Consigli per scrivere la mia prima recensione sulla sicurezza delle applicazioni

5

Desidero scrivere una recensione di sicurezza per un'applicazione server / client Windows specifica che funziona su una rete LAN o WAN chiusa (tra 1 e 200+ utenti su più siti); non è un'applicazione web. L'applicazione è ampiamente utilizzata (leader di mercato) all'interno di un settore nel mio paese e le informazioni memorizzate all'interno dell'applicazione sono molto sensibili.

I tipi di problemi che ho già identificato sono:

  1. Utilizzo di un nome utente e una password del database predefiniti (accesso completo all'amministratore). Questo login è mantenuto in testo normale all'interno della cartella dell'applicazione.
  2. Memorizzazione delle password utente in testo normale all'interno del database
  3. Nessun requisito per la password complessa
  4. Utenti che hanno accesso a strumenti all'interno dell'applicazione in grado di eseguire query SQL (con privilegi completi, nonostante i loro limiti di privilegi a livello di applicazione)
  5. Un servizio server HTTP in esecuzione su tutte le macchine client che risponde alle richieste API. Nessun utente / password richiesti.
  6. Condivisione file predefinita con tutti i file dell'applicazione incluso il file contenente il database / nome utente / password
  7. Verifica delle informazioni sulle azioni degli utenti (che possono essere facilmente alterate / eliminate / mascherate - vedi qualsiasi delle precedenti!) che sono state utilizzate come prova in casi di frode / legale / HR da milioni di dollari

Non ho nemmeno guardato cose come buffer overflow, SQL injection ecc; ma un collega si è offerto di aiutarmi con questo.

Come sono un po 'nuovo a questo; Sto pensando che si tratterebbe di una revisione tecnica (simile a un articolo di giornale pubblicato) non richiesta dal venditore? Gli utenti più grandi di questo software spesso lo proteggono nel miglior modo possibile; Suppongo che potrei scrivere una guida "hardening" invece?

Qualcuno può fornirmi un consiglio:

  • Qualche consiglio generale basato su quanto sopra?
  • Devo scrivere una recensione sulla sicurezza o una guida all'indurimento?
  • Ci sono alcuni buoni esempi di tipi simili di recensioni? (Riesco a trovare così tante recensioni di applicazioni Web, ma non a quelle di applicazione, tuttavia un paio di quelle SCADA erano utili

Grazie!

    
posta Jonathan 27.08.2011 - 06:58
fonte

2 risposte

3

Any general advice based on the above?

Parla con le persone che potrebbero essere ferite da un potenziale attacco al sistema: direttamente o indirettamente. Capire quali sono le loro preoccupazioni e fargli sapere che farai del tuo meglio per proteggere i loro archivi e la loro privacy. In qualità di rappresentante della sicurezza, il tuo compito è proteggere le risorse (dati personali, ecc.) Dalle minacce. La tua migliore soluzione incentrata sulla sicurezza emergerà una volta dopo aver compreso cosa stai proteggendo.

Cerca le vulnerabilità, ma non diventare troppo dettagliato. Ci saranno sempre delle vulnerabilità molto tecniche complicate, ma in molti incidenti sono le vulnerabilità relativamente semplici che vengono sfruttate. Riceverai poche critiche per la mancanza di una vulnerabilità che richiede un aggressore sofisticato altamente specializzato, ma ne otterrai molte per mancanza delle semplici vulnerabilità.

Pensa alla sicurezza operativa. In un sistema per lo più chiuso, la minaccia interna rappresenta una preoccupazione significativa. La rotazione del lavoro è un ottimo metodo dove pratico. Cerca modi per segmentare o suddividere i dati in modo che, in caso di violazione o perdita, il danno sia limitato.

Should I write a security review or hardening guide?

Penso che dovresti concentrarti sulla revisione della sicurezza. Ci sono risorse di sicurezza per le varie versioni di Windows, e spero che ci siano degli amministratori competitivi che eseguono questi sistemi Windows.

Are there some good examples of similar types of reviews?

    
risposta data 05.09.2011 - 09:48
fonte
1

Sto parlando dal contesto dell'esperienza di un collega e come tale dovrebbe essere trattato come informazione di terzi, tipicamente le organizzazioni che ti assumono per fare un pen-test si aspettano qualche forma di documento che enumeri i problemi che sono stati trovati e le rimedi dei sistemi. Qualcosa che hai detto ha sollevato preoccupazione:

I'm thinking that this would be a technical review (similar a published journal article) un-requested by the vendor

Se fossi questo venditore, farei immediatamente causa e garantirò che la tua azienda abbia perso tutte le licenze che avrei potuto farle perdere. È a discrezione del cliente e del contratto che è stato firmato. Vorrei esaminare le guide di indurimento fornite da DISA (STIGS offre un modo pratico per presentare una guida di tempra). L'unica cosa che posso dire con grande sicurezza è rivedere il contratto che è stato fornito alla tua azienda e andare da lì.

    
risposta data 28.08.2011 - 01:55
fonte

Leggi altre domande sui tag