Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!
Chyba po raz pierwszy w historii (?) możecie zobaczyć upubliczniony raport z audytu bezpieczeństwa systemu rządowego. Raport z pentestów systemu ProteGo Safe (znanego jako „aplikacja do śledzenia kontaktów w kontekście COVID-19”), dostępny jest tutaj, i obejmuje kilka obszarów:
- bezpieczeństwo samych aplikacji mobilnych (iOS, Android),
- bezpieczeństwo API,
- bezpieczeństwo infrastruktury,
- bezpieczeństwo webowej aplikacji backendowej (testowane również w wariancie whitebox).
W raporcie jest blisko 40 znalezisk – i nieco uprzedzając fakty – nie ma w nim znalezisk high czy critical. Warto z kolei przyjrzeć się pewnym ciekawym technicznie bugom, jak np. bug o ID: PROTEGO_SAFE-WEB-001 na stronie 60 raportu. Jeśli ktoś chciałby bliżej przyglądnąć się zakresowi wykonanych pentestów – polecam zerknąć na stronę 2 oraz 3 (Podsumowanie prac). M.in. uwzględnione mamy tutaj rozmaite aspekty bezpieczeństwa, bez aspektów stricte prywatnościowych.
Na pewno duży plus dla strony rządowej – raport z pentestów wcale nie musiał być upubliczniony (i zazwyczaj nie jest).
PS
Jeśli chcecie zobaczyć inne nasze publiczne raporty z pentestów (opublikowane za pisemną zgodą właścicieli systemów) – zerknijcie tutaj: Livecall, oraz nieco starszy raport z testów Yetiforce.
PPS
Jeśli ktoś chciałby przetestować swój system pod względem bezpieczeństwa – możecie śmiało do nas pisać: sekurak@sekurak.pl
Rząd Was zatrudnił czy macie do portfolio? :P Bo jak to pierwsze to jestem w szoku że ogarnęli.
Nie bezpośrednio :)
Czyli, że jak? Jakiś anonimowy zleceniodawca zapłacił za audyt? Czy sami z siebie, za darmo zrobiliście?
komercyjnie :)
W końcu się zdarzyło dobrze wydać trochę kasy z podatków :)
wiadomo, w tym kraju wszystko po znajomości
Zrobcie cos podobnego dla srodowiska AZURE to was ozłoce :)
Swietna robota Panowie – kapelutek z glowy :)
Kilka rzeczy mnie zastanawia po lekturze tego raportu:
1. Czemu w rekomendacji na stronie 62 zostało zaproponowane użycie URI data: zamiast dodania nagłówków pomijających cache przeglądarki?
2. Czy wyciek oryginalnego adresu IP serwera nie umożliwiał sprawniejszego ataku na PIN? (PROTEGO_SAFE-API-GAT-001 + PROTEGO_SAFE-INFRA-003)
W końcu w warunkach jest opis:
„Wykorzystanie dużej ilości adresów IP lub ominięcie ograniczeń Cloudflare Rate Limiting”
Nawet nie chcę przypuszczać dlaczego aspekty stricte prywatnościowe nie zostały uwzględnione…
Czyli co? Cały Sekurak Team spokojnie instalujecie ProteGo Safe? :>
Niezła kobyła. Tak z ciekawości zapytam. Jak to sie stało, że zleceniodawca zgodził sie na udostępnienie? ;)
Zapewne na budowanie otwartości dookoła całego projektu :)
Czyli co mamy się nie bać i instalować? Widziałem wywiady z programistami którzy pracowali przy tej apce i nikt się nie wypowiedział pozytywnie.
Jest jeszcze kwestia prywatności :) I kolejnych wersji, które też warto przetestować. Ogólnie od strony security nie ma się co bać.
No jak się nie ma czego bać. Jak ingeruje mocno w prywatność to w moje security !!