spamującej gimbazy, to byłaby to większa korzyść dla projektu.
Ale pomysł pentestów w zasadzie nie zły, tylko żeby się nie okazało, że wykonanie słabe.
#15 pajper
@grzezlo Wiem wiem. Ale zawsze to świeże spojrzenie.
A firma, o jakiem mówię, to Red Team.
Oni wykonywali testy penetracyjne dla kilku banków, więc mam nadzieję, że coś umieją. :)
Shoot for the Moon. Even if you miss, you'll land among the stars.
#16 grzezlo
No, jeśli to nie był bank w Jarocinie[1], ani Plus bank[2], to zmienia postać rzeczy.
Ale z drugiej strony i tak Elten jest bezpieczniejszy niż serwis pitwgdansku.pl[3].
Cytat:
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii “PIT w Gdańsku. Się opłaca!”.
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
(...)
Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych
(...)
Usunięto plik techniczny z danymi,
(...)
wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych.
Koniec cytatu.
[1]: https://niebezpiecznik.pl/post/jak-mozna-bylo-zhackowac-strone-banku-w-jarocinie/
[2]: https://niebezpiecznik.pl/post/wykradzione-dane-klientow-plus-banku-opublikowane-w-sieci-wlamywacz-spelnia-grozbe/
[3]: https://niebezpiecznik.pl/post/pit-w-gdansku-wyciek-danych-platnikow/
#17 mikolajholysz
@grzezlo to nie jest kwestia co się stanie, jak ktoś skasuje dane, bo przywrócić owszem można, to jest kwestia, co się stanie, gdy ktoś uzyska dostęp do całej bazy wiadomości prywatnych.
#18 grzezlo
Pytanie jakie poufne dane w tych wiadomościach przesyłasz, ale jak mówi maksyma z niebezpiecznika, jeśli wrzucasz coś do sieci, to traktuj to jako informację ogólnodostępną.
Nawet jeśli leży w twojej prywatnej chmurze, sieciowym prywatnym dysku itd.
I jak pisałem, bezpieczeństwo trzeba podnosić, kierunek jest słuszny, tylko pentest niczego nie gwarantuje, ewentualnie pozwoli wyeliminować jakieś luki, ale po każdej większej albo i mniejszej aktualizacji trzeba by go powtarzać.
Optymalnie byłoby, gdyby to w samej społeczności istnieli entuzjaści pentestingu bo oni mogliby zapewnić stałe testowanie i to za free, ale prócz paru narzekaczy na język Ruby, to w kwestiach technicznych nikt się tu za bardzo nie chwalił talentami.
A crowdfunding oddolny też słabo wygląda.
Więc jeśli jest dobry podmiot testujący wytypowany i uda się zebrać na to monetę, no to pewnie, że ma to sens chociaż szanse na sukces są jakie są, a tym bardziej na jakąś powtarzalność.
..
#19 pajper
Sprawa jest trudna.
Generalnie, załóżmy na moment, że mamy już nowe API. Szanse na dziurę są duże i małe za razem.
Z jednej strony duże, bo projekt prowadzi jedna osoba, której łatwo coś przeoczyć.
Z drugiej małe, bo mniej jest warstw, w których błędy mogą się pojawić.
Przez to, że wiadomości są czysto tekstowe, nie parsują kodu, nie mają JavaScriptów, miejsc możliwych błędów jest mniej.
Trudno nawet oceniać ryzyko, że jakaś szczelinka będzie istniała.
Pentest nigdy nie jest odpowiedzią, ale zawsze może wskazać na coś, co było przeoczone.
Jak już pisałem w innym wątku, osobiście ryzykuję dość pozytywną ocenę zabezpieczeń Eltena. Nie mówię przez to, że błędów nie ma, że drobnych nie ma nawet nie uwierzę, ale kilkukrotnie mieliśmy do czynienia z atakami wykorzystującymi niedopatrzenia i mało groźnymi w skutkach, a więc ktoś repozytorium śledzi.
Nie chciałbym jednak też tutaj prezentować nadmiernej pewności.
Shoot for the Moon. Even if you miss, you'll land among the stars.
#20 grzezlo
No właśnie, ciekawe, czy pentesty wykryłyby dziury takiego typu, jakie zostały wykorzystane, czyli jak pamiętam np. nolimit na generowanie smsów tysiącami na jakiś fikcyjny numer tel.
A z drugiej strony na pewno nie wykryją, bo nie od tego są, istniejących błędów logiki, takich jak brak wstępnej moderacji użytkowników, dzięki któremu jedna osoba może sobie w krótkim czasie utworzyć fefnaście spamerskich kont i wylewać przez nie swoje frustracje na klawiaturę.