Заказчик
Итальянская компания-разработчик Digital Attitude, «золотой партнер» Microsoft

Digital Attitude работают над проектом виртуального помощника Habit-inspiring Platform — hi. С помощью hi пользователи корпоративных приложений вроде Microsoft Office 365 формируют "правильные привычки": сохраняют файлы в облаке, используют необходимые функции и оптимальные настройки. То есть сотрудники компании, которая приобретает корпоративную версию Microsoft Office 365, начинают работать с этим пакетом эффективно.

Цели проекта

Технически продукт Digital Attitude представляет собой веб-приложение с клиентской и серверной компонентами. Как и любое доступное в сети приложение, hi может быть атакован извне. С помощью пентеста специалисты по ИБ ITGLOBAL.COM помогли Digital Attitude оценить безопасность публичных веб-ресурсов и клиентского сервиса, а также исправить найденные уязвимости.

Особенности платформы

Программа-клиент hi устанавливается на компьютер сотрудника. Она собирает нужные метрики о поведении пользователя и передает в "мозг", или серверную часть hi. "Мозг" анализирует информацию и решает, какое именно уведомление и с какой подсказкой нужно показать пользователю.

Соединение между клиентом и сервером — одно из потенциально уязвимых мест hi. Если киберпреступник перехватит HTML-сообщение, адресованное сервером клиенту (или наоборот), и внесет в него свой скрипт, он, при худшем сценарии, может получить полный доступ к компьютеру пользователя.

По словам Дениса Сумина, full stack-разработчика Digital Attitude, компания прилагает максимум усилий для обеспечения безопасности платформы hi и ее пользователей. Например, hi не хранит никаких личных данных пользователей, только ID. А сам процесс разработки устроен так, что вероятность внести неправильный код в платформу крайне низкая. Тем не менее, платформа не защищена от попыток внешнего взлома — к этому Digital Attitude решили повысить уровень защиты именно этого направления.

Что было сделано

ITGLOBAL.COM организовала тестирование на проникновение по модели Black Box ("черный ящик"). Пентестеры при этом, помимо прочего, имитируют действия киберпреступников, которым известны только URL и внешний IP-адрес "жертвы". То есть пентестер пытается найти слабые места в защите и получить доступ к веб-ресурсам клиента.

В основном применялись ручные методы взлома. Также использовались специализированные утилиты из арсенала киберпреступников.

Результаты

Digital Attitude показала действительно высокий уровень защищенности сервисов. Специалисты по ИБ ITGLOBAL.COM нашли две XSS — уязвимость среднего уровня критичности. Однако при определенных условиях эксплуатация этой уязвимости могла бы привести к серьезным последствиям.

Сообщения между клиентом и "мозгом" платформы — HTML-страницы, внутри в которых размещается javascript. При успешной атаке через XSS страницу можно модифицировать. Как отметил Александр Зубриков, руководитель ИБ-направления ITGLOBAL.COM, злоумышленник теоретически мог бы:

  • получить доступ к компьютеру при наличии уязвимости в движке Chrome, который использует hi;
  • показать пользователю свой контент, который воспринимался бы как надежный;
  • украсть cookies пользователя.

В том, что все эти угрозы вполне реальны, Digital Attitude убедились, когда пентестер ITGLOBAL.COM вставил в страницу свой скрипт. Этот скрипт был выполнен у клиента.

После того, как Digital Attitude получили отчет о пентесте и рекомендации по устранению уязвимости, она сразу же была закрыта с помощью Content Security Policy. Сейчас подменить скрипт уже невозможно.