Myslíte si, že je vaše platforma dostatečně chráněná před kybernetickými hrozbami? Nadace České spořitelny nic nechtěla riskovat a obrátila se na nás s žádostí o pomoc. Během penetračních testů jsme odhalili zranitelnosti, které mohly útočníkům otevřít dveře k citlivým datům. Díky naší práci je nyní platforma Skoala bezpečnější než kdy dřív. Přečtěte si naši případovou studii a zjistěte, proč se vyplatí být o krok před hackery.
Představení zákazníka
Nadace České spořitelny byla zřízena Českou spořitelnou v roce 2002. Nadace cíleně podporuje takové projekty a přístupy, které posouvají český vzdělávací systém a motivují žáky, aby rozvíjeli své znalosti a dovednosti potřebné pro aktivní osobní i profesní život v 21. století. Realizuje vlastní programy, Den pro školu a Skoala. Podporuje kvalitní projekty třetích stran.
Testovaná platforma Skoala vytvořená Nadací České spořitelny, se zaměřuje na poskytování finančního vzdělávání pro učitele, žáky a studenty. Nabízí širokou škálu metodických materiálů, videí a her, které pokrývají témata jako osobní finance, investice a obecně zvyšují finanční gramotnost. Studenti a žáci si díky propojení teoretických poznatků s praktickými cvičeními mohou snadno osvojit dovednosti, které využijí v každodenním životě. Navíc je přehledná a intuitivní a dostupná pro různé znalostní úrovně, takže ji zvládne ovládat téměř každý.
Jaký problém zákazník řešil
Klient požadoval prověřit bezpečnost platformy Skoala a odhalit slabá místa systému ještě před jejím uvedením do veřejného provozu. Za nejvhodnější řešení jsme považovali penetrační testování, které identifikuje chyby umožňující útočníkům krást citlivá data nebo narušovat funkčnosti systému.
Hlavním úkolem bylo prověřit možnou manipulaci obsahu s pomocí administračního rozhraní a dále otestování registračního flow a to na infrastruktuře AWS
Jak probíhala spolupráce
Systém se skládal ze tří částí, ve kterých bylo zapotřebí postupně projít všechny body frameworku, podle kterého testujeme. Testování zabralo etickým hackerům 5 kalendářních dní. Testovalo se před spuštěním ostrého provozu, aby se finálně otestovala bezpečnost platformy Skoala, které nijak se neomezilo její fungování.
1. Příprava a plánování
Po podpisu dokumentu PTA (Permission to Attack) jsme nastavili jasné priority a rozsah testování. Společně s klientem jsme definovali, na které části systému se zaměříme, jaké techniky použijeme a kdy testování proběhne. Pečlivá příprava minimalizovala riziko narušení provozu.
2. Testování v praxi
Pro testování jsme použili greybox testy, které našim etickým hackerům umožnily částečný přístup k informacím o systému, například k dokumentaci nebo přihlašovacím údajům. Tento přístup je efektivnější než blackbox testování, při kterém by hackeři museli všechny detaily systému objevovat sami, a zároveň méně časově náročný než whitebox testování, který vyžaduje podrobnou analýzu systému a přípravu specifických testovacích scénářů. Díky greyboxu jsme mohli rychle odhalit zranitelnosti, jako jsou problémy s autentizací, správou relací.
Testování jsme provedli podle metodiky OWASP WSTG 4.2, která přesně stanovuje, jaké aspekty bezpečnosti se mají pokrýt, například ochranu před SQL injection nebo XSS. Tento standard poskytl klientovi jasnou představu o rozsahu práce a očekávaných výstupech.
3. Zpráva a doporučení
V závěrečném reportu jsme zákazníkovi nahlásili zranitelnosti, z nichž dvě souvisely s použitím starších a zranitelných verzí softwaru. Dále jsme upozornili na rizika absence kontroly nahrávaných souborů nebo na nedostatečné řízení přístupu uživatelů k výukovému obsahu uvnitř platformy.
Nejzávažnějším nálezem bylo odhalení programátorské chyby ve funkci pro resetování hesla. Tuto zranitelnost jsme ohodnotili jako kritickou, protože útočníkovi potenciálně otevírala cestičku pro velice snadné provedení phishingového útoku. Nicméně díky skutečnosti, že testy proběhly ještě před spuštěním aplikace do ostrého provozu, šlo o možnost v dané fázi teoretickou. Nalezení chyby umožnila tvůrcům platformy tuto opravit a zvýšit tak bezpečnost celé platformy.
Díky našim doporučením mohla Nadace České spořitelny:
- Zabránit potenciálnímu zneužití zranitelností.
- Zvýšit důvěru uživatelů v bezpečnost platformy.
- Optimalizovat své bezpečnostní postupy a rozhodování o budoucích investicích.
Chcete vědět víc o tom, jak můžeme pomoci zajistit bezpečnost i vašich aplikací? Kontaktujte nás, rádi vám se vším pomůžeme.
Jak spolupráci hodnotil klient?
„Spolupráci s Eviden hodnotíme maximálně pozitivně. Od prvního kontaktu jednali členové týmu vstřícně a proaktivně. Rovněž bychom rádi vyzdvihli jejich poctivý a svědomitý přístup k práci a skutečně bezchybně vypracovaný finální report.“
Matúš Bizoň, IT, projektový manažer, Česká Spořitelna