-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

21 lipca 2020, 15:35 | Aktualności | komentarzy 15

Chyba po raz pierwszy w historii (?) możecie zobaczyć upubliczniony raport z audytu bezpieczeństwa systemu rządowego. Raport z pentestów systemu ProteGo Safe (znanego jako „aplikacja do śledzenia kontaktów w kontekście COVID-19”), dostępny jest tutaj, i obejmuje kilka obszarów:

  • bezpieczeństwo samych aplikacji mobilnych (iOS, Android),
  • bezpieczeństwo API,
  • bezpieczeństwo infrastruktury,
  • bezpieczeństwo webowej aplikacji backendowej (testowane również w wariancie whitebox).

W raporcie jest blisko 40 znalezisk – i nieco uprzedzając fakty – nie ma w nim znalezisk high czy critical. Warto z kolei przyjrzeć się pewnym ciekawym technicznie bugom, jak np. bug o ID: PROTEGO_SAFE-WEB-001 na stronie 60 raportu. Jeśli ktoś chciałby bliżej przyglądnąć się zakresowi wykonanych pentestów – polecam zerknąć na stronę 2 oraz 3 (Podsumowanie prac). M.in. uwzględnione mamy tutaj rozmaite aspekty bezpieczeństwa, bez aspektów stricte prywatnościowych.

Na pewno duży plus dla strony rządowej – raport z pentestów wcale nie musiał być upubliczniony (i zazwyczaj nie jest).

PS
Jeśli chcecie zobaczyć inne nasze publiczne raporty z pentestów (opublikowane za pisemną zgodą właścicieli systemów) – zerknijcie tutaj: Livecall, oraz nieco starszy raport z testów Yetiforce.

PPS
Jeśli ktoś chciałby przetestować swój system pod względem bezpieczeństwa – możecie śmiało do nas pisać: sekurak@sekurak.pl

Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Rząd Was zatrudnił czy macie do portfolio? :P Bo jak to pierwsze to jestem w szoku że ogarnęli.

    Odpowiedz
    • Nie bezpośrednio :)

      Odpowiedz
      • asdsad

        Czyli, że jak? Jakiś anonimowy zleceniodawca zapłacił za audyt? Czy sami z siebie, za darmo zrobiliście?

        Odpowiedz
        • komercyjnie :)

          Odpowiedz
          • asdsad

            W końcu się zdarzyło dobrze wydać trochę kasy z podatków :)

      • Piotrek

        wiadomo, w tym kraju wszystko po znajomości

        Odpowiedz
  2. FocaRider

    Zrobcie cos podobnego dla srodowiska AZURE to was ozłoce :)

    Swietna robota Panowie – kapelutek z glowy :)

    Odpowiedz
  3. adrb

    Kilka rzeczy mnie zastanawia po lekturze tego raportu:

    1. Czemu w rekomendacji na stronie 62 zostało zaproponowane użycie URI data: zamiast dodania nagłówków pomijających cache przeglądarki?

    2. Czy wyciek oryginalnego adresu IP serwera nie umożliwiał sprawniejszego ataku na PIN? (PROTEGO_SAFE-API-GAT-001 + PROTEGO_SAFE-INFRA-003)

    W końcu w warunkach jest opis:

    „Wykorzystanie dużej ilości adresów IP lub ominięcie ograniczeń Cloudflare Rate Limiting”

    Odpowiedz
  4. Hipp

    Nawet nie chcę przypuszczać dlaczego aspekty stricte prywatnościowe nie zostały uwzględnione…

    Odpowiedz
  5. Jędrzej

    Czyli co? Cały Sekurak Team spokojnie instalujecie ProteGo Safe? :>

    Odpowiedz
  6. Niezła kobyła. Tak z ciekawości zapytam. Jak to sie stało, że zleceniodawca zgodził sie na udostępnienie? ;)

    Odpowiedz
    • Zapewne na budowanie otwartości dookoła całego projektu :)

      Odpowiedz
  7. Czyli co mamy się nie bać i instalować? Widziałem wywiady z programistami którzy pracowali przy tej apce i nikt się nie wypowiedział pozytywnie.

    Odpowiedz
    • Jest jeszcze kwestia prywatności :) I kolejnych wersji, które też warto przetestować. Ogólnie od strony security nie ma się co bać.

      Odpowiedz
      • Marek

        No jak się nie ma czego bać. Jak ingeruje mocno w prywatność to w moje security !!

        Odpowiedz

Odpowiedz na inter