O kliencie
Ośrodek Przetwarzania Informacji Państwowy Instytut Badawczy to instytucja gromadząca i udostępniająca aktualne, kompleksowe informacje o polskiej nauce oraz tworząca systemy informatyczne wspierające rozwój nauki i szkolnictwa wyższego.
Potrzeba:
Instytucja publiczna nie może pozwolić sobie na wycieki danych wrażliwych, dlatego audytowane systemy musiały być dokładnie zweryfikowane pod kątem błędów. Systemy te współgrają ze sobą, przechowują istotne dane polskiej nauki oraz dane osobowe, a ponieważ działają w środowisku podatnym na ataki hakerskie, musiały przejść odpowiednie testy akceptacyjne.
Ramy projektu:
Zlecono nam przeprowadzenie audytu bezpieczeństwa dla 5 systemów opracowanych przez OPI PIB:
- Navoica – platforma bezpłatnych kursów wirtualnych
- POL-on – zintegrowany system informacji o nauce i szkolnictwie wyższym
- ORPPD – Jednolity System Antyplagiatowy – baza obronionych prac dyplomowych oraz jedna z baz referencyjnych systemu JSA
- Polska Bibliografia Naukowa – katalog polskich pracowników naukowych
- Zintegrowany System Usług dla Nauki – Obsługa Strumieni Finansowania – system przeznaczony do rejestrowania i obsługi wniosków o finansowanie nauki składający się z 8 modułów
Przebieg projektu
Zespół
5 specjalistów ds. bezpieczeństwa IT realizujących prace zdalnie z siedziby TestArmy Group SA i częściowo w OPI – PIB.
Czas trwania
23 tygodnie – zakończony 24.05.2019
Wartość
184 500 PLN
Etap 1
Dla każdego z systemów wykonaliśmy testy penetracyjne, w ramach których nasi specjaliści przeprowadzili symulację włamań do systemów oraz sieci metodą black box (bez znajomości kodów źródłowych ani konfiguracji aplikacji) i zidentyfikowali słabe punkty systemu zabezpieczeń.
Wykorzystaliśmy automatyczne i manualne metody prowadzenia audytu aby zbadać systemy pod kątem podatności, takich jak:
- SQL Injection
- XML Injection
- XSS (Cross Site Scripting)
- CSRF (Cross Site Request Forgery)
- Code Execution
- Insecure Communications
- Source Disclosure
- Path Traversal
- DoS (Denial of Service)
- File Inclusion
- Bezpieczeństwo mechanizmu SSL serwera web
- Broken Authentication and Session Management
- Authorization Bypass
- Information Leakage
- Deserialization of untrusted data
Oprócz tego przeprowadziliśmy analizę metod uwierzytelniania i analizę urządzeń zewnętrznych. Do określenia typów ataków posłużyliśmy się najnowszą listą podatności OWASP.
Etap 2
Przeprowadziliśmy szczegółową analizę stosowanych systemów zabezpieczeń metodą white box. Skupiliśmy się na wykorzystanych technologiach, możliwych podatnościach systemów i próbie znalezienia nowszych, bezpieczniejszych rozwiązań teleinformatycznych.
Przeanalizowaliśmy:
- dokumentację systemów i sieci
- obszar techniczny systemów i środowiska informatycznego
- poprawność i kompletność ustanowionych zabezpieczeń
- skuteczność stosowanych zabezpieczeń
- systemy informatyczne pod kątem zagrożeń, takich jak ataki sieciowe, zagrożenia transmisji danych, zagrożenia aplikacyjne, zagrożenia komunikacyjne, awarie techniczne, zagrożenia kryptograficzne i błędy ludzkie
Przeanalizowaliśmy kod źródłowy i technologie stosowane w poszczególnych systemach, takie jak:
Javascript | MongoDB | Python | Open Edx | Apache Kafka | Java | Spring
KeyCloak Java | Spring Security | LDAP | MySQL | Angular | TypeScript
Lucene | ElasticSearch | Oracle | Oracle Business Intelligence EE
Oracle Data Integrator | Hadoop | Spring Boot | Apache CXF | Java 8
Struts 1.3 + JSP | JSF2/EJB/CDI + PrimeFaces | WildFly 10 | Oracle 12c
Ostatnim etapem audytu były testy kontrolne w ramach których sprawdzono poprawność istalacji i konfiguracji odpowiednich systemów teleinformatycznych.
Kontrola objęła:
- Audyt warstwy sieciowej
- Audyt warstwy systemów operacyjnych (serwery, macierze, biblioteki)
- Audyt warstwy bazodanowej
- Testy penetracyjne wewnątrz, mające na celu zidentyfikowanie możliwości przeprowadzenia włamania wewnątrz siedziby OPIPIB
Rezultaty
Łącznie przetestowaliśmy
- Prawie 3 tysiące unikalnych podstron/formularzy
- Ponad 5 milionów linii kodu źródłowego
- Ponad 160 typów użytkowników o różnych uprawnieniach
W wyniku audytu
- Pozyskaliśmy informacje na temat istniejących podatności i słabości w obszarze bezpieczeństwa audytowanych systemów teleinformatycznych, sieci i środowiska informatycznego, w którym funkcjonują.
- Dokonaliśmy wiarygodnej oceny bezpieczeństwa zasobów systemów teleinformatycznych.
- Dostarczyliśmy klientowi obszerny raport podsumowujący audyt i sugerujący rozwiązania pozwalające podnieść poziom bezpieczeństwa systemów.Na jego podstawie systemy wciąż są zabezpieczane i rozwijane
QA
Testy funkcjonalne aplikacji Yacht Life, która umożliwia wynajem luksusowych jachtów. Korzystają z niej również celebryci, co wymagało dostarczenia produktu o najwyższej jakości.
Automatyzacja
Automatyzacja testów i testy wydajnościowe brytyjskiego serwisu obsługującego zarządzanie skargami klientów.
Testy Bezpieczeństwa
Testy Bezpieczeństwa systemów oświaty opracowanych przez Ośrodek Przetwarzania Informacji obejmujące audyt bezpieczeństwa, testy penetracyjne i analizę kodu źródłowego.
QA
Testy funkcjonalne oraz UX innowacyjnej szczoteczki Philips Sonicare z dedykowaną aplikacją mobilną, która pozwala śledzić progres dbania o higienę jamy ustnej.
Testy Funkcjonalne
Testy platformy edukacyjnej działającej w modelu SaaS, która wykorzystuje m.in rozwiązania typu chmura. Zespół testerów TestArmy wsparł testy funkcjonalne i ich automatyzacje.
e-commerce UX, funkcjonalne
Testowanie użyteczności i testy funkcjonalne strony sklepowej Yves Rocher w celu polepszenia doświadczenia użytkownika podczas zakupów.
Crowdtesting
Crowdtesty z pomocą testerów z różnych państw, którzy pomogli przeprowadzić testy funkcjonalne nowej aplikacji płatniczej z wykorzystaniem własnych kont bankowych.
Potrzebujesz darmowej
wyceny?
Napisz do nas o swoim produkcie,
a my zajmiemy się resztą.