Secure Code Review

​​​​​​​​​​​​​​​​​​Secure Code Review​

Proces code review spočíva v automatizovanej aj manuálnej kontrole kódu vykonávanej špecialistami zameranými na bezpečný vývoj. Analýza zdrojového kódu dokáže odhaliť aj skryté hrozby a potenciálne slabé miesta v aplikácii, ktoré by nebolo jednoduché detegovať bežnými penetračnými testami. Výsledkom revízie kódu je podrobný popis zraniteľností s konkrétnymi odporúčaniami na ich nápravu.

 
 

​​

Náš príbeh 

Jeden z našich popredných klientov nás požiadal o penetračné testy novovytváranej mobilnej aplikácie, ktorá spravuje finančné informácie používateľov. Keďže aplikácia bola vyvíjaná dodávateľskou firmou, boli sme klientom okrem overenia bezpečnosti požiadaní aj o preverenie dodržania kritérií, ktoré mala aplikácia podľa návrhu spĺňať. 
Pri penetračných testoch sme objavili niekoľko veľmi závažných zraniteľností v oblasti autentizácie a autorizácie, vďaka ktorým by mohol útočník pristupovať k profilovým a finančným informáciám všetkých používateľov produktu. Tieto veľmi kritické dáta by mohli byť hackermi využité napríklad k phishingovým kampaniam, miereným na používateľov, či priamo v útokoch na inštitúciu. Pokiaľ by táto situácia nastala už za reálnej prevádzky, hrozili by spoločnosti veľké finančné straty, s nimi spojená strata klientskej základne a poškodenie dobrej povesti. Pretože však penetračné testy prebehli včas pred publikáciou aplikácie do reálnej prevádzky, podarilo sa tomuto závažnému incidentu zabrániť. 
Analýza návrhu a reálneho stavu aplikácie navyše poukázala na niektoré odchýlky od dohodnutých požiadaviek, napríklad v oblasti práce s dokumentmi používateľa, ktorá podlieha zákonu o GDPR, ktorú dodávateľ v aplikácii nedostatočne zabezpečil. Klient tak mohol v rámci zmluvy dohodnúť urýchlené bezplatné opravy, a ešte tak navýšiť úroveň zabezpečenia svojej mobilnej aplikácie.

Popis riešenia

Bezpečný vývoj a revízia zdrojového kódu: 

Code review 
Kontrolujeme bezpečnosť poskytnutých zdrojových kódov formou manuálnej aj automatizovanej analýzy a podávame odporúčania šité na mieru danej aplikácii aj technológiám. 

Advanced white-box 
Vykonávame komplexné preverovanie bezpečnosti aplikácií kombináciou bezpečnostných revízií kódu, penetračných testov a auditov cieľových aplikácií. 

Checkmarx
Pomáhame klientom implementovať pokročilé riešenia od spoločnosti Checkmarx pre automatizovanú analýzu zdrojových kódov (CxSAST), analýzu kompozície aplikácie (CxSCA) a školenie vývojárov (Codebashing). 

Školenia a konzultačná činnosť 

Vykonávame školenia bezpečného vývoja v oblasti procesnej (SSDLC) aj technickej (bezpečný vývoj webových aplikácií).

Code review 

  • ​Revízia aplikácií v mnohých populárnych jazykoch (Java, C#, PHP…).
  • Interná metodológia založená na skúsenostiach z bezpečného vývoja aj penetračných testov, opierajúca sa o uznávané štandardy projektu OWASP.
  • Umožňuje odhaliť vývojárske chyby, backdoory, chyby v návrhu, nedodržiavanie best practices, použitie slabej kryptografie a mnoho ďalších zraniteľných miest v aplikácii.
  • Code review sa skladá z dvoch hlavných analyzačných častí:
      • ​Automatizovaná revízia celého kódu pomocou open-source aj proprietárnych nástrojov a preverenie výsledkov bezpečnostným špecialistom.
      • ​Manuálna revízia celého kódu či jeho častí vybraných klientom či bezpečnostným špecialistom.
  • Nájdené zraniteľnosti sú podrobne opísané a sú k nim na mieru poskytnuté odporúčania, ktoré berú do úvahy použitý technologický stack. ​

Advanced white-box

  • Pokročilá forma white-box testovania
  • Kombinácia penetračných testov, code review a voliteľne aj ďalších disciplín.
  • Dosahuje vyššiu kvalitu aj efektivitu spojením síl etických hackerov s expertmi na bezpečný vývoj.
  • Maximalizuje úžitok z viacerých bezpečnostných disciplín.

Checkmarx 

  • CxSAST – nástroj na automatizovanú statickú analýzu zdrojových kódov, ktorý je možné integrovať so širokým spektrom technológií.
  • CxSCA – nástroj na analýzu kompozície softvéru, ktorého cieľom je nájdenie zraniteľných softvérových závislostí aj licenčných konfliktov.
  • ​Codebashing – platforma na vzdelávanie vývojárov v oblasti písania bezpečného kódu.

​Školenia a konzultačná činnosť

  • Školenie technického aj procesného charakteru.
  • Konzultácie v oblasti bezpečného vývoja.
 

Prečo zvolit AEC?​​​

  • Patríme medzi zavedené české security firmy, na trhu úspešne pôsobíme už dlhšie než 30 rokov. 
  • Máme viac než 20 rokov skúseností na poli bezpečnosti webových aplikácií a platforiem. 
  • Disponujeme najväčším tímom etických hackerov v ČR, ktorý je zložený z viac než 15 vlastných pracovníkov na hlavný pracovný pomer. 
  • Sme držiteľmi certifikácií CEH, eMAPT, CISSP, OSCP, OSCE a celého radu ďalších. 
  • Náš tím tvoria špecialisti so skúsenosťami zo stoviek webových projektov. 
  • Načúvame klientom a prispôsobujeme testy ich potrebám a časovým možnostiam.
  • Sledujeme moderné trendy v oblasti webovej bezpečnosti a technológií.
  • Pri testovaní kladieme dôraz na manuálny prístup, ktorý vedie k odhaleniu väčšieho množstva chýb najmä v business logike aplikácií.

Referencie 

  • Škoda Auto a.s. 
  • Česká národní banka 
  • NN Group 
  • Československá obchodná banka, a.s. 
  • KKCG 
  • ESSOX s. r. o. 
  • Moneta Money Bank

Radi skonzultujeme vašu konkrétnu situáciu​


Overenie: 

​​