RSS

Archive

Mar
26th
Thu
permalink

O Conviso Application Hardening como ferramenta de prevenção de fraudes

Este estudo de caso também está disponível em formato pdf

Informações Gerais

  • Cliente: Empresa de grande porte no mercado de comunicação eletrônica.
  • Aplicação: Portal de relacionamento com clientes desenvolvido em Java e Ruby on Rails.
  • Motivador: Necessidade de validar os aspectos de segurança antes de encaminhar a aplicação para o ambiente de produção.
  • Resultados: Identificação e correção de 12 vulnerabilidades de alto impacto, garantindo a proteção de transações eletrônicas com clientes em todo o Brasil.
  • Tempo de Projeto: 7 dias

Cenário

Nosso cliente atua no mercado de comunicação eletrônica há muitos anos, e se preparava para lançar uma ferramenta de relacionamento para seus usuários em todo o Brasil. Como este portal seria utilizado para transações financeiras on-line e conseqüente armazenamento de informações pessoais, a necessidade de testar sua proteção contra ataques e tentativas de captura de dados foi levantada como premissa de negócio.

Abordagem

A Conviso IT Security foi contatada pelo cliente e informada que teria 10 dias úteis para executar os testes e apresentar os resultados, uma vez que existia um cronograma de atividades que foi adiantado pela área de negócios responsável para aproveitar uma data comemorativa e o potencial incremento de vendas on-line.

Após um breve conference call, recebemos do cliente os endereços IP a serem analisados e a janela de tempo que teríamos para executar os testes sem interromper as atividades da equipe interna de desenvolvimento, que estava validando processos da aplicação no decorrer da mesma semana.

Com este cenário em mãos, optamos por executar um teste black box da aplicação, simulando de forma completa o que um cracker poderia fazer à partir da Internet.

Em algumas horas de planejamento, executamos um probe nos endereços IPs e URL de serviços web disponíveis, iniciando o processo de análise de vulnerabilidades nos serviços e aplicações identificadas. As informações resultantes foram validadas e consolidadas, evitando a ocorrência de falsos positivos no relatório e permitindo o foco do cliente na correção de vulnerabilidades que poderiam ser efetivamente exploradas.

Resultados

Mesmo com a reduzida janela que tivemos para executar os testes, identificamos falhas de alto impacto resultantes de erros da lógica utilizada na composição e requerimentos utilizados para o desenvolvimento e programação da aplicação, e no relacionamento entre a aplicação e seus componentes internos, de suporte e aplicações relacionadas.

O relatório de resultados foi encaminhado por e-mail para a equipe de desenvolvimento iniciar as correções, e posteriormente realizamos uma apresentação técnica detalhada para os autores da aplicação.

A adoção das correções recomendadas, somada às mudanças feitas na lógica e relacionamentos da aplicação, foram suficientes para alterar o comportamento em modo de produção para um modelo à prova dos ataques contra o tipo de linguagem eframework utilizados. A aplicação foi para o ar dentro do prazo esperado pela área de negócios, e nenhum cliente foi alvo de ataques, garantindo a satisfação total com o uso do portal.