Wątek: Test penetracyjny

Strona: 1 z 2

1 z 31: pajper

Jakiś czas temu zaproponowało mi niezależnie kilka osób, by zlecić test penetracyjny Eltena. Test taki polega na zleceniu badań bezpieczeństwa zewnętrznym, niezależnym firmom zajmującym się łataniem potencjalnych błędów i podatności w systemach informatycznych.

Jako, że w najbliższym czasie miało pojawić się nowe API, nie byłem za tym - z przyczyn kosztów i faktów, że znalezienie podatności bądź nie będzie ważne tylko przez krótki czas.
Dziś sytuacja się zmienia, gdyż wkrótce uruchomione zostanie nowe API. Tym czasem na Eltenie mamy więcej i więcej osób, a ilość prywatnych wiadomości wysłanych na portalu przeskoczyła już poprzeczkę trzech setek tysięcy.

Nie jest to jednak tania sprawa. Dlatego pomysł poddaję dyskusji.
#StandWithUkraine Shoot for the Moon. Even if you miss, you'll land among the stars.
11.05.2019 14:44

2 z 31: pajper

Zapomniałem o najważniejszym. Wstępna wycena testu penetracyjnego dla Eltena to... ok. 3000zł.
Nie jest to mało.
#StandWithUkraine Shoot for the Moon. Even if you miss, you'll land among the stars.
11.05.2019 14:47

3 z 31: Paulinux

Ja zawsze mogę jakieś trzy dychy wrzucić, skoro zostałam wzmiankowana. Gdybym pracowała, mogłabym dać więcej. Myślę, że testy penetracyjne to wcale niegłupia sprawa.
ENTJ
11.05.2019 15:02

4 z 31: nuno69

Ja tam chętnie się dorzucę.
Polecam też na stronie chociażby
zrzutka.pl zrobić zbiókę, bo oni nie pobierają prowizji, a co jak co ale pentesty Eltena to rzecz moim zdaniem bardzo ważna.
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
11.05.2019 15:02

5 z 31: pajper

Nie pytam o to, kto by się dorzucił, jeszcze nie teraz.
Na razie raczej o opinie na temat samego przeprowadzeniu testu. Finanse to zupełnie inna sprawa.
#StandWithUkraine Shoot for the Moon. Even if you miss, you'll land among the stars.
11.05.2019 15:02

6 z 31: patrykkubaszczyk

raczej nie, bo za niedługo nowe API, więc to będzie kasa w błoto, ale jak będzie już to nowe API, to spoko by był pomysł.
because I am now using mac as main comp, I will not come here too much.NEW
11.05.2019 15:04

7 z 31: nuno69

Lol, ale łaśnie o nowym API mowa.
Ale jak tak, to ja jestem za.
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
11.05.2019 15:06

8 z 31: mikolajholysz

Jak zrobisz cały rewrite, przepiszesz na Ruby, co miałeś chyba w planach, czemu nie? On jest generalnie bezpieczniejszy od php, więc miałoby to większy sens.
w związku z przesiadką na Maca, prawie mnie tutaj nie ma. Inne sposoby kontaktu w wizytówce.
11.05.2019 15:17

9 z 31: pates

pomysł jest dobry, ale dość drogi.
Kocia sierść rozwiązuje wszystkie problemy!
11.05.2019 15:30

10 z 31: tomecki

Zdecydowanie jestem za. Myślę, że jeśli udało się uporać z Amazonem i sms to i testy penetracyjne, któe jednak są dość ważne ogarniemy cenowo jak się w kupę zbierzem, a bezpieczoeństwo rzecz ważna.

11.05.2019 17:34

11 z 31: matius

Jestem za testem.
Sygnatura – Uczcij poległych i cierpiących ocalałych ciężką pracą, ponieważ porażka zawsze może się zdarzyć, jednak nigdy nie staraj się udawać, że jesteś doskonały, ponieważ prowadzi to do gorszego końca niż porażka, wiedzie na ścieżkę hańby i nikczemności.
11.05.2019 18:00

12 z 31: Elanor

Jak najbardziej za.


11.05.2019 19:03

13 z 31: daszekmdn

Tylko, że z drugiej strony im wcześniej tym lepiej.

11.05.2019 22:28

14 z 31: grzezlo

Testy wszelkie są o tyle wiarygodne o ile wiarygodny jest podmiot testujący. Firma Pan Kazio może ci zrobić ten test za jeszcze mniejsze pieniądze i dokładnie nic z tego nie wynika, bo albo wykonają kilka z palca prostych zapytań na sql injection, albo posadzą studenta na stażu, żeby przeskanował stronę automatycznymi narzędziami których działania nie rozumie więc też nie umie ich skonfigurować.
Na końcu się dowiesz, że jest ok, no i oczywiście nadal nic z tego nie wynika bo od podatności może się aż roić.
To trochę jak z antywirusem: lepiej go mieć niż nie mieć, ale nawet najlepszy antywirus nie powie ci ile masz wirusów na komputerze, a jedynie tyle, że on o istnieniu żadnego nic nie wie.
Pentesterzy też nie gwarantują, że nie ma dziur, a jedynie, że oni żadnych nie znaleźli.
Przypuśćmy jednak, że znalazłeś super rzetelną firmę, która gruntownie sprawdziła wszystko i orzekła, że jest bezpiecznie, ale to raczej kosztowałoby kilka razy więcej... No i cóż, jeden szybki commit tydzień później, wnoszący nową funkcję albo poprawiający działanie jakiejś istniejącej i może się okazać, że właśnie otworzył przypadkiem na serwerze podatność szeroką jak wrota od stodoły.
Czyli nie ma gwarancji bezpieczeństwa, a jedynie mniejsze prawdopodobieństwo niebezpieczeństwa. A o ile mniejsze, no to zależy od umiejętności wykonawcy testów.
Pytanie, jaka w tym byłaby tragedia, jeśli ktoś spenetruje system i go przewróci? W najgorszym razie, trzeba będzie się cofnąć do backupu z wczoraj lub z przed tygodnia, komuś się stracą ze dwa wpisy na blogu, które i tak powinien mieć we własnym zakresie na kompie zapisane, no i tyle.
Idea jest szczytna, ale wyobrażam sobie kilka ciekawszych możliwości wydania tych 3 tys. w kontekście Eltena.
Mam nawet graniczące z pewnością przekonanie, że gdyby autor wydał te hipotetyczne 3 tys. na dwutygodniowe wakacje w górach w ramach odpoczynku od spamującej gimbazy, to byłaby to większa korzyść dla projektu.
Ale pomysł pentestów w zasadzie nie zły, tylko żeby się nie okazało, że wykonanie słabe.

12.05.2019 13:06

15 z 31: pajper

@grzezlo Wiem wiem. Ale zawsze to świeże spojrzenie.
A firma, o jakiem mówię, to Red Team.
Oni wykonywali testy penetracyjne dla kilku banków, więc mam nadzieję, że coś umieją. :)
#StandWithUkraine Shoot for the Moon. Even if you miss, you'll land among the stars.
12.05.2019 13:07

16 z 31: grzezlo

No, jeśli to nie był bank w Jarocinie[1], ani Plus bank[2], to zmienia postać rzeczy.
Ale z drugiej strony i tak Elten jest bezpieczniejszy niż serwis pitwgdansku.pl[3].
Cytat:
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii “PIT w Gdańsku. Się opłaca!”.
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
(...)
Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych
(...)
Usunięto plik techniczny z danymi,
(...)
wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych.
Koniec cytatu.

[1]: https://niebezpiecznik.pl/post/jak-mozna-bylo-zhackowac-strone-banku-w-jarocinie/
[2]: https://niebezpiecznik.pl/post/wykradzione-dane-klientow-plus-banku-opublikowane-w-sieci-wlamywacz-spelnia-grozbe/
[3]: https://niebezpiecznik.pl/post/pit-w-gdansku-wyciek-danych-platnikow/


12.05.2019 13:32

17 z 31: mikolajholysz

@grzezlo to nie jest kwestia co się stanie, jak ktoś skasuje dane, bo przywrócić owszem można, to jest kwestia, co się stanie, gdy ktoś uzyska dostęp do całej bazy wiadomości prywatnych.
w związku z przesiadką na Maca, prawie mnie tutaj nie ma. Inne sposoby kontaktu w wizytówce.
12.05.2019 14:45

18 z 31: grzezlo

Pytanie jakie poufne dane w tych wiadomościach przesyłasz, ale jak mówi maksyma z niebezpiecznika, jeśli wrzucasz coś do sieci, to traktuj to jako informację ogólnodostępną.

Nawet jeśli leży w twojej prywatnej chmurze, sieciowym prywatnym dysku itd.
I jak pisałem, bezpieczeństwo trzeba podnosić, kierunek jest słuszny, tylko pentest niczego nie gwarantuje, ewentualnie pozwoli wyeliminować jakieś luki, ale po każdej większej albo i mniejszej aktualizacji trzeba by go powtarzać.
Optymalnie byłoby, gdyby to w samej społeczności istnieli entuzjaści pentestingu bo oni mogliby zapewnić stałe testowanie i to za free, ale prócz paru narzekaczy na język Ruby, to w kwestiach technicznych nikt się tu za bardzo nie chwalił talentami.
A crowdfunding oddolny też słabo wygląda.
Więc jeśli jest dobry podmiot testujący wytypowany i uda się zebrać na to monetę, no to pewnie, że ma to sens chociaż szanse na sukces są jakie są, a tym bardziej na jakąś powtarzalność.
..

12.05.2019 16:59

19 z 31: pajper

Sprawa jest trudna.
Generalnie, załóżmy na moment, że mamy już nowe API. Szanse na dziurę są duże i małe za razem.
Z jednej strony duże, bo projekt prowadzi jedna osoba, której łatwo coś przeoczyć.
Z drugiej małe, bo mniej jest warstw, w których błędy mogą się pojawić.

Przez to, że wiadomości są czysto tekstowe, nie parsują kodu, nie mają JavaScriptów, miejsc możliwych błędów jest mniej.

Trudno nawet oceniać ryzyko, że jakaś szczelinka będzie istniała.

Pentest nigdy nie jest odpowiedzią, ale zawsze może wskazać na coś, co było przeoczone.


Jak już pisałem w innym wątku, osobiście ryzykuję dość pozytywną ocenę zabezpieczeń Eltena. Nie mówię przez to, że błędów nie ma, że drobnych nie ma nawet nie uwierzę, ale kilkukrotnie mieliśmy do czynienia z atakami wykorzystującymi niedopatrzenia i mało groźnymi w skutkach, a więc ktoś repozytorium śledzi.
Nie chciałbym jednak też tutaj prezentować nadmiernej pewności.
#StandWithUkraine Shoot for the Moon. Even if you miss, you'll land among the stars.
12.05.2019 17:04

20 z 31: grzezlo

No właśnie, ciekawe, czy pentesty wykryłyby dziury takiego typu, jakie zostały wykorzystane, czyli jak pamiętam np. nolimit na generowanie smsów tysiącami na jakiś fikcyjny numer tel.
A z drugiej strony na pewno nie wykryją, bo nie od tego są, istniejących błędów logiki, takich jak brak wstępnej moderacji użytkowników, dzięki któremu jedna osoba może sobie w krótkim czasie utworzyć fefnaście spamerskich kont i wylewać przez nie swoje frustracje na klawiaturę.


12.05.2019 18:33